• 黄斌:元宇宙法律篇(三十三)——元宇宙个人信息公开操作指引
  • 文章来源:北京德和衡律师事务所 日期:2022-09-26

元宇宙时代的来临,在线社交、游戏、媒体、学习、医疗、教育、工作、生活等诸多元宇宙场景需要大量收集、存储、分析个人数据(信息),并将上述个人数据(信息)加工、生成数据产品或服务。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,个人信息公开是指向社会或不特定人群发布信息的行为。个人信息公开首先应当具有合法性、必要性;其次应对该行为进行安全影响评估,并按照评估结果采取有效的保护个人信息主体的措施;再其次,在公开前应向个人信息主体告知披露的目的、类型等,并取得个人信息主体的明示同意;最后,应记录公开披露的信息内容。


一、合法性、必要性


处理个人信息应当遵循合法、正当、必要和诚信原则,个人信息公开应当具有明确、合理的目的,并应当与公开目的直接相关,采取对个人权益影响最小的方式。个人信息原则上不应公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时,应当经过合法性、必要性评估。网络运营者利用所掌握的数据资源,公开市场预测,统计等信息时,不应危害国家安全、公共安全、经济安全和社会稳定。国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。行政机关不得公开涉及国家秘密、商业秘密、个人隐私的政府信息。但是经权利人同意公开或者行政机关认为不公开可能对公共利益造成重大影响的政府信息,可以予以公开。


《数据安全法》


第四十一条 国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。


《个人信息保护法》


第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。


第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。


《儿童个人信息网络保护规定》


第七条 网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则


《政府信息公开条例》


第十四条 行政机关不得公开涉及国家秘密、商业秘密、个人隐私的政府信息。但是经权利人同意公开或者行政机关认为不公开可能对公共利益造成重大影响的政府信息,可以予以公开。


《互联网个人信息安全保护指引(征求意见稿)》


6.7 公开披露


个人信息原则上不得公开披露。如存在该行为,应满足以下要求:


a) 公开披露行为应经过合法性、必要性评估;


《信息安全技术个人信息安全规范》


3.11


公开披露 public disclosure


向社会或不特定人群发布信息的行为。


9.4 个人信息公开披露


个人信息原则上不应公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时,


《信息安全技术—网络数据处理安全要求》


5.8公开


网络运营者利用所掌握的数据资源,公开市场预测,统计等信息时,不应危害国家安全、公共安全、经济安全和社会稳定。


《互联网个人信息安全保护指南》


6.7 公开披露


个人信息原则上不得公开披露。如经法律授权或具备合理事由确需公开披露时,应充分重视风险,


《个人金融信息保护技术规范》


3.7


公开披露 public disclosure


向社会或不特定群体发布信息的行为。


6.1.4.3 公开披露


个人金融信息原则上不得公开披露。金融业机构经法律授权或具备合理事由确需公开披露时,


二、安全影响评估


个人信息公开,事先应当开展个人信息安全影响评估,评估的内容包括但不限于以下方面:个人信息的类型、数量、敏感程度等;是否向个人信息主体告知了转让、共享、公开披露的基本情况,并得到个人信息主体的明示授权同意;数据发送方的安全管理保障和安全技术保障能力;数据接收方的安全管理保障和安全技术保障能力(不包括公开披露);数据接收方可能会开展的个人信息处理活动,或公开披露的个人信息可能会被使用的个人信息处理场景;个人信息是否进行过去标识化处理;发生个人信息安全事件后的补救措施;数据接收方所能响应个人信息主体的请求的范围,如:访问、更正、删除等。个人信息控制者应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险。个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括公开披露个人信息对个人信息主体合法权益可能产生的不利影响;


《信息安全技术个人信息安全规范》


9.4 个人信息公开披露


个人信息原则上不应公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时,应符合以下要求:


a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;


11.4 开展个人信息安全影响评估


对个人信息控制者的要求包括:


a) 应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险;


b) 个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括但不限于:


5) 共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响;


《互联网个人信息安全保护指南》


6.7 公开披露


个人信息原则上不得公开披露。如经法律授权或具备合理事由确需公开披露时,应充分重视风险,遵守以下要求:


a)事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;


《信息安全技术 个人信息安全影响评估指南》


6.2.5 个人信息委托处理、转让、共享或公开披露前的影响评估


在对个人信息进行委托处理、转让、共享和公开披露前,应开展个人信息安全影响评估,评估的内容包括但不限于以下方面:


a) 个人信息的类型、数量、敏感程度等;


b)是否向个人信息主体告知了转让、共享、公开披露的基本情况,并得到个人信息主体的明示授权同意;


c) 数据发送方的安全管理保障和安全技术保障能力;


d)数据接收方的安全管理保障和安全技术保障能力(不包括公开披露);


e) 数据接收方可能会开展的个人信息处理活动,或公开披露的个人信息可能会被使用的个人信息处理场景;


f) 个人信息是否进行过去标识化处理;


g) 发生个人信息安全事件后的补救措施;


h)数据接收方所能响应个人信息主体的请求的范围,如:访问、更正、删除等。


《互联网个人信息安全保护指引(征求意见稿)》


6.7 公开披露


个人信息原则上不得公开披露。如存在该行为,应满足以下要求:


a) 公开披露行为应经过合法性、必要性评估;


b) 应对该行为进行安全影响评估,并按照评估结果采取有效的保护个人信息主体的措施;


三、告知同意

个人信息控制者经法律授权或具备合理事由确需公开披露时,应当向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意;公开披露个人敏感信息前,还应向个人信息主体告知涉及的个人敏感信息的内容;不应公开披露个人生物识别信息;不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果;准确记录和存储个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等。以下情形中,个人信息控制者公开披露个人信息不必事先征得个人信息主体的授权同意:与个人信息控制者履行法律法规规定的义务相关的;与国家安全、国防安全直接相关的;与公共安全、公共卫生、重大公共利益直接相关的;与刑事侦查、起诉、审判和判决执行等直接相关的;出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;个人信息主体自行向社会公众公开的个人信息;从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。


《个人信息保护法》


第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。


第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。


《儿童个人信息网络保护规定》


第九条 网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。


第十条 网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项:


(一)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;


前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的同意。


第十八条 网络运营者不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。


《信息安全技术个人信息安全规范》


9.4 个人信息公开披露


个人信息原则上不应公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时,应符合以下要求:


a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;


b) 向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意;


c) 公开披露个人敏感信息前,除 b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容;


d) 准确记录和存储个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;


e) 承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;


f) 不应公开披露个人生物识别信息;


g) 不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果。


9.5 共享、转让、公开披露个人信息时事先征得授权同意的例外


以下情形中,个人信息控制者共享、转让、公开披露个人信息不必事先征得个人信息主体的授权同意:


a) 与个人信息控制者履行法律法规规定的义务相关的;


b) 与国家安全、国防安全直接相关的;


c) 与公共安全、公共卫生、重大公共利益直接相关的;


d) 与刑事侦查、起诉、审判和判决执行等直接相关的;


e) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;


f) 个人信息主体自行向社会公众公开的个人信息;


g) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。


《个人金融信息保护技术规范》


6.1.4.3 公开披露


个人金融信息原则上不得公开披露。金融业机构经法律授权或具备合理事由确需公开披露时,具体技术要求如下:


a) 应事先开展个人金融信息安全影响评估,并依据评估结果采取有效的保护个人金融信息主体权益的措施。


b) 不应公开披露个人生物识别信息。


c) 应准确记录和保存个人金融信息的公开披露情况,包括公开披露的日期、规模、目的、内容、公开范围等。


《互联网个人信息安全保护指南》


6.7 公开披露


个人信息原则上不得公开披露。如经法律授权或具备合理事由确需公开披露时,应充分重视风险,遵守以下要求:


a)事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;


b)向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意,与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外;


c)公开披露个人敏感信息前,除6.7 b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容;


d)准确记录和保存个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;


e)承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;


f)不得公开披露个人生物识别信息和基因、疾病等个人生理信息;


g)不得公开披露我国公民的种族、民族、政治观点、宗教信仰等敏感数据分析结果。


《互联网个人信息安全保护指引(征求意见稿)》


6.7 公开披露


个人信息原则上不得公开披露。如存在该行为,应满足以下要求:


a) 公开披露行为应经过合法性、必要性评估;


b) 应对该行为进行安全影响评估,并按照评估结果采取有效的保护个人信息主体的措施;


c) 在披露前应向个人信息主体告知披露的目的、类型等;


d) 在公开披露前应得到个人信息主体的明示同意;


e) 应记录公开披露的信息内容,将公开披露情况中包括公开披露的日期、数据量、 目的和数据接收方的基本情况在内的信息进行记录。


四、更正、删除


个人信息公开应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正,包括但不限于以下情形:网络运营者违反法律、行政法规的规定或者双方的约定公开儿童个人信息的;超出目的范围或者必要期限公开个人信息的;个人信息主体撤回同意的;个人信息主体通过注销等方式终止使用产品或者服务的。


《网络安全法》


第四十三条个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。


《个人信息保护法》


第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。


《儿童个人信息网络保护规定》


第十九条 儿童或者其监护人发现网络运营者收集、存储、使用、披露的儿童个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。


第二十条 儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的,网络运营者应当及时采取措施予以删除,包括但不限于以下情形:


(一)网络运营者违反法律、行政法规的规定或者双方的约定收集、存储、使用、转移、披露儿童个人信息的;


(二)超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的;


(三)儿童监护人撤回同意的;


(四)儿童或者其监护人通过注销等方式终止使用产品或者服务的。


作者简介


黄   斌


北京德和衡(深圳)律师事务所高级联席合伙人


黄斌律师,北京德和衡律师事务所数字经济与人工智能业务中心副总监,元宇宙科技与法律研究中心主任,深圳律协数字经济专委会副主任,北京德和衡(深圳)律师事务所高级联席合伙人,公司业务部副主任,北大法律信息网签约作者,《互联网法律评论》特约专家,无讼公开课讲师,无讼专栏作者,百度百家号VIP作者,华中科技大学法律硕士,专利代理人。


擅长专业领域为:数字经济、元宇宙、NFT、虚拟人、区块链、虚拟货币、公司法、建设工程、知识产权。


黄斌律师专注于中小股东保护,深度研究数万个判例进行解码,从董事推荐、公司决议、股东退出等多维度完成了公司中小股东保护法律服务产品;在大学从事近十年建设法规教学,从建工合同的签订、入场、施工、变更、退场等多维度保护建工企业及实际施工人的权益;曾从事三年专利代理工作,参与了武烟集团公司知识产权战略规划。2017年完成江西省工商联课题“民企知识产权保护”,现为中国最大法律人社区无讼阅读“商标有道”专栏作者,在北大法律信息网和无讼阅读平台上发表过《中国好声音:到底是谁的好声音》等100多篇知识产权法文章,《麦当劳中国更名为“金拱门”相关法律问题评析》荣获“无讼”阅读2017年度专业文章第一名,《短视频版权保护的江湖风云》收录在《大数据—北大法律信息网文粹(2018-2019)》一书。代理案件中江西网络电视台诉暴风科技信息网络传播权侵权案入选江西省高院2017年十大知识产权经典案例、田某某侵犯商业秘密罪案(判三缓五)入选2021年江西省检查机关保护知识产权典型案例。


手机:18128820372

邮箱:huangbin@deheheng.com