下载文档原格式
译文|欧盟GDPR《一般数据保护法案》编者按:2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》(General Data Protection Regulation,GDPR),该法案将于2018年5月25日正式生效。
GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护法案。
GDPR对于我国业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚,以及对我国与数据相关的法学研究都具重要意义。
新法案由11章共99条组成,中文译本由中国政法大学互联网金融法律研究院(Internet financial law research institute of CUPL ,IFLRI)组织翻译。
第一章一般规定第1条主题与目标1. 本法就对与个人数据的处理相关的自然人的保护及个人数据的自由流动订立规则。
2. 本法保护自然人的基本权利和自由,尤其是自然人的个人数据保护权。
3. 不得以保护与处理的个人数据相关的自然人为由,限制或禁止个人数据在欧盟内部的自由流动。
第2条适用范围1. 本法适用于完全或部分以自动方式对个人数据的处理,构成或拟构成整理汇集系统一部分的自动方式除外。
2. 本法不适用于以下个人数据的处理:(a) 发生在联盟法律范围之外的活动过程中;(b) 由成员国在欧洲联盟条约第五卷第2章范围内进行活动时;(c) 由自然人在纯粹的个人或家庭活动的过程中;(d) 由主管当局为预防、调查、侦查或起诉的刑事犯罪,执行的刑事处罚的目的,包括防范和阻止公共安全受到威胁。
3. 欧盟机构、委员会、办事处和专业行政部门(代理机构)处理个人数据,适用第45/2001号条例。
根据本法第98条,处理个人数据适用第45/2001号条例和其他联盟法律法规的,应当符合本法的原则和规则。
4. 本法不影响2000/31 / EC指令的适用,特别是该指令第12条至第15条中的中间服务提供商的责任规则。
国外个人信息保护或隐私保护法规汇总随着互联网和信息技术的迅速发展,个人信息保护和隐私保护的重要性日益凸显。
在国外,各个国家和地区都制定了相关的法规和政策来保护个人信息的安全和隐私。
本文将对国外个人信息保护或隐私保护法规进行汇总和介绍。
一、欧洲数据保护通用条例(GDPR)欧洲数据保护通用条例(General Data Protection Regulation,简称GDPR)是欧盟制定的一项重要法规,于2018年5月25日正式生效。
该法规旨在保护欧盟公民的个人信息,并为其提供更多的控制权和保障。
GDPR要求处理个人信息的组织必须遵守一系列规定,包括明确告知个人信息用途、取得合法同意、尊重信息自主权等。
二、美国隐私权保护法(CCPA)美国隐私权保护法(California Consumer Privacy Act,简称CCPA)于2020年1月1日正式生效。
该法律适用于加利福尼亚州的居民,旨在保护个人信息的隐私和安全。
CCPA规定了组织必须向个人提供关于收集、使用和披露其个人信息的信息,以及提供选择权和删除权的措施。
三、加拿大个人信息保护与电子文件法(PIPEDA)加拿大个人信息保护与电子文件法(Personal Information Protection and Electronic Documents Act,简称PIPEDA)是加拿大联邦法律,于2000年生效。
该法律对组织收集、使用和披露个人信息的行为进行了规范,并确保个人信息的隐私和安全。
PIPEDA要求组织必须取得个人的同意,并保护个人信息的机密性和精确性。
四、澳大利亚隐私法(Australian Privacy Law)澳大利亚隐私法包括澳大利亚隐私法案(Privacy Act 1988)和澳大利亚个人信息保护准则(Australian Privacy Principles,简称APPs)。
该法律于1988年生效,适用于澳大利亚的组织和个人。
1995欧盟个人数据保护指令内容1995欧盟个人数据保护指令,全称为《95/46/EC号欧洲议会和理事会指令》,是欧盟于1995年颁布的一项重要法规,旨在保护个人数据的隐私权和基本权益。
该指令对欧盟成员国的个人数据处理、储存和传输等方面提出了具体的规定和要求,对欧洲范围内的个人数据保护事务产生了重大影响。
指令的制定目的是为了加强对个人数据的保护,防止未经授权的个人数据获取和滥用,保障个人的基本权益和隐私权。
通过该指令,欧盟希望为个人数据处理和储存提供一个规范化的框架,使个人能够更好地控制自己的数据并保持隐私。
下面我们将详细介绍1995欧盟个人数据保护指令的主要内容和要求。
1.适用范围:1995欧盟个人数据保护指令适用于在欧盟成员国内进行的个人数据处理活动,不论是由公共机构还是私营企业进行。
这些个人数据处理活动可能涉及数据的收集、储存、传输和使用等各个环节。
指令包括了对个人数据的定义,包括个人身份的信息、个人生物特征、个人健康、个人经济状况等。
2.基本原则:指令规定了个人数据处理的基本原则,包括合法性、公平性、透明性、用途限制、数据最小化、准确性、存储期限、保密性和安全性等。
在处理个人数据时,数据控制者必须遵守这些基本原则,并设计相应的数据处理机制和安全保障措施。
3.数据主体权利:指令赋予数据主体一系列的权利,包括了知情权、访问权、更正权、删除权和反对权等。
数据主体有权知晓自己的个人数据被何种方式处理和使用,并能够对数据的准确性提出质疑并有权更正。
同时,数据主体还可以反对个人数据的处理和使用行为,并要求删除不正当处理的个人数据。
4.数据处理者责任:指令对数据处理者提出了一系列责任和要求,包括了数据的合法性、透明性、目的限定、数据准确性、安全措施和跨境数据传输等。
数据处理者必须在进行个人数据处理时确保合法性和透明性,明确目的并进行数据的准确处理,同时采取合理的安全措施保障个人数据的安全。
若有跨境数据传输的活动,数据处理者还须确保在接收国的数据保护水平和规定。
个人保护信息政策英文作文英文:Personal data protection is a very important issue in today's digital age. With the advancement of technology,our personal information is constantly being collected, stored, and used by various organizations and companies. It is crucial for us to be aware of the risks and take necessary measures to protect our personal data.First and foremost, I always make sure to use strongand unique passwords for all my online accounts. I avoid using easily guessable passwords such as "123456" or "password". Instead, I create complex passwords with a combination of letters, numbers, and special characters. This helps to prevent unauthorized access to my accountsand keeps my personal information secure.Another important step I take to protect my personal data is to be cautious about the information I share online.I am mindful of the privacy settings on social media platforms and only share my personal details with trusted individuals. I also refrain from posting sensitive information such as my home address, phone number, or financial details on public forums.Furthermore, I am selective about the apps and websites I use, making sure to read their privacy policies and terms of service. I am wary of apps that request excessive permissions or collect unnecessary data. I also make use of privacy tools such as ad blockers and VPNs to safeguard my online activities from prying eyes.In addition, I regularly update my devices and software to ensure that they have the latest security patches. This helps to protect against potential vulnerabilities that could be exploited by hackers to gain access to my personal data.Overall, personal data protection is a continuous process that requires vigilance and proactive measures. By being mindful of the risks and taking steps to safeguardour personal information, we can minimize the chances of falling victim to data breaches and identity theft.中文:在今天的数字时代,个人数据保护是一个非常重要的问题。
I. IntroductionThe European Union (EU) has been at the forefront of regulatory innovation in the field of artificial intelligence (AI). The EUArtificial Intelligence Act (AI Act) is a landmark piece of legislation designed to ensure the safe, ethical, and sustainable development and deployment of AI across the EU. This act aims to create a harmonized regulatory framework that protects individuals, fosters innovation, and promotes trust in AI technologies.II. Scope and ObjectivesThe AI Act applies to AI systems deployed in the EU, regardless of where they are developed. It sets out a comprehensive set of rules and standards for AI systems, categorizing them into six risk levels based on their potential impact on human life and safety.The objectives of the AI Act are as follows:1. Ensure high levels of safety and trust in AI systems: The act establishes strict safety and transparency requirements for AI systems, particularly those with a high risk level.2. Promote innovation and competitiveness: The act aims to create alevel playing field for AI developers and businesses in the EU, while also encouraging the development of new AI technologies.3. Protect fundamental rights: The act includes provisions to protect individuals' fundamental rights, such as privacy, freedom of expression, and non-discrimination.4. Enhance consumer protection: The act provides clear guidelines for the marketing and labeling of AI products and services, ensuring that consumers are informed about the AI technologies they use.5. Facilitate cross-border cooperation: The act promotes the exchange of information and best practices among EU member states, fostering a coordinated approach to AI regulation.III. AI Systems and Risk CategoriesThe AI Act categorizes AI systems into six risk levels based on their potential impact on human life and safety:1. High Risk: These AI systems can pose a high risk to human life and safety, including those used in critical infrastructure, transport, healthcare, and law enforcement. Examples include autonomous vehicles, drones, and medical devices.2. Substantial Risk: These AI systems can pose a substantial risk to human life and safety, including those used in employment, education, and credit scoring. Examples include biometric identification systems and predictive maintenance systems.3. Limited Risk: These AI systems have a lower risk to human life and safety, including those used in leisure and entertainment, customer service, and marketing. Examples include chatbots and recommendation systems.4. Low Risk: These AI systems have a very low risk to human life and safety, including those used in administrative tasks, management, and control of non-essential processes. Examples include automated data processing and monitoring systems.5. No Risk: These AI systems have no risk to human life and safety, including those used for administrative purposes and research. Examples include automated data analysis and pattern recognition systems.6. Unspecified Risk: These AI systems fall outside the scope of the AI Act due to their lack of a clear impact on human life and safety. Examples include AI systems used for personal entertainment or hobbies.IV. Key Provisions of the AI ActThe AI Act includes several key provisions to ensure the safe and ethical use of AI:1. Framework for AI Risk Management: The act requires AI developers to conduct a risk assessment and implement appropriate risk management measures for AI systems. This includes identifying potential risks,evaluating their impact, and implementing measures to mitigate those risks.2. Transparency and Explainability: The act requires AI systems to be transparent and explainable, particularly those with a high risk level. This means that users should be able to understand how the AI system works and how it makes decisions.3. Data Quality and Privacy: The act sets out rules for the collection, processing, and storage of data used in AI systems. It also includes provisions to protect individuals' privacy and ensure the security of personal data.4. Human Oversight: The act requires AI systems to be designed and operated in a manner that allows for human oversight, particularly for high-risk AI systems.5. Labeling and Marketing: The act includes provisions for the labeling and marketing of AI products and services, ensuring that consumers are informed about the AI technologies they use.6. Liability: The act establishes rules for determining liability in the event of harm caused by AI systems.V. Implementation and EnforcementThe AI Act will be implemented through a combination of EU regulations and directives. EU institutions, such as the European Commission and the European Parliament, will be responsible for drafting and adopting the necessary regulations. National authorities in each EU member state will be responsible for enforcing the act.VI. ConclusionThe EU Artificial Intelligence Act represents a significant step forward in the regulation of AI technologies. By establishing a comprehensive and harmonized regulatory framework, the AI Act aims to ensure that AIis developed and used in a manner that is safe, ethical, and beneficial to society. As AI continues to evolve, the AI Act will serve as a model for other jurisdictions around the world.---欧盟人工智能法案:全面概述I. 引言欧洲联盟(EU)在人工智能(AI)领域的监管创新一直处于前沿。
《中美欧比较视野下我国个人信息保护的立法完善研究》篇一一、引言随着全球信息化和数字化的飞速发展,个人信息保护已成为国际社会关注的焦点。
在这样一个背景下,中美欧三地在个人信息保护方面的立法与实践,具有十分重要的研究价值。
本文旨在从比较的视角,探讨我国个人信息保护立法的现状、问题及完善方向,以期为我国的个人信息保护立法提供参考。
二、中美欧个人信息保护立法概述(一)美国美国在个人信息保护方面以行业自律为主,政府监管为辅。
其立法体系包括《隐私权法》、《儿童网上隐私保护法》等,强调个人信息的收集、使用和披露必须得到个人明确同意,并保障个人对其信息的访问权、更正权和删除权等。
(二)欧洲欧洲在个人信息保护方面以欧盟的《通用数据保护条例》(GDPR)为代表,该条例确立了严格的数据保护原则,要求个人信息的收集、处理和使用必须得到明确的同意,并赋予个人对数据的控制权、访问权、更正权、删除权等。
(三)中国我国在个人信息保护方面的立法起步较晚,但近年来发展迅速。
主要法律包括《网络安全法》、《个人信息保护法》等,旨在规范个人信息的收集、使用和保护。
三、我国个人信息保护立法的问题与挑战尽管我国在个人信息保护方面已经取得了一定的立法成果,但仍存在以下问题与挑战:1. 立法体系不够完善,缺乏系统性和协调性。
2. 个人信息的权利保护不够充分和具体。
3. 执法力度和监管机制有待加强。
4. 与国际接轨的步伐有待加快。
四、我国个人信息保护立法的完善方向(一)完善立法体系1. 制定更加系统、协调的个人信息保护法,明确个人信息的定义、范围和保护原则。
2. 完善相关法律法规,如《网络安全法》、《电子商务法》等,以形成完整的个人信息保护法律体系。
(二)强化个人权利保护1. 明确个人对其信息的访问权、更正权、删除权等权利,并规定相应的救济措施。
2. 加强对个人敏感信息的保护,如生物识别信息、健康信息等。
(三)加强执法力度和监管机制1. 建立健全个人信息保护执法机构,明确其职责和权限。
1995欧盟个人数据保护指令内容1995年欧盟个人数据保护指令(Directive 95/46/EC)是欧洲联盟制定的一项关于个人数据保护的指导法规。
该指令的主要目的是确保在欧盟成员国范围内对个人数据的处理和流转具有一致的标准和保护措施,以保障公民的隐私权和个人数据的保密性。
1995年欧盟个人数据保护指令主要包含以下内容:1.数据保护原则:指令确立了八项数据保护原则,要求个人数据的处理必须公正、合法、透明,并且应该与数据收集者的目的相符合。
同时,数据必须保持准确完整,并且仅在需要的时候才能够保留。
此外,个人数据的处理还必须遵循安全性要求,以确保数据的保密性。
2.数据主体权利:指令赋予个人数据主体一定的权利,包括对自己的数据进行访问、更正和删除的权利。
个人还有权利进行抗辩,以防止自己的数据被非法处理或不当使用。
此外,个人还可以拒绝自己的数据用于直接营销目的。
3.数据处理者责任:指令规定了数据处理者的义务和责任,要求他们采取适当的技术和组织措施,保护个人数据的安全。
数据处理者还必须遵守“最小化处理”原则,只处理必要的个人数据,并且在数据用途变更时取得个人数据主体的同意。
4.数据传输限制:指令规定了对个人数据的传输有一定的限制,如果数据传输涉及到欧盟以外的国家,这个国家必须具备适当的数据保护水平。
如果传输国家不具备充分的保护措施,数据传输只能在特定条件下进行。
5.数据保护监管:指令规定了每个欧盟成员国需要设立独立的数据保护监管机构,负责监督和执行该指令的规定。
监管机构必须具备适当的权限和资源,以保护公民的个人数据并解决与个人数据保护相关的争议。
1995年欧盟个人数据保护指令的颁布对于欧盟成员国的数据保护环境产生了深远的影响,它为个人数据保护提供了一系列的准则和标准,使欧盟成员国的个人数据保护法律更加统一和协调。
然而,随着信息技术的发展和全球化的趋势,该指令的适用范围逐渐变窄,无法完全适应互联网时代的个人数据保护需求。
个人信息保护相关法规分析随着互联网技术的迅猛发展和普及,我们的个人信息安全越来越容易受到侵犯。
因此,保护个人信息已经成为一种全球性的主题。
在如此广泛的领域中,法规扮演着关键的角色,它们既能够维护公民的数据隐私和权利,同时也能够规范企业的数据收集和利用行为。
个人信息保护相关法规分析也就变得越发重要。
在本文中,我们将讨论一些当前正在实施的法规,以及它们对我们的数据隐私和网络安全的保护作用。
一、欧盟《通用数据保护法》(GDPR)欧盟《通用数据保护法》(GDPR)于2018年5月25日开始实施。
该法规的主要目标是保护欧洲公民的数据隐私,并规范企业对于个人数据的处理方式。
按照该法规,企业需要获得消费者的同意来收集其个人数据,同时需要明确说明收集用途和处理数据的方式,以及数据保持期限。
同时,该法规被称为是全球最严格的个人信息保护法之一,涉及到哪些数据算作个人敏感数据,哪些数据需要进行加密保护等。
如果企业在数据处理中发生了泄露,将面临高额罚款,甚至被禁止提供相关服务的可能。
该法规提供了一种新的处理密码的方式,即采用 hash+salt 协议。
该协议将密码先进行哈希化,然后将哈希值附加一些其他的信息,如用户ID等,生成一种新的散列值,再将散列值与哈希密钥组合加密存储。
这样一来,即使黑客入侵,也无法轻易地解密密码。
二、加拿大《个人信息保护与电子文件法》(PIPEDA)加拿大《个人信息保护与电子文件法》(PIPEDA)于2004年4月13日开始实施。
该法规要求企业需要收集并使用消费者的个人信息时,需要事先获得消费者的同意。
同时,该法规也要求企业必须保障个人信息安全,一旦发生数据泄露事件,企业需要立即采取措施保护消费者的权益,并且向相关监管机构和受影响的消费者报告泄露事件。
该法规也规定了消费者可以对企业进行投诉,并给予了相关部门对企业违规行为的执法权力。
PIPEDA将数据保护负责任与法规执行权相结合,确保了个人信息的隐私和安全性。
1995欧盟个人数据保护指令内容1995年欧盟个人数据保护指令(Directive 95/46/EC)是欧洲议会和理事会于1995年10月27日通过的法规,旨在保护个人数据的处理和自由流动。
本指令对欧盟成员国的法律和行政规定进行了规范,以确保对个人数据的保护和处理达到一定的标准。
个人数据保护指令对欧盟境内机构和个人数据处理者规定了一些基本原则和义务,以确保个人数据的合法处理和使用。
本文将对个人数据保护指令的内容进行分析和解释,以便更好地了解该指令的具体规定和影响。
一、基本原则个人数据保护指令包括以下基本原则:1.合法性、正当性和透明性:个人数据的处理应当以合法和正当的方式进行,并对数据主体透明公开。
2.最小化原则:个人数据的处理应当以最小化的方式进行,包括数据的收集、存储、使用和披露。
3.目的限制原则:个人数据的处理应当具有明确的、合法的目的,并且不得与原始目的不相容。
4.数据准确性原则:个人数据的处理应当准确、及时,同时采取措施确保不正确或不完整的数据得到及时纠正。
5.存储期限限制原则:个人数据的处理应当在合法的期限内进行,并在达到目的后及时删除或匿名化数据。
6.安全性原则:个人数据的处理应当同时具备合适的安全技术和组织措施,以防止数据的非法或未经授权的处理、访问、披露、修改、损坏或丧失。
以上原则旨在确保个人数据的合法、安全和适当处理,同时保障个人数据主体的权益和隐私。
二、权利和义务个人数据保护指令赋予了数据主体一系列的权利,同时规定了数据控制者和处理者的相应义务。
1.数据主体的权利:数据主体享有对其个人数据的访问权、修改权、删除权等各项权利;同时有权利对个人数据的处理提出异议和要求限制处理。
2.数据控制者和处理者的义务:数据控制者和处理者应当确保对个人数据的合法处理,并在实际操作中遵循上述基本原则;同时要采取合适的技术和组织措施,确保数据的安全性和保密性。
另外,个人数据保护指令还规定了数据保护官的设立和职责,以监督和促进个人数据的合法处理和保护。
1995欧盟个人数据保护指令内容1995年欧盟个人数据保护指令是欧盟制定的一项重要法律文件,旨在保护个人数据的隐私和安全。
本文将对该指令的内容进行详细解读,包括其背景、重要原则、适用范围、数据主体权利、数据处理原则、数据转移和国际传输等方面。
1.背景欧盟个人数据保护指令于1995年颁布,是欧盟在信息技术发展迅速的背景下,为了保护个人数据隐私而制定的立法文件。
该指令的诞生与欧盟对数据隐私和个人信息保护日益重视的态度有着密切的关系。
在信息化社会中,个人数据的处理和利用已经成为各种业务活动的重要组成部分,但同时也带来了数据泄露、滥用等问题。
因此,欧盟希望通过该指令,保护个人数据隐私,促进个人数据在数字化时代的安全流通。
2.重要原则欧盟个人数据保护指令确立了一系列重要原则,以保护个人数据的隐私和安全。
这些原则包括数据合法性、公正性和透明性原则;目的限制原则;数据最少化原则;准确性原则;存储限制原则;完整性和保密性原则;账户持有者权力最大化原则;以及责任制原则。
这些原则的确立,为个人数据的合法、安全处理提供了指导。
3.适用范围欧盟个人数据保护指令适用范围广泛,涵盖了在欧盟境内和欧盟境外提供产品和服务的所有企业和组织。
无论组织的所在地是在欧盟内还是在欧盟外,只要其数据处理活动涉及欧盟居民的个人数据,都要遵守该指令。
这一规定意味着,无论数据处理活动在欧盟内外发生,只要其结果影响欧盟居民的个人数据,都需要遵守欧盟个人数据保护指令的相关规定。
4.数据主体权利欧盟个人数据保护指令赋予数据主体一系列权利,以确保其对个人数据的控制权。
这些权利包括知情权、访问权、更正权、删除权、限制处理权、可携带性权和反对权。
其中,知情权要求数据控制者在收集个人数据时告知数据主体有关信息;访问权和更正权则保证数据主体能够访问自己的个人数据,并在必要时进行更正;删除权和限制处理权赋予数据主体决定个人数据去处的权利;可携带性权要求数据控制者在一定条件下,提供数据主体的个人数据副本;反对权则保证数据主体有权反对数据处理活动。
介绍(Introduction):With the development of technology, Internet has become an inseparable part of daily life. As great convenience it brings to us,in the same time,it put people personal information at high risk of breaching.当我们享受着信息时代为我们带来的轻松愉快的信息共享盛宴的同时,我们同样不得不面对信息失控给我们带来的威胁,也许有一天,当你打开网页搜索自己的名字的时候会惊奇地发现,上面可以找到自己的电话、职位等等信息,而这些信息并不是你所希望让别人知道的。
随着垃圾短信的增加,骚扰电话的不断,每一个人都切身体会到了信息安全的威胁,每个人在个人信息保护方面都开始谨小慎微,但是当360和腾讯骂战开始的时候,人们突然发现,信息的泄露已经防不胜防,它已经渗透到了我们生活的方方面面,互联网及大数据的发展使得个人信息的传播泛滥成灾,成千上万的我个人信息被互联网肆意传播,一次不经意的个人信息泄露,就会造成难以挽回的麻烦。
针对于个人信息泄露引发的各类案件的增多,也引起了社会的重视,国家也通过适当的法律对信息安全的保护进行了立法。
本案例分析以指定案例作为分析对象,以欧盟数据保护法与中国规范互联网信息服务市场秩序若干规定分别作为法律依据进行分析,同时讨论加强个人信息保护的紧迫性和必要性。
事实(Fact):1、Lily purchased a laptop as well as a tablet computer from , using her credit card in payment. However,’s servers were hackedso that the hackers had gained access to a number of accounts, including Lily’s, and used her payment information stored in account to buy a large number of expensive items.2、For reading E-books,Eddie gives his name, address, email address and date of birth. A week later, in order to unlock further levels on games, Eddie completed several surveys about his tastes in food and in movies. Then Eddie start to receive large quantities of spam email from companies other than .分析(Analysis):问题一:欧盟保护个人信息的目的在于:保护自然人的基本权利和自由,特别是涉及处理个人数据的隐私权;成员国不应因保护个人数据而限制或禁止个人数据在成员国之间的自由流动。
欧盟将个人信息界定为:个人数据是指一个数据主体相关的任何信息;数据主体是指一个可识别的自然人,或控制者、自然人、法人通过有效运用数据而识别的一个自然人,特别是运用这个人的身份证号码、定位数据、网络标识符、生理、心理、基因、精神、经济、文化、社会身份。
并对基因数据、生物识别数据及健康数据进行了分别界定,将基因数据、健康数据、性生活及犯罪前科作为特殊类型的数据予以专门保护。
这表明欧盟对个人信息的保护内容范围是比较广的。
欧盟在信息的保护立法和实践中,走在国际前沿。
欧盟历经近30年的摸索与实践,逐步建立起了以《欧盟数据保护指令》为核心的信息数据保护体系。
该体系的建立对于保护个人信息安全具有十分重要的积极意义。
早在1995年10月24日,欧洲议会和欧洲理事会就颁布了第95/46/EC号指令,以保护个人信息的处理及流转(EU Data Protection Directive),这也是欧盟信息数据保护框架的核心文件。
2002年7月12日,欧洲议会和欧洲理事会再次颁布第2002/58/EC指令,用以补充规范电子通信领域个人数据处理和隐私保护(以下简称《欧盟电子隐私指令》(EU E-Privacy Directive),为了顺应时代发展和技术进步,2012年1月,欧洲委员会又提出了《欧盟数据保护规则》草案,以取代《欧盟数据保护指令》。
新法案的出台,将标志着欧盟在信息保护方面进入了一个全新的阶段,具有里程碑式的重要意义。
首先,《欧盟数据保护指令》对个人信息的界定非常广泛,是指能够确认个人身份直接或者间接的所有信息,包括照片、电子邮箱地址、银行信息、在网络发布的言论、医疗信息以及计算机信息等所有相关信息。
指令要求所有相关信息必须“合理并合法”地进行使用和处理,必须基于特定、明确以及合法的理由进行收集,不应因其他理由而被使用。
同时,个人信息的使用应被严格限制范围,不应超出使用目的之外进行处理。
指令第1 条开宗明义地指出:成员国应该保护自然人的基本权利和自由, 尤其是他们涉及个人数据处理的隐私权。
合法处理数据的要求有六项: ( 1) 同意。
只有数据主体明确同意, 个人数据才可能被处理。
( 2) 合同。
只有处理数据是为了履行数据主体作为其中一方而签订的合同或者为了执行参与合同的数据主体的请求, 个人数据才可能被处理。
( 3) 法定义务。
如果处理数据与数据主体履行其法定义务相符, 则个人数据可以被处理。
( 4) 重要利益。
如果处理数据是为了保护数据主体的重要利益, 则个人数据可以被处理。
( 5) 公共利益。
如果处理数据是为了执行维护公共利益的任务, 则个人数据可以被处理。
( 6) 合法利益。
如果处理数据是为了保护知晓该数据的数据管理者或第三方的合法利益, 则个人数据可以被处理, 除非在指令第1 条保护下的数据主体的利益、基本权利和自由胜过该合法利益。
数据主体主要有三项权利: ( 1) 知情权。
每个数据主体都有权从数据管理者处知晓有关自身的数据是否被处理、处理该数据的目的、该数据所属类型、该数据的接收者或接收者的类型。
( 2) 修改和阻止使用权。
如果数据管理者因为采用了不全面或不准确的数据而对数据的处理与指令的规定不符, 则每个数据主体都有权要求管理者修改、删除或阻止对该数据的使用。
( 3) 反对权。
每个数据主体都有权在任何时候就其自身的特殊情况基于强制性的法定理由对数据处理提出反对。
指令要求成员国采取合适的技术性和组织性措施保护个人数据不受偶然或非法的破坏, 防止对数据的意外丢失和未经授权对数据进行修改、披露或访问。
适当的安全保障能够减小处理数据过程中所蕴含的风险。
, as a large internet shopping company in the EU, failed to build security system matching its strength. For whatever reason, failed to try their best to maintain their security system. The company’s error provides hackers with legal identity to penetrate the network. In principle, can forestall this accident by imposing relative education or security policies.问题二:In China, there is no single law that governs information security regulations. Some patchworks of laws indirectly impose information security obligations. Such as PRC Security Statutes for Computer Information System, Administration of Internet Electronic Messaging Services Provisions, and Administrative Measures on Internet Information Service. They regulate requirements of keeping data secure for ISPs.目前,中国网民数量已经达到4.97亿,互联网信息服务提供者达到355万家。
与此同时,互联网信息服务竞争日益激烈,违法事件逐渐增多,不规范经营、侵害用户权益的行为时有发生,有必要加快制定相关立法。
制定《若干规定》,有利于明确互联网信息服务的行为准则,形成良好的信息服务环境。
近年来的相关违法事件,凸显出互联网信息服务相关法律法规不健全、具体行为规范缺失等问题。
通过制定《若干规定》进一步明确互联网信息服务规则和行为边界,有利于定纷止争,建立依法经营、依法维权的服务环境,保护互联网信息服务提供者和用户的合法权益。
制定《若干规定》,有利于推进互联网管理领域的依法行政。
在处置互联网信息服务违法事件的过程中,面临着有效法律手段缺乏、法律依据不足等问题。
制定《若干规定》,有利于进一步完善相关管理制度,推进互联网管理工作的依法进行。
In particular, the “Several Provisions on Regulating the Market Order for Internet Information Services“introduced by the PRC Ministry of Industry & Information Technology in 2012.《规范互联网信息服务市场秩序若干规定》第四条,互联网信息服务提供者应当遵循平等、自愿、公平、诚信的原则提供服务。
第七条,互联网信息服务提供者不得实施下列侵犯用户合法权益的行为:(三)以欺骗、误导或者强迫等方式向用户提供互联网信息服务或者产品;(八)其他违反国家法律规定,侵犯用户合法权益的行为。
第十一条,未经用户同意,互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户的信息,不得将用户个人信息提供给他人,但是法律、行政法规另有规定的除外。
