199
2024-06-23 04:47一、数据保护条例全文?
(2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过)
目录
第一章 总则
第二章 数据安全与发展
第三章 数据安全制度
第四章 数据安全保护义务
第五章 政务数据安全与开放
第六章 法律责任
第七章 附则
第一章 总则
第一条 为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。
第二条 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
第三条 本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
第四条 维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。
第五条 中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
第七条 国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。
第八条 开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
第九条 国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。
第十条 相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
第十一条 国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
第十二条 任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。
有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。
第二章 数据安全与发展
第十三条 国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。
第十四条 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。
省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。
第十五条 国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
第十六条 国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。
第十七条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
第十八条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
第十九条 国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
第二十条 国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
第三章 数据安全制度
第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
第二十三条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
依法作出的安全审查决定为最终决定。
第二十五条 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
第二十六条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
第四章 数据安全保护义务
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第二十八条 开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。
第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
第三十二条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
第三十三条 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
第三十四条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
第三十五条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
第三十六条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
第五章 政务数据安全与开放
第三十七条 国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。
第三十八条 国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
第三十九条 国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
第四十条 国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
第四十一条 国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。
第四十二条 国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
第四十三条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用本章规定。
第六章 法律责任
第四十四条 有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。
第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
第四十七条 从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第四十八条 违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
第四十九条 国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。
第五十条 履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。
第五十一条 窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。
第五十二条 违反本法规定,给他人造成损害的,依法承担民事责任。
违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第七章 附则
第五十三条 开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。
在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。
第五十四条 军事数据安全保护的办法,由中央军事委员会依据本法另行制定。
第五十五条 本法自2021年9月1日起施行。
二、欧盟数据保护条例?
2018年5月25日,欧洲联盟出台了《通用数据保护条例》。[1]
对违法企业的罚金最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,以高者为准。
网站经营者必须事先向客户说明会自动记录客户的搜索和购物记录,并获得用户的同意,否则按“未告知记录用户行为”作违法处理。
企业不能再使用模糊、难以理解的语言,或冗长的隐私政策来从用户处获取数据使用许可。
明文规定了用户的“被遗忘权”(right to be forgotten),即用户个人可以要求责任方删除关于自己的数据记录。
三、wwz通用数据保护条例?
通用数据保护条例
《通用数据保护条例》(General Data Protection Regulation,简称GDPR)为欧洲联盟的条例,前身是欧盟在1995年制定的《计算机数据保护法》。
2018年5月25日,欧洲联盟出台《通用数据保护条例》。2019年7月8日,英国信息监管局发表声明说,英国航空公司因为违反《一般数据保护条例》被罚1.8339亿英镑(约合15.8亿元人民币)。
四、欧盟通用数据保护条例?
条例全文
欧盟《通用数据保护条例》
目次
壹。序言。
贰. GDPR的地域适用范围。
叁。个人敏感数据。
肆。问责机制—从设计着手隐私保护和默认隐私保护。
伍. 数据主体的权利(知情权)。
陆。数据主体的权利(访问权、更正权和可携权)。
柒。数据主体的权利(删除权、限制处理权、反对权和自动化个人决策相关权利)。
捌。数据处理者。
玖。数据泄露和通知 。
拾. 数据保护官。
拾壹. GDPR下的数据处理者。
壹
序言
欧盟议会于2016年4月14日通过的《通用数据保护条例(General Data Protection Regulations)》(“GDPR”)将于2018年5月25日在欧盟成员国内正式生效实施。该条例的适用范围极为广泛,任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。比如,即使一个主体不属于欧盟成员国的公司(包括免费服务),只要满足下列两个条件之一:
(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。
(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息,其就受到GDPR的管辖。
贰
GDPR的地域适用范围
欧洲隐私法律的地域适用范围正在通过GDPR不断扩大。而正是由于这种适用范围的扩大,位于欧盟境外、不受现行欧洲隐私法律规制的许多组织也将随着GDPR的实施而不得不适用欧盟隐私法律。GDPR要求这些组织及时对GDPR的“合规”要求作出回应。
第一,GDPR适用于在欧盟境内设有业务机构(establishment)的组织,只要这些组织在业务机构在欧盟境内的活动中处理个人数据(而不论此类处理行为是否实际发生在欧盟境内)。
对“场地(location)”这一概念的解释必须宽泛、灵活。要求是通过可持续场地进行有效、真实的活动(小型活动即可)。法律形式(例如分公司或具有法人资格的子公司)并不是决定性因素。因此,在欧盟境内设有唯一代表即足以符合适用条件。
并不要求个人数据处理行为必须由该业务机构自身进行。但是要求此类处理行为必须是在业务机构的活动中发生的(通常是同时具备上述两个特点,但必须始终满足此句所述条件)。如果业务机构的活动与母公司的活动密不可分(例如,业务机构存在的目的就是为了母公司的经济效益),则相关的个人数据处理行为就应当受到GDPR的规制。
因此,如果业务机构(例如分公司或联络代理)的活动与位于欧盟境外的组织进行的个人数据处理密不可分,则应当适用GDPR。
第二,如某一组织虽不在欧盟境内设立业务机构,但却处理欧盟境内个人的个人数据,并且此类处理行为与向欧盟境内个人提供商品或服务相关,无论该等商品或服务是否收费,则也应当适用GDPR。
如果非欧盟组织机构意图向欧盟境内个人提供商品或服务,则其将被视为在欧盟境内提供商品或服务。仅仅是能从欧盟境内访问网站或其联系方式或使用该组织设立国家常用的语言原则上不足以被视为有上述意图。使用一个或多个成员国的语言和/或货币、来自欧盟客户(例如在网站上)的推荐、使用搜索引擎中针对一个或多个成员国的广告和/或使用顶级域名(例如.eu或.nl)可能导致商品或服务被视为在欧盟境内提供。
第三,GDPR适用于非欧盟组织处理欧盟境内个人的个人数据,只要此类处理行为涉及对这些个人的行为进行监控,且该处理行为发生在欧盟。
如果(尤其是)为了作出与这些个人有关的决定或者为了分析或预测其个人喜好、行为和态度,而在互联网上追踪这些个人,且在此过程中使用了处理技术来形成画像等,则构成监控行为。
目前尚不清楚监控行为到何种程度才适用GDPR。原则上,使用所谓的“追踪cookies”和监控使用的应用程序的网站在GDPR的适用范围内(只要该等网站处理个人数据)。欧洲法院最近裁定,在某些情况下,动态IP地址也可视为个人数据。因此,存储动态IP地址日志数据的网站的所有者也可能受GDPR的规制。
后续措施
各类组织最好确认其活动是否在GDPR的地域适用范围内。鉴于“业务机构”和“提供商品或服务”标准的解释较为宽泛,所以更应如此。贯彻落实GDPR需要大量的时间、规划和资源。
同意——处理个人数据的正当理由
根据荷兰《个人数据保护法》(Personal Data Protection Act,“DPA”),“同意”是处理个人数据的六项法律依据之一。在没有法律依据的情况下处理个人数据是不被允许的。欧盟《一般数据保护条例》(General Data Protection Regulation,“GDPR”)也规定,“同意”是数据处理的法律基础。GDPR的多个部分都提到了同意机制。基于此,本文主要对DPA和GDPR在以下方面的差异进行阐述:(1)同意机制的法律框架和(2)有效同意的构成要件。
同意的法律框架
DPA下“同意”的概念完全依照欧盟第95/46/EC号指令中的定义,即“数据主体的同意是指:数据主体依照其意愿自由作出的特定的、知情的指示。通过该等指示,数据主体表明其同意处理与其相关的个人数据。”
法律框架由多个可广泛解释的条款构成,这使其产生了法律不确定性。因此,一个由欧洲隐私监管机构组成的独立咨询顾问机构——第29条工作组,在2011年7月对“同意”概念作出了全面分析。工作组的意见解释了同意机制相关法律框架的几个关键要素。这些要素是,并且一直是欧盟数据保护机构解释“同意”概念的重要指南。简而言之:
同意必须是自由作出的。这意味着数据主体在作出同意时,其选择是真实的,例如,不存在受到胁迫或者欺诈的风险。如果数据主体会受到数据控制者的影响(例如,数据控制者是数据主体的雇主,或者是一个公共权威),则考虑到此类关系的性质,同意并不当然被认为是自由作出的。
同意必须是特定的。无明确目的的概括式的同意是无效的。同意应当清晰准确地指明数据处理的范围和结果。特定的同意条款需要与一般条款相区分。
同意必须是在知情的情况下作出的。根据DPA第33、34条,数据控制者必须向数据主体提供一定的关于数据处理的最低限度的信息。被提供的信息应足以保证数据主体能够作出充分知情的选择。至于信息的质量,信息提供必须使用数据主体能够理解的语言。复杂的法律术语是不合适的。
而且,被提供的信息必须是清楚且足够显著的,以使数据主体不能轻易忽略。另外,信息必须是直接提供给数据主体的,仅指示可供访问的信息的地址(例如,网络上的“某处”)是不够的。
同意还须结合DPA中提到的进一步要求。基于同意的数据处理,要求该同意是明确的。数据主体明确作出的指示,不能对其意愿留有不明确的空间。如果存在合理怀疑,则认为不明确。
根据第29条工作组的意见,不明确的同意不适用于基于不作为或者沉默取得同意的方式(例如,不适用于预先勾选的选择框)。
在处理特殊类别的数据(例如,健康数据)时,同意必须是明示的。需要数据主体给予积极回复。
GDPR下同意的法律框架
GDPR第4条第11款将“同意”定义为:“数据主体的同意是指,数据主体依照其意愿自由作出的、特定的、知情的、明确的指示。通过以声明或清晰肯定的行为作出的该等指示,数据主体表明其同意处理与其相关的个人数据。”
从该新法律框架看,欧洲立法者似乎在其对法律框架的整体评估中回应了第29条工作组提出的某些修改。鉴于欧盟第95/46/EC号指令下“同意”的概念被一字不变地移植到DPA中,因此从荷兰法的角度并没有太多改动(与其他欧盟成员国相比)。该定义已变得更加规范,但大部分并非新内容。最主要的修改如下:
同意必须以声明或清晰肯定的行为作出。数据主体的行为是明确被要求的。包括,例如,点击对话框和选择特定的技术网络浏览器设置。因此,预先勾选的选择框并不构成同意。
根据第29条工作组的分析,“同意”似乎要求数据主体作出行为,现在GDPR明确了这一要求。这就需要相关组织重新考虑其目前从数据主体处取得同意的方式。
GDPR下有效同意的要件
GDPR第7条规定了有效同意的要件,其中某些在DPA中没有具体规定。有效同意的要件之一是,数据控制者必须能够证明,数据主体确实同意处理其个人数据。书面声明不是必须的,但推荐使用,因为证明责任在数据控制者这边。网上作出同意的充分记录(例如,通过在网站上的联系方式)应当作为标准。
如果数据主体通过书面声明的方式作出同意,且书面声明涉及其他事项,那么同意应以易于理解且与其他事项显著区别的形式呈现。如果信息的提供不符合本规定,同意将可能无效。
根据DPA,数据主体有权随时撤回其同意。撤回同意应当同给出同意一样容易。GDPR的新规定为,数据主体必须在作出同意前被告知其撤回权。此外,数据主体还必须被告知撤回不影响在撤回前基于同意对其个人数据的处理。这不仅需要隐私政策的修订,也可能需要相关组织内部流程的改变,以确保撤回同意与给出同意同样容易。
儿童的同意
对于向儿童提供信息社会服务(简而言之:所有在线服务,无论是免费的或付费的,包括社交媒体),应当适用特殊的同意规则。原因是,儿童应被给予额外的保护,因其一般都缺乏对风险、保障措施和与处理个人数据相关权利的了解。这种特殊的保护应适用于,当服务被直接提供给儿童时,儿童的个人数据被用于市场营销或创建个性/用户模型,以及收集儿童的个人数据的情况。任何信息和沟通都应当以清晰且简明的语言表达,使得儿童容易理解。
只有在儿童年满16周岁时,基于同意的数据处理才是合法的。如果儿童未满该年龄,则只有在有监护权的父母同意(或授权)的情况下,数据处理才是合法的。欧盟各成员国可以规定更低的年龄门槛,但不得低于13周岁。荷兰将不会规定更低的年龄(据立法者称,没有理由改变目前的情况)。欧盟范围内的相关组织,在取得同意的基础上处理儿童的个人数据时,应了解欧盟各成员国在这方面的立法。
对于缺乏法律行为能力的其他数据主体,《GDPR荷兰实施法案》(“实施法案”)规定,被接管(curatele)或置于保护令(mentorschap)之下的数据主体,也需要其法定代表人的同意(同意也可由法定代表人撤回)。
考虑到现有技术,数据控制者应作出合理的努力,以证明同意实际是由法定代表人作出或授权的。
目前基于同意处理个人数据的相关组织
GDPR第171条规定:
“GDPR将取代欧盟第95/46/EC号指令。本条例施行之日已在进行中的数据处理,须在本条例生效之日起两年内符合本条例的规定。若处理是基于欧盟第95/46/EC号指令下的同意,且该同意的形式符合本条例的规定,则数据主体不需要再次给出同意,以使数据控制者在本条例施行之后继续处理。(…)”
主要规则是,如果同意的取得符合GDPR规定,则不需要相关组织再次取得同意。然而,当在DPA下取得的同意不符合GDPR的规定时,该同意是否将在2018年5月25日失去效力,并不完全清楚。可以认为,欧洲立法者最为重视处理的连续性:“以使数据控制者在本条例施行之后继续处理”。另一方面,根据第171条的具体表述(“本条例施行之日已在进行中的数据处理,须在本条例生效之日起两年内符合本条例的规定”以及“如果该同意的形式符合本条例的规定”)所得出的结论是:同意应被重新取得。
作为对实施法案质询的一部分,这个问题被提交给了荷兰立法者。其可能在下一版本实施法案(解释备忘录)中被进一步澄清。
实务建议
将数据主体的同意作为数据处理活动的合法依据的相关组织,应当检查当前取得的同意是否符合GDPR的要求。如果不符合,内部流程应当遵照这些要求,数据控制者也应当考虑按照GDPR的要求重新取得同意(以避免在2018年5月25日后同意失效的风险)。此外,相关组织应建立机制以证明同意是有效的,并确保同意可以被容易地撤回。
相关组织可以进一步考虑,其他(也许更适当的)数据处理的法律依据是否可行和理想。
相关组织未能履行新的义务,将面临荷兰数据保护监管机构(de Autoriteit Persoonsgegevens)或者欧盟其他国家活跃的监管机构的严重行政罚款的风险。
叁
个人敏感数据
本第三份关于《通用数据保护条例》的业务通讯将阐述,荷兰《个人数据保护法》(Personal Data Protection Act,“DPA”)所实施
五、汽车充电数据保护条例?
一、国内外汽车数据安全管理现状
美、欧等国家和地区均将汽车数据安全作为其数据安全监管的重点对象,部分国家已经出台针对汽车数据安全的规范性文件。美国的汽车数据安全管理遵循《隐私权法》《电子通讯隐私法》《加利福尼亚消费者隐私法案》等法律法规及地方法案的相关要求。欧盟在《通用数据保护条例》基础上,针对汽车数据安全管理进一步出台了《车联网个人信息保护指南》,围绕车内处理、持续告知、方便撤回同意等原则,提出生物特征、位置轨迹等敏感个人信息的保护要求。
我国高度重视重要数据以及个人信息保护工作,《网络安全法》《数据安全法》《个人信息保护法》等法律法规均提出了明确的保护要求。《网络安全法》首次从法律层面明确了重要数据安全和个人信息保护的要求;《数据安全法》明确国家数据安全基本制度体系,提出了加强重要数据安全保护;《个人信息保护法》则对个人信息的内涵、外延,以及保护要求、方法、机制进一步提出了要求。《若干规定》落实《网络安全法》《数据安全法》《个人信息保护法》,首次对处理汽车相关重要数据、个人信息提出了具体要求。
二、数据安全管理若干规定重点解读
《若干规定》共十九条,旨在维护国家安全和社会公共利益,保护个人、组织的合法权益,针对汽车领域个人信息和重要数据安全风险,明确了处理者的责任义务和汽车数据处理活动的要求,包括以下三个方面重点内容。
《若干规定》明确了汽车重要数据范围。《若干规定》给出6类重要数据,充分考虑了重要敏感区域、车流物流、充电网、车外视频图像、大规模个人信息等方面,体现了对国家安全、国计民生、公共利益等全方位的考虑。特别是《若干规定》将“涉及个人信息主体超过10万人的个人信息”明确为重要数据,在个人信息与重要数据的关系、保护公共利益与国家安全的关系方面做出了有益的探索,为其他领域开展重要数据安全和个人信息保护提供了参考。
《若干规定》为汽车领域个人信息保护工作明确了基本原则。《若干规定》在汽车领域个人信息保护方面提出了四项原则,包括车内处理原则、默认不收集原则、精度范围适用原则、脱敏处理原则。四项原则的提出,对保护汽车座舱内部视频、语音、图像等敏感个人信息,以及保护行人的人脸信息等重点难点问题提供了明确指引。
《若干规定》对汽车数据处理提出了具体管理要求。一是汽车数据处理者开展重要数据处理活动,应按照规定进行风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告,同时每年应报送年度汽车数据安全管理情况。二是因业务需要确需向境外提供的重要数据,应当通过国家网信部门会同国务院有关部门组织的安全评估,同时数据处理者每年应报送相关情况。三是在有关部门以抽查等方式核验向境外提供重要数据情况时,以及在国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责进行数据安全评估时,相关汽车数据处理者应予以配合。
三、关于落实好若干规定的几点思考
汽车智能化产业正处于高速发展阶段,汽车数据安全问题已经成为产业发展中的焦点问题、难点问题。《若干规定》的落地实施为构建安全有序的汽车数据生态,推动汽车智能化产业良性发展提供了保障。
围绕《若干规定》的落地实施,笔者提出以下三点建议。
一是坚持问题导向,加快汽车数据安全相关标准建设。《若干规定》从政策法规层面明确了汽车数据处理者开展数据处理活动的要求。网络安全标准作为政策法规文件落地实施的有效技术支撑,发挥着基础性、规范性和引领性作用。为保障《若干规定》的有效落地,应当加快汽车数据网络安全标准建设,以提高汽车数据安全保护能力为目标,充分借鉴国内外先进标准化成果,加快汽车数据安全、个人信息保护、重要数据安全等重点方向的标准研制。
二是加强技术研发,强化汽车数据安全防护能力。加快开展智能(网联)汽车网络平台建设,不断加大技术研发投入,加快研制汽车数据脱敏、匿名化,以及自动化数据安全检测工具,充分运用隐私计算、同态加密、区块链等前沿技术,保护汽车敏感个人信息,促进数据安全先进技术创新应用和试点示范,提升汽车数据安全防护技术能力。
三是做好宣贯培训,推动行业安全意识提升。做好《数据安全法》《个人信息保护法》《若干规定》等法律法规、GB/T 35273《信息安全技术 个人信息安全规范》等网络安全国家标准的宣贯工作,开展自上而下梯度培训,提升汽车数据处理者、用户等相关方安全意识,促进《若干规定》要求实现闭环实施,推动形成汽车数据安全管理新局面。
六、通用数据保护条例是哪个国家的?
是欧洲联盟
《通用数据保护条例》(General Data Protection Regulation,简称GDPR)为欧洲联盟的条例,前身是欧盟在1995年制定的《计算机数据保护法》。
七、一般数据保护条例哪年颁布?
欧盟最新的个人数据保护法案《一般数据保护条例》(以下简称《条例》)于2018年正式实施。《条例》在1995年颁布的《个人数据保护指令》基础上做出了一系列重大调整,如加强个人数据权利保护、强化企业维护数据安全的责任、限制企业针对个人的数据分析活动、加强对数据跨境转移的监管等。欧盟《条例》的颁布在全球范围内产生了广泛而深刻的影响,为大数据时代的个人隐私保护树立了新标杆,对我国构建公民隐私保护法律体系以及维护国家数据主权具有重大的借鉴意义。
八、水库保护条例?
1第一章 总则编辑
第一条 根据国务院《水库大坝安全管理条例》(以下简称《条例》),结合我省实际情况,制定本细则。
第二条 本省行政区域内坝高十五米以上或者库容一百万立方米以上大坝的安全管理,都必须执行《条例》和本细则。
第三条 省、市(地)、县(市)水行政主管部门是其所管辖大坝的主管部门,并会同同级有关主管部门对本行政区域的大坝安全实施监督。
各级人民政府及其大坝主管部门对其所管辖的大坝的安全实行行政领导负责制。
第四条 大坝的建设和管理应贯彻安全第一的方针,对重要城镇、交通干线、重要军事设施、工矿区安全有潜在危险的大坝,应采取相应的强化措施,确保安全。
第五条 任何单位和个人都有保护大坝安全的义务。
2第二章 大坝建设编辑
第六条 兴建大坝必须服从流域统一规划,并与经济和社会发展规划相协调,合理布局,充分论证,建设方案报送上级水行政主管部门审查。
兴建大坝必须按照基本建设程序做好勘测、规划、设计,并严格审批手续。
第七条 大坝工程设计必须符合国家及省规定的安全技术标准,由具有相应资格证书的单位承担。
大坝设计除主体工程外应当包括:工程观测、防洪测报、通信、动力、照明、交通、仓库、房屋、生活、水产等设施及绿化、迁赔、管理范围等。
第八条 大坝施工必须由具有相应资格证书的单位承担,按照施工承包合同规定的设计文件、图纸要求和有关技术标准进行施工,不准擅自更改,确需变动设计时,必须征得设计单位同意,并报上级主管部门批准。
设计单位应向大坝建设单位派驻代表。建设单位应成立质检组织,负责施工质量的监督检查。质量不符合设计要求的,必须返工或者采取补救措施。
第九条 大坝开工后,大坝主管部门应当组建大坝管理单位,由其按照工程基本建设验收规程参与质量检查以及各阶段验收和蓄水验收工作。
第十条 兴建大坝时,县级以上人民政府应根据批准的设计,按本细则规定,划定管理范围、保护范围,并树立标志。
已建大坝尚未划定管理和保护范围的,县级以上人民政府应当根据安全管理的需要,划定管理范围、保护范围,并树立标志。
第十一条 大坝确立管理范围后,应依法办理用地手续。大坝管理范围包括:
(一)大坝及其他设施占地。
(二)主坝下游坡脚外:大型水库二百米,其中宿鸭湖水库汝河堵坝坡脚外二百米,洼地段坝下游排水沟下口外五米;中型水库一百米;小型一类与坝高十五米以上的小型二类水库五十米。
(三)副坝下游坡脚外:大型水库五十至二百米,其中宿鸭湖水库陈小庄坝段与白龟山水库有导渗排水沟的坝段导渗排水沟口外一米,两水库其余坝段坝脚外五米;中型水库三十至一百米;小型一类与坝高十五米以上的小型二类水库二十至五十米。
(四)山丘区大坝两头至分水岭之间、平原区两坝头外五十米与大坝上、下游坡脚外二百米延长线之间。
(五)沿库岸迁赔高程线以内。
(六)输、泄水建筑物边线外十至五十米。
第十二条 建设大坝应根据安全需要,划定保护范围。大坝保护范围包括:
(一)主、副坝管理范围外延三百米;宿鸭湖水库汝河堵坝外延三百米,洼地段外延一百米,其余坝段外延五十米;白龟山水库主坝外延三百米,副坝有导渗沟坝段外延七十米。其余坝段外延五十米。
(二)设计最高洪水位线以内。
第十三条 已经划定的管理范围、保护范围大于上述标准的,不再变更;小于上述标准的,应按以上标准重新划定。
第十四条 建设单位应将管理设施、附属工程与主体工程同步安排施工,并同步作好阶段验收和单项竣工验收。
建设过程中发现原设计有缺陷的,设计单位必须作出补充或修改设计,由建设单位按补充或修改设计完成。
第十五条 大坝竣工后,建设单位应当申请大坝主管部门按照验收规程组织全面验收。有遗留尾工或缺陷的,应由建设单位负责限期完成。
第十六条 险坝处理应依照《条例》第二十六条、第二十七条、第二十八条的规定执行。
3第三章 大坝管理编辑
第十七条 大坝工程竣工验收后,大坝主管部门应依据规定的编制配足管理人员,建立健全管理机构和安全管理规章制度。
大坝管理单位运行管理费的收取和使用,按照国家和我省的有关规定执行。
第十八条 大坝主管部门应当建立大坝定期安全检查、鉴定制度。
汛前、汛后以及暴风、暴雨、特大洪水或强烈地震等自然灾害和其他险情发生后,大坝管理单位应进行检查,或由大坝主管部门组织对其所管辖大坝的安全进行检查。
大坝管理单位必须按照有关技术标准,对大坝进行安全监测和检查,对监测资料应当及时整理分析,随时掌握大坝运行状况。发现异常现象和不安全因素时,大坝管理单位应立即报告大坝主管部门,及时采取措施。
第十九条 大坝管理单位必须做好大坝及其附属设施的养护维修工作,保持大坝完整,设备完好,运行正常。
第二十条 大坝运行必须在确保安全的前提下,充分发挥综合效益。大坝管理单位应当根据批准的调度计划和大坝主管部门的指令进行水库的调度运用。汛期的调度运用必须服从上级防汛指挥部的统一指挥。
第二十一条 大坝管理单位必须依据《中华人民共和国防汛条例》等有关法律、法规、规章做好各项防汛准备工作,确保大坝安全。
第二十二条 大坝管理单位和有关部门应当做好防汛抢险准备和气象水情测报、预报、洪水调度与报警工作,并保证通讯畅通。
第二十三条 大坝出现险情征兆时,大坝管理单位应当立即报告大坝主管部门和上级防汛指挥部,并采取抢护措施;有垮坝危险时,应采取一切措施向预计的垮坝淹没地区发出警报,做好转移工作。
第二十四条 大坝管理单位应建立技术档案和大事记,对规划、设计、施工及运行管理资料及时整理归档,保持资料完好。
大坝主管部门应按有关规定,对所管辖的大坝进行注册登记,建立技术档案。
4第四章 大坝保护编辑
第二十五条 大坝及水文、测量、通信、动力、照明、道路、桥梁、消防、房屋等设施受国家保护,任何单位和个人不得侵占、破坏。
第二十六条 禁止在坝体修建码头、渠道及危害工程安全、有碍管理的建筑物。
禁止在大坝上放牧、垦殖、堆放杂物及其他有碍安全管理的活动。
第二十七条 大坝上不允许车辆通行,已利用大坝作交通公路的,应尽快新修公路,在新公路通车之前确需兼做公路的,须经科学论证、大坝主管部门审查,并经交通、物价、财政部门核准,报省人民政府批准后,由大坝管理单位收取安全维护费,用于大坝的安全维护。
第二十八条 大坝管理人员操作大坝的闸门及电力、通信、报汛等设施,应当遵守有关的规章制度。非大坝管理人员一律不准操作。禁止任何单位和个人破坏或者干扰大坝的正常管理工作。
第二十九条 大坝管理范围内的土地、山地、河滩及附属物,由大坝管理单位管理使用,其他任何单位和个人不得侵占和破坏。
大坝管理单位对其所属的林木进行抚育和更新性质的采伐及用于防汛抢险的采伐,免交育林基金。
第三十条 在大坝管理范围内修建码头、鱼塘、库叉、房屋等建筑物和其他设施,须经大坝主管部门批准,影响重大者,报上一级大坝主管部门批准。
第三十一条 禁止在大坝管理保护范围内进行爆破、打井、采石、采矿、采砂、取土、修坟、建窑等危及大坝安全的活动。
第三十二条 禁止在库区内围垦、弃置垃圾,排放或者堆放污染物。大坝主管部门应协同环保部门对水质污染的治理实施监督管理。
第三十三条 禁止在大坝集水区域内乱伐林木、毁林种植以及陡坡开荒等导致水库淤积的活动。
第三十四条 大坝管理单位设立的公安机构要加强大坝保护,防止人为破坏。
5第五章 罚则编辑
第三十五条 违反《条例》及本细则有关规定的,由大坝主管部门责令其停止违法行为、赔偿损失,采取补救措施,并可视情节和后果处以罚款;应当给予治安管理处罚的,由公安机关依法处罚;构成犯罪的,依法追究刑事责任。对并处罚款的,按下列标准执行:
(一)毁坏坝体、输泄水建筑物与设备以及擅自操作大坝的泄洪闸门、输水闸门及其他设备,造成严重后果的,处五千至一万元罚款;
(二)毁坏水文、测量、通信、动力、照明、道路、桥梁、消防、房屋等设施,处一千至五千元罚款;
(三)在大坝管理和保护范围内进行爆破、采矿、建窑、采石、采砂、取土、打井、修坟等危害大坝安全活动,处一千至三千元罚款;
(四)未经许可或者不按批准的方式在大坝管理和保护范围内修建码头、库叉、鱼塘、房屋等设施以及在库区内围垦、弃置垃圾,处五百至一千元罚款;
(五)在大坝上放牧、垦殖、堆放杂物,不听劝阻或者未经许可在大坝上行驶车辆的,处二百元以下罚款。
第三十六条 违反《条例》和本细则的处罚,由县级以上水行政主管部门裁决执行。
二百元以下罚款,可由水行政主管部门委托大坝管理单位执行。
罚没收入,一律上交同级财政部门,不得截留,坐支、挪用。
第三十七条 破坏大坝工程、哄抢或盗窃大坝管理与防汛器材的,依照刑法规定追究刑事责任。
第三十八条 由于勘测设计失误、施工质量低劣、调度运用不当以及滥用职权,玩忽职守,导致大坝事故的,由其所在单位或者上级主管部门对责任人员给予行政处分;构成犯罪的,依法追究刑事责任。
第三十九条 当事人对行政处罚决定不服的,可以依据《行政复议条例》或《行政诉讼法》的规定,申请复议或向人民法院起诉。
6第六章 附则编辑
第四十条 本细则由省人民政府水行政主管部门负责解释。
第四十一条 坝高十五米以下或者库容一百万立方米以下的大坝,其安全管理参照本细则执行。
第四十二条 本细则自发布之日起施行。
九、铁路保护条例?
铁路运输安全保护条例
第一章 总 则
第一条 为了加强铁路运输安全管理,保障铁路运输安全和畅通,保护人身安全、财产安全及其他合法权益,根据《中华人民共和国铁路法》和《中华人民共和国安全生产法》,制定本条例。
第二条 中华人民共和国境内的铁路运输安全保护及与铁路运输安全保护有关的活动,适用本条例。
第三条 铁路运输安全管理坚持安全第一、预防为主的方针。
第四条 国务院铁路主管部门负责全国的铁路运输安全监督管理工作。
国务院铁路主管部门设立的铁路管理机构(以下简称铁路管理机构)负责本区域内的铁路运输安全监督管理工作。
第五条 铁路沿线地方各级人民政府及县级以上地方人民政府安全生产监督管理等部门应当按照各自职责,做好与铁路运输安全有关的工作,加强铁路运输安全教育,落实护路联防责任制,防范和制止危害铁路运输安全的行为,协调和处理有关铁路运输安全事项。
第六条 公安机关按照职责分工,维护车站、列车等铁路场所的治安秩序和铁路沿线的治安秩序。
第七条 铁路运输企业应当加强铁路运输安全管理,建立、健全安全生产管理制度,设置安全管理机构,保证铁路运输安全所必需的资金投入。
铁路运输工作人员应当坚守岗位,按程序实行标准作业,尽职尽责,保证运输安全。
第八条 国务院铁路主管部门及铁路管理机构应当对突发公共卫生事件、突发铁路治安事件、重大自然灾害及火灾事故、重大铁路运输安全事故及其他影响铁路运输安全、畅通的突发性事件,制定应急预案。
铁路运输企业应当按照国家有关规定,建立、健全本企业的应急预案,明确应急指挥、救援等事项。
第九条 任何单位和个人不得破坏、损坏或者非法占用铁路运输的设施、设备、铁路标志及铁路用地。
任何单位和个人都有保护铁路运输的设施、设备、铁路标志及铁路用地的义务,发现破坏、损坏或者非法占用铁路运输的设施、设备、铁路标志、铁路用地及其他影响铁路运输安全的行为,应当向国务院铁路主管部门、铁路管理机构、公安机关、地方各级人民政府或者有关部门检举、报告,或者及时通知铁路运输企业。接到检举、报告的部门或者接到通知的铁路运输企业应当根据各自职责及时予以处理。
对维护铁路运输安全作出突出贡献的单位或者个人,应当给予表彰奖励。
十、河道保护条例?
第一条为加强河道管理,保障防洪安全,发挥江河湖泊的综合效益,根据《中华人民共和国水法》,制定本条例。
第二条本条例适用于中华人民共和国领域内的河道(包括湖泊、人工水道、行洪区、蓄洪区、滞洪区)。
河道内的航道,同时适用《中华人民共和国航道管理条例》。
第三条开发利用江河湖泊水资源和防治水害,应当全面规划、统筹兼顾、综合利用、讲求效益,服从防洪的总体安排,促进各项事业的发展。等
- 相关评论
- 我要评论
-