数据安全相关法律问题研究 （Research on legal Issues related to data security）

                                          数据安全相关法律问题研究

（Research on legal Issues related to data security）

   第一编（PART I）

   个人信息保护相关法律体系及内容简析

(A brief analysis of relevant legal system and content of 

personal Information Protection)

      《个人信息保护法》即将施行，特作此个人信息保护专题，该专题属于数据安全合规风险管理和法律分析下的子专题。

      数据安全、个人信息保护相关内容顺应了时代发展，符合国家最新产业政策，对于从业者、相关法律工作者而言，全面分析所有的法律体系、相关法规是一个长期的过程，该定向专题同时涉及行业分析、法规分析及相关案例分析。

       本部分本期内容侧重于对《个人信息保护法》总则部分的分析，并尝试结合相关法律体系、法律规定后的行业业务特点案例引发从业者、法律工作者一起探索的兴趣。为展开相关分析，先引入《个人信息保护法》的原则和相关法律体系的相关内容，随后针对总则部分具体规定对具体原则内容予以分析，本部分不单独展开对所有原则性内容的详细分析。

1、《个人信息保护法》中有关个人信息处理者的定义：

第七十三条　本法下列用语的含义：

（一）个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

……

案例1：某律师通过微信公众号发表有关其自身代理的民事诉讼案件的案件分析结论、文章。文章中能内容体现出特定自然人的信息，是否适用《个人信息保护法》相关规定？

案例2:境外某国际顶级咨询公司向境内某金融企业提供有关中国境内快消品服务相关行业分析报告，该境外咨询公司并未直接收集相关与境内自然人相关的个人信息，该境外咨询公司并不直接向境内自然人提供产品或者服务，出具的报告中引用的个人信息已被进行匿名化处理，报告内容涉及分析、评估境内自然人的行为。

问题1：该境外咨询公司的行为是否涉及处理境内自然人的个人信息？

问题2：处理的个人信息如未进行匿名化处理，该公司按个人信息保护法的相关规定，涉及对个人信息哪种（哪几种）处理方式？

2、匿名化、去标识化相关问题

（1）相关法规规定

《个人信息保护法》

《信息安全技术—个人信息安全规范（GB/T 35273—2020）》

《GB/T信息安全技术个人信息安全影响评估指南》

（2）匿名化具体方法

匿名化 anonymization 

通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的 信息不能被复原的过程。 

注：个人信息经匿名化处理后所得的信息不属于个人信息。

去标识化 de-identification 

通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联 个人信息主体的过程。注：去标识化建立在个体基础之上，保留了个体颗粒度，采用假名、加密、哈希函数等技术手段替代对个人信息的标识。  

（3）匿名化认定标准效果化评估

《GB/T信息安全技术个人信息安全影响评估指南》

匿名化和去标识化：对个人信息进行了技术处理，使其在不借助额外信息的情况下，无法识别个人信 息主体。

重新标识：数据接收方可能会借助于额外的信息以及技术手段，进行重标识攻击，从而将去标识化的数据集归因到原始个人信息主体或一组个人信息主体。

案例1：下列哪些信息处理方式构成匿名化处理？

（1）某信息处理者处理个人信息保留自然人完整的身份证号；

（2）某信息处理者处理个人信息保留自然人完整的手机号码；

（3）某信息处理者处理个人信息保留自然人完整的家庭住址，且根据信息关联和推断出其性别、年龄相关信息；

（4）某信息处理者处理个人信息保留自然人家庭住址、姓名；

（5）某信息处理者处理个人信息仅保留自然人家庭住址；

（6）某信息处理者处理个人信息仅保留自然人姓名；

……

案例：下列哪些APP运营者超出范围收集非必要信息？

（1）网络游戏APP运营者收集除用户电话号外的信息，例如出于防止未成年人沉迷要求未成年人提供身份信息，但未经过未成年人监护人同意；

（2）某短视频APP运营者在用户下载申请应用时要求用户提供电话信息；

（3）某运动健身APP运营者要求用户提供位置信息；

……

我们会定期更新有关数据安全相关的研究分析内容。