医疗卫生机构患者个人敏感信息安全使用探究

目的/意义基于医疗卫生机构个人敏感信息使用典型场景,探究个人敏感信息使用安全实现方式。方法/过程针对用户注册、内部利用与交互、医疗器械/可穿戴设备采集和信息披露等使用场景,分析个人敏感信息泄漏风险,探究身份鉴别、访问控制、数据加密、数据脱敏和检测审计等多种技术手段的适用场景及优缺点。结果/结论技术手段的应用可以辅助医疗卫生机构进一步保障患者个人信息安全。

个人敏感信息处理规则的省思与完善

当前我国《个人信息保护法》中个人敏感信息的处理规则,在适用过程中存在着一定的局限性:一是法律规定的模糊性;二是法定范围的狭隘性;三是界定标准的宽泛性。鉴于此,可以引用场景理论来完善个人敏感信息的处理规则。以场景理论下个人信息的五要件即信息主体、信息使用者、信息使用目的、信息特性、第三方主体来动态界定个人敏感信息的内涵范围。利用场景理论明确个人敏感信息与个人一般信息相互转化的边界,同时结合特定生活场景目的来确定个人敏感信息的适用范围,进而维持个人信息权益与社会公共利益之间的平衡。

互联网个人敏感信息保护研究

个人敏感信息目前成为很多不法分子的目标,存在不容乐观的安全风险,若缺少信息安全防护策略和技术上的支撑,会造成个人敏感信息泄露。文章根据互联网个人敏感信息保护安全现状,分析了互联网存在的个人敏感信息泄露问题,从互联网内部安全和外部安全方面探讨互联网个人敏感信息防护措施,维护互联网个人敏感信息安全。

个人敏感信息保护的欧美经验及其启示

"互联网+"场域下,欧美立法中对于消费者个人信息的保护已显得捉襟见肘。欧美新一轮的立法改革重点对个人敏感信息作出特别规定:重新定义敏感信息、强化消费者对个人敏感信息的控制、加重经营者的责任、改善消费者个人敏感信息跨境传输。我国应借鉴欧美立法经验,引入具体场景的风险管理理念作为立法径路,以"关联性"定义消费者信息、"动态管理风险"强化消费者对信息的控制、"隐私风险"差异化标准划定经营者责任,建立配套管理体系保证消费者信息跨境流通。

论同意在个人信息处理中的作用——基于个人敏感信息和个人一般信息二维视角

从规范层面而言,信息主体的同意是个人信息处理的正当性基础,其法理基础在于个人信息自决权。然而,在大数据时代,大规模个人信息的处理使同意的正当性地位受到质疑。基于个人敏感信息和个人一般信息二维视角的分析,同意在个人信息处理中应该类型化适用:在个人敏感信息的处理中仍适用同意规定,在个人一般信息的处理中并不存在同意适用的空间。

我国个人敏感信息的界分基础及其立法表达——兼评《民法典(草案)》第一千零三十四条

根据敏感度、价值梯度和侵害风险性等不同,个人信息分为一般个人信息与个人敏感信息。面对个人敏感信息亟待保护的需求,美国和欧盟等国家地区陆续出台新近界分范例,而我国相关规范则或狭窄或宽泛且司法裁判缺乏统一标准。结合域内外理论与实践,我国立法应对个人敏感信息做出立体界分:内涵上,界定为“一旦泄露或滥用,将会对个体的自由与人格尊严造成极大威胁,极易给信息主体造成人身和财产损害的个人信息”;种类上,列举为“个人健康信息、生物识别信息、身份证件号码、行踪信息、财产信息、性生活和性取向等”;判定上,规定为“需考量信息处理情景和信息处理目的等因素”。基于此,应修改《中华人民共和国民法典(草案)》(以下简称《民法典(草案)》)第一千零三十四条,并设计未来《个人信息保护法》的相关条文,从而对个人敏感信息进行恰当的立法表达。

为个人敏感信息打造法律“保护盾”

在互联网时代,敏感信息对个人权益影响巨大,亟需利用法律武器予以保护。因此,在未来发展过程中,我国应进一步完善个人敏感信息范畴,创设个人敏感信息保护例外规则,实现个人敏感信息关联性、动态性管理,健全个人敏感信息责任机制与救济途径,实现对个人敏感信息的法律保护。

论个人敏感信息的民法保护

2013年出台的《信息安全技术公共及商用服务信息系统个人信息保护指南》粗略提及个人敏感信息,但未给予明确界定,使得个人敏感信息权益保护的司法实践存在障碍。结合域外个人敏感信息的定义,认为个人敏感信息包括隐私信息和部分非隐私信息,其中部分非隐私信息界定之参考因素是严重且实质性损害;个人敏感信息兼具新型财产权和新型人格权的法律属性。借鉴域外个人敏感信息民事保护模式,认为我国宜通过《侵权责任法》来保护个人敏感信息权益。

人口健康科学数据中个人敏感信息分类研究

目的:细化人口健康科学领域个人敏感信息类型,以期推进人口健康科学数据的开放和共享及个人敏感信息的立法保护提供参考,为人口健康科学数据平台的数据管理工作提供借鉴。方法:基于文献调研法考察了国内外个人敏感信息的界定,基于内容分析法总结了人口健康领域中个人敏感信息的类型,并进行了多维特征分析。结果:将人口健康领域中个人敏感信息细化为身份标识信息、生物特征信息、健康医疗信息3个大类,下分9个小类。结论:个人敏感信息细化分类符合依据不同领域特点将敏感个人信息具体化的国际立法的趋势,可作为制定人口健康科学数据收集管理策略和共享策略的参考。

基于密码学的个人敏感信息的保护方法

个人敏感信息,是个人赖以生存的安全生命线,那么,我们要怎样才能保护好十分重要的个人敏感信息呢?通过基于对密码学的探究,衍生出个人敏感信息的一系列传统的加密保护方法,从而使大家不但能准确的记住名目繁多的个人敏感信息,而且在不知道私人密钥的情况下,即使别人获取了,也不可能知道你的个人敏感信息,从而达到保护的效果,最终使隐私或财产、甚至生命不受侵害。

基于ElasticSearch的个人敏感信息检测系统

个人敏感信息泄露是目前多发的网络安全事件之一,可能危及人身和财产安全,损害公民名誉和身体健康等.本文通过爬虫技术获取网页内容及附件,然后提取其正文并通过ElasticSearch实现全文索引和查询,实现了个人敏感信息的检测.以手机号码为例,采用不同分词器和查询方式对查询效率进行测试后得出结论:通过自定义分词器进行全文索引并使用正则表达式查询进行个人敏感信息检测具有最高的效率.

大数据时代个人敏感信息的法律保护

随着大数据时代的到来,传统个人信息的保护架构无法全面保护个人敏感信息。从公众对信息敏感度的感知差异性以及企业经济成本的角度而言,对个人敏感信息进行区分保护有其必要性。面对大数据时代对个人敏感信息带来的挑战,应该完善法律体系,从以下几点着手:对个人敏感信息范围的界定应采取静态列举与动态情景相结合的综合考量方式;更新现有的信息保护机制;强化个人敏感信息的保护规则。

“后民法典时代”个人敏感信息的法律保护

个人敏感信息与人格尊严密切关联,若被不当处理可能危害信息主体的人身或财产安全,因而需要给予敏感信息特殊的法律保护。个人信息承载的价值具有多元性,相关立法在保护信息主体利益的同时不能忽视信息处理者的利益。依据信息敏感度的差异将个人信息区别为个人敏感信息与个人一般信息,进而采取不同的保护策略,能够实现信息保护与信息利用的动态平衡,缓和知情同意规则适用的僵硬性。对于个人敏感信息,原则上禁止处理,除非存在法律明确规定的除外事由,且对于不同敏感程度的个人敏感信息应当提供不同强度的保护措施。

我国个人敏感信息的内涵与外延

个人敏感信息的界定是实现个人信息风险层级化保护的基础。我国个人信息保护法尚在制定当中,未来需对个人敏感信息作出统一周延的界定。我国应选择定义辅以种类非穷尽列举模式作为立法路径。以“损害风险”为核心,个人敏感信息可定义为:“一旦泄露或不当使用,生命健康、人格尊严或经济利益等可能遭受严重损害或极易遭受损害的个人信息。”判断个人敏感信息的外延可借助“敏感性分析模型”,通过全面列举损害清单,对损害的严重性、发生可能性、公众认可度、技术可预见性等因素进行风险量化分析,从而判定个人信息的敏感等级。

民法典背景个人敏感信息的界分构想

当今互联网大数据高速发展。在《民法典》开启个人信息与隐私保护的新时代背景下,平衡个人信息保护与利用关系之考量,明确敏感个人信息和一般个人信息的界分标准愈发正当且必要。目前,越来越多的国家对事关人格尊严和基本人权的个人敏感信息予以重视和充分考量,并作出了特别的立法保护,而这些关于敏感信息的界分标准及其法律规范,也值得我国在立法进程中进行参考和借鉴。但总体来看,我国对于个人敏感信息的界分保护与制度设计,任重而道远。

手机APP收集用户个人敏感信息规制分析——由“ZAO”软件隐私风波引发的思考

近年来,个人信息被手机APP过度收集和不当使用的现象逐渐引起了消费者的重视,而今年一款名为"ZAO"的AI换脸软件,因为其"霸道"的用户协议和隐私政策更是引起了极大的争议。通过对引发争议的个人信息收集条款进行分析,结合我国个人敏感信息保护的现状,认为我国有必要完善信息分类制度,给予个人敏感信息以特殊的保护。

个人敏感信息的法律保护规范

2019年12月19日,工信部通信管理局通报了第一批侵害用户权益行为的APP名单,QQ、新浪体育、搜狐新闻、小米金融等41款APP存在违规收集和使用个人信息、不合理索取权限等诸多侵犯用户个人信息的问题。我国对个人信息保护主要依据《民法总则》《网络安全法》《居民身份证法》《消费者权益保护法》等相关法律法规的分散规定。虽对于个人信息的收集、处理以及使用等行为均有规定,个人信息遭到侵犯的情况仍时有发生。这不仅是因为我国尚无统一的个人信息保护立法,更是因为未将个人信息在法律层面区分为个人敏感信息和个人一般信息。

敏感个人信息保护视阈下平台企业数据合规制度要论

敏感个人信息承载了更高的人格尊严,需要法律对其倾斜保护;平台企业履行数据合规义务,是保护敏感个人信息的关键所在。我国平台企业数据合规制度仍然存在着敏感个人信息数据处理风险评估制度难以落地、敏感个人信息数据处理的外部监管制度设计不足、平台企业数据违规的行政责任失之过轻等问题,为完善平台企业数据合规制度以切实保护敏感个人信息,应健全基于敏感个人信息保护的数据风险评估制度。同时确立综合的专职性平台企业数据合规监管机构,严格平台企业数据违规的法律责任。

侵害敏感个人信息惩罚性赔偿制度的建构

侵害个人信息的现象并未随着保护个人信息立法的不断出台而减少。应当提升信息主体保护个人信息的积极性。应当将一般个人信息与敏感个人信息相区分的思路贯彻到侵害个人信息赔偿制度的构建上。针对敏感个人信息建立惩罚性赔偿制度,可以避免劣币驱除良币的现象。其构成要件包括故意侵害敏感个人信息、以侵害他人个人信息为业等情节严重或者造成了严重后果。惩罚赔偿金应当归属于受害人。

侵犯公民个人信息罪中敏感个人信息的特殊保护研究

大数据时代,敏感个人信息与公民人身、财产安全直接相关且易受侵犯,故需作特殊保护。近年来,侵犯公民个人信息罪中敏感个人信息特殊保护的规范,经历了从无到有、从有到优、从粗到细的过程,并由此形成了比较完善的敏感个人信息分类保护规则、从严保护规则、弹性保护规则。侵犯公民个人信息罪中敏感个人信息的范围和分类,可基于刑法保护法益的独立性原则,作适当有别于《个人信息保护法》的评判。侵犯公民个人信息罪中高度敏感个人信息与低度敏感个人信息的区别保护模式应继续坚持,高度敏感个人信息和低度敏感个人信息的既有数量标准不宜调整,高度敏感个人信息的既有种类不宜增加,高度敏感个人信息的司法认定应坚持实质标准从严慎重判断。《个人信息保护法》施行后,应在坚持刑法保护敏感个人信息的模式不变、力度不减的基础上,着力通过《个人信息保护法》等前置法的严格实施,增强敏感个人信息法律保护的整体效能。