《网安法》也第一次将数据出境安全作为一项核心内容,纳入国家网络空间安全整体框架,通过国家法律形式予以规范。作为《网安法》的配套法规,正在制定中的《个人信息和重要数据出境安全评估办法(征求意见稿)》并未将数据出境评估主体限定在关键信息基础设施运营者,其规定网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照该办法进行安全评估。含有或累计含有50万人以上的个人信息及包含海洋环境、敏感地理信息数据出境的,网络运营者应报请行业主管或监管部门组织安全评估;个人信息出境未经个人信息主体同意,或可能侵害个人利益以及数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益的都绝对禁止出境。
刑法加持,“行踪轨迹”纳入刑法保护的“公民个人信息”范围
此外,在5月9日发布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中,针对司法实践中争议颇多的“公民个人信息”范围,该解释将“行踪轨迹”纳入刑法保护的“公民个人信息”范围,并规定非法获取、出售或者提供行踪轨迹信息50条以上即可入罪,加强了对侵犯个人信息犯罪的打击惩戒力度。
新《测绘法》生效,个人地理信息保护网日渐密集
另外,值得共享单车企业特别关注的是今年7月1日刚刚生效的新修订的《中华人民共和国测绘法》(以下称“《测绘法》”),其出台的背景就包括了地理信息安全风险日益增大,泄密事件频发。《测绘法》规定地理信息生产、保管、利用单位应当对属于国家秘密的地理信息的获取、持有、提供、利用情况进行登记并长期保存,实行可追溯管理。地理信息生产、利用单位和互联网地图服务提供者收集、使用用户个人信息的,应当遵守法律、行政法规关于个人信息保护的规定。《测绘法》强化了对测绘信息、个人地理信息的立法保护,与《网安法》及其配套法规衔接,构建起日渐密集的数据信息保护网。
在逐渐趋严的数据信息保护立法下,共享单车企业需要严格规范公民个人信息的收集,遵循合法、正当、必要的原则,在必要的范围内合规使用数据,落实网络安全等级保护制度,禁止数据非法出境,向他人提供数据时要注意数据脱敏清洗,尤其注意对涉及个人信息及国家秘密的地理信息的管理。