哪些法律包含對個人數據的要求

⑴ 侵犯公民個人信息犯罪有哪些相關規定

刑法上公民個人信息的概念、特徵及相關范疇

（一）公民個人信息的概念
「概念是解決法律問題必不可少的工具」。
1.「公民」的含義
中華人民共和國公民，是指具有我國國籍的人。侵犯公民個人信息犯罪的罪名和罪狀中都使用了「公民」一詞，對於其含義的一些爭議問題，筆者持以下觀點：
（1）應包括外國籍人和無國籍人
從字面上和常理來看，中國刑法中的「公民」似乎應專門指代「中國的公民」。但筆者認為，任何人的個人信息都可以成為該罪的犯罪對象，而不應當把我國刑法對公民個人信息的保護局限於中國公民。
第一，刑法一百五十三條採用的並非「中華人民共和國公民個人信息」的表述，而是了「公民個人信息」，對於刑法規范用語的理解和適用，我們不應人為地對其范圍進行不必要的限縮，在沒有明確指明是中華人民共和國公民的情況下，不應將「公民」限定為中國公民。
第二，全球互聯互通的信息化時代，將大量外國人、無國籍人的個人信息保護排除在我國刑法之外，會放縱犯罪，造成對外國籍人、無國籍人刑法保護的缺失，這既不合理，也使得實踐中同時涉及侵犯中國人和非中國人的個人信息的案件的處理難以操作。
第三，刑法分則第三章「侵犯公民人身權利、民主權利罪」並不限於僅對「中國公民」的保護，也同等地對外國籍人和無國籍人的此類權利進行保護。因此，處於我國刑法第三章的侵犯公民個人信息犯罪的保護對象，也包括外國籍人和無國籍人的個人信息，「我國對中國公民、處在中國境內的外國人和無國 籍人以及遭受中國領域內危害行為侵犯的外國人和無國籍人，一視同仁地提供刑法的保護，不主張有例外。」
（2）不應包括死者和法人
對於死者，由於其不再具有人格權，所以不能成為刑法上的主體。刑法領域上，正如對屍體的破壞不能構成故意殺人罪一樣，對於死者個人信息的侵犯，不應成立侵犯個人信息罪。對死者的個人信息可能涉及的名譽權、財產權，可以由死者的近親屬主張民法上的精神損害賠償或繼承財產來進行保護。
對於法人，同樣不能成為刑法上公民個人信息的信息主體。一方面，自然人具有人格權，而法人不具有人格權，其只是法律擬制概念，不會受到精神上的損害。另一方面，法人的信息雖然可能具有很大的商業價值和經濟效益，但是已有商業秘密等商法領域的規定對其進行保護。因此，法人的信息不適用公民個人信息的保護。
2.「個人信息」的含義
法學理論上對於公民個人信息的界定主要識別說、關聯說和隱私說。
識別說，是指將可以識別特定自然人身份或者反映特定自然人活動情況作為公民個人信息的關鍵屬性。可識別性根據識別的程度又可以分為兩種方式，即通過單個信息就能夠直接確認某人身份的直接識別，和通過與其他信息相結合或者通過信息對比分析來識別特定個人的間接識別。學界支持識別說觀點的學者大多指的是廣義的識別性，既包括直接識別，又包括間接識別。
關聯說認為所有與特定自然人有關的信息都屬於個人信息，包括「個人身份信息、個人財產情況、家庭基本情況、動態行為和個人觀點及他人對信息主體的相關評價」。根據關聯說的理論，信息只要與主體存在一定的關聯性，就屬於刑法意義上的公民個人信息。
隱私說認為，只有體現個人隱私的才屬於法律保障的個人信息內容。隱私說主要由美國學者提倡，主張個人信息是不願向他人公開，並對他人的知曉有排斥心理的信息。
筆者認為，通過識別說對刑法意義上的公民個人信息進行界定最為可取。關聯說導致了刑法保護個人信息的范圍過分擴大，而隱私說則只將個人信息局限在個人隱私信息的范圍內，忽略了不屬於個人隱私但同樣具有刑法保護價值的個人信息，同時由於對隱私的定義受個人主觀影響，所以在實踐中難以形成明確的界定標准。相比之下，識別說更為可取，不僅能反應需刑法保護的公民個人信息的根本屬性，又具有延展性，能更好的適應隨著信息技術的發展而導致的公民個人信息類型的不斷增多。
且通過梳理我國關於個人信息的立法、司法，識別說的觀點貫穿其中。

名稱

生效年份

對「個人信息」核心屬性的界定

《全國人大常委會關於加強網路信息保護的決定》

2012年

可識別性、隱私性

《關於依懲處侵害公民個人信息犯罪活動的通知》

2013年

可識別性、隱私性

《關於審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》

2014年

隱私性

《網路安全法》

2016年

可識別性

《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》

2017年

可識別性、可反映活動情況

圖表 2
《網路安全法》和《2017年解釋》中關於公民個人信息的界定無疑最具權威性。《網路安全法》採用了識別說的觀點，將可識別性規定為公民個人信息的核心屬性。而後者採用了廣義的「可識別性」的概念,既包括狹義可識別性 (識別出特定自然人身份) , 也包括體現特定自然人活動情況。兩者之所以採用了不同的表述，是因為《網路安全法》對公民個人信息做了整體而基礎性的保護，而《2017年解釋》考慮到，作為高度敏感信息的活動情況信息，隨著定位技術的不斷進步逐漸成為本罪保護的一個重點，因此在採用了狹義的身份識別信息概念的基礎之上，增加了對活動情況信息的強調性規定，但其本質仍是應涵括在身份識別信息之內的。
所以，應以可識別性作為判斷標准對公民個人信息進行界定。
（二）公民個人信息的特徵
刑法意義上的「公民個人信息」體現了其區別於廣義上的「公民個人信息」的刑法保護價值。明確刑法領域個人信息的特徵，有助於在司法中更好的對個人信息進行認定。
1.可識別性
這是公民個人信息的本質屬性。可識別是指可以通過信息確定特定的自然人的身份，具體包括直接識別和間接識別。直接識別，是指通過單一的信息即可直接指向特定的自然人，如身份證號、指紋、DNA等信息均可與特定自然人一一對應。間接識別，是指需要將某信息與其他信息相結合或者進行對比分析才能確定特定自然人，比如學習經歷、工作經歷、興趣愛好等信息均需要與其他信息相結合才能識別出特定的信息主體。
2.客觀真實性
客觀真實性是指公民個人信息必須是對信息主體的客觀真實的反映，。一方面，主觀上的個人信息對特定個人的識別難度極大；另一方面，現行刑法關於侮辱罪或誹謗罪的相關規定足以對此類主觀信息進行規制。司法實踐中，如何判斷信息的客觀真實性也是一個重要的問題，如何實現科學、高效鑒別個人信息客觀真實性，是司法機關應努力的方向。現有的隨機抽樣的方法有一定可取性，但不夠嚴謹。筆者認為，可以考慮採取舉證責任倒置的方式，若嫌疑人能證明其所侵犯的個人信息不具有客觀真實性，則不構成本罪。
3.價值性
刑法的兩大機能是保護法益和保障人權。從保護法益的機能出發，對於侵犯公民個人信息罪這一自然犯，只有侵犯到公民法益的行為，才能納入刑法規制的范圍。而判斷是否侵犯公民法益的關鍵就在於該信息是否具有價值。價值性不僅包括公民個人信息能夠產生的經濟利益，還包括公民的人身權利。從個人信息的人格權屬性角度分析，個人隱私類信息的公開，會侵犯公民的隱私權、名譽權，行蹤軌跡類信息的公開，會對公民人身安全帶來威脅。從個人信息的財產權屬性角度分析，信息化時代，信息就是社會的主要財產形式,能夠給人們帶來越來越大的經濟利益。「信息價值僅在當行為人主張其個人價值時才被考慮」，只有具有刑法保護價值的信息，才值得國家動用刑事司法資源對其進行保護。
（三）個人信息與相關概念的區分
很多國家和地區制定了專門的法律保護個人信息，但部分國家和地區沒有採用「個人信息」的概念，美國多採用「個人隱私」的概念，歐洲多採用「個人數據」的概念，而「個人信息」的表述則在亞洲較為常見。對於這三個概念是可以等同，存在觀點分歧。有觀點認為，個人信息與個人隱私有重合，但不能完全混同，也有觀點認為個人信息包含個人隱私，以個人數據為載體。筆者認為，有必要對三個概念進行明確區分。
1.個人信息與個人隱私
關於這兩個概念的關系，有學者主張前者包含後者，有學者主張後者包含前者，還有學者認為兩者並不是簡單的包含關系。筆者認為，個人信息與個人隱私相互交叉，個人信息包括一般信息和隱私信息，個人隱私包括隱私信息、私人活動和私人空間，所以兩者的交叉在於隱私信息。兩者制建有很大的區別，不能混淆。首先，私密程度不同，個人信息中除隱私信息以外的一般信息在一定程度上是需要信息主體進行公開的，如姓名、手機號、郵箱地址等，而個人隱私則具有高度的私密性，個人不願將其公開；其次，判斷標准不同，個人信息的判斷標準是完全客觀的，根據其是否具有識別性、真實性、價值性來進行判斷即可，而個人隱私在判斷上具有更多的主觀色彩，不同主體對個人隱私的界定是不同的；最後，個人信息既具有消極防禦侵犯的一面，也具有主動對外展示的一面，信息主體通過主動公開其部分個人信息，可能會獲得一定的利益，而個人隱私則側重消極防禦，主體的隱私信息和隱私活動不希望被公開，隱私空間不希望被侵犯。
2.個人信息與個人數據
筆者認為，個人信息（personal information）和個人數據（personal Data）的區別在於，個人數據是以電子信息系統為載體的對信息主體的客觀、未經過處理的原始記錄，如個人在醫院體檢後從自助機取出的血液化驗報告單；後者是指，數據中可對接收者產生一定影響、指導其決策的內容，或是數據經過處理和分析後可得到的上述內容，如血液化驗報告數據經系統或醫生的分析，形成的具有健康指導作用的結果報告，換言之，個人信息＝個人數據＋分析處理。

⑵ 我國對於數據採集的合法性主要規定在哪些法律上

你好，這種法律問題去律伴這個法律網站找律師問下，比在這里提問有效率

⑶ 根據個人信息保護法的規定，個人信息的處理包括

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益。個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。
【法律分析】
處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。處理個人信息應當具有明確、合理的目的，並應當與處理目的直接相關，採取對個人權益影響最小的方式。收集個人信息，應當限於實現處理目的的最小范圍，不得過度收集個人信息。處理個人信息應當遵循公開、透明原則，公開個人信息處理規則，明示處理的目的、方式和范圍。處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。個人信息處理者應當對其個人信息處理活動負責，並採取必要措施保障所處理的個人信息的安全。任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動。國家建立健全個人信息保護制度，預防和懲治侵害個人信息權益的行為，加強個人信息保護宣傳教育，推動形成政府、企業、相關社會組織、公眾共同參與個人信息保護的良好環境。國家積極參與個人信息保護國際規則的制定，促進個人信息保護方面的國際交流與合作，推動與其他國家、地區、國際組織之間的個人信息保護規則、標准等互認。

【法律依據】
《中華人民共和國個人信息保護法》第十三條符合下列情形之一的，個人信息處理者方可處理個人信息：
（一）取得個人的同意；
（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；
（三）為履行法定職責或者法定義務所必需；
（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；
（五）為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息；
（六）依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；
（七）法律、行政法規規定的其他情形。
依照本法其他有關規定，處理個人信息應當取得個人同意，但是有前款第二項至第七項規定情形的，不需取得個人同意。

⑷ 我國有關個人隱私的規定有哪些，都在哪些法律條文上有記載

一、涉及個人隱私的公開宣判不公開審理可以嗎？
是可以的；
《中華人民共和國憲法》第一百三十條
人民法院審理案件，除法律規定的特別情況外，一律公開進行。被告人有權獲得辯護。
民事訴訟法第148條第1款：人民法院對公開審理或者不公開審理的案件，一律公開宣告判決。
刑事訴訟法第202條第1款： 宣告判決，一律公開進行。
行政訴訟法第80條第1款：人民法院對公開審理和不公開審理的案件，一律公開宣告判決。
二、我國有關個人隱私的規定有哪些，都在哪些法律條文上有記載?
根據《中華人民共和國憲法》第三十八條中華人民共和國公民的人格尊嚴不受侵犯。禁止用任何方法對公民進行侮辱、誹謗和誣告陷害。
第三十九條中華人民共和國公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。
第四十條中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要，由公安機關或者檢察機關依照法律規定的程序對通信進行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。
根據《刑法》第二百四十五條 非法搜查他人身體、住宅，或者非法侵入他人住宅的，處三年以下有期徒刑或者拘役。司法工作人員濫用職權，犯前款罪的，從重處罰。
第二百四十六條 以暴力或者其他方法公然侮辱他人或者捏造事實誹謗他人，情節嚴重的，處三年以下有期徒刑、拘役、管制或者剝奪政治權利。
根據《未成年人保護法》第三十九條任何組織或者個人不得披露未成年人的個人隱私。
未成年人的信件、日記、電子郵件，任何組織或者個人不得隱匿、毀棄;除因追查犯罪的需要，由公安機關或者人民檢察院依法進行檢查，或者對無行為能力的未成年人的信件、日記、電子郵件由其父母或者其他監護人代為開拆、查閱外，任何組織或者個人不得開拆、查閱。
三、個人隱私和個人隱私權的區別
個人隱私和個人隱私權是兩個完全不同的概念。個人隱私是客觀存在，而個人隱私權則是法律規定的權利。各國在保護個人隱私方面有不同的法律規定，因此，各國個人隱私權的內涵和外延有所不同。
近些年來，許多國家在保護個人隱私權利方面加大了力度，因此，個人隱私權的內容具有趨同化的趨勢。個人隱私是一種客觀事實，無論是靜態的個人隱私，還是動態的個人隱私。
無論是先天的個人隱私(譬如身體上的隱私)，還是後天的個人隱私(譬如違法犯罪記錄)，都屬於個人隱私的范疇。各國在立法過程中，對個人隱私保護范圍不同，因此，個人隱私權的內涵和外延有所不同。
四、互聯網上個人隱私的保護
互聯網路時代保護個人信息至關重要。自然人在互聯網上的所有活動都會留下印記，而互聯網服務提供商則會充分利用用戶留下的電子印記，了解自然人的基本情況，包括自然人的消費偏好以及自然人的活動軌跡等。
這是非常可怕的現象，如果對互聯網路的數據搜集沒有明確的法律規定，那麼互聯網服務提供商就會利用自己搜集到的信息從事商業經營活動，客觀上損害消費者的合法權益。

⑸ 關於個人信息的使用疑問（法律方面）

大概了解你的意思

首先你要賣的到底是什麼 是單純的數據分析 行業分析嘛？
如果是那就不算竊取商業機密
如果是行業內公司的 客戶資料 或者客戶分析 這就泄露了對方的商業機密
現在的問題是：
一：當初你和其他公司合作時有沒有簽訂保密合同之類的東西 如果有那就按合同來
二：如果沒有 那麼你可以出手你自己的行業分析 或者客戶分析等等你自己分析出的數據獲利
但是不能出手相關公司的客戶資料 或者客戶構成等等
三：如果你真的打算出手相關公司的資料 你要確保不被發現 或者發現了公司不會起訴你 不然對方如果有證據 起訴你的話 你肯定要賠償的
四：不知道你是什麼行業 如果行業內有國有企業或者較大的企業 實務上有可能會被公訴獲刑。

總結：如果有國家的相關法規規定你所屬行業的行為 按照法規來 特指國有壟斷行業相關企業
如果有你當初和行業內公司簽的保密合同 按照合同來
如果什麼都沒有 那你可以出手 你對於該行業的貨源分析 銷售渠道分析等等 但是不能涉及到具體的公司的相關數據
相關公司的客戶資料等信息肯定不能出售 如果一定要做
記住： 一定要保密 盡量不要泄露單一某公司的信息 盡量不要讓人起訴 如果行業內有國有企業 還是離遠點吧 太危險

⑹ 國家保護個人組織與數據有關的利益

您好，國家法律主要有如下規定:《憲法》第十三條第一款:「國家保護公民的合法收入、儲蓄、房屋和其他合法財產的所有權。」「公民的個人財產，包括公民的合法收入、房屋、儲蓄、生活用品、文物、圖書資料、林木、牲畜和法律允許公民所有的生產資料以及其他合法財產。
公民的合法財產受法律保護，禁止任何組織或者個人侵佔、哄搶、破壞或者非法查封、扣押、凍結、沒收。「
《治安管理處罰法》第四十九條盜竊、詐騙、哄搶、搶奪、敲詐勒索或者故意損毀公私財物的，處五日以上十日以下拘留，可以並處五百元以下罰款情節較重的，處十日以上十五日以下拘留，可以並處一千元以下罰款。
《民法典》
第二百六十六條【私有財產的范圍]】私人對其合法的收入、房屋、生活用品、生產工具、原材料等不動產和動產享有所有權。
第二百六十七條【私人合法財產的保護】私人的合法財產受法律保護，禁止任何組織或者個人侵佔、哄搶、破壞。
第二百六十八條【國家、集體和私人依法出資設立公司或其他企業國家、集體和私人依法可以出資設立有限責任公
司、股份有限公司或者其他企業。國家、集體和私人所有的不動產或者動產投到企業的，由出資人按照約定或者出資比例享有資產收益、重大決策以及選擇經營管理者等權利並履行義務。
對於個人數據隱私權的保護應遵循以下原則:1個人數據為生成主體所有的原則。
個人數據主體指的是個人信息被作為數據加以收集的自然人而不是該數據的用戶。數據用戶是指合法地收集、有限度地控制、使用有關數據的個人或組織。2.正確搜集原則。搜集個人數據必須取得數據主體的同意數據使用者必須以合法、公正、正確的手段搜集數據不得採用任何欺騙、盜竊或其他非法手段搜集的數據必須准確、完整、不過時搜集的目的、動機必須合法、明確、具體。 3正確保管、使用原則。持有他人數據應該是合法的必須具備完備的程序;對個人數據必須採取完全保障措施防止數據的遺失、被破壞和篡改;對於研究、計劃、統計需要處理個人數據時必須按有關規定進
行謹防侵犯數據主體的人格權;未經數據主體的同意使用數據不得超過搜集目的所規定的范圍數據使用者不得任意向他人透露個人數據。
【法律依據】
《治安管理處罰法》

⑺ 保護個人信息的法律法規有哪些

一、個人信息保護的法律規定之《中華人民共和國刑法》
《中華人民共和國刑法》（以下簡稱《刑法》）作為最為嚴厲的法律，對侵犯公民個人信息的行為作出了明確的法律規定。《刑法》第三百五十三條對侵犯公民個人信息罪作出了規定。該規定明確，向他人提供或者出售公民個人信息的行為均屬於犯罪行為，若工作人員將自己在履行職責過程中獲得的公民個人信息出售或者提供給他人，則從重處罰。犯此罪者，根據情節不同分別被處以罰金以及有期徒刑。《刑法》作為我國法律體系中最嚴厲的法律，其將侵犯個人信息的行為歸罪的做法充分顯示了我國對於個人信息安全的關注。

二、個人信息保護的法律規定之《中華人民共和國網路安全法》
《中華人民共和國網路安全法》（以下簡稱《網路安全法》）於2016年正式施行。其在第四章以專章的形式對網路信息安全進行了系統規定。個人信息安全作為網路信息安全的重要組成部分，也在其中得到了體現。首先，網路運營商一方掌握著大量的用戶個人信息，根據《網路安全法》規定，其必須確保這些個人信息的安全，妥善保管，在建立嚴格的保密制度的同時，也必須健全用戶信息保護制度。再者，網路運營商對於用戶個人信息的收集，必須遵循必要性原則，不得收集從事該項業務的任何非必要信息，並且需要在使用完畢後定期清除，確保掌握最少數量且最短時間的用戶個人信息。再者，網路運營者對於用戶個人信息的使用必須以用戶同意為前提，不得有任何威脅個人信息安全的行為，也不得將用戶個人信息進行轉讓、泄露等。網路的匿名性以及信息傳遞的快捷性對於個人信息安全來說，本身即存在著未知的風險。因此，對於個人信息安全而言，《網路安全法》中在網路信息安全專章中對於網路運營商的規制，對維護個人信息安全十分重要。

三、個人信息保護的法律規定之《中華人民共和國民法總則》
《中華人民共和國民法總則》（以下簡稱《民法總則》）於2018年正式施行，其中也對個人信息安全問題有所規定。《民法總則》第一百一十一條規定，我國自然人的個人信息安全受到法律的保護，非信息主對於個人信息的獲取，必須確保通過合法途徑獲得，同時也不得非法使用、收集、加工、買賣他人的個人信息，也不得在未經信息主同意的前提下對他人的個人信息進行公開、轉讓等。可見，在個人信息安全這一問題上，我國法律中保護的立法傾向十分明晰。

四、個人信息保護的法律規定之其他法律
除上述法律外，我國法律體系中對於個人信息保護的規定還有許多。《中華人民共和國消費者權益保護法》中將侵害消費者個人信息的行為作為違法行為予以列舉，並進行相應處罰；《中華人民共和國公共圖書館法》中明確讀者個人信息應得到妥善保護；《中華人民共和國國家情報法》中明確對於公民個人信息不得隨意泄露；《中華人民共和國測繪法》中明確，需要使用公民個人信息的，必須符合法律規定，且依法保密。可見，實踐中對於個人信息的運用十分廣泛，個人信息安全問題十分重要。但同時，我國現行法律體系中也對個人信息安全問題作出了較為全面的規定，在實踐中個人信息安全的問題可以根據實際情況的不同通過對應的法律來進行行為規制。

⑻ 《網路安全法》對存儲個人信息和重要數據有什麼特殊規定

《網路安全法》第四十條規定：網路運營者應當對其收集的用戶信息嚴格保密，並建立健全用戶信息保護制度。

《網路安全法》第四十一條規定：網路運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，名示收集、使用信息的目的、方式和范圍，並經被收集者同意。

網路運營者不得收集與其提供的服務無關的個人信息。

《網路安全法》第四十二條規定：網路運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。

《網路安全法》第四十四條規定：任何個人和組織不得竊取或以其他非法方式獲取個人信息，不得非法出售或非法向他人提供個人信息。

希望可以幫到您，謝謝！

⑼ 個人數據處理的七大原則

個人數據的處理問題作為歐盟GDPR的重點規制對象，其相關原則的規定被放在了該條例原則部分的首要位置。隨著我國經濟主體與歐盟各成員國之間往來的日益頻繁，學習歐盟GDPR的相關內容對企業發展至關重要。

今天SCA安全通信聯盟為大家整理了GDPR中個人數據處理的6大原則——「合法公平透明」、「目的限制」、「數據最小化」、「准確性」、「儲存限額」、「完整性和機密性」。互聯網讓我們的世界越來越聯動，為了在未來的商業活動中不觸犯法律的底線，做合法商業活動，讓我們一起來看一下這6大原則具體都包含了哪些內容吧。

1、個人數據必須是合法地，以善意和對數據主體合理的方式（「合法，公平，透明」）;

processed lawfully, fairly and in a transparent manner in relation to the data subject (『lawfulness, fairness and transparency』);

即：對個人數據的處理過程中，無論是收集、傳遞還是使用，均要求符合法律規定，且符合透明性的要求。關於數據處理的公平性，有一個典型的例子，就是旅行社通過收集用戶登錄網站查詢機票和酒店的信息，分析其偏好，然後通過程序自動設定針對該用戶需要的機票和酒店漲價，這就是不公平的。

2、被收集用於指定的，明確的和合法的目的，不得以不符合這些目的的方式進一步處理; 根據第89（1）條，為公共檔案目的進行進一步處理，用於科學或歷史研究目的或用於統計目的，不得視為與原始目的不相符（「目的限制」）。

collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (『purpose limitation』);

即：意謂在個人數據的處理問題上必須滿足正當目的的要求，其後續的數據處理也不得違反初始目的的要求。

比如用於健康監測的APP需要收集用戶的各項身體指標，如果該數據進而被分發給一家葯品或醫療器械的銷售商，用於推銷，則超出了最初的處理目的，違反了GDPR。

3、合理地和限於與處理它們的目的有關的必要條件（「數據最小化」）;

adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (『data minimisation』);

即：對於個人數據的處理數量以滿足該業務需要的最小數量為限，不得收集任何非必須的個人數據。

4、准確，並在必要時保持最新， 必須採取一切適當措施，確保及時刪除或糾正因處理目的不準確的個人資料（「准確性」）;

accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (『accuracy』);

即：明確對個人數據的使用要保持數據的真實准確，在個人數據更新時必須及時同步更新或者及時刪除。

5、存儲的形式允許僅在為處理目的所需的時間內識別數據主體; 個人數據可以存儲較長時間，前提是個人數據受本法規要求的適當技術和組織措施的保護，以保護數據主體的權利和自由，僅用於公共利益或科學和歷史研究目的或根據第89（1）條（「儲存限額」）進行統計處理。

kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (『storage limitation』);

即：歐盟GDPR明確了可以超期儲存的個人數據情形，包括為實現公共利益、進行科學或者歷史研究、但是為了保障數據主體的權利和自由，要求必須採用該條例所規定的合理技術與組織措施方可進行。

6、以確保個人數據的適當安全性的方式處理，包括使用適當的技術或組織措施（「完整性和機密性」）防止未經授權或非法處理以及意外丟失，破壞或損壞。GDPR第四章對數據安全有專門規定。

processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (『integrity and confidentiality』).

即：明確個人數據處理過程中，獲取該數據者必須經過嚴格授權，避免數據被非法處理或者不當泄露。

⑽ 信息安全相關法律法規 都有哪些

1、1996年發布《中國公用計算機互聯網國際聯網管理辦法》。

2、 1994年2月發布《中華人民共和國計算機信息系統安全保護條例》。

3、1996年2月發布《中華人民共和國計算機信息網路國際聯網管理暫行規定》。

4、 1997年12月發布《中華人民共和國計算機信息網路國際聯網管理暫行規定》實施

5、新《刑法》第185和第286條。

信息安全問題日趨多樣化，客戶需要解決的信息安全問題不斷增多，解決這些問題所需要的信息安全手段不斷增加。確保計算機信息系統和網路的安全，特別是國家重要基礎設施信息系統的安全，已成為信息化建設過程中必須解決的重大問題。

正是在這樣的背景下，信息安全被提到了空前的高度。國家也從戰略層次對信息安全的建設提出了指導要求。

(10)哪些法律包含對個人數據的要求擴展閱讀：

信息安全與技術的關系可以追溯到遠古。埃及人在石碑上鐫刻了令人費解的象形文字；斯巴達人使用一種稱為密碼棒的工具傳達軍事計劃，羅馬時代的凱撒大帝是加密函的古代將領之一，「凱撒密碼」據傳是古羅馬凱撒大帝用來保護重要軍情的加密系統。

它是一種替代密碼，通過將字母按順序推後 3 位起到加密作用，如將字母 A 換作字母 D， 將字母 B 換作字母 E。英國計算機科學之父阿蘭·圖靈在英國布萊切利庄園幫助破解了 德國海軍的 Enigma 密電碼，改變了二次世界大戰的進程。美國 NIST 將信息安全控制分 為 3 類。

（1）技術，包括產品和過程（例如防火牆、防病毒軟體、侵入檢測、加密技術）。

（2）操作，主要包括加強機制和方法、糾正運行缺陷、各種威脅造成的運行缺陷、物 理進入控制、備份能力、免予環境威脅的保護。

（3）管理，包括使用政策、員工培訓、業務規劃、基於信息安全的非技術領域。 信息系統安全涉及政策法規、教育、管理標准、技術等方面，任何單一層次的安全措 施都不能提供全方位的安全，安全問題應從系統工程的角度來考慮。圖 8-1 給出了 NSTISSC 安全模型。