哪些法律包含对个人数据的要求

⑴ 侵犯公民个人信息犯罪有哪些相关规定

刑法上公民个人信息的概念、特征及相关范畴

（一）公民个人信息的概念
“概念是解决法律问题必不可少的工具”。
1.“公民”的含义
中华人民共和国公民，是指具有我国国籍的人。侵犯公民个人信息犯罪的罪名和罪状中都使用了“公民”一词，对于其含义的一些争议问题，笔者持以下观点：
（1）应包括外国籍人和无国籍人
从字面上和常理来看，中国刑法中的“公民”似乎应专门指代“中国的公民”。但笔者认为，任何人的个人信息都可以成为该罪的犯罪对象，而不应当把我国刑法对公民个人信息的保护局限于中国公民。
第一，刑法一百五十三条采用的并非“中华人民共和国公民个人信息”的表述，而是了“公民个人信息”，对于刑法规范用语的理解和适用，我们不应人为地对其范围进行不必要的限缩，在没有明确指明是中华人民共和国公民的情况下，不应将“公民”限定为中国公民。
第二，全球互联互通的信息化时代，将大量外国人、无国籍人的个人信息保护排除在我国刑法之外，会放纵犯罪，造成对外国籍人、无国籍人刑法保护的缺失，这既不合理，也使得实践中同时涉及侵犯中国人和非中国人的个人信息的案件的处理难以操作。
第三，刑法分则第三章“侵犯公民人身权利、民主权利罪”并不限于仅对“中国公民”的保护，也同等地对外国籍人和无国籍人的此类权利进行保护。因此，处于我国刑法第三章的侵犯公民个人信息犯罪的保护对象，也包括外国籍人和无国籍人的个人信息，“我国对中国公民、处在中国境内的外国人和无国 籍人以及遭受中国领域内危害行为侵犯的外国人和无国籍人，一视同仁地提供刑法的保护，不主张有例外。”
（2）不应包括死者和法人
对于死者，由于其不再具有人格权，所以不能成为刑法上的主体。刑法领域上，正如对尸体的破坏不能构成故意杀人罪一样，对于死者个人信息的侵犯，不应成立侵犯个人信息罪。对死者的个人信息可能涉及的名誉权、财产权，可以由死者的近亲属主张民法上的精神损害赔偿或继承财产来进行保护。
对于法人，同样不能成为刑法上公民个人信息的信息主体。一方面，自然人具有人格权，而法人不具有人格权，其只是法律拟制概念，不会受到精神上的损害。另一方面，法人的信息虽然可能具有很大的商业价值和经济效益，但是已有商业秘密等商法领域的规定对其进行保护。因此，法人的信息不适用公民个人信息的保护。
2.“个人信息”的含义
法学理论上对于公民个人信息的界定主要识别说、关联说和隐私说。
识别说，是指将可以识别特定自然人身份或者反映特定自然人活动情况作为公民个人信息的关键属性。可识别性根据识别的程度又可以分为两种方式，即通过单个信息就能够直接确认某人身份的直接识别，和通过与其他信息相结合或者通过信息对比分析来识别特定个人的间接识别。学界支持识别说观点的学者大多指的是广义的识别性，既包括直接识别，又包括间接识别。
关联说认为所有与特定自然人有关的信息都属于个人信息，包括“个人身份信息、个人财产情况、家庭基本情况、动态行为和个人观点及他人对信息主体的相关评价”。根据关联说的理论，信息只要与主体存在一定的关联性，就属于刑法意义上的公民个人信息。
隐私说认为，只有体现个人隐私的才属于法律保障的个人信息内容。隐私说主要由美国学者提倡，主张个人信息是不愿向他人公开，并对他人的知晓有排斥心理的信息。
笔者认为，通过识别说对刑法意义上的公民个人信息进行界定最为可取。关联说导致了刑法保护个人信息的范围过分扩大，而隐私说则只将个人信息局限在个人隐私信息的范围内，忽略了不属于个人隐私但同样具有刑法保护价值的个人信息，同时由于对隐私的定义受个人主观影响，所以在实践中难以形成明确的界定标准。相比之下，识别说更为可取，不仅能反应需刑法保护的公民个人信息的根本属性，又具有延展性，能更好的适应随着信息技术的发展而导致的公民个人信息类型的不断增多。
且通过梳理我国关于个人信息的立法、司法，识别说的观点贯穿其中。

名称

生效年份

对“个人信息”核心属性的界定

《全国人大常委会关于加强网络信息保护的决定》

2012年

可识别性、隐私性

《关于依惩处侵害公民个人信息犯罪活动的通知》

2013年

可识别性、隐私性

《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》

2014年

隐私性

《网络安全法》

2016年

可识别性

《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

2017年

可识别性、可反映活动情况

图表 2
《网络安全法》和《2017年解释》中关于公民个人信息的界定无疑最具权威性。《网络安全法》采用了识别说的观点，将可识别性规定为公民个人信息的核心属性。而后者采用了广义的“可识别性”的概念,既包括狭义可识别性 (识别出特定自然人身份) , 也包括体现特定自然人活动情况。两者之所以采用了不同的表述，是因为《网络安全法》对公民个人信息做了整体而基础性的保护，而《2017年解释》考虑到，作为高度敏感信息的活动情况信息，随着定位技术的不断进步逐渐成为本罪保护的一个重点，因此在采用了狭义的身份识别信息概念的基础之上，增加了对活动情况信息的强调性规定，但其本质仍是应涵括在身份识别信息之内的。
所以，应以可识别性作为判断标准对公民个人信息进行界定。
（二）公民个人信息的特征
刑法意义上的“公民个人信息”体现了其区别于广义上的“公民个人信息”的刑法保护价值。明确刑法领域个人信息的特征，有助于在司法中更好的对个人信息进行认定。
1.可识别性
这是公民个人信息的本质属性。可识别是指可以通过信息确定特定的自然人的身份，具体包括直接识别和间接识别。直接识别，是指通过单一的信息即可直接指向特定的自然人，如身份证号、指纹、DNA等信息均可与特定自然人一一对应。间接识别，是指需要将某信息与其他信息相结合或者进行对比分析才能确定特定自然人，比如学习经历、工作经历、兴趣爱好等信息均需要与其他信息相结合才能识别出特定的信息主体。
2.客观真实性
客观真实性是指公民个人信息必须是对信息主体的客观真实的反映，。一方面，主观上的个人信息对特定个人的识别难度极大；另一方面，现行刑法关于侮辱罪或诽谤罪的相关规定足以对此类主观信息进行规制。司法实践中，如何判断信息的客观真实性也是一个重要的问题，如何实现科学、高效鉴别个人信息客观真实性，是司法机关应努力的方向。现有的随机抽样的方法有一定可取性，但不够严谨。笔者认为，可以考虑采取举证责任倒置的方式，若嫌疑人能证明其所侵犯的个人信息不具有客观真实性，则不构成本罪。
3.价值性
刑法的两大机能是保护法益和保障人权。从保护法益的机能出发，对于侵犯公民个人信息罪这一自然犯，只有侵犯到公民法益的行为，才能纳入刑法规制的范围。而判断是否侵犯公民法益的关键就在于该信息是否具有价值。价值性不仅包括公民个人信息能够产生的经济利益，还包括公民的人身权利。从个人信息的人格权属性角度分析，个人隐私类信息的公开，会侵犯公民的隐私权、名誉权，行踪轨迹类信息的公开，会对公民人身安全带来威胁。从个人信息的财产权属性角度分析，信息化时代，信息就是社会的主要财产形式,能够给人们带来越来越大的经济利益。“信息价值仅在当行为人主张其个人价值时才被考虑”，只有具有刑法保护价值的信息，才值得国家动用刑事司法资源对其进行保护。
（三）个人信息与相关概念的区分
很多国家和地区制定了专门的法律保护个人信息，但部分国家和地区没有采用“个人信息”的概念，美国多采用“个人隐私”的概念，欧洲多采用“个人数据”的概念，而“个人信息”的表述则在亚洲较为常见。对于这三个概念是可以等同，存在观点分歧。有观点认为，个人信息与个人隐私有重合，但不能完全混同，也有观点认为个人信息包含个人隐私，以个人数据为载体。笔者认为，有必要对三个概念进行明确区分。
1.个人信息与个人隐私
关于这两个概念的关系，有学者主张前者包含后者，有学者主张后者包含前者，还有学者认为两者并不是简单的包含关系。笔者认为，个人信息与个人隐私相互交叉，个人信息包括一般信息和隐私信息，个人隐私包括隐私信息、私人活动和私人空间，所以两者的交叉在于隐私信息。两者制建有很大的区别，不能混淆。首先，私密程度不同，个人信息中除隐私信息以外的一般信息在一定程度上是需要信息主体进行公开的，如姓名、手机号、邮箱地址等，而个人隐私则具有高度的私密性，个人不愿将其公开；其次，判断标准不同，个人信息的判断标准是完全客观的，根据其是否具有识别性、真实性、价值性来进行判断即可，而个人隐私在判断上具有更多的主观色彩，不同主体对个人隐私的界定是不同的；最后，个人信息既具有消极防御侵犯的一面，也具有主动对外展示的一面，信息主体通过主动公开其部分个人信息，可能会获得一定的利益，而个人隐私则侧重消极防御，主体的隐私信息和隐私活动不希望被公开，隐私空间不希望被侵犯。
2.个人信息与个人数据
笔者认为，个人信息（personal information）和个人数据（personal Data）的区别在于，个人数据是以电子信息系统为载体的对信息主体的客观、未经过处理的原始记录，如个人在医院体检后从自助机取出的血液化验报告单；后者是指，数据中可对接收者产生一定影响、指导其决策的内容，或是数据经过处理和分析后可得到的上述内容，如血液化验报告数据经系统或医生的分析，形成的具有健康指导作用的结果报告，换言之，个人信息＝个人数据＋分析处理。

⑵ 我国对于数据采集的合法性主要规定在哪些法律上

你好，这种法律问题去律伴这个法律网站找律师问下，比在这里提问有效率

⑶ 根据个人信息保护法的规定，个人信息的处理包括

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。
【法律分析】
处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。国家建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为，加强个人信息保护宣传教育，推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。国家积极参与个人信息保护国际规则的制定，促进个人信息保护方面的国际交流与合作，推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。

【法律依据】
《中华人民共和国个人信息保护法》第十三条符合下列情形之一的，个人信息处理者方可处理个人信息：
（一）取得个人的同意；
（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；
（三）为履行法定职责或者法定义务所必需；
（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；
（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；
（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；
（七）法律、行政法规规定的其他情形。
依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

⑷ 我国有关个人隐私的规定有哪些，都在哪些法律条文上有记载

一、涉及个人隐私的公开宣判不公开审理可以吗？
是可以的；
《中华人民共和国宪法》第一百三十条
人民法院审理案件，除法律规定的特别情况外，一律公开进行。被告人有权获得辩护。
民事诉讼法第148条第1款：人民法院对公开审理或者不公开审理的案件，一律公开宣告判决。
刑事诉讼法第202条第1款： 宣告判决，一律公开进行。
行政诉讼法第80条第1款：人民法院对公开审理和不公开审理的案件，一律公开宣告判决。
二、我国有关个人隐私的规定有哪些，都在哪些法律条文上有记载?
根据《中华人民共和国宪法》第三十八条中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。
第三十九条中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。
第四十条中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。
根据《刑法》第二百四十五条 非法搜查他人身体、住宅，或者非法侵入他人住宅的，处三年以下有期徒刑或者拘役。司法工作人员滥用职权，犯前款罪的，从重处罚。
第二百四十六条 以暴力或者其他方法公然侮辱他人或者捏造事实诽谤他人，情节严重的，处三年以下有期徒刑、拘役、管制或者剥夺政治权利。
根据《未成年人保护法》第三十九条任何组织或者个人不得披露未成年人的个人隐私。
未成年人的信件、日记、电子邮件，任何组织或者个人不得隐匿、毁弃;除因追查犯罪的需要，由公安机关或者人民检察院依法进行检查，或者对无行为能力的未成年人的信件、日记、电子邮件由其父母或者其他监护人代为开拆、查阅外，任何组织或者个人不得开拆、查阅。
三、个人隐私和个人隐私权的区别
个人隐私和个人隐私权是两个完全不同的概念。个人隐私是客观存在，而个人隐私权则是法律规定的权利。各国在保护个人隐私方面有不同的法律规定，因此，各国个人隐私权的内涵和外延有所不同。
近些年来，许多国家在保护个人隐私权利方面加大了力度，因此，个人隐私权的内容具有趋同化的趋势。个人隐私是一种客观事实，无论是静态的个人隐私，还是动态的个人隐私。
无论是先天的个人隐私(譬如身体上的隐私)，还是后天的个人隐私(譬如违法犯罪记录)，都属于个人隐私的范畴。各国在立法过程中，对个人隐私保护范围不同，因此，个人隐私权的内涵和外延有所不同。
四、互联网上个人隐私的保护
互联网络时代保护个人信息至关重要。自然人在互联网上的所有活动都会留下印记，而互联网服务提供商则会充分利用用户留下的电子印记，了解自然人的基本情况，包括自然人的消费偏好以及自然人的活动轨迹等。
这是非常可怕的现象，如果对互联网络的数据搜集没有明确的法律规定，那么互联网服务提供商就会利用自己搜集到的信息从事商业经营活动，客观上损害消费者的合法权益。

⑸ 关于个人信息的使用疑问（法律方面）

大概了解你的意思

首先你要卖的到底是什么 是单纯的数据分析 行业分析嘛？
如果是那就不算窃取商业机密
如果是行业内公司的 客户资料 或者客户分析 这就泄露了对方的商业机密
现在的问题是：
一：当初你和其他公司合作时有没有签订保密合同之类的东西 如果有那就按合同来
二：如果没有 那么你可以出手你自己的行业分析 或者客户分析等等你自己分析出的数据获利
但是不能出手相关公司的客户资料 或者客户构成等等
三：如果你真的打算出手相关公司的资料 你要确保不被发现 或者发现了公司不会起诉你 不然对方如果有证据 起诉你的话 你肯定要赔偿的
四：不知道你是什么行业 如果行业内有国有企业或者较大的企业 实务上有可能会被公诉获刑。

总结：如果有国家的相关法规规定你所属行业的行为 按照法规来 特指国有垄断行业相关企业
如果有你当初和行业内公司签的保密合同 按照合同来
如果什么都没有 那你可以出手 你对于该行业的货源分析 销售渠道分析等等 但是不能涉及到具体的公司的相关数据
相关公司的客户资料等信息肯定不能出售 如果一定要做
记住： 一定要保密 尽量不要泄露单一某公司的信息 尽量不要让人起诉 如果行业内有国有企业 还是离远点吧 太危险

⑹ 国家保护个人组织与数据有关的利益

您好，国家法律主要有如下规定:《宪法》第十三条第一款:“国家保护公民的合法收入、储蓄、房屋和其他合法财产的所有权。”“公民的个人财产，包括公民的合法收入、房屋、储蓄、生活用品、文物、图书资料、林木、牲畜和法律允许公民所有的生产资料以及其他合法财产。
公民的合法财产受法律保护，禁止任何组织或者个人侵占、哄抢、破坏或者非法查封、扣押、冻结、没收。“
《治安管理处罚法》第四十九条盗窃、诈骗、哄抢、抢夺、敲诈勒索或者故意损毁公私财物的，处五日以上十日以下拘留，可以并处五百元以下罚款情节较重的，处十日以上十五日以下拘留，可以并处一千元以下罚款。
《民法典》
第二百六十六条【私有财产的范围]】私人对其合法的收入、房屋、生活用品、生产工具、原材料等不动产和动产享有所有权。
第二百六十七条【私人合法财产的保护】私人的合法财产受法律保护，禁止任何组织或者个人侵占、哄抢、破坏。
第二百六十八条【国家、集体和私人依法出资设立公司或其他企业国家、集体和私人依法可以出资设立有限责任公
司、股份有限公司或者其他企业。国家、集体和私人所有的不动产或者动产投到企业的，由出资人按照约定或者出资比例享有资产收益、重大决策以及选择经营管理者等权利并履行义务。
对于个人数据隐私权的保护应遵循以下原则:1个人数据为生成主体所有的原则。
个人数据主体指的是个人信息被作为数据加以收集的自然人而不是该数据的用户。数据用户是指合法地收集、有限度地控制、使用有关数据的个人或组织。2.正确搜集原则。搜集个人数据必须取得数据主体的同意数据使用者必须以合法、公正、正确的手段搜集数据不得采用任何欺骗、盗窃或其他非法手段搜集的数据必须准确、完整、不过时搜集的目的、动机必须合法、明确、具体。 3正确保管、使用原则。持有他人数据应该是合法的必须具备完备的程序;对个人数据必须采取完全保障措施防止数据的遗失、被破坏和篡改;对于研究、计划、统计需要处理个人数据时必须按有关规定进
行谨防侵犯数据主体的人格权;未经数据主体的同意使用数据不得超过搜集目的所规定的范围数据使用者不得任意向他人透露个人数据。
【法律依据】
《治安管理处罚法》

⑺ 保护个人信息的法律法规有哪些

一、个人信息保护的法律规定之《中华人民共和国刑法》
《中华人民共和国刑法》（以下简称《刑法》）作为最为严厉的法律，对侵犯公民个人信息的行为作出了明确的法律规定。《刑法》第三百五十三条对侵犯公民个人信息罪作出了规定。该规定明确，向他人提供或者出售公民个人信息的行为均属于犯罪行为，若工作人员将自己在履行职责过程中获得的公民个人信息出售或者提供给他人，则从重处罚。犯此罪者，根据情节不同分别被处以罚金以及有期徒刑。《刑法》作为我国法律体系中最严厉的法律，其将侵犯个人信息的行为归罪的做法充分显示了我国对于个人信息安全的关注。

二、个人信息保护的法律规定之《中华人民共和国网络安全法》
《中华人民共和国网络安全法》（以下简称《网络安全法》）于2016年正式施行。其在第四章以专章的形式对网络信息安全进行了系统规定。个人信息安全作为网络信息安全的重要组成部分，也在其中得到了体现。首先，网络运营商一方掌握着大量的用户个人信息，根据《网络安全法》规定，其必须确保这些个人信息的安全，妥善保管，在建立严格的保密制度的同时，也必须健全用户信息保护制度。再者，网络运营商对于用户个人信息的收集，必须遵循必要性原则，不得收集从事该项业务的任何非必要信息，并且需要在使用完毕后定期清除，确保掌握最少数量且最短时间的用户个人信息。再者，网络运营者对于用户个人信息的使用必须以用户同意为前提，不得有任何威胁个人信息安全的行为，也不得将用户个人信息进行转让、泄露等。网络的匿名性以及信息传递的快捷性对于个人信息安全来说，本身即存在着未知的风险。因此，对于个人信息安全而言，《网络安全法》中在网络信息安全专章中对于网络运营商的规制，对维护个人信息安全十分重要。

三、个人信息保护的法律规定之《中华人民共和国民法总则》
《中华人民共和国民法总则》（以下简称《民法总则》）于2018年正式施行，其中也对个人信息安全问题有所规定。《民法总则》第一百一十一条规定，我国自然人的个人信息安全受到法律的保护，非信息主对于个人信息的获取，必须确保通过合法途径获得，同时也不得非法使用、收集、加工、买卖他人的个人信息，也不得在未经信息主同意的前提下对他人的个人信息进行公开、转让等。可见，在个人信息安全这一问题上，我国法律中保护的立法倾向十分明晰。

四、个人信息保护的法律规定之其他法律
除上述法律外，我国法律体系中对于个人信息保护的规定还有许多。《中华人民共和国消费者权益保护法》中将侵害消费者个人信息的行为作为违法行为予以列举，并进行相应处罚；《中华人民共和国公共图书馆法》中明确读者个人信息应得到妥善保护；《中华人民共和国国家情报法》中明确对于公民个人信息不得随意泄露；《中华人民共和国测绘法》中明确，需要使用公民个人信息的，必须符合法律规定，且依法保密。可见，实践中对于个人信息的运用十分广泛，个人信息安全问题十分重要。但同时，我国现行法律体系中也对个人信息安全问题作出了较为全面的规定，在实践中个人信息安全的问题可以根据实际情况的不同通过对应的法律来进行行为规制。

⑻ 《网络安全法》对存储个人信息和重要数据有什么特殊规定

《网络安全法》第四十条规定：网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

《网络安全法》第四十一条规定：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，名示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息。

《网络安全法》第四十二条规定：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

《网络安全法》第四十四条规定：任何个人和组织不得窃取或以其他非法方式获取个人信息，不得非法出售或非法向他人提供个人信息。

希望可以帮到您，谢谢！

⑼ 个人数据处理的七大原则

个人数据的处理问题作为欧盟GDPR的重点规制对象，其相关原则的规定被放在了该条例原则部分的首要位置。随着我国经济主体与欧盟各成员国之间往来的日益频繁，学习欧盟GDPR的相关内容对企业发展至关重要。

今天SCA安全通信联盟为大家整理了GDPR中个人数据处理的6大原则——“合法公平透明”、“目的限制”、“数据最小化”、“准确性”、“储存限额”、“完整性和机密性”。互联网让我们的世界越来越联动，为了在未来的商业活动中不触犯法律的底线，做合法商业活动，让我们一起来看一下这6大原则具体都包含了哪些内容吧。

1、个人数据必须是合法地，以善意和对数据主体合理的方式（“合法，公平，透明”）;

processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’);

即：对个人数据的处理过程中，无论是收集、传递还是使用，均要求符合法律规定，且符合透明性的要求。关于数据处理的公平性，有一个典型的例子，就是旅行社通过收集用户登录网站查询机票和酒店的信息，分析其偏好，然后通过程序自动设定针对该用户需要的机票和酒店涨价，这就是不公平的。

2、被收集用于指定的，明确的和合法的目的，不得以不符合这些目的的方式进一步处理; 根据第89（1）条，为公共档案目的进行进一步处理，用于科学或历史研究目的或用于统计目的，不得视为与原始目的不相符（“目的限制”）。

collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’);

即：意谓在个人数据的处理问题上必须满足正当目的的要求，其后续的数据处理也不得违反初始目的的要求。

比如用于健康监测的APP需要收集用户的各项身体指标，如果该数据进而被分发给一家药品或医疗器械的销售商，用于推销，则超出了最初的处理目的，违反了GDPR。

3、合理地和限于与处理它们的目的有关的必要条件（“数据最小化”）;

adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’);

即：对于个人数据的处理数量以满足该业务需要的最小数量为限，不得收集任何非必须的个人数据。

4、准确，并在必要时保持最新， 必须采取一切适当措施，确保及时删除或纠正因处理目的不准确的个人资料（“准确性”）;

accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’);

即：明确对个人数据的使用要保持数据的真实准确，在个人数据更新时必须及时同步更新或者及时删除。

5、存储的形式允许仅在为处理目的所需的时间内识别数据主体; 个人数据可以存储较长时间，前提是个人数据受本法规要求的适当技术和组织措施的保护，以保护数据主体的权利和自由，仅用于公共利益或科学和历史研究目的或根据第89（1）条（“储存限额”）进行统计处理。

kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’);

即：欧盟GDPR明确了可以超期储存的个人数据情形，包括为实现公共利益、进行科学或者历史研究、但是为了保障数据主体的权利和自由，要求必须采用该条例所规定的合理技术与组织措施方可进行。

6、以确保个人数据的适当安全性的方式处理，包括使用适当的技术或组织措施（“完整性和机密性”）防止未经授权或非法处理以及意外丢失，破坏或损坏。GDPR第四章对数据安全有专门规定。

processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

即：明确个人数据处理过程中，获取该数据者必须经过严格授权，避免数据被非法处理或者不当泄露。

⑽ 信息安全相关法律法规 都有哪些

1、1996年发布《中国公用计算机互联网国际联网管理办法》。

2、 1994年2月发布《中华人民共和国计算机信息系统安全保护条例》。

3、1996年2月发布《中华人民共和国计算机信息网络国际联网管理暂行规定》。

4、 1997年12月发布《中华人民共和国计算机信息网络国际联网管理暂行规定》实施

5、新《刑法》第185和第286条。

信息安全问题日趋多样化，客户需要解决的信息安全问题不断增多，解决这些问题所需要的信息安全手段不断增加。确保计算机信息系统和网络的安全，特别是国家重要基础设施信息系统的安全，已成为信息化建设过程中必须解决的重大问题。

正是在这样的背景下，信息安全被提到了空前的高度。国家也从战略层次对信息安全的建设提出了指导要求。

(10)哪些法律包含对个人数据的要求扩展阅读：

信息安全与技术的关系可以追溯到远古。埃及人在石碑上镌刻了令人费解的象形文字；斯巴达人使用一种称为密码棒的工具传达军事计划，罗马时代的凯撒大帝是加密函的古代将领之一，“凯撒密码”据传是古罗马凯撒大帝用来保护重要军情的加密系统。

它是一种替代密码，通过将字母按顺序推后 3 位起到加密作用，如将字母 A 换作字母 D， 将字母 B 换作字母 E。英国计算机科学之父阿兰·图灵在英国布莱切利庄园帮助破解了 德国海军的 Enigma 密电码，改变了二次世界大战的进程。美国 NIST 将信息安全控制分 为 3 类。

（1）技术，包括产品和过程（例如防火墙、防病毒软件、侵入检测、加密技术）。

（2）操作，主要包括加强机制和方法、纠正运行缺陷、各种威胁造成的运行缺陷、物 理进入控制、备份能力、免予环境威胁的保护。

（3）管理，包括使用政策、员工培训、业务规划、基于信息安全的非技术领域。 信息系统安全涉及政策法规、教育、管理标准、技术等方面，任何单一层次的安全措 施都不能提供全方位的安全，安全问题应从系统工程的角度来考虑。图 8-1 给出了 NSTISSC 安全模型。