2021.11.22 董潇 郭静荷 李硕颖 周佳_July
2021年11月14日,国家互联网信息办公室(以下简称“国家网信办”)发布《网络数据安全管理条例(征求意见稿)》(以下简称“《数安条例草案》”),并向社会公开征求意见至2021年12月13日。
《数安条例草案》以《网络安全法》、《数据安全法》、《个人信息保护法》作为上位法依据,共九章七十五条。其中要点诸多,针对数据跨境安全传输、个人信息权利保护、赴国外上市与赴港上市的网络安全审查标准、互联网平台运营者义务等内容均分别做出细致规定。我们将分批次与主题对《数安条例草案》进行解读,本文为“个人信息保护”专题。
在《数安条例草案》中,除了第三章专门针对个人信息保护进行规定,第二章的一般规定以及第八章的法律责任也均有涉及,我们在此对几个重要方面进行总结。
一、个人信息处理者数据安全事件报告义务
《数安条例草案》第十一条规定,发生十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者应当:
(1)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;
(2)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。
《个人信息保护法》第五十七条规定了发生或可能发生个人信息泄露等事件时,个人信息处理者应当向履行个人信息保护职责的部门和个人通知的事项,《数安条例草案》第十一条则在此基础上增加了数据处理者在向相关部门报告个人信息泄露等数据安全事件时应当遵循的两个重要时间点:“发生安全事件的八小时内”和“事件处置完毕后五个工作日内”。
二、个人信息处理者合并、分立时的报告义务
《个人信息保护法》第二十二条规定个人信息处理者因合并、分立等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式,接收方应当继续履行个人信息处理者的义务。《数安条例草案》第十四条进一步规定,数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及一百万人以上个人信息的,应当向设区的市级主管部门报告。但根据《数安条例草案》的表述,无法确定该报告义务应当由数据处理者履行还是数据接收方履行。
三、细化和增加数据处理者向第三方提供个人信息时应当履行的义务
《个人信息保护法》第二十三条规定了个人信息处理者向第三方提供个人信息时应当向个人告知的事项,包括接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,《数安条例草案》第十二条在此基础上,对数据处理者增加了以下要求:
(1)向个人告知个人信息存储期限、存储地点;
(2)与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督;
(3)留存个人同意记录及提供个人信息的日志记录至少五年。
根据《个人信息保护法》第五十五条和第五十六条的规定,个人信息处理者向第三方提供个人信息的处理情况记录应当至少保存三年,而《数安条例草案》第十二条对记录保存时间提出了更高的要求,要求相关记录至少留存五年,这一点值得注意。
四、细化和增加对个人信息处理的告知事项及告知方式的要求
《个人信息保护法》第十七条规定了个人信息处理者在处理个人信息前应当向个人告知的具体事项及告知方式,《数安条例草案》第二十条在此基础上进行了细化和增加:
(1)要求个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面,而《个人信息保护法》第十七条的表述为“以显著方式、清晰易懂的语言”、“真实、准确、完整”;
(2)对于处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等事项的说明,要求依据产品或服务的功能,以清单形式列明,其中,处理个人信息的用途、频次或时机、保存地点是《个人信息保护法》第十七条没有提及的;
(3)要求处理者说明个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式,而《个人信息保护法》第十七条只要求说明个人信息的保存期限;
(4)要求处理者说明个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法,《个人信息保护法》第十七条虽也要求处理者告知个人行使权利的方式和程序,但未对上述个人权利进行详细列举;
(5)要求处理者以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则,而《个人信息保护法》第十七条未提及该事项;
(6)要求处理者说明向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等,该事项在《个人信息保护法》第二十三条有所提及;
(7)要求处理者说明个人信息安全风险及保护措施,个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式,而《个人信息保护法》只在其第五十二条要求处理者公开个人信息保护负责人联系方式,第十七条则未提及上述事项。
五、细化征得个人同意的要求
于《个人信息保护法》第十四条同意机制的基础上,《数安条例草案》第二十一条进一步提出了具体的否定性要求,其中值得注意的是为落实必要性原则的相关要求,包括:
(1)不得使用概括性条款取得同意,需按照服务类型分别向个人申请处理个人信息的同意;
(2)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;
(4)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;
(6)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。
同时,《数安条例草案》第二十一条再次重申了处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;处理不满十四周岁未成年人的个人信息,应当取得其监护人同意。
此外,值得注意的是,《数安条例草案》第二十一条第三款新增了一项规定:对个人同意行为有效性存在争议的,数据处理者负有举证责任。由此,数据处理者通过取得个人同意进而处理个人信息的,应当对个人同意行为的有效性进行证明。
六、增加删除权行使场景
于《个人信息保护法》第四十七条删除权的基础上,《数安条例草案》第二十二条对于个人信息删除依据与期限做出进一步规定。在个人信息删除依据上,相比《个人信息保护法》,《数安条例草案》增加了以下情形:
(1)个人注销账号;
(2)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。
上述第二项情形指的是,数据处理者在使用自动化采集技术时会不可避免地收集到某些个人信息,而这些个人信息的收集可能无法符合必要原则,或者是未经个人同意而收集到的个人信息。例如,提供数据服务的企业采用自动化采集技术爬取某社交平台上的动态及评论以研究市场趋势,而抓取的信息中就可能带有社交平台用户个人信息。此情形下,该企业应当按照规定的期限对个人信息进行删除。
在期限上,《数安条例草案》要求数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理。同时,该条针对删除个人信息从技术上难以实现的情况提供了缓冲措施:十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人做出合理解释。但是,《数安条例草案》没有说明“十五个工作日”的起算点,这一点尚待明确。
七、细化数据处理者对个人权利行使的回应
对于个人信息处理者对个人权利行使的回应,《个人信息保护法》在其第四十五条至第四十七条中分开进行了规定,要求个人信息处理者在收到个人行使权利的请求后,应当及时作出相应的回应。《数安条例草案》第二十三条则集中地强调了数据处理者在面对个人合理请求时应当履行的义务,具体包括:
(1)提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制;
(2)提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能,且不得设置不合理条件;
(3)收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。
其中,“结构化查询”应当如何理解,尚待《数安条例草案》正式出台后相关部门予以明确。
八、明确数据可携带权行使前提
《个人信息保护法》第四十五条明确了个人享有数据可携带权,但并未对权利行使前提条件进行规定。《数安条例草案》第二十四条则进行了细化,明确了数据可携带权的行使条件包括如下三条:
(1)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;
(2)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;
(3)能够验证请求人的合法身份。
此外,该条还对数据处理者的提示义务和收取费用的权利作出了规定:数据处理者发现数据接收方有非法处理个人信息风险的,应当对个人信息转移请求做出合理的风险提示;个人请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。
九、其他新增内容
除上述内容外,对比《个人信息保护法》,《数安条例草案》还新增了如下规定。《数安条例草案》第十八条规定,数据处理者应当建立便捷的数据安全投诉举报渠道,公布接受投诉、举报的联系方式、责任人信息,每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况。《数安条例草案》第二十五条规定,利用生物特征进行的个人身份认证应当经过风险评估,且数据处理者不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。《数安条例草案》第二十六条对处理一百万人以上个人信息的数据处理者提出了额外的要求,该等数据处理者除了遵循《数安条例草案》第三章关于个人信息保护的规定,还应当遵守第四章对重要数据的处理者作出的规定。