×

打開微信,掃一掃二維碼
訂閱我們的微信公眾號

×

打開手機,掃一掃二維碼
即可通過手機訪問網站并分享給朋友

EN

《網絡數據安全管理條例》(征求意見稿)解讀(三)|MHP君悅評論

2021-11-29484

默認文件1638166277146.png


個人信息保護的特別規定部分



一、基于個人同意處理個人信息的詳細要求


《條例征求意見稿》第19條強調了《個人信息保護法》第5條和第6條規定的個人信息處理原則和要求,即數據處理者處理個人信息應當具有明確、合理的目的,遵循合法、正當、必要的原則。


基于個人同意處理個人信息是數據處理者/個人信息處理者處理個人信息的法律基礎之一?!秱€人信息保護法》第14條至第17條規定了知情同意基本要求,包括知情同意自愿原則、知情同意的形式、告知內容和形式等?!稐l例征求意見稿》第19條則特別增加了基于個人同意處理個人信息的詳細要求,包括:


(1)處理的個人信息是提供服務所必需的,或者是履行法律、行政法規規定的義務所必需的;

(2)限于實現處理目的最短周期、最低頻次,采取對個人權益影響最小的方式;

(3)不得因個人拒絕提供服務必需的個人信息以外的信息,拒絕提供服務或者干擾個人正常使用服務。



二、個人信息處理規則的詳細要求


《個人信息保護法》對個人信息處理規則作了原則性規定:(1)個人信息處理規則公開,便于查詢和保存;(2)處理不滿十四周歲未成年人個人信息應制定專門的個人信息處理規則;(3)個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明。


  • 首先,數據處理者處理個人信息,應當制定個人信息處理規則;

  • 其次,個人信息處理規則需集中公開展示,易于訪問并置于醒目位置;

  • 再次,個人信息處理規則內容明確具體、簡明通俗,系統全面向個人說明個人信息處理情況。


個人信息處理規則應至少包括以下內容:


(1)依據產品或者服務的功能明確所需的個人信息,以清單形式列明每項功能處理個人信息的目的、用途、方式、種類、頻次或者時機、保存地點等,以及拒絕處理個人信息對個人的影響;

(2)個人信息存儲期限或者個人信息存儲期限的確定方法、到期后的處理方式;

(3)個人查閱、復制、更正、刪除、限制處理、轉移個人信息,以及注銷賬號、撤回處理個人信息同意的途徑和方法;

(4)以集中展示等便利用戶訪問的方式說明產品服務中嵌入的所有收集個人信息的第三方代碼、插件的名稱,以及每個第三方代碼、插件收集個人信息的目的、方式、種類、頻次或者時機及其個人信息處理規則;

(5)向第三方提供個人信息情形及其目的、方式、種類,數據接收方相關信息等;

(6)個人信息安全風險及保護措施;

(7)個人信息安全問題的投訴、舉報渠道及解決途徑,個人信息保護負責人聯系方式。



三、同意與單獨同意


除了《個人信息保護法》規定的各項知情同意要求外,《條例征求意見稿》對處理個人信息的知情同意提出了額外要求,例如:


(1)按照服務類型分別向個人申請處理個人信息的同意,不得使用概括性條款取得同意;

(2)不得以改善服務質量、提升用戶體驗、研發新產品等為由,強迫個人同意處理其個人信息;

(3)不得通過捆綁不同類型服務、批量申請同意等方式誘導、強迫個人進行批量個人信息同意;

(4)不得在個人明確表示不同意后,頻繁征求同意、干擾正常使用服務。


當個人同意行為有效性存在爭議,數據處理者負有舉證責任。

而“單獨同意”則是指數據處理者在開展具體數據處理活動時,對每項個人信息取得個人同意,不包括一次性針對多項個人信息、多種處理活動的同意。有了這一規定,如何按照《個人信息保護法》獲得個人的單獨同意變得較為清晰,也意味著在獲取敏感個人信息、向境外提供個人信息等需要個人單獨同意的場景下,采用概括性的或捆綁式的批量同意模式不符合《個人信息保護法》要求。



四、刪除個人信息或匿名化處理的特別要求


《個人信息保護法》第47條規定了個人信息處理者應當主動刪除個人信息的五種情形,包括法律、行政法規規定的其他情形?!稐l例征求意見稿》在此基礎上明確規定四種特定情形下刪除個人信息或進行匿名化處理的特別要求:


微信截圖_20211129170206.png



五、為個人行使權利提供便利義務


《個人信息保護法》第四章規定了諸多個人在個人信息處理活動中的權利。為了保障和便利個人行使其權利,《條例征求意見稿》強化了數據處理者的義務,主要是:


(1)提供便捷的方法和途徑,不得以時間、位置等因素對個人的合理請求進行限制;

(2)提供便捷的支持功能,不得設置不合理條件;

(3)在15個工作日內處理并反饋個人合理請求。


但《條例征求意見稿》沒有明確禁止或允許數據處理者是否就處理和反饋個人合理請求收取合理費用。



六、向第三方提供個人信息


《個人信息保護法》第23條規定了個人信息處理者向其他個人信息處理者提供個人信息的基本要求,包括取得個人的單獨同意。


《條例征求意見稿》要求則進一步明確要求數據處理者向第三方提供個人信息須遵守告知同意、數據安全以及留存記錄等規定,具體而言:


微信截圖_20211129170206.png


與《個人信息保護法》強調向“其他個人信息處理者”提供個人信息不同,《條例征求意見稿》并未明確何為“第三方”,也未明確何為“提供”個人信息。比照《信息安全技術 個人信息安全規范》,這里的“提供”是否意味著個人信息控制權的轉移或共享,從而包括個人信息的“轉讓”與“共享”?相應的,這里的“第三方”作為數據接收方是否是《個人信息保護法》下的“個人信息處理者”或《條例征求意見稿》下的“數據處理者”還有待商榷。



七、轉移個人信息的具體條件與要求


《個人信息保護法》第45條規定,個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。但《個人信息保護法》并未明確何為國家網信部門規定的條件。


《條例征求意見稿》對此提出了個人信息轉移的具體條件,在符合條件的情況下,數據處理者應當為個人指定的其他數據處理者訪問、獲取其個人信息提供轉移服務。具體條件包括:


(1)請求轉移的個人信息是基于同意或者訂立、履行合同所必需而收集的個人信息;

(2)請求轉移的個人信息是本人信息或者請求人合法獲得且不違背他人意愿的他人信息;

(3)能夠驗證請求人的合法身份。


《條例征求意見稿》還特別規定,如果請求轉移個人信息次數明顯超出合理范圍,數據處理者可以收取合理費用?!稐l例征求意見稿》對個人信息轉移能否收取費用作出了明確規定,遵從這一思路,在《條例征求意見稿》未有規定的情況下,數據處理者可能無法律法規依據對其處理和反饋個人合理請求收取任何費用。



八、利用生物特征進行身份認證的特別規定


除非法律、行政法規另有規定,數據數據處理者利用人臉、步態、指紋、虹膜、聲紋等生物特征進行個人身份認證時,必須做到:


(1)對必要性、安全性進行風險評估;

(2)不得將生物特征作為唯一的個人身份認證方式。



九、處理一百萬人以上個人信息的特別規定


《條例征求意見稿》還補充規定,數據處理者處理一百萬人以上個人信息的,還應當遵守有關重要數據保護的相關規定?!稐l例征求意見稿》并未說明上述處理一百萬人以上個人信息是指同時還是累積處理一百萬人以上的個人信息。但從《條例征求意見稿》上下文來看,似乎是指同時處理一百萬人以上的個人信息更符合立法本意。



十、向境外提供個人信息的特別規定


《條例征求意見稿》第36條基本上重復了《個人信息保護法》有關向境外提供個人信息的告知同意要求,只是額外確認在收集個人信息時已就個人信息出境取得了個人同意,在按照取得同意的事項出境時,數據處理者無需再次取得個人單獨同意。


但《條例征求意見稿》在《個人保護信息法》基礎上增加了嚴苛的年度報告義務,即向境外提供個人信息的數據處理者,應在每年1月31日前編制數據出境安全報告,向設區的市級網信部門報告上一年度以下數據出境情況。報告內容包括:


(1)全部數據接收方名稱、聯系方式;

(2)出境數據的類型、數量及目的;

(3)數據在境外的存放地點、存儲期限、使用范圍和方式;

(4)涉及向境外提供數據的用戶投訴及處理情況;

(5)發生的數據安全事件及其處置情況;

(6)數據出境后再轉移的情況;

(7)國家網信部門明確向境外提供數據需要報告的其他事項。


由于《條例征求意見稿》第40條并未對向境外提供個人信息設置任何門檻,這似乎意味著任何向境外提供個人信息的數據處理者都必須履行上述出境安全報告義務。這一義務是否過于繁重,地方網信部門如何處理出境安全報告還有待進一步厘清。


總體而言,《條例征求意見稿》在《網絡安全法》、《數據安全法》和《個人信息保護法》基礎上,細化了各法律中的原則性制度規定,將有力地推動法律的落地實施。但同時,《條例征求意見稿》又意圖將三個法律涉及的不同制度安排盡可能雜糅在一起,大力增強行政監管,從而造成概念混用不清晰、行文邏輯不嚴密、合規義務偏重。我們希望這些美中不足之處都能在接下來的草案修改中予以改進和完善。

聯系我們

中國上海市南京西路1717號會德豐國際廣場7樓
郵編:200040
電話:(總機)61132988
傳真:61132913
Email:info@mhplawyer.com

私募基金