》之个人信息保护.jpeg "隆安法言|简评《网络数据安全管理条例(征求意见稿)》之个人信息保护")
作者:张波 苗凯
2021年11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》(“数安条例”),拟对《中华人民共和国网络安全法》(“网络安全法”)、《中华人民共和国数据安全法》(“数据安全法”)、《中华人民共和国个人信息保护法》(“个人信息保护法”)等法律作出细化规定,就《数安条例》涉及个人信息保护部分,简评如下:
《数安条例》第5条规定,国家建立数据分类分级保护制度,将数据分为一般数据、重要数据、核心数据三类,不同级别的数据采取不同的保护措施,并对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
《数安条例》未定义一般数据,我们理解重要数据和核心数据之外的数据归为一般数据。就重要数据的范围,《数安条例》第73条采取概括加列举的方式定义,而根据《数据安全法》第21条,重要数据具体目录由各地方、各部门按照数据分类分级保护制度确定。《数安条例》第73条将核心数据概括定义为“关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据”。
根据《数安条例》第5条,本地区、本部门以及相关行业、领域的数据由各地区、各部门进行分类分级管理。就具体个人信息属于何类何级,将有待地区、相关部门的后续细化明确。但无论个人信息属于何种级别,均应与重要数据同样进行重点保护。
《数安条例》第8条第1款规定了六类禁止开展数据处理的活动,其中和个人信息保护相关的包括:(二)不得侵害他人名誉权、隐私权、著作权和其他合法权益等、(三)不得通过窃取或者以其他非法方式获取数据和(四)非法出售或者非法向他人提供数据。《数安条例》第8条第2款进一步规定,“任何个人和组织知道或者应当知道他人从事前款活动的,不得为其提供技术支持、工具、程序和广告推广、支付结算等服务”。对个人信息处理者的技术支持、工具、程序和广告推广、支付等服务提供商而言,《数安条例》第8条附加了额外的合理注意义务。
《数安条例》第八章法律责任部分虽未规定服务供应商违反《数安条例》第8条第2款的法律责任,但不妨碍执法机关或被侵权人依据其他法律法规追究其责任。
《个人信息保护法》第57条规定了个人信息处理者在发生或可能发生个人信息泄露、篡改、丢失时,应当采取补救措施并履行通知义务。《数安条例》第11条则细化规定数据处理者应当建立数据安全应急处置机制,明确在安全事件对个人造成危害的,数据处理者应当在3个工作日履行通知义务。
对发生重要数据或10万人以上个人信息泄露、毁损、丢失等数据安全事件时,《数安条例》第11条还要求数据处理者在事件发生的8小时内向设区的市级网信部门和有关主管部门进行报告,在事件处置完毕后5个工作日内再次进行报告。值得留意的是,《数安条例》第11条针对 “发生”数据安全事件时,而《个人信息保护法》第57条则涵盖“发生”和“可能发生”信息安全事件,两者的适用范围有所不同。
《个人信息保护法》第23条规制个人信息处理者向其他个人信息处理者提供个人信息,要求个人信息处理者向个人信息主体告知接收方的名称或姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人信息主体单独同意,而《数安条例》第12条规定除了提供《个人信息保护法》第23条下的告知内容,还应当告知个人信息的类型、范围、存储期限和存储地点,并取得个人信息主体单独同意,同时《数安条例》亦明确符合法律、行政法规规定的不需要取得个人信息主体同意的情形或者经过匿名化处理的除外。
根据《个人信息保护法》第21条规定,委托处理的,个人信息处理者应当与受托方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,同时对受托方的个人信息处理活动进行监督。《个人信息保护法》未对对外提供个人信息作出前述要求,但《数安条例》第11条则要求对外提供个人信息的,数据处理者和数据接收方应当约定处理目的、范围、处理方式,数据安全保护措施等,明确双方数据安全义务,并对接收方的处理活动进行监督。这相当于扩大了《个人信息保护法》第23条的规定内容,加重了个人信息提供方的法律义务。此外,《数安条例》第11条还明确要求提供方应当留存个人同意记录及提供个人信息的日志记录至少五年。
《个人信息保护法》第22条规定,个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,接收方应当继续履行个人信息处理者的义务。而《数安条例》第14条则规定,处理者发生合并、重组、分立等情况的,接收方继续履行数据安全保护义务,涉及重要数据和100万以上个人信息的,还应向设区的市级主管部门报告;发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,并按照相关要求移交或删除数据。
《个人信息保护法》第45条第3款规定了个人信息的可携带权,《数安条例》第24条细化了个人信息转移请求的条件,并明确请求次数超出合理范围,个人信息处理者有权收取合理费用。
《个人信息保护法》第50条要求个人信息处理者建立便捷的个人信息主体行使权利的申请受理和处理机制,第52条规定个人信息处理者应当公开个人信息保护负责人的联系方式。《数安条例》第18条进一步要求数据处理者公开接受数据安全投诉、举报的联系方式、责任人信息,且需每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况。虽然《数安条例》第18条针对的是数据安全投诉和举报,但个人信息处理者在处理个人信息活动中亦需酌情考虑参照《数安条例》第18条的规定遵守相应的公开要求。
《个人信息保护法》第6条规定处理个人信息应当采取对个人权益影响最小的方式,收集个人信息应当限于实现处理目的的最小范围。前述最小影响原则和最小范围原则适用于全部合法性基础的情形。《数安条例》第19条针对合法性基础为个人同意的情形,细化要求应当满足“(一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的;(二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;(三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务”。《数安条例》第19条未规定其他合法性基础下的最小影响原则和最小范围原则。
《个人信息保护法》第7条规定个人信息处理者应当公开个人信息处理规则。《数安条例》第20条细化个人信息处理规则应当包含的内容。此前,个人信息处理者制定个人信息处理规则时主要参考国家推荐性标准《信息安全技术 个人信息安全规范》(2020年修订)。现在,个人信息处理者需要参考《数安条例》的规定,完善自身个人信息处理规则的相关内容。
需要关注是,《个人信息保护法》第52条规定只有“处理个人信息达到国家网信部门规定数量的个人信息处理者”才应当设置个人信息保护负责人,而《数安条例》第20条规定的个人信息处理规则内容包括了个人信息保护负责人联系方式,意味着《数安条例》要求所有个人信息处理者都应当设置个人信息保护负责人。
《数安条例》第21条细化了《个人信息保护法》关于个人同意的规定,可区分服务类型的,禁止使用概括性条款取得个人同意,并列举了一些常见的诱导、强迫个人同意的情形。同时明确处理不满14周岁未成年人的个人信息,应当取得其“监护人”的同意,而《个人信息保护法》第31条规定的是取得其“父母或者其他监护人”的同意,故《个人信息保护法》第31条规定的“父母”必须具有未成年人监护人的身份。
针对需重新取得个人同意的规则,《数安条例》第21条第2款重复了《个人信息保护法》第14条第2款规定的内容,此外,还要求个人信息处理者“同步修改个人信息处理规则”。这是否意味着立法者认为“个人信息处理规则”会随着个人同意的变动而不断的变动?如是,个人信息处理者应做好随时修改个人信息处理规则的准备。
根据《数安条例》第21条第3款,数据处理者应当对个人同意行为的有效性承担举证责任。这要求个人信息处理者需重视并加强取得个人信息主体同意的证据意识。
《个人信息保护法》第47条规定了个人信息主体享有的删除个人信息请求权,《数安条例》第22条从个人信息处理者的义务角度进行规制,规定应当删除个人信息或者匿名化处理的情形,同时明确了相应的时间要求。针对个人信息主体行使查阅、复制、更正、补充、限制处理、删除个人信息的权利时,《数安条例》第23条细化了个人信息处理者应当履行的义务。
就个人信息跨境提供的条件,《数安条例》第35条将《个人信息保护法》第38条下的“安全评估”表述为“出境安全评估”,规定个人信息处理者和境外接收方皆需通过“个人信息保护认证”。《数安条例》第35条同时补充规定“数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。”我们理解此处的“所必需”和《个人信息保护法》第13条下“所必需”的认定标准将保持一致,《数安条例》为部分个人信息的便捷跨境提供预留了可能的路径。
个人信息的跨境提供应当取得个人信息主体的单独同意,《数安条例》第36条明确了个人信息处理者可以在收集个人信息时就取得个人关于信息出境的同意。
《数安条例》第37条规定了应当进行数据出境安全评估的三种情形,而国家互联网信息办公室2021年10月29日发布的《数据出境安全评估办法(征求意见稿)》(“评估办法”)则规定了五种情形,《数安条例》删除了《评估办法》规定的 “累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”的情形,这是否意味着相对《评估办法》,《数安条例》降低了应当进行出境安全评估的标准?这应根据最终生效的《评估办法》确定。
《数安条例》第39条、第40条和第41条补充规定了数据处理者在数据跨境提供下的义务,如应当接受和处理数据出境所涉及的个人投诉、依法承担数据出境对个人、组织合法权益或公共利益造成损害时的责任、应当保留相关日志记录和出境审批记录3年以上、应当在每年1月31日前编制数据出境安全报告并向网信部分报告上一年度相应数据出境的情况、应当建立健全相关技术和管理措施等。
除了本文上述提到的规定,《数安条例》还明确了互联网平台运营者的相应义务,合规审计应当由数据安全审计专业机构进行,细化了相关履职部门的监督管理、各方的法律责任等。
结语
从法律位阶上看,我们理解《数安条例》属于行政法规,一部行政法规同时对《网络安全法》、《数据安全法》和《个人信息保护法》三大法进行细化补充,考验立法者的智慧。《数安条例》作为《个人信息保护法》的重要配套法规,征求意见截至2021年12月13日,就后续正式稿的出台,我们将保持密切关注。
张波
北京市隆安律师事务所上海分所 律师
zhangbo@longanlaw
苗凯
北京市隆安律师事务所上海分所 律师
miaokai@longanlaw
地址:上海市徐汇区虹桥路1号港汇恒隆广场办公楼1座11层
》之个人信息保护.gif "隆安法言|简评《网络数据安全管理条例(征求意见稿)》之个人信息保护")
》之个人信息保护.png "隆安法言|简评《网络数据安全管理条例(征求意见稿)》之个人信息保护")
邵阳交通事故律师事务所(www.tieqiaolawyer.com/jiaotongfawu)提供邵阳市交通事故24小时在线免费咨询
房产律师城中村改造如何进行补偿?城中村
2025/3/29 2设立行政附带民事诉讼制度的思考
2025/3/29 3孙宇光律师专栏|刑事律师庭审辩护活动要有现场感...
2025/3/29 2委托合同终止的法律后果有什么 委托合同终止的法律
2025/3/29 2雷石资讯 | 一周法治要闻
2025/3/29 3区块链热潮下,STO能否成为新蓝海?
2025/3/29 4雷石普法 | 以个人名义所负担保之债以及由此产生的从债务是否属于夫妻共同债务?
2025/3/29 2经营性房屋政府征收补偿的法律实务探讨(二...
2025/3/29 2员工在职期间“另起炉灶”并向原单位主
2025/3/29 2诋毁公司名誉违法吗
2025/3/29 2中盾提示 | 常见高考诈骗套路有这些!
2025/3/29 6盈科律师协助厦门鼎祥股权投资管理有限公司完成私募登记
2025/3/29 2民生银行30亿“假理财“背后的法律责任
2025/3/29 2劳动争议仲裁申请书 (劳动者申请劳动争议仲裁用)
2025/3/29 2