《网络数据安全管理条例(征求意见稿)》系列解读之个人信息保护篇

500

走出去智库观察  

11月14日,国家互联网信息办公室起草《网络数据安全管理条例(征求意见稿)》(简称“《条例》”),并向社会公开征求意见。《条例》对于个人信息处理者的义务进行进一步加以明确,并提出了细化要求。

走出去智库(CGGT)特约法律专家、金杜律师事务所合伙人宁宣凤指出,《条例》通过在第三章“个人信息保护”中专门针对个人信息保护规则进行细化明确,既对《个人信息保护法》的相关规定进行了衔接,又吸收采纳了部分App个人信息保护监管领域的成熟做法,其中针对个人信息权利响应、合法必要性评估、用户授权同意等方面制定了细化要求,可作为上位法落地执行的参考指引,对上位法中的“单独同意”等较为原则性的规定进行解释说明,进一步增强数据安全法律体系的完备性和可操作性。

网络企业如何做好个人信息保护?今天,走出去智库(CGGT)刊发金杜律师事务所宁宣凤、吴涵的文章,供关注数据安全的读者参考。

要 点

CGGT,CHINA GOING GLOBAL THINKTANK

1、《条例》作为《网络安全法》《数据安全法》和《个人信息保护法》的配套行政法规,主要针对三部法律中的原则性规范和制度进行内容和流程方面的细化规定,同时与《数据安全管理办法(征求意见稿)》具有一定的承继关系。

2、数据处理者在获取个人同意的途径与方式上,应当具有充分的法律依据进行论证同意的有效性和合规性,建议数据处理者在对于征求个人同意功能上线前,内部进行充分的合法合规性论证,明确相关授权方式符合法规要求,并对线上用户的授权同意操作进行后台日志记录。

3、个人信息处理者在实践过程中,除准备必要的替代性方案,不强制用户授权同意生物识别外,还需根据《条例》规定对必要性、安全性进行风险评估。

正 文

CGGT,CHINA GOING GLOBAL THINKTANK

文/宁宣凤 吴涵

金杜律师事务所

引言

2021年11月14日下午,国家互联网信息办公室(“国家网信办”),发布《网络数据安全管理条例(征求意见稿)》(“《条例》”)。《条例》以《中华人民共和国网络安全法》(“《网络安全法》”)、《中华人民共和国数据安全法》(“《数据安全法》”)和《中华人民共和国个人信息保护法》(“《个人信息保护法》”)等法律法规作为上位法依据,对于《个人信息保护法》中规定的个人信息处理规则及个人信息主体权利,例如删除权、可携权等进行行政法规层面的细化规定,具有实践指导意义。《条例》的第三章对于个人信息处理者的义务进行进一步明确,增加了在“合法、正当、必要”原则下的“收集频次”“收集周期”“清单化呈现”等细化要求,旨在给出执行《数据安全法》和《个人信息保护法》的实施路径,对于企业实施上位法过程中需要明晰和进一步解释的定义进行详细规定,增强了网络安全与数据合规系列法律法规的可执行性。

本文作为团队就《条例》的规则理解与系列解读的个人信息保护篇,将以《条例》第三章“个人信息保护”为核心,结合《网络安全法》《数据安全法》《个人信息保护法》等上位法以及其他相关法规标准,梳理个人信息保护体系架构,解读《条例》中细化与明晰的新要点,以期协助企业更好地探索个人信息保护合规路径,主动履行个人信息保护系列规范要求,护持个人信息权益,同时激励数据合规流通,为我国数字经济时代的蓬勃发展保驾护航。

一、《条例》与《网络安全法》《数据安全法》《个人信息保护法》等个人信息保护框架体系的关系

2000年,全国人大常委会通过的《全国人民代表大会常务委员会关于维护互联网安全的决定》首次将个人信息保护纳入法律法规框架,包括侵犯公民通信自由和通信秘密。互联网时代的高速迭代也激发了个人信息保护的诉求,2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》专题探讨网络信息保护问题,2016年颁布《网络安全法》,2017年出台《电子商务法(草案)》都是针对网络空间中的法律关系进行专题化规定及权利义务分配。此后,在我国《刑法修正案(九)》及《民法典》中都将个人信息保护列入其中,个人信息保护的法规要求及监管趋势在各个法律法规中回应着互联网时代民众最关切的个人信息问题,但尚未构建起完备的个人信息保护法律体系。

2021年6月10日,《数据安全法》正式通过,我国有了数据安全领域的基本法,数据安全治理体系得以进一步完善;2021年8月20日,《个人信息保护法》正式通过,我国有了个人信息保护领域的基本法,首次对于个人信息处理活动、个人信息权益保护及主管机关职权范围作出全面化规定,为企业划定了明确合规边界,为公众确定了明确权益保障,开启了我国公民个人信息保护新篇章。

《网络数据安全管理条例(征求意见稿)》系列解读之框架篇所述,《条例》作为《网络安全法》《数据安全法》和《个人信息保护法》的配套行政法规,主要针对三部法律中的原则性规范和制度进行内容和流程方面的细化规定,同时与《数据安全管理办法(征求意见稿)》具有一定的承继关系。《条例》通过在第三章“个人信息保护”中专门针对个人信息保护规则进行细化明确,既对《个人信息保护法》的相关规定进行了衔接,又吸收采纳了部分App个人信息保护监管领域的成熟做法,其中针对个人信息权利响应、合法必要性评估、用户授权同意等方面制定了细化要求,可作为上位法落地执行的参考指引,对上位法中的“单独同意”等较为原则性的规定进行解释说明,进一步增强数据安全法律体系的完备性和可操作性。

二、《条例》中个人信息保护规则的具体解读

(一)“合法、正当、必要”原则的进一步细化

《条例》第十九条规定

数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。基于个人同意处理个人信息的,应当满足以下要求:

(一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的;

(二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;

(三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。

1.“合法、正当、必要”原则的再次重申

针对个人信息的“合法、正当、必要”原则首次是在《全国人民代表大会常务委员会关于加强网络信息保护的决定》第二条中出现,在《网络安全法》第四十一条,《个人信息保护法》第五条中均一脉相承,本次《条例》亦沿用“合法、正当、必要”的原则性规定,针对《个人信息保护法》中“基于个人同意”的合法性基础下,对应的三款要求可看作是对于“必要性”的进一步解释,包括服务所必需、对个人权益影响最小、最短周期及最低频次的处理要求,明确在个人同意情形下,应限于最小影响以及最小范围。但根据《个人信息保护法》规定,其中第(一)项后半部分的“履行法律、行政法规规定的义务所必需的” 与本条大前提“基于个人同意”均属于处理个人信息的合法性基础,处于并行逻辑关系,因此为避免歧义,可能可以考虑删除本条后半部分内容,保持与上位法的逻辑一致性。

2.如何理解最短周期、最低频次、服务必需?

 “频次”的要求并非第一次出现,在此前《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》第七条第一款“处理个人信息的数量、频次、精度等应当为服务所必需,不得超范围处理个人信息”中即有所体现。频次与周期的最小化实际在约束互联网信息服务提供者的后台操作,法规不再停留在用户端可视界面,而是要求后端操作同样符合最小必要要求,保障个人用户真正实现明确平台对个人信息的收集及处理,用对于后台收集频次和周期的约束性要求,将平台真正规范化,从而避免了用户在不知情情况下反复多次调用用户个人信息的“黑盒”情况发生。

其次,频次与周期的要求与服务必需相对应,这是对于必要性的细化规定,将个人信息的收集限制在必需的“频次”“周期”和“范围”中,真正实现个人信息收集使用的最小必要。对于个人信息处理者而言,“最小必要范围”可参见《常见类型移动互联网应用程序必要个人信息范围规定》,而如何确定相关业务收集个人信息的“最低频次”与“最短周期”,仍待法规及相关行业标准进一步明确细化。

第三款则要求用户若拒绝提供非服务必需信息,个人信息处理者不得干扰或拒绝提供服务,此款规定与《网络安全标准实践指南-移动互联网应用程序(App)收集使用个人信息自评估指南》4.2条及《个人信息保护法》第十六条“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外”相对应。结合《工业和信息化部关于开展信息通信服务感知提升行动的通知》中“找得到,关的了”的要求,个人信息处理者应在设计弹窗、个人信息授权同意等界面出现频率及触发条件时应重点关注用户感知。

(二)隐私政策真的有用吗?——结构化查询个人信息的未来

《条例》第二十条第一款规定

数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。

1.对个人信息处理规则展示方式的细化要求

针对个人信息处理规则的展示方式,《个人信息保护法》第七条及第十七条提出“公开”“透明”“显著方式”“清晰易懂的语言”“真实、准确、完整”的原则性要求,《条例》承接了前述规范,并作出进一步规定“集中公开展示”“易于访问并置于醒目位置”,同时将真实、准确、完整转化为内容“明确具体、简明通俗、系统全面”,与此前的《App违法违规收集使用个人信息行为认定方法》一脉相承。实践中个人信息处理规则多以隐私政策的形式出现,个人信息处理者可依照《条例》要求进一步调整隐私政策文本在App客户端或网页端的显示逻辑与方式。

《条例》第二十条第二款规定

个人信息处理规则应当包括但不限于以下内容:

(一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响;

(二)个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式;

(三)个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法;

(四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;

(五)向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等;

(六)个人信息安全风险及保护措施;

(七)个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。

2.如何理解以“清单”形式列明个人信息处理规则?

《条例》第二十条第二款中指出以“清单”形式呈现个人信息处理规则,相较于《个人信息保护法》而言是对于个人信息处理规则具体内容的执行要求,但根据《工业和信息化部关于开展信息通信服务感知提升行动的通知》中要求建立个人信息保护“双清单”:已收集个人信息清单和与第三方共享个人信息清单的要求,可知“清单化”“透明化”是企业梳理个人信息相关规则的必然趋势。“清单”中应当包括的内容则可根据《条例》进一步确定,同时(四)(五)中对于第三方代码、插件,向第三方提供个人信息的要求虽未明确点明清单化要求,但“集中展示”及“便利用户访问的方式”也可参考清单形式进行梳理,我们结合《个人信息保护法》与《条例》规定梳理出以下清单形式供参考。

500

(点击查看大图)

同时在《个人信息保护法》要求披露“存储期限”之外,《条例》明确要求披露个人信息存储期限的确定方法及到期后的处理方式。因此,个人信息处理者应加强存储时限及必要性的内部论证,构建存储及配套删除处理制度,梳理公司存储期限的确定方法及相应的制定依据和逻辑分析,可在隐私政策的“个人信息的存储”部分予以补充披露。

《条例》第二十三条第一款规定

个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当履行以下义务:

提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制;

3.如何理解“结构化”查询个人信息?

《条例》在第二十三条针对数据处理者的个人信息权利响应义务中,提出应提供“便捷的”“支持个人结构化查询”的方法和途径,对于数据处理者响应个人信息主体请求提出更细化的要求。相较于《个人信息保护法》第四章的规定,《条例》的要求有效推动了个人信息主体实现相关权利。在《个人信息保护法》第五十条已经提出的“便捷”之外,此次《条例》的新增要求为“结构化查询”,并明确点出“个人信息类型、数量”,结合第二十条中的“清单化”要求,数据处理者在响应个人信息主体需求时亦可通过清单形式进行梳理,在后台通过数据表等形式聚合用户个人信息类型、数量等相关要素,并支持用户以“便捷”方式,例如一键导出获取用户个人信息列表。本条的“结构化查询”方式指出除隐私政策外实现个人信息查询权的新路径,随着数据合规法律体系的逐步完善以及与实际产品逻辑的相互融合,我们理解有诸多形式要求的隐私政策文本是监管对个人信息保护的初步要求,可以预见的是,未来企业需要认识到,个人信息的实质性权利需要为个人信息主体所保留,企业需为个人信息主体真实、便捷地了解和管理其个人信息。因此,随着监管的深入以及个人消费者个人信息保护意识的觉醒,企业越早的探索出可操作性强的替代方案(比如dashboard等),将能站在数据驱动型业态的前沿,打造出隐私保护的品牌,获得消费者的青睐。

(三)如何实现并证明授权同意?

《条例》第二十一条规定

处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:

(一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;

(二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;

(三)处理不满十四周岁未成年人的个人信息,应当取得其监护人同意;

(四)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;

(五)不得通过误导、欺诈、胁迫等方式获得个人的同意;

(六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;

(七)不得超出个人授权同意的范围处理个人信息;

(八)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得个人同意,并同步修改个人信息处理规则。

对个人同意行为有效性存在争议的,数据处理者负有举证责任。

1.哪些情形被排除在“同意”之外?

对于个人信息主体的授权同意,《个人信息保护法》在第十四条中进行规定“该同意应当由个人在充分知情的前提下自愿、明确作出”,强调个人信息主体的充分知情、自愿、明确作出,目前行业实践主要依据该条要求执行,倾向采用Opt-in的形式获取用户明确作出的授权同意。而《条例》第二十一条则在此基础上进一步细化,反向排除不能被认定为“个人同意”的情形,有助于数据处理者进一步明确执法界限。

《条例》第二十一条与2021年5月1日生效的《网络交易监督管理办法》第十三条相照应,明确指出形式上不能使用概括性条款,且与《信息安全技术 个人信息安全规范》相承,提出不得仅以改善服务质量等为由强迫个人同意,不得诱导个人进行批量个人信息同意;因此在改善服务质量、提升用户体验以及研发新产品的情形下,应当获取用户同意才能对其信息进行进一步处理;结合《条例》第二十条对于个人信息处理规则“每项功能”分别列明的要求,数据处理者在获取用户同意时建议应区分功能逐项获取,尽量避免“一揽子”授权。

2.如何理解数据处理者的举证责任?

《条例》第二十一条第三款新增在对个人同意行为存在争议时数据处理者的举证责任,因此,数据处理者在获取个人同意的途径与方式上,应当具有充分的法律依据进行论证同意的有效性和合规性,建议数据处理者在对于征求个人同意功能上线前,内部进行充分的合法合规性论证,明确相关授权方式符合法规要求,并对线上用户的授权同意操作进行后台日志记录,我们理解在对用户授权同意的日志文件中,至少应当包含时间戳、用户账号信息、授权同意操作行为等信息,才能较为充分地佐证已获取用户充分授权同意;同时,对线下用户的授权同意操作应当进行妥善保存留档。

(四)如何落地个人信息权利响应机制?

《条例》第二十二条规定

有下列情况之一的,数据处理者应当在十五个工作日内 删除个人信息或者进行匿名化处理:

(一) 已实现个人信息处理目的或者实现处理目的不再必要;

(二) 达到与用户约定或者个人信息处理规则明确的存储期限;

(三) 终止服务或者个人注销账号;

(四) 因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。

删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。

法律、行政法规另有规定的从其规定。

《条例》第二十三条第一款规定

(三)收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。

1.个人信息权利响应期限明确为“十五个工作日”

《个人信息保护法》中对于个人信息权利响应期限并未作出明确规定,此次《条例》则在第二十三条中直接明确规定自收到申请起“十五个工作日”内处理并反馈。在《条例》之前,《App违法违规收集使用个人信息自评估指南》9.32项以及《网络安全标准实践指南 移动互联网应用程序(App)收集使用个人信息自评估指南》6.3项、《App违法违规收集使用个人信息行为认定方法》第六点中均提出“十五个工作日”的时限要求,但《条例》则是首次从行政法规层面予以规定,因此数据处理者应尽快规范并畅通内部个人信息响应流程,保障申请起十五日内完成处理并反馈,杜绝形式性的个人信息保护联系方式,要确保个人信息主体的需求能够及时有效得到企业受理并按照规范流程进行后续解决。

删除权不仅涉及响应时限,《条例》第二十二条规定的多种应当删除或匿名化处理的情形中,除(二)(三)有明确的时间界限外,“已实现个人信息处理目的或者实现处理目的不再必要” 及自动化采集场景下,何时起算“十五个工作日”尚存在不确定性,有待法律法规进一步明确细化。

2.自动化采集删除情形对爬虫等技术实施的影响?

对于需要删除或进行匿名化处理的情形,《条例》相较于《个人信息保护法》第四十七条,增加了“个人注销账号”以及自动化采集到非必要或未经同意的个人信息两种场景,并且未包含“个人撤回同意”的情形。涉及自动化采集技术的内容可以看作为自动化采集技术留出一定的处理空间,在提供数据分析服务的企业中,大量使用爬虫等类型的自动化采集技术爬取公开平台下的需求信息,其中难以避免包含部分未经同意或非必要的个人信息。《条例》对于如何处理此部分信息作出明确指引,要求相关数据处理者在规定期限内及时进行删除或匿名化处理。确实难以进行处理的,《条例》沿用了《个人信息保护法》第四十七条的缓冲措施,要求其停止除存储和采取必要的安全保护措施之外的任何处理,并且增加了向相关个人作出合理解释的义务要求。

《条例》第二十四条规定

符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:

(一) 请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;

(二) 请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;

(三) 能够验证请求人的合法身份。

数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。

请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。

3.个人信息转移权的条件完善

赋予个体对其个人信息所要求的转移和携带权使得其能够真正意义上支配其个人信息,彰显康德意义上的“人是目的,而不是手段”的主体哲学色彩,实现人格的发展和隐私的自治。同与个人信息相关的权利如查询权、复制权、更正权、删除权的逻辑类似,个人信息转移权体现了主体对个人信息的自决与控制。同时在竞争法的框架下,个人信息的移转将有助于打破锁定效应,促进自由竞争,使得互联网平台赢者通吃的马太效应有所缓解,为初创公司和小企业的市场进入创造机会,有助于打破平台壁垒,推动平台的互通互联。个人信息的共享与流动也将有助于打造基于个人信息的数字基础设施,并通过身份认证、连接匹配、声誉评价等制度促进个人信息的公共性使用。

对于数据可携权的实现,我国《个人信息安全规范》(GB/T 35273—2020)中首次规定了个人信息转移权的内容,但其转移的个人信息是有限的,即内容是个人的基本资料、身份信息、健康生理信息和教育工作信息,且转移的个人信息仅为副本。《个人信息保护法》进一步发展,于第四十五条第三款规定“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”其中“国家网信部门规定条件”的限定条件有待进一步明确,且只规定了个人信息处理者提供转移途径的义务。而《条例》在二者基础上,针对个人信息处理者协助个人信息主体实现数据可携权的义务进一步细化规定,使得数据可携权在我国具有了实践可执行性。

通过与欧盟《通用数据保护条例》(“GDPR”)第20条数据转移权条款进行对比,我国《条例》允许转移的不仅包括“个人信息”,还包括“合法获得且不违背他人意愿的他人信息”,而GDPR中数据主体有权获得的则是其提供给控制者的相关个人数据,其中就可能包含其获得他人同意后向数据控制者提供的个人数据,从此维度而言,我国《条例》规定可提出转移权的范围实际不仅限于用户提供给数据处理者的信息,还包括合法获得且不违背他人意愿的他人信息,例如在与他人的微信聊天中,聊天记录信息应归属于所有参与主体共有,此种情况下,根据《条例》规定,用户只要不违背其他参与主体意愿,即可提出对该部分聊天记录的数据转移。这对于可能同时归属于多人的数据信息转移权利实现进行了明确指引,我们理解针对此类信息的更正权、删除权等权利实现也可参照此逻辑。

4.企业如何响应个人信息主体实现数据可携权?

在对于数据可携权的实际落地中,《条例》规定了提供转移服务的前提是“能够验证请求人的合法身份”,因此数据处理者应根据该条前两项条件设置合理验证机制,判断相关主体是否具有数据可携权。且相较于GDPR及《个人信息保护法》而言,《条例》不仅限于数据从一个控制者处无障碍传输给另一个控制者,还涵盖了实现个人指定的其他数据处理者访问、获取相关数据的要求。在实现数据可携权的过程中,《条例》还规定数据处理者具有风险提示义务,当数据处理者发现接收者具有非法处理个人信息风险时,应当对该个人信息转移请求做合理风险提示。在实践中,数据处理者接收个人信息转移请求后,如何对个人信息主体指定的数据接收者进行合法处理判断,除了通过数据传输协议条款控制外,是否还需尽其他注意义务,“合理风险提示”需要达到何种程度,仍待后续法规进一步解释说明。

(五)其他重点变化

《条例》第二十五条第一款规定

数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。

1.使用生物特征进行个人身份识别的合规要求?

生物识别数据安全和隐私保护一直有着极高关注度,根据《个人信息保护法》规定,生物识别信息属于敏感个人信息范畴,应当遵守敏感个人信息的相关保护要求。在地方性法规中,《深圳经济特区数据条例》第十九条“处理生物识别数据的,应当在征得该自然人明示同意时,提供处理其他非生物识别数据的替代方案。”即提出了利用生物特征进行个人身份识别应向个人信息主体提供替代性方案的要求,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十条专门针对以人脸识别作为出入物业服务区域的场景进行说明,指出“请求提供其他合理验证方式的,人民法院依法支持”。承继“替代性”要求,《条例》第二十五条亦规定不得将生物特征作为唯一的个人身份认证方式。个人信息处理者在实践过程中,除准备必要的替代性方案,不强制用户授权同意生物识别外,还需根据《条例》规定对必要性、安全性进行风险评估。

《条例》第二十六条规定

数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。

2.如何理解个人信息和重要数据的关系?

根据《条例》第二十六条规定,如果数据处理者处理一百万人以上个人信息时,应遵守第四章重要数据处理者的相关规定,因此如果处理一百万人以上的个人信息,数据处理者应对其加以与“重要数据”相同的保护措施并履行相应义务。但在例如汽车等特定行业领域,《汽车数据安全管理若干规定(试行)》第三条对于重要数据的定义则包括“涉及个人信息主体超过10万人的个人信息”。尽管该条款并没有直接说明“一百万以上个人信息”被视为重要数据,但如何理解“一百万”与“十万”之间的关系,关系到确定个人信息和重要数据的范围。若《汽车数据安全管理若干规定(试行)》中的“十万”只是单纯的个人信息数量级别,则我们认为应当与“一百万”进行统一,明确落入重要数据保护范围的界限。但若“十万”是由于汽车领域的特殊性而定,则我们理解《条例》中的“一百万”可以理解为更为通用的规定。

针对个人信息和重要数据的交叉,我们认为“重要数据”除了关注数据涉及主体的数量外,数据的具体应用领域,对国家安全、公共利益的可能影响程度等因素均会影响对是否落入“重要数据”范围的判断。我们理解不应仅局限于数量级这一单一因素,而应当将定量与定性相结合,根据具体的数据类型、特性不同,判断是否会因量变引发质变,从而综合判定是否落入“重要数据”范围。

结语

在数字化时代,个人信息保护问题的重要性不言而喻,随着《网络安全法》《数据安全法》《个人信息保护法》三部核心法律的颁布,我国个人信息保护已然进入新阶段,而《条例》则进一步完善巩固了我国既有的个人信息保护体系,对于诸多原则性规范要求加以详细化、要点化、可实行化,针对个人信息保护的多环节进行说明规定,重点明确了知情同意环节及个人信息权利响应环节的相关要求。

《条例》所规定的“清单化” “格式化查询”,对响应期限的明确,对删除权实行情形的明确等要求,均使得企业有更为细化的落地依据,也能为企业探索个人信息保护合规化建设途径提供有效指引,解答了企业对于《个人信息保护法》等上位法原则性概念的模糊,明晰了个人信息保护的界限。随着《条例》等网络数据安全管理规则的颁布,政企机构、互联网平台等数据处理者能够进一步规范数据处理活动,我国的数据产业与数字经济发展也将在其指引下继续稳步前行。

来源:金杜研究院

全部专栏