【小贝说安全】数安条例百问20、21、22:关于向第三方提供个人信息或发送重要数据
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第十二条 数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规定:
(一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外;
(二)与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督;
(三)留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。
数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。
解读
提供数据是常见的行为,出于对个人信息和重要数据进行重点保护的目的,应当对此类行为进行规范。
对个人信息而言,提供分为两种。一种是向第三方提供,一种是向委托处理者提供。因后者并不使用个人信息,仅按照与委托方约定的目的和方式开展数据处理活动,故此时不必征得个人同意。《个人信息保护法》第二十三条规定:个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。这与《条例》规定的“向第三方”提供场景一致。就具体要求来看,《条例》增加了存储期限、存储地点的要求,并规定了例外情况。一些人关心,这里的“存储地点”颗粒度多大?《条例》并未明确要求,但一般而言至少应说明是境内还是境外。
从该条与《个人信息保护法》对比看,“向第三方提供”与“向其他个人信息处理者提供”的内涵是一致的。如前所述,这个“第三方”显然不包括委托处理者。但《条例》“附则”将“委托处理者”定义为“委托第三方按照约定的目的和方式开展的数据处理活动”,这就出现了对“第三方”的不同理解,后续有必要进行修改。
该条第(一)项的主要要求是“单独同意”,这是处理重要数据所不涉及的,除此之外对两类数据的处理有共同要求。无论是向第三方提供个人信息,还是共享、交易、委托处理重要数据,必然有数据接收者,故需要通过合同等方式与数据接收方作出约定,且要对数据接收方的数据处理活动进行监督。这是该条第(二)项的立法目的。对个人信息的这一要求超出了《个人信息保护法》,但在实践中是必要的。
第(三)项中,提到了留存“审批记录”的要求。但《条例》此前并未对审批作出规定。此处的“审批”来自第三十三条:数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。鉴于两者的位置和前后顺序不便理解,后续有必要进行修改。
对应条款
第七十三条 本条例下列用语的含义:
(八)单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。
解读
“单独同意”出自《个人信息保护法》的要求,一直以来被社会高度关注,因其直接影响到各类互联网服务的设计和实现方式,事关重大。《条例》继承了《个人信息保护法》,并有所扩展,在四种场景下要求取得个人单独同意。
一是向第三方提供个人信息时,要求取得个人单独同意(第十二条)。
二是处理敏感个人信息时,要求取得个人单独同意(第二十一条)。
三是向境外提供个人信息时,要求取得个人单独同意(第三十六条)。
四是收集个人信息用于个性化推荐时,要求取得个人单独同意(第四十九条)。
以上第四种场景是《个人信息保护法》之外新增的。《条例》本身可以增设此类新的要求,且《条例》第十四条还提出,法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。故《条例》作此处理并无不当。为使读者理解该种场景,后续还将对第四十九条的“单独同意”作进一步解读。
那么,如何理解“单独同意”呢?从《条例》“附则”所列定义看,人们更容易关注“对每项个人信息取得个人同意”。但实际上,该定义一共强调了“单独同意”的三个特点,并非仅上述一个:
首先,强调事发时刻。即“数据处理者在开展具体数据处理活动时”。为什么一定要强调这一点?因为在安装、登录时征求用户同意,与收集、处理用户个人信息时征求用户同意,给用户的感受是不一样的。在后者的情况下,用户会更容易做到谨慎和注意。
其次,强调单项个人信息,这是“单独同意”的最基本含义,毋庸多言。
第三,在单项信息的规定不适用时,以单次数据处理活动为准。这是考虑到,如果仅仅依靠时间、信息来做判断,有时候是不够的。最典型的是算法推荐,其收集数据的特点是范围无边界、时长无限制,这时候就只能以“单次数据处理活动”来判断。
对应条款
第十二条 数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规定:
(一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外;
(二)与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督;
(三)留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。
数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。
解读
征得个人“同意”是个人信息保护制度的核心要求。《个人信息保护法》和《条例》均对此作出了多项规定,这在国外立法中也是重点。可以看到,关于“同意”的要求越来越严格,规则设计越来越精巧,这值得肯定。但事后谁能说得清“同意”的内容呢?如果事后不可查,那么对“同意”提出更多要求又有什么意义呢?
遗憾的是,全球关于个人信息的立法几乎都忽视了这一问题。国外的诚信机制比较健全,个人信息处理者“赖账”的情况几乎不会出现,但国内的情况则有很大不同,不留存“同意”记录的后果十分严重,相当于前功尽弃。
为此,《条例》首次提出了留存记录的要求。但目前该要求出现在向第三方提供个人信息的同意场景下。推而广之,其对于所有的同意场景都应该是适用的。今后有必要在此基础上提出进一步的严格要求。
下期预告
23
如何理解《条例》提出的网络安全审查要求?
24
《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系?
25
为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求?
26
为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求?
往期链接
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么?
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系?
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求?
19、如何理解重要数据或者十万人以上个人信息事件的处置义务?
(文章来源:小贝说安全)
