比较法视角下的数据合规研究\n——以网络安全法、数据安全法、个人信息保护法为基础(二)
三部法律相继出台,对于涉及处理个人信息的企业也提出了新的要求。
根据《网络安全法》第二十二条的规定,网络产品、服务具有收集用户功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
根据《数据安全法》第八条的规定,开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
《个人信息保护法》在上述两部法律的基础上,进一步细化了个人信息处理者的义务,因此下述主要阐述个人信息保护法对企业的要求。根据第四条的规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,具体说来:
对于个人信息的收集,个人信息处理者应遵守合法性原则,其基本内涵为以“知情-同意”为原则,以法律明确规定的情形为例外:
对于上述第2至第7种情形,个人信息处理者虽无需取得个人的同意,但仍应遵循公开透明原则,采取合理方式告知个人。
《个人信息保护法》将单独同意作为重要的同意形式,对于《个人信息保护法》明确规定需要个人信息收集者取得个人的单独同意的,个人信息收集者应当设置单独同意的窗口,破除“无感知收集”、“捆绑授权”或“强迫收集”。单独同意的适用情形有:
(1)个人信息处理者向其他个人信息处理者提供其处理的个人信息(第二十三条)。
(2)个人信息处理者公开其处理的个人信息(第二十五条)。
(3)在公共场所安装图像采集、个人身份识别装备,将收集的个人图像、身份识别信息用于维护公共安全目的以外的其他目的(第二十六条)。
敏感信息收集除需遵守一般收集规则外,还需遵守《个人信息保护法》关于敏感信息的特别规定:
(1)敏感信息收集的前提:具有特定的目的和充分的必要性,并采取严格保护措施。
(2)“知情同意”的适用:处理敏感个人信息应当取得个人的单独同意,法律行政法规规定应当取得书面同意的,应当从其规定。
(3)“知情同意”例外的适用:如果基于“知情同意”原则以外的情形收集处理个人敏感信息的,应当告知个人处理敏感个人信息的必要性以及对个人权益的影响。
(4)不满十四周岁未成年个人信息的收集原则:个人信息处理者应当取得不满十四周岁未成年人的父母或者监护人的同意,并应当制定专门的个人信息处理规则。
对于如何取得监护人的同意,可参考《信息安全技术 个人信息告知同意指南》的相关规定,采取如下方式:
(1)核验未成年人身份:对于未成年人非为主要受众群体的产品或服务,可以采用验证强度较低的方式进行核实,例如通过弹窗询问个人信息主体是否已满14周岁、要求个人信息主体声明其已年满14周岁等。
对于未成年人为主要受众群体的产品或服务(如游戏、社交以及教育产品等),此时宜采用验证强度较高的方式进行核验,例如要求个人主体输入生日信息(精确到年月日)、身份证号,或采取其他合理的方式进行身份验证,但上述措施不应超过必要限度(例如不应要求未成年人上传其手持身份证的照片)。
(2)核验监护人身份:若根据以上核验个人信息主体的身份为未成年人的,宜继续采取合理措施核验监护人的身份,合理措施包括短信验证、电话验证、邮箱验证、超链接验证等。
(3)告知的方式:终端或应用仅单独面向未成年人的,宜使用未成年人可理解的方式进行告知,并在协议或交互界面中重点说明收集、使用未成年人信息的情况和敏感性,可参考身份核验的合理措施向其监护人进行告知,即在核验其为未成年人身份后,继续核验其监护人身份时,可将相关需要告知的信息采用短信、电子邮件的方式向其监护人告知。
若产品或服务为未成年人和监护人提供了不同终端或应用界面的,可以根据角色分别制定告知方案。未成年人端可以通过简明、易于理解的形式展示其在使用产品或服务过程中可能遇到的个人信息问题,并加以注意;监护人端可以通过弹窗、提示框、文字说明等形式详细说明未成年人信息收集、使用的情况,并重点提示未成年人个人信息的敏感性。
(4)同意的方式:终端或应用仅单独面向未成年人的,可参考向未成年人的监护人进行告知的方式,并在告知时同时征求监护人的同意,即在将相关需要告知的信息采用短信、电子邮件的方式向其监护人告知时同时提供同意和拒绝的选项。
若产品或服务为未成年人和监护人提供了不同终端或应用界面的,可在向监护人告知个人信息使用规则等信息时同时征求监护人的同意。例如在监护人通过弹窗展示授权页面,让监护人选择“同意”或“拒绝”。
个人信息的保存期限应当为实现处理目的所必要的最短时间,除法律、行政法规另有规定外(第十九条)。
实践中,个人信息收集者应注意不得将数据存储于未经授权的介质、地点等,如设置堡垒机。
根据《个人信息保护法》第二十条规定,共同处理是指两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式。对于共同处理的,处理者应当约定各自的权利和义务,但该约定不影响个人向其中任何一个个信息处理者要求行使本法规定的权利。
个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。
根据《个人信息保护法》第二十一条规定,个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类,保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
根据《个人信息保护法》第二十二条规定,个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
根据《个人信息保护法》第二十三条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。
接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
根据《个人信息保护法》第五十五条规定,个人信息处理者向其他个人信息处理者提供个人信息的,应当事前进行个人信息保护影响评估,并对处理情况进行记录。
根据《个人信息保护法》第三十八条规定,数据出境需满足以下条件之一:
①依照《个人信息保护法》第四十条的规定通过国家网信部门组织的安全评估;
②按照国家网信部门的规定经专业机构进行个人信息保护认证;
③按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利义务;
④法律、行政法规规定或者国家网信部门规定的其他条件。
个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意(第三十九条)。
个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意(第三十九条)。
对于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估(第四十条)。
根据《个人信息保护法》第四十二条规定,境外组织者、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。
根据《个人信息保护法》第四十二条规定,境外组织者、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。
除取得个人单独同意外,个人信息处理者不得公开其处理的个人信息(第二十五条)。
对于个人自行公开或者其他已经合法公开的个人信息,个人信息处理者可以在合理的范围内处理;但个人明确拒绝的除外。个人信息处理者处理已经公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意(第二十七条)。
个人信息处理者公开个人信息的,应当事前进行个人信息保护影响评估,并对处理情况进行记录(第五十五条)。
自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策活动(第七十三条第二款)。
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇(第二十四条第一款)。
相较于之前《反垄断法》的规定,《个人信息保护法》不再要求个人信息提供者必须具备市场支配地位。
为避免个人落入信息茧房,个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式(第二十四条第二款)。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定(第二十四条第三款)。
《网络安全法》第二十一条要求网络运营者履行网络安全等级保护制度,《数据安全法》同样在第二十一条规定了数据分级保护。《个人信息保护法》第五十一条要求个人信息处理者对个人信息实行分类管理。因此在实践中,企业可对个人信息进行分类管理,实行不同的保护制度。分类纬度可从以下几方面考虑:
可以从“影响个人自主决定权”、“引发差别性待遇”、“个人名誉受损和遭受精神压力”、“个人财产受损”四个维度,对个人信息进行分类,对于不同的信息在企业内部设置不同的访问权限、字段屏蔽处理、脱敏处理等方式进行管理。
2、根据信息属于一般个人信息还是敏感个人信息进行不同的管理
3、根据存储时间的不同进行分类管理
4、根据信息对应的业务功能进行管理
5、根据不同的处理方式进行管理
企业尤其是集团企业应搭建数据安全整体架构,并建立符合标准的安全技术措施以保障数据存储流通安全。
1、完整的授权体系:企业应针对不同部门、上下游建立完整的授权体系,只接入授权范围内的数据,严格遵守上下游各系统、各部门的数据要求。
2、数据脱敏机制:企业不同部门应根据数据安全管理要求共同制定脱敏的原则和机制,在数据获取和使用过程中严格遵守数据脱敏原则。
3、最小权限原则:严格各方数据使用权限,不允许无权限人后台访问,有权限人员也仅在相应系统中分析使用。
4、定义数据存储物理位置:不得允许数据存储于未经授权的介质、地点等,如设置堡垒机。
2、功能权限设置:分角色赋权,将数据的管理与使用权分割。
3、数据权限设置:对数据进行表级、字段级、记录级控制。
4、敏感字段控制:数据以不可见方式展示在未授权用户下。
5、数据导出控制:用户仅授权许可后才可以导出数据。
6、水印控制:系统中可始终有水印存在,在截图和拍照情况下留痕。
企业可以从“网络环境和技术措施”、“处理流程规范性”、“参与人员与第三方“、”安全态势及处理规模”几个方面定期进行风险评估。
如涉及数据出境的,需严格遵守出境条件、安全评估、单独同意、数据存储、遵守负面清单规定等。
企业内部应建立培训机制,对接触数据的各部门进行定时培训教育,并建立数据出现安全问题时的应急预案。
cuishaonan@chonglilaw.com
执业领域:民商事诉讼、投融资并购、私募基金、数据合规、劳动合规与员工股权激励
关于崇立
崇立律师事务所经广东省司法厅批准成立,位于深圳市龙华区星河World二期 E 座6楼(坂田华为片区),是一家合伙制律师事务所。崇立的服务范围涵盖企业投融资并购、私募基金、外商直接投资、资本市场、金融与金融科技、用工合规与员工股权激励、公司日常治理与规范运作、反垄断合规及民商事争议解决。
特别声明
本网站所发布的资讯或文章仅为交流讨论目的,不代表崇立律师事务所(“本所”或“我们”)出具的任何法律意见。任何依据本文的全部或部分内容而作出的判断或决定(无论作为或不作为)以及因此造成的法律后果,本所不承担任何责任。如果您需要相关法律意见或法律服务,欢迎联系我们。
