數安條例百問43、44、45:關于個人行權
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第二十三條 個人提出查閱、復制、更正、補充、限制處理、刪除其個人信息的合理請求的,數據處理者應當履行以下義務:
(一)提供便捷的支持個人結構化查詢本人被收集的個人信息類型、數量等的方法和途徑,不得以時間、位置等因素對個人的合理請求進行限制;
(二)提供便捷的支持個人復制、更正、補充、限制處理、刪除其個人信息、撤回授權同意以及注銷賬號的功能,且不得設置不合理條件;
(三)收到個人復制、更正、補充、限制處理、刪除本人個人信息、撤回授權同意或者注銷賬號申請的,應當在十五個工作日內處理并反饋。
法律、行政法規另有規定的從其規定。
解讀
所謂保護個人信息權,實際上是保護個人查閱、復制、更正、補充、限制處理、刪除等權利。這些權利集中在《個人信息保護法》的第四章“個人在個人信息處理活動中的權利”體現。
當法律確定了這些權利后,個人如何行使這些權利就成了接下來的重要事務。畢竟,確認這些權利是一個法理問題,而行使這些權利是一個實務問題。如果法律確認了用戶享有的這些權利,但個人信息處理者卻為用戶行使這些權利制造障礙,那么依然于事無補。
為此,《條例》設立了第二十三條,要求個人信息處理者為用戶行權提供支持,具體分為三方面:
一是關于用戶對自己的個人信息的查閱權(也稱訪問權)。這里突出了兩個要點:(1)必須支持用戶結構化查詢,否則用戶查到一堆亂碼有什么意義?(2)不得對用戶行權進行限制。有人提出,為什么對“時間”和“位置”作特殊規定?因為現實中,有的企業規定,只能在特定時間(例如每月1日)或用戶親自到特定地點(例如只能在北京現場操作)方可查詢,這顯然是不合理的。
二是必須提供便利用戶行權的功能。不可否認,用戶行使個人信息權,離不開企業的配合,如果沒有提供這些功能,行權就可能會成為一句空話。
三是應當在十五個工作日內處理并反饋用戶的申請。如果不對時間作出約定,有的企業可能一直拖下去,從而規避法律義務。至于為什么限定為十五個工作日,此前已在關于“刪除”的條款中作過解釋。”
對應條款
第二十四條 符合下列條件的個人信息轉移請求,數據處理者應當為個人指定的其他數據處理者訪問、獲取其個人信息提供轉移服務:
(一)請求轉移的個人信息是基于同意或者訂立、履行合同所必需而收集的個人信息;
(二)請求轉移的個人信息是本人信息或者請求人合法獲得且不違背他人意愿的他人信息;
(三)能夠驗證請求人的合法身份。
數據處理者發現接收個人信息的其他數據處理者有非法處理個人信息風險的,應當對個人信息轉移請求做合理的風險提示。
請求轉移個人信息次數明顯超出合理范圍的,數據處理者可以收取合理費用。
解讀
個人信息轉移請求有特定含義,特指《個人信息保護法》第四十五條第三款規定的情況:個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。
但是,由于該條前兩款指向了“向個人信息處理者查閱、復制其個人信息”,所以讀者很容易把“個人信息轉移”同“查閱、復制其個人信息”關聯起來。實際上,兩者可以沒有關系。固然,用戶可以查閱、復制其個人信息,再將個人信息交給第三方。這也能達到“將個人信息轉移至其指定的個人信息處理者”的目的,但如果這樣便不存在列第三款的必要了。
《個人信息保護法》第四十五條之所以列第三款,是考慮到了直接將個人信息從一個個人信息處理者直接轉移到另一個個人信息處理者的情形。這在醫療健康場景中非常常見。一個人從A醫院轉到B醫院看病時,自然希望其病例能直接轉移,沒有必要自己帶過去。
但在這類場景中,至少涉及到了三方,且轉移的信息還有可能涉及到更多方的利益,并不總是可以合法合規實現,客觀上要滿足一定的條件。為此,《個人信息保護法》第四十五條指出,將個人信息轉移至個人指定的個人信息處理者,只有在符合國家網信部門規定條件時,個人信息處理者方有提供轉移途徑的義務。
但《個人信息保護法》并未明確這一條件,這便是《條例》第二十四條的立法目的。即,根據《個人信息保護法》的授權,明確個人信息轉移至個人指定的個人信息處理者的條件。
對應條款
第二十四條 符合下列條件的個人信息轉移請求,數據處理者應當為個人指定的其他數據處理者訪問、獲取其個人信息提供轉移服務:
(一)請求轉移的個人信息是基于同意或者訂立、履行合同所必需而收集的個人信息;
(二)請求轉移的個人信息是本人信息或者請求人合法獲得且不違背他人意愿的他人信息;
(三)能夠驗證請求人的合法身份。
數據處理者發現接收個人信息的其他數據處理者有非法處理個人信息風險的,應當對個人信息轉移請求做合理的風險提示。
請求轉移個人信息次數明顯超出合理范圍的,數據處理者可以收取合理費用。
解讀
《條例》規定了三種應當為個人指定的其他數據處理者訪問、獲取其個人信息提供轉移服務的條件:
一是請求轉移的個人信息是基于同意或者訂立、履行合同所必需而收集的個人信息。《個人信息保護法》第十三條規定了七種可以合法處理個人信息的場景(第七種是兜底的),其中第一種是基于個人同意,第二種是為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需。前兩種與后續五種的區別在哪里呢?根本在于,前兩種基于個人意愿,或者說經過了個人意愿,這時候由個人提出轉移其個人信息是合理的。但在其他種情形下,個人信息的收集本來就同個人意愿無關,又怎么能按個人意愿進行轉移呢?
二是請求轉移的個人信息是本人信息或者請求人合法獲得且不違背他人意愿的他人信息。這其中涉及到另一個深刻的命題:一個人的個人信息有沒有可能含有他人的個人信息?一般情況下,人們不會去討論這種情況,因為基于個人同意已經可以應對絕大多數情形。但在向第三方轉移場景下,情況變得較為復雜。例如,一個人要求某即時通信工具將其朋友列表轉移到另一即時通信工具,這可以嗎?如果原工具支持了這一請求,則接收好友列表的工具可以基于好友列表對該人的好友發出邀請,這很可能會被這些好友視為侵擾。這就屬于因轉移個人信息而違背他人意愿的情況,此時不應該支持用戶的轉移個人信息申請。
三是能夠驗證請求人的合法身份。任何種類的個人行權,都應當以驗證個人身份為前提。但為什么在向指定個人信息處理者轉移個人信息時又再次強調身份認證呢?可以聯想一下個人信息處理者將個人信息轉移給第三方的條件,此時需要個人“單獨同意”。嚴格程度遠遠超出一般場景,可見此類事情的敏感程度。事實上,即使是個人主動發出申請,一旦處理不當,后果也同樣嚴重。故而,此時必須驗證請求人的合法身份,否則不能貿然向第三方轉移個人信息。
需要指出,《條例》第二十四條還進一步設置了第二款和第三款,這兩款規定也有特殊考慮。
第二款要求,數據處理者發現接收個人信息的其他數據處理者有非法處理個人信息風險的,應當對個人信息轉移請求做合理的風險提示。這是因為,有時個人未必具備足夠的風險意識,可能忽視向另一方轉移其個人信息的風險,故原個人信息處理者應當對個人作風險提示。
第三款要求,請求轉移個人信息次數明顯超出合理范圍的,數據處理者可以收取合理費用。這一規定容易理解,這是保護企業合法利益、防止濫用個人信息權的必要舉措。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
