數安條例百問31、32:關于“合法、正當、必要”原則
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第十九條 數據處理者處理個人信息,應當具有明確、合理的目的,遵循合法、正當、必要的原則。基于個人同意處理個人信息的,應當滿足以下要求:
(一)處理的個人信息是提供服務所必需的,或者是履行法律、行政法規規定的義務所必需的;
(二)限于實現處理目的最短周期、最低頻次,采取對個人權益影響最小的方式;
(三)不得因個人拒絕提供服務必需的個人信息以外的信息,拒絕提供服務或者干擾個人正常使用服務。
解讀
合法、正當、必要是收集、使用個人信息的最根本原則。為此,關于個人信息保護的三部重要法律文件中,都對此作了明確規定。
《全國人民代表大會常務委員會關于加強網絡信息保護的決定》(2012年12月28日通過)第二條規定:網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意,不得違反法律、法規的規定和雙方的約定收集、使用信息。
《網絡安全法》第四十一條規定:網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。
《個人信息保護法》第五條規定:處理個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。
但在實踐中,關于什么叫做“合法、正當、必要”?如何評判“合法、正當、必要”?并沒有統一的標準。多數時候,“合法”比較容易理解,且有客觀標準;“正當”則是主觀感受,多指符合社會倫理和行為規范的要求,或者符合社會發展需要和人民利益,道德上的正當是最起碼、最低的要求,但不止于此;“必要”則是個人信息保護特有的,一般解釋為,只處理滿足個人同意的目的所需的最少個人信息。
《個人信息保護法》第六條規定:處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。
《個人信息保護法》的上述規定,可以認為是對“必要”原則的闡述。但在實踐中,又產生了什么叫做“最小”“最少”的進一步疑問。與之相關的是,如果不是“最小”“最少”,該怎么辦?
為此,從實際需求出發,《條例》第十九條在以往相關規定的基礎上,對“必要”作了進一步展開。考慮到《個人信息保護法》提出了處理個人信息的七類合法性基礎,其他六類(包括兜底的第(七)項)都有特殊場景,故本條針對的是基于個人同意處理個人信息的場景(“同意”是第一類合法性基礎)。
一是要求處理的個人信息是提供服務所必需的,或者是履行法律、行政法規規定的義務所必需的。該項要求是為了體現條款完整性,對“必要”所作的原則性表述。
二是要求限于實現處理目的最短周期、最低頻次,采取對個人權益影響最小的方式。這是考慮到,以往人們對“最小”“最少”的理解主要體現在類型、數量方面,但實際上收集的周期、頻次也對個人權益影響甚大,故需作出補充規定。
三是要求不得因個人拒絕提供服務必需的個人信息以外的信息,拒絕提供服務或者干擾個人正常使用服務。這是針對一些數據處理者在用戶不同意提供服務必需的個人信息以外的信息時,直接退出的情況。根據該項規定,如果用戶不同意提供服務所必需的個人信息,當然可以停止服務;但如果是必需之外的個人信息,則不能停止服務,且不得降低服務質量,不得改變用戶感受。
對應條款
第十九條 數據處理者處理個人信息,應當具有明確、合理的目的,遵循合法、正當、必要的原則。基于個人同意處理個人信息的,應當滿足以下要求:
(一)處理的個人信息是提供服務所必需的,或者是履行法律、行政法規規定的義務所必需的;
(二)限于實現處理目的最短周期、最低頻次,采取對個人權益影響最小的方式;
(三)不得因個人拒絕提供服務必需的個人信息以外的信息,拒絕提供服務或者干擾個人正常使用服務。
第二十條 數據處理者處理個人信息,應當制定個人信息處理規則并嚴格遵守。個人信息處理規則應當集中公開展示、易于訪問并置于醒目位置,內容明確具體、簡明通俗,系統全面地向個人說明個人信息處理情況。
個人信息處理規則應當包括但不限于以下內容:
(一)依據產品或者服務的功能明確所需的個人信息,以清單形式列明每項功能處理個人信息的目的、用途、方式、種類、頻次或者時機、保存地點等,以及拒絕處理個人信息對個人的影響;
……
解讀
收集、使用用戶個人信息時應當征得同意(特殊情況例外),這是一條基本的法律要求。在我們使用互聯網服務的體驗中,也的確感受到了“同意”這種操作。但是不是我們“同意”一次,應用程序就收集一次信息呢?很多時候不是這樣的。我們“同意”后,應用程序可能會一直在收集信息,這就產生了收集個人信息的周期、頻次、時機等要求。如果對此不作規定,就會使一些機構繞過法律要求而侵害用戶合法權益。
典型的是位置信息。基于位置的服務(LBS)已經應用非常普遍,但對于何時收集、多長時間收集一次、收集什么精度的位置信息,目前并沒有規定。但常識告訴我們,有些服務對位置信息的收集顯然超出了必要范圍。例如,約車服務要收集用戶的精確位置信息,而且頻率較高,但新聞服務需要收集用戶的精確位置信息嗎?需要每分鐘收集一次嗎?新聞服務僅僅是為了向用戶推送“本地新聞”,這根本不需要實時的精確位置,大致的、幾個小時內的位置信息便可滿足。
因此,僅僅把必需理解成對個人信息類型、范圍提要求,這遠遠不夠。至于說,什么樣的周期、頻率、時機才是合理的,這與具體服務有關,法律法規只能作出原則規定,后續還需要具體的標準規范去確定。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
