數安條例百問20、21、22:關于向第三方提供個人信息或發送重要數據
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第十二條 數據處理者向第三方提供個人信息,或者共享、交易、委托處理重要數據的,應當遵守以下規定:
(一)向個人告知提供個人信息的目的、類型、方式、范圍、存儲期限、存儲地點,并取得個人單獨同意,符合法律、行政法規規定的不需要取得個人同意的情形或者經過匿名化處理的除外;
(二)與數據接收方約定處理數據的目的、范圍、處理方式,數據安全保護措施等,通過合同等形式明確雙方的數據安全責任義務,并對數據接收方的數據處理活動進行監督;
(三)留存個人同意記錄及提供個人信息的日志記錄,共享、交易、委托處理重要數據的審批記錄、日志記錄至少五年。
數據接收方應當履行約定的義務,不得超出約定的目的、范圍、處理方式處理個人信息和重要數據。
解讀
提供數據是常見的行為,出于對個人信息和重要數據進行重點保護的目的,應當對此類行為進行規范。
對個人信息而言,提供分為兩種。一種是向第三方提供,一種是向委托處理者提供。因后者并不使用個人信息,僅按照與委托方約定的目的和方式開展數據處理活動,故此時不必征得個人同意。《個人信息保護法》第二十三條規定:個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。這與《條例》規定的“向第三方”提供場景一致。就具體要求來看,《條例》增加了存儲期限、存儲地點的要求,并規定了例外情況。一些人關心,這里的“存儲地點”顆粒度多大?《條例》并未明確要求,但一般而言至少應說明是境內還是境外。
從該條與《個人信息保護法》對比看,“向第三方提供”與“向其他個人信息處理者提供”的內涵是一致的。如前所述,這個“第三方”顯然不包括委托處理者。但《條例》“附則”將“委托處理者”定義為“委托第三方按照約定的目的和方式開展的數據處理活動”,這就出現了對“第三方”的不同理解,后續有必要進行修改。
該條第(一)項的主要要求是“單獨同意”,這是處理重要數據所不涉及的,除此之外對兩類數據的處理有共同要求。無論是向第三方提供個人信息,還是共享、交易、委托處理重要數據,必然有數據接收者,故需要通過合同等方式與數據接收方作出約定,且要對數據接收方的數據處理活動進行監督。這是該條第(二)項的立法目的。對個人信息的這一要求超出了《個人信息保護法》,但在實踐中是必要的。
第(三)項中,提到了留存“審批記錄”的要求。但《條例》此前并未對審批作出規定。此處的“審批”來自第三十三條:數據處理者共享、交易、委托處理重要數據的,應當征得設區的市級及以上主管部門同意,主管部門不明確的,應當征得設區的市級及以上網信部門同意。鑒于兩者的位置和前后順序不便理解,后續有必要進行修改。
對應條款
第七十三條 本條例下列用語的含義:
(八)單獨同意是指數據處理者在開展具體數據處理活動時,對每項個人信息取得個人同意,不包括一次性針對多項個人信息、多種處理活動的同意。
解讀
“單獨同意”出自《個人信息保護法》的要求,一直以來被社會高度關注,因其直接影響到各類互聯網服務的設計和實現方式,事關重大。《條例》繼承了《個人信息保護法》,并有所擴展,在四種場景下要求取得個人單獨同意。
一是向第三方提供個人信息時,要求取得個人單獨同意(第十二條)。
二是處理敏感個人信息時,要求取得個人單獨同意(第二十一條)。
三是向境外提供個人信息時,要求取得個人單獨同意(第三十六條)。
四是收集個人信息用于個性化推薦時,要求取得個人單獨同意(第四十九條)。
以上第四種場景是《個人信息保護法》之外新增的。《條例》本身可以增設此類新的要求,且《條例》第十四條還提出,法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。故《條例》作此處理并無不當。為使讀者理解該種場景,后續還將對第四十九條的“單獨同意”作進一步解讀。
那么,如何理解“單獨同意”呢?從《條例》“附則”所列定義看,人們更容易關注“對每項個人信息取得個人同意”。但實際上,該定義一共強調了“單獨同意”的三個特點,并非僅上述一個:
首先,強調事發時刻。即“數據處理者在開展具體數據處理活動時”。為什么一定要強調這一點?因為在安裝、登錄時征求用戶同意,與收集、處理用戶個人信息時征求用戶同意,給用戶的感受是不一樣的。在后者的情況下,用戶會更容易做到謹慎和注意。
其次,強調單項個人信息,這是“單獨同意”的最基本含義,毋庸多言。
第三,在單項信息的規定不適用時,以單次數據處理活動為準。這是考慮到,如果僅僅依靠時間、信息來做判斷,有時候是不夠的。最典型的是算法推薦,其收集數據的特點是范圍無邊界、時長無限制,這時候就只能以“單次數據處理活動”來判斷。
對應條款
第十二條 數據處理者向第三方提供個人信息,或者共享、交易、委托處理重要數據的,應當遵守以下規定:
(一)向個人告知提供個人信息的目的、類型、方式、范圍、存儲期限、存儲地點,并取得個人單獨同意,符合法律、行政法規規定的不需要取得個人同意的情形或者經過匿名化處理的除外;
(二)與數據接收方約定處理數據的目的、范圍、處理方式,數據安全保護措施等,通過合同等形式明確雙方的數據安全責任義務,并對數據接收方的數據處理活動進行監督;
(三)留存個人同意記錄及提供個人信息的日志記錄,共享、交易、委托處理重要數據的審批記錄、日志記錄至少五年。
數據接收方應當履行約定的義務,不得超出約定的目的、范圍、處理方式處理個人信息和重要數據。
解讀
征得個人“同意”是個人信息保護制度的核心要求。《個人信息保護法》和《條例》均對此作出了多項規定,這在國外立法中也是重點。可以看到,關于“同意”的要求越來越嚴格,規則設計越來越精巧,這值得肯定。但事后誰能說得清“同意”的內容呢?如果事后不可查,那么對“同意”提出更多要求又有什么意義呢?
遺憾的是,全球關于個人信息的立法幾乎都忽視了這一問題。國外的誠信機制比較健全,個人信息處理者“賴賬”的情況幾乎不會出現,但國內的情況則有很大不同,不留存“同意”記錄的后果十分嚴重,相當于前功盡棄。
為此,《條例》首次提出了留存記錄的要求。但目前該要求出現在向第三方提供個人信息的同意場景下。推而廣之,其對于所有的同意場景都應該是適用的。今后有必要在此基礎上提出進一步的嚴格要求。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
