?

基本問題的細(xì)化與澄清

?

?

?

?

根據(jù)《數(shù)安條例》第七十三條的規(guī)定，下列主體在進(jìn)行數(shù)據(jù)處理活動(dòng)時(shí)應(yīng)當(dāng)遵循《數(shù)安條例》的相關(guān)規(guī)定：

?

?

根據(jù)《數(shù)安條例》第七十三條第（三）款規(guī)定，重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取利用，可能會(huì)對(duì)國(guó)家安全和公共利益造成危害的數(shù)據(jù)，具體如下：

此項(xiàng)定義沒有采取多年前《數(shù)據(jù)安全管理辦法（征求意見稿）》（下稱"《數(shù)安辦法》"）中的定義，個(gè)人信息或者企業(yè)內(nèi)部的生產(chǎn)數(shù)據(jù)在此版本中并沒有被排除出重要數(shù)據(jù)的范圍。

?

?

根據(jù)《數(shù)安條例》第七十三條第（四）條規(guī)定，核心數(shù)據(jù)是指關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生和重大公共利益等的相關(guān)數(shù)據(jù)。國(guó)家核心數(shù)據(jù)在《數(shù)安法》中有所提及，但是并未明確其定義，而《數(shù)安條例》的規(guī)定對(duì)于國(guó)家核心數(shù)據(jù)概念的確立尚屬首次。

?

?

根據(jù)《數(shù)安條例》第二十六條規(guī)定，如果數(shù)據(jù)處理者處理一百萬(wàn)人以上個(gè)人信息時(shí)應(yīng)當(dāng)參照《數(shù)安條例》第四章關(guān)于重要數(shù)據(jù)處理者的規(guī)定（重要數(shù)據(jù)處理的規(guī)定參見下文）。也就是說，《數(shù)安條例》將一百萬(wàn)以上的個(gè)人信息的保護(hù)要求提升到與重要數(shù)據(jù)相同的水平。但是，我們也注意到在某些行業(yè)中存在特別規(guī)定，例如在《汽車數(shù)據(jù)安全管理若干規(guī)定》（試行）（以下稱"《汽車數(shù)據(jù)安全管理規(guī)定》"）的第三條規(guī)定了涉及個(gè)人信息主體超過10萬(wàn)人的個(gè)人信息屬于重要數(shù)據(jù)。由此，分別在國(guó)家層面和行業(yè)層面，個(gè)人信息和重要數(shù)據(jù)的認(rèn)定的交叉關(guān)系可能是一個(gè)需要持續(xù)關(guān)注的話題。

?

?

根據(jù)《數(shù)安條例》第七十三條第（六）條規(guī)定，公共數(shù)據(jù)包括兩類：第一，國(guó)家機(jī)關(guān)和法律、行政法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織在履行公共管理職責(zé)或者提供公共服務(wù)過程中收集和產(chǎn)生的各類數(shù)據(jù)；第二，其他組織在提供公共服務(wù)過程中收集和產(chǎn)生的涉及公共利益的各類數(shù)據(jù)。

?

?

根據(jù)《數(shù)安條例》第九條和第十條的規(guī)定，數(shù)據(jù)處理者需要采取下列數(shù)據(jù)保障措施：

?

1) 采取備份、加密、訪問控制等基本必要措施；

2) 按照網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求加強(qiáng)數(shù)據(jù)處理系統(tǒng)、傳輸網(wǎng)絡(luò)、存儲(chǔ)環(huán)境等安全防護(hù)；

3) 如果發(fā)現(xiàn)使用或者提供的網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在安全缺陷或漏洞，抑或威脅國(guó)家安全和危害公共利益等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施。

?

另外，數(shù)據(jù)處理者在處理重要數(shù)據(jù)和/或核心數(shù)據(jù)時(shí)，應(yīng)當(dāng)采取下列數(shù)據(jù)保障措施：

?

1) 使用密碼對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)進(jìn)行保護(hù)；

2) 重要數(shù)據(jù)的處理系統(tǒng)原則上應(yīng)滿足三級(jí)以上網(wǎng)絡(luò)安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求；另外，在處理核心數(shù)據(jù)時(shí)，數(shù)據(jù)處理系統(tǒng)需要依照有關(guān)規(guī)定從嚴(yán)保護(hù)。

?

?

根據(jù)《數(shù)安條例》第十一條規(guī)定，數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)安全應(yīng)急處置機(jī)制，并在數(shù)據(jù)安全事件發(fā)生時(shí)及時(shí)啟動(dòng)，以防止危害擴(kuò)大，消除安全隱患。同時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)注意下列時(shí)間節(jié)點(diǎn)：

?

?

根據(jù)《數(shù)安條例》第十二條規(guī)定，數(shù)據(jù)處理者如果向第三方提供個(gè)人信息或者共享、交易、委托處理重要數(shù)據(jù)時(shí)，應(yīng)當(dāng)注意下列要求：

?

?

《個(gè)保法》在第二十二條中已經(jīng)規(guī)定，個(gè)人信息處理者在合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息時(shí)，應(yīng)當(dāng)向個(gè)人告知相關(guān)個(gè)人信息接收方的名稱或者姓名和聯(lián)系方式。而《數(shù)安條例》的第十四條則進(jìn)一步細(xì)化了數(shù)據(jù)處理者的相關(guān)義務(wù)，具體如下：

?

1）數(shù)據(jù)處理在者在發(fā)生合并、重組、分立等情況時(shí)，除了繼續(xù)履行數(shù)據(jù)安全保護(hù)義務(wù)外，如果涉及重要數(shù)據(jù)和一百萬(wàn)人以上個(gè)人信息時(shí)，應(yīng)當(dāng)向設(shè)區(qū)的市級(jí)主管部門進(jìn)行報(bào)告；

2）數(shù)據(jù)處理者發(fā)生解散、被宣告破產(chǎn)等情況時(shí)，應(yīng)當(dāng)向設(shè)區(qū)的市級(jí)主管部門報(bào)告，并按照相關(guān)要求移交或刪除相關(guān)數(shù)據(jù)，如果上述主管部門不明確時(shí)應(yīng)當(dāng)向設(shè)區(qū)的市級(jí)網(wǎng)信部門報(bào)告。

?

?

根據(jù)《數(shù)安條例》第二十二條第四款規(guī)定，如果使用自動(dòng)化采集技術(shù)等技術(shù)措施，且無(wú)法避免采集到非必要個(gè)人信息或者未經(jīng)個(gè)人同意的個(gè)人信息時(shí)，相關(guān)數(shù)據(jù)處理者應(yīng)當(dāng)在十五個(gè)工作日內(nèi)刪除上述采集的個(gè)人信息或者對(duì)上述個(gè)人信息進(jìn)行匿名化處理。我們理解，爬蟲類自動(dòng)化訪問、收集工具以及網(wǎng)聯(lián)汽車收集車外數(shù)據(jù)等均可能落入此類范疇。因此，如果該類自動(dòng)化訪問和收集工具的確采集到非必要個(gè)人信息或未經(jīng)個(gè)人同意的個(gè)人信息時(shí)，使用者應(yīng)當(dāng)在十五個(gè)工作日內(nèi)對(duì)相關(guān)個(gè)人信息予以刪除或進(jìn)行匿名化處理。

?

關(guān)于個(gè)人信息

?

?

就隱私政策的寫作尺度，《數(shù)安條例》第二十條延續(xù)了《個(gè)保法》真實(shí)、準(zhǔn)確、完整的標(biāo)準(zhǔn)，同時(shí)進(jìn)一步細(xì)化了相關(guān)內(nèi)容要求。

?

《數(shù)安條例》在形式上要求隱私政策應(yīng)當(dāng)"集中公開展示、易于訪問并置于醒目位置"，這一點(diǎn)與《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》（下稱"《認(rèn)定方法》"）的相關(guān)規(guī)定一脈相承；

?

在內(nèi)容上應(yīng)"明確具體、簡(jiǎn)明通俗、系統(tǒng)全面"，具體而言：

?

1）從體例上，隱私政策應(yīng)依據(jù)產(chǎn)品或服務(wù)的功能，以清單的形式列明各項(xiàng)功能處理個(gè)人信息的目的、用途、方式、種類、頻次或者時(shí)機(jī)、保存地點(diǎn)，以及拒絕處理個(gè)人信息對(duì)個(gè)人的影響。此處，個(gè)人信息收集的頻次首次被明確要求在隱私政策中加以列明，這也與《數(shù)安條例》第十九條規(guī)定的個(gè)人信息需限于處理目的最低頻次相對(duì)應(yīng)。

2）《數(shù)安條例》還首次規(guī)定需在隱私政策中列明個(gè)人信息存儲(chǔ)期限的確定方法，即企業(yè)需內(nèi)部論證并梳理存儲(chǔ)期限的訂立邏輯，并加以公示。

3）對(duì)于公眾多有困惑的第三方、第三方代碼/插件的公示情況，《數(shù)安條例》也在第二十條中給出了明確的方案，要求需以集中展示等便利用戶訪問的方式說明第三方代碼/插件的名稱、收集個(gè)人信息的目的、方式、種類、頻次或者時(shí)機(jī)及其個(gè)人信息處理規(guī)則，也需列明向第三方提供個(gè)人信息情形及其目的、方式、種類、數(shù)據(jù)接收方相關(guān)信息等。在實(shí)踐中，我們經(jīng)?？梢钥吹讲糠制髽I(yè)以在隱私政策中嵌入單獨(dú)超鏈接或表格的方式進(jìn)行公示，結(jié)合近期工信部發(fā)布的《關(guān)于開展信息通信服務(wù)感知提升行動(dòng)的通知》中所要求的"雙清單"義務(wù)，第三方數(shù)據(jù)共享的嚴(yán)格透明化將是《個(gè)保法》生效后的顯著趨勢(shì)。

4）《數(shù)安條例》還包括個(gè)人信息主體權(quán)利響應(yīng)、個(gè)人信息安全風(fēng)險(xiǎn)及保護(hù)措施、個(gè)人信息安全問題投訴、舉報(bào)渠道及解決路徑、個(gè)人信息保護(hù)負(fù)責(zé)人聯(lián)系方式的內(nèi)容要求。

?

綜上，隨法律法規(guī)的進(jìn)一步細(xì)化，隱私政策的透明度及細(xì)節(jié)程度可謂有增無(wú)減，建議企業(yè)在制定隱私政策時(shí)全盤把握個(gè)人信息處理活動(dòng)的各生命周期，確保真實(shí)、準(zhǔn)確、完整地披露各項(xiàng)要求的內(nèi)容。

?

?

《數(shù)安條例》第二十一條對(duì)用戶的同意條件進(jìn)行了集中闡述。在形式上，需按照服務(wù)類型分別向個(gè)人申請(qǐng)?zhí)幚韨€(gè)人信息的同意，不得使用概括性條款取得同意；不得通過捆綁不同類型服務(wù)、批量申請(qǐng)同意等方式誘導(dǎo)、強(qiáng)迫個(gè)人進(jìn)行批量個(gè)人信息同意。此要求與今年5月1日出臺(tái)的《網(wǎng)絡(luò)交易監(jiān)督管理辦法》第十三條[1]相呼應(yīng)。另外，與《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（下稱"《安全規(guī)范》"）第5.3條[2]類似，不得僅以改善服務(wù)質(zhì)量、提升用戶體驗(yàn)、研發(fā)新產(chǎn)品等為由強(qiáng)迫個(gè)人同意處理其個(gè)人信息，即前述條件需以同意作為處理的法律基礎(chǔ)。特殊場(chǎng)景如敏感個(gè)人信息需取得個(gè)人單獨(dú)同意，不滿十四周歲的未成年人的個(gè)人信息需取得監(jiān)護(hù)人同意。在獲取同意之后，不得超出個(gè)人授權(quán)同意的范圍處理個(gè)人信息，也不得在個(gè)人明確表示不同意后，頻繁征求同意、干擾正常使用服務(wù)。

?

值得一提的是，《數(shù)安條例》全文在多處提及單獨(dú)同意相關(guān)細(xì)化要求。首先，《數(shù)安條例》在第九章中，首次對(duì)單獨(dú)同意的定義加以明確。單獨(dú)同意是指指數(shù)據(jù)處理者在開展具體數(shù)據(jù)處理活動(dòng)時(shí)，對(duì)每項(xiàng)個(gè)人信息取得個(gè)人同意，不包括一次性針對(duì)多項(xiàng)個(gè)人信息、多種處理活動(dòng)的同意。其次，如第三十六條規(guī)定，針對(duì)跨境提供個(gè)人信息的場(chǎng)景，如收集個(gè)人信息時(shí)已單獨(dú)就個(gè)人信息出境取得個(gè)人同意，且按照取得同意的事項(xiàng)出境的，無(wú)需再次取得個(gè)人單獨(dú)同意。此要求即是在確保個(gè)人信息單獨(dú)同意的前提下平衡用戶體驗(yàn)的典型體現(xiàn)。

?

《數(shù)安條例》第二十一條還與《個(gè)保法》的舉證責(zé)任條款有效連接，如對(duì)于同意行為有效性存在爭(zhēng)議，數(shù)據(jù)處理者負(fù)有舉證責(zé)任。對(duì)此，企業(yè)需在內(nèi)部建立相關(guān)流程機(jī)制，對(duì)同意行為的有效性進(jìn)行論證，并留存相關(guān)日志記錄。

?

?

《數(shù)安條例》在延續(xù)《個(gè)保法》《安全規(guī)范》數(shù)據(jù)主體行權(quán)響應(yīng)要求的基礎(chǔ)上，細(xì)化了部分權(quán)利的響應(yīng)要求。數(shù)據(jù)主體行權(quán)的范圍包括查閱、復(fù)制、更正、補(bǔ)充、限制處理、刪除其個(gè)人信息。

?

根據(jù)《數(shù)安條例》第二十二條，個(gè)人信息刪除的條件除個(gè)人信息處理目的已實(shí)現(xiàn)或不再必要、存儲(chǔ)期限屆滿、服務(wù)終止或賬號(hào)注銷外，還包括因使用自動(dòng)化采集技術(shù)等，無(wú)法避免采集到的非必要個(gè)人信息或者未經(jīng)個(gè)人同意的個(gè)人信息，此處可能是針對(duì)爬蟲或者汽車數(shù)據(jù)處理者可能收集的人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)。本條跟《個(gè)保法》規(guī)定有所差異，例如不包含撤回同意的情形。

?

對(duì)于個(gè)人信息主體的查閱權(quán)，《數(shù)安條例》第二十三條要求數(shù)據(jù)處理者需"提供便捷的支持個(gè)人結(jié)構(gòu)化查詢本人被收集的個(gè)人信息類型、數(shù)量等的方法和途徑，不得以時(shí)間、位置等因素對(duì)個(gè)人的合理請(qǐng)求進(jìn)行限制"。其中，"便捷"、"結(jié)構(gòu)化"、"個(gè)人信息類型、數(shù)量"均為值得關(guān)注的要點(diǎn)。業(yè)界良好實(shí)踐包括部分企業(yè)提供自動(dòng)化方式，供用戶自行導(dǎo)出個(gè)人信息列表，但也需檢查確保符合前述內(nèi)容條件。

?

另外，《數(shù)安條例》繼《認(rèn)定方法》第六條[3]后，再一次明確了數(shù)據(jù)主體權(quán)利行使要求為十五個(gè)工作日。企業(yè)在接收到數(shù)據(jù)主體行權(quán)申請(qǐng)后，應(yīng)確保在十五個(gè)工作日內(nèi)處理并反饋。

?

?

《數(shù)安條例》第二十四條首次對(duì)數(shù)據(jù)轉(zhuǎn)移權(quán)進(jìn)行了細(xì)化規(guī)定。與《歐洲通用數(shù)據(jù)保護(hù)法》（下稱"GDPR"）[4]的立法邏輯類似，轉(zhuǎn)移權(quán)僅針對(duì)基于同意或者訂立、履行合同所必需而收集的個(gè)人信息。與GDPR不同的是，《數(shù)安條例》明確說明轉(zhuǎn)移的個(gè)人信息可以是本人的信息，也可以是他人的信息，但請(qǐng)求人需確保他人的信息是通過合法的方式獲得，且不違背他人意愿，同時(shí)，請(qǐng)求人的合法身份也需可驗(yàn)證。在實(shí)踐中，企業(yè)可以考慮如何設(shè)置信息內(nèi)容及申請(qǐng)者合法的前置證明條件。《數(shù)安條例》也未像GDPR一樣規(guī)定轉(zhuǎn)移的個(gè)人信息需為"通用"且"機(jī)器可讀"的。

?

另外，GDPR規(guī)定如技術(shù)可行，數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者將其個(gè)人數(shù)據(jù)直接傳輸給另一數(shù)據(jù)控制者，而《數(shù)據(jù)條例》第二十四條在開頭即表明，數(shù)據(jù)處理者提供的轉(zhuǎn)移服務(wù)適用于個(gè)人指定的其他數(shù)據(jù)處理者訪問、獲取個(gè)人轉(zhuǎn)移的個(gè)人信息，從文意上理解，此處的轉(zhuǎn)移服務(wù)也發(fā)生在數(shù)據(jù)處理者及個(gè)人指定的數(shù)據(jù)接收方之間。《數(shù)安條例》特別規(guī)定，如數(shù)據(jù)處理者發(fā)現(xiàn)"接收個(gè)人信息的其他數(shù)據(jù)處理者有非法處理個(gè)人信息風(fēng)險(xiǎn)的，應(yīng)當(dāng)對(duì)個(gè)人信息轉(zhuǎn)移請(qǐng)求做合理的風(fēng)險(xiǎn)提示"。我們理解，此項(xiàng)要求如何在實(shí)踐中落地還有待進(jìn)一步觀察及討論，如轉(zhuǎn)移權(quán)的行使是否均需要數(shù)據(jù)主體告知接收個(gè)人信息的其他數(shù)據(jù)處理者？企業(yè)如何判斷其他數(shù)據(jù)處理者的個(gè)人信息處理活動(dòng)是否存在風(fēng)險(xiǎn)？是否僅需做統(tǒng)一提示？對(duì)此，我們將持續(xù)觀察后續(xù)法律進(jìn)展及行業(yè)實(shí)踐。

?

?

個(gè)人生物特征的準(zhǔn)確性及便捷性，使得相關(guān)身份識(shí)別及認(rèn)證技術(shù)在社會(huì)上廣泛使用。《數(shù)安條例》第二十五條規(guī)定數(shù)據(jù)處理者在利用生物特征進(jìn)行個(gè)人身份認(rèn)證時(shí)，應(yīng)首先對(duì)其必要性、安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估。同時(shí)，規(guī)定生物特征，包括人臉、步態(tài)、指紋、虹膜、聲紋等，不得作為唯一的個(gè)人身份認(rèn)證方式。對(duì)于此類生物特征信息的收集，由于其屬于敏感個(gè)人信息范疇，根據(jù)《數(shù)安條例》第二十一條，在收集前需獲取用戶的單獨(dú)同意，此條規(guī)定也確認(rèn)了生物特征信息用于個(gè)人身份識(shí)別是以同意作為法律基礎(chǔ)，在使用該技術(shù)收集個(gè)人信息時(shí)需同時(shí)提供其他替代方案。

?

關(guān)于重要數(shù)據(jù)

?

?

《數(shù)安法》第二十七條即明確重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，對(duì)于具體由誰(shuí)來承擔(dān)數(shù)據(jù)安全負(fù)責(zé)人這一角色，《數(shù)安條例》延續(xù)了《數(shù)安辦法》第十七條[5]的規(guī)定?！稊?shù)安條例》第二十八條說明，數(shù)據(jù)安全負(fù)責(zé)人應(yīng)當(dāng)具備數(shù)據(jù)安全專業(yè)知識(shí)和相關(guān)管理工作經(jīng)歷，且由數(shù)據(jù)處理決策層成員承擔(dān)，有權(quán)直接向網(wǎng)信部門和主管、監(jiān)管部門反映數(shù)據(jù)安全情況。與《數(shù)安辦法》不同的是，《數(shù)安條例》直接明確該負(fù)責(zé)人需為決策層成員承擔(dān)，而非參與有關(guān)數(shù)據(jù)活動(dòng)的重要決策。企業(yè)如需在內(nèi)部設(shè)置數(shù)據(jù)安全負(fù)責(zé)人，可以根據(jù)工作背景及工作職責(zé)綜合考慮決定。

?

?

根據(jù)《數(shù)安條例》第二十八條，重要數(shù)據(jù)的處理者應(yīng)成立數(shù)據(jù)安全管理機(jī)構(gòu)。數(shù)據(jù)安全管理機(jī)構(gòu)應(yīng)履行多方面職責(zé)。該機(jī)構(gòu)由數(shù)據(jù)安全負(fù)責(zé)人帶領(lǐng)，即該數(shù)據(jù)處理決策層成員將帶領(lǐng)機(jī)構(gòu)研究提出數(shù)據(jù)安全相關(guān)重大決策建議，并制定實(shí)施數(shù)據(jù)安全保護(hù)計(jì)劃和數(shù)據(jù)安全事件應(yīng)急預(yù)案。同時(shí)，數(shù)據(jù)安全負(fù)責(zé)機(jī)構(gòu)還將開展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)，及時(shí)處置數(shù)據(jù)安全風(fēng)險(xiǎn)和事件；定期組織開展數(shù)據(jù)安全宣傳教育培訓(xùn)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練等活動(dòng)。機(jī)構(gòu)還將受理、處置數(shù)據(jù)安全投訴、舉報(bào)；按照要求及時(shí)向網(wǎng)信部門和主管、監(jiān)管部門報(bào)告數(shù)據(jù)安全情況。

?

?

根據(jù)《數(shù)安條例》，重要數(shù)據(jù)處理者的數(shù)據(jù)安全法定責(zé)任包括：

?

?

《數(shù)安條例》第三十二條對(duì)于重要數(shù)據(jù)處理者的安全評(píng)估分成兩種類型：

?

1）定期評(píng)估：處理重要數(shù)據(jù)的數(shù)據(jù)處理者應(yīng)自行或者委托數(shù)據(jù)安全服務(wù)機(jī)構(gòu)每年開展一次數(shù)據(jù)安全評(píng)估，并在每年1月31日前匯報(bào)上一年度的數(shù)據(jù)安全評(píng)估報(bào)告。數(shù)據(jù)安全評(píng)估報(bào)告需保留至少三年。評(píng)估內(nèi)容包括：

此項(xiàng)要求與《汽車數(shù)據(jù)安全管理規(guī)定》第十三條[6]規(guī)定的汽車數(shù)據(jù)處理者的報(bào)送義務(wù)類似。

?

2）場(chǎng)景評(píng)估：對(duì)于共享、交易、委托處理、向境外提供重要數(shù)據(jù)的場(chǎng)景，重點(diǎn)評(píng)估的內(nèi)容有所區(qū)別：

如評(píng)估結(jié)果為可能危害國(guó)家安全、經(jīng)濟(jì)發(fā)展和公共利益，則不得共享、交易、委托處理、向境外提供數(shù)據(jù)。

?

?