《网络数据安全管理条例（征求意见稿）》系列解读之二——个人信息保护

发布时间：2021-11-18

作者：秦英、刘玉珠

正如《网络数据安全管理条例（征求意见稿）》系列解读之一所介绍的，《网络数据安全管理条例（征求意见稿）》（以下简称《数安条例》）作为第一部明确以三大基本法[1]为上位法的行政法规，衔接、融合、补充及细化了三大基本法。其中，《数安条例》设置了专门章节，对个人信息的保护提出更为细化的要求。

本文将重点分析《数安条例》与《个人信息保护法》的关系，结合国家互联网信息办公室（以下简称“网信办”）与工业和信息化部（以下简称“工信部”）等主管部门此前发布的个人信息保护方面的指南、规定及要求等，厘清《数安条例》对个人信息保护的新要求、新标准、新举措。

一、《数安条例》进一步明确向第三方提供个人信息的要求

《数安条例》第十二条具体规定了个人信息向第三方流转过程中，数据处理者及数据接收方的义务，对《个人信息保护法》第二十三条的规定进行了补充。具体包含以下三个方面：

首先，在向第三方提供个人信息前，除《个人信息保护法》要求向个人告知的“接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息种类”之外，《数安条例》还要求告知“个人信息的范围、存储期限、存储地点”。
其次，《数安条例》不仅要求数据处理者与数据接收方约定处理数据的目的、范围、处理方式以及数据安全保护措施，同时还明确了数据处理者对数据接收方的监督义务。
最后，《数安条例》要求数据处理者将完整的记录保存5年，该等记录包括获得个人主体的同意记录、提供个人信息的日志记录以及重要数据[2]的审批记录和日志记录，即涉及向第三方提供个人信息的全流程记录。

对数据接收者而言，《数安条例》明确规定了其应当履行的义务，重申了处理个人信息的范围。

《数安条例》	《个人信息保护法》
第十二条数据处理者向第三方提供个人信息，或者共享、交易、委托处理重要数据的，应当遵守以下规定：	第二十三条个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。第五十五条有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（四）向境外提供个人信息；（五）其他对个人权益有重大影响的个人信息处理活动。
（一）向个人告知提供个人信息的目的、类型、方式、*范围、存储期限、存储地点，并取得个人单独同意，符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外；（二）与数据接收方约定处理数据的目的、范围、处理方式，数据安全保护措施等，通过合同等形式明确双方的数据安全责任义务，并对数据接收方的数据处理活动进行监督；（三）留存个人同意记录及提供个人信息的日志记录，共享、交易、委托处理重要数据的审批记录、日志记录至少五年。数据接收方应当履行约定的义务*，不得超出约定的目的、范围、处理方式处理个人信息和重要数据。

《数安条例》

《个人信息保护法》

第十二条数据处理者向第三方提供个人信息，或者共享、交易、委托处理重要数据的，应当遵守以下规定：

第二十三条个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

第五十五条有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

（一）向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点，并取得个人单独同意，符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外；

（二）与数据接收方约定处理数据的目的、范围、处理方式，数据安全保护措施等，通过合同等形式明确双方的数据安全责任义务，并对数据接收方的数据处理活动进行监督；

（三）留存个人同意记录及提供个人信息的日志记录，共享、交易、委托处理重要数据的审批记录、日志记录至少五年。

数据接收方应当履行约定的义务，不得超出约定的目的、范围、处理方式处理个人信息和重要数据。

二、《数安条例》对企业隐私政策提出更具体的要求

《个人信息保护法》第七条要求个人信息处理者应当公开个人信息处理规则（即隐私政策），明示处理的目的、方式和范围，对于具体的行文体例与格式等并没有具体要求。在此基础上，《数安条例》第二十条详细列举了隐私政策的写作要求，并对行文体例与格式提出了明确规定，具体包括：

个人信息清单化：以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等，以及拒绝处理个人信息对个人的影响。即《数安条例》首次要求数据处理者将其处理的个人信息通过清单的形式列明。
个人信息存储需明确期限：应告知个人信息存储期限，无法确定期限的，需要告知存储期限的确定方法，并且需告知到期后个人信息的处理方式。《数安条例》系首次要求告知存储期限的确定方法，并且该方法应符合《数安条例》第十九条规定的原则。
转移个人信息的清晰路径：明确告知个人查阅、复制、更正、删除、限制处理、转移个人信息，以及注销账号、撤回处理个人信息同意的途径和方法。此次《数安条例》明确对“转移个人信息”的途径提出要求，也是对《个人信息保护法》第四十五条规定的个人信息转移权[3]的回应。
第三方代码/插件信息集中展示：明确告知收集个人信息的第三方代码/插件的名称、目的、方式、种类、频次或时机，及其个人信息处理规则。此前，对于第三方代码/插件的隐私政策，市场上各APP做法不一，有的通过超链接的形式提供，有的未提供。此次《数安条例》明确要求，数据处理者应当在隐私政策中提供第三方代码/插件的隐私政策。

《数安条例》对隐私政策的细化要求，体现出对隐私政策的要求更加趋于明确具体、简明通俗、系统全面。如果最终生效的版本保留这一内容，则企业在订立隐私政策时，需披露个人信息的收集、存储、使用、加工、传输、提供、公开、删除全流程的规则。

三、《数安条例》要求数据处理者每年公开披露投诉处理情况

《数安条例》第十八条规定，数据处理者应建立数据安全举报渠道，并每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况，接受社会监督。

这也是首次对数据处理者提出该项义务，此前仅要求数据处理者建立便捷的投诉渠道。若该条最终通过并生效，企业将需要每年公开披露投诉处理情况。

四、《数安条例》明确列举取得用户同意的可为与不可为

《个人信息保护法》第十三条规定[4]，除该条第二项至第七项规定情形，数据处理者处理个人信息需取得用户的同意。并且，在其他具体情形中，取得用户同意是处理个人信息的前提条件。但是，未明确规定“取得用户同意”的具体要求，只能结合《认定方法》《安全规范》《App违法违规收集使用个人信息自评估指南》理解“取得用户同意”的含义。

此次，《数安条例》第二十一条整合了散落在各个规定中关于“取得用户同意”的要求，从正反两面，明确列举“取得用户同意”的“应为”与“不为”，为企业提供更好的指引。此外，《数安条例》规定对个人同意行为有效性存在争议的，数据处理者负有举证责任，这便要求企业清楚并理解“取得用户同意”的“应为”与“不为”，确保取得用户同意的有效性。

五、《数安条例》保障信息主体对个人信息的控制权

根据《个人信息保护法》第四章的规定，个人对个人信息的控制权包括查阅、复制、转移、更正、补充、限制处理、删除、撤回授权同意以及注销账号等权利。在《个人信息保护法》、《安全规范》的基础上，《数安条例》第二十二至二十四条细化规定了为保障个人对个人信息的控制权，数据处理者应履行的义务，尤其是对个人信息主体行使控制权的响应时间作出了明确规定。

个人对个人信息的控制权	数据处理者的义务	立方评述
删除个人信息或匿名化处理	需要删除个人信息或匿名化处理的情形：目的已实现或不再必要；达到存储期限；终止服务或个人注销账户自动化采集的非必要或未经同意的个人信息限期15个工作日无法删除需作出合理解释	首先，与《个人信息保护法》第四十七条相比，《数安条例》新增了终止服务或个人注销账户，及自动化超范围采集的信息，是对《个人信息保护法》的补充。其次，《数安条例》首次在法规层面明确限定具体的删除时间，并要求对无法删除作出合理解释。
查阅	提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径，不得以时间、位置等因素对个人的合理请求进行限制	对于个人信息的查阅，《数安条例》首次提出“便捷”“结构化”“个人信息类型”“数量”的要求，企业或将调整供用户查阅的内容。
复制、更正、补充、限制处理、删除、撤回授权同意以及注销账号	提供便捷的功能，且不得设置不合理条件十五个工作日内处理并反馈	《数安条例》明确要求数据处理者提供相应的功能，并限制反馈时间。
转移	应当提供转移服务的条件：是基于同意或者订立、履行合同所必需而收集的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息能够验证请求人的合法身份数据处理者负有合理的风险提示义务。	《数安条例》第二十四条对《个人信息保护法》第四十五条进行补充，为个人行使个人信息转移权提供具体操作路径。该条参考了GDPR，将可转移的个人信息限于“基于同意或者订立、履行合同所必需而收集的个人信息”，同时创新性提出，将转移范围扩大至符合条件的他人信息。

六、《数安条例》明确限制生物特征的使用

《个人信息保护法》第二十八条明确规定，生物特征属于敏感个人信息，因此，数据处理者在处理用户个人特征时理应更加谨慎。对此，《数安条例》明确要求数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，并且规定不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。

若该条最终通过并生效，目前存在的人脸打卡、指纹打卡等方式的合规性将受到挑战，企业需提供备选方案。

七、违反个人信息保护义务的法律责任

《数安条例》承接了《个人信息保护法》关于法律责任的内容。即若违反第十九条至第二十五条规定，数据处理者承担的责任与《个人信息保护法》相同。若违反《数安条例》第十二条（向第三方提供个人信息）的规定、第十八条（每年公开披露投诉情况）适用《数安条例》第六十条的规定（详见下表的对比分析）。

值得关注的是，对于违反规定向第三人提供个人信息的情形，《数安条例》规定的法律责任重于《个人信息保护法》的规定，例如，《数安条例》规定拒不改正的，罚款区间为50万至200万，而《个人信息保护法》规定拒不改正的，罚款区间为0元至100万。即《数安条例》规定的罚款下限与上限均高于《个人信息保护法》，这或将构成下位法与上位法矛盾的情况。

数据处理者的义务	法律责任
向第三方提供个人信息应承担的义务（第十二条）	《数安条例》第六十条：由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者导致危害数据安全等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
每年公开披露投诉情况（第十八条）
个人信息处理的原则（第十九条）	《数安条例》第六十一条，同《个人信息保护法》第六十六条规定：由有关部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为，情节严重的，由有关部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
个人信息处理规则的内容（第二十条）
取得用户同意的要求（第二十一条）
个人信息控制权的保障（第二十二至二十四条）
生物特征使用的限制（第二十五条）

总体而言，《数安条例》系对《个人信息保护法》的承接与细化，对个人信息保护提出了更加具体可执行的要求，要求数据处理者承担更多更严格的义务，这也意味着个人信息保护进入更为精细化的发展阶段。如果《数安条例》有关个人信息保护的规定最终获得通过，那么企业的合规义务将更为明确，从业务功能到隐私政策，从内部机制到外部披露，均需及时进行相应的调整。

注释：

（[1] 三部基本法是指：《网络安全法》《数据安全法》《个人信息保护法》

（[2] 后续的文章会讨论，超过100万人的个人信息需要按照重要数据的标准进行处理。

（[3] 《个人信息保护法》第四十五条：“……个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。”

（[4] 《个人信息保护法》第十三条：“第十三条符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。