【編者按】
本講義由上海國瓴律師事務所名譽主任、上海交通大學網絡空間治理研究中心主任壽步教授撰寫,內容取材於2016年11月我國網絡安全法發布以來至2023年2月底期間的相關規範性文件,權威性高,實用性強,可供關心網絡安全法律政策的讀者閱讀。連載共13篇。
目錄
網絡安全法第四章網絡信息安全包含第四十條至第五十條,其中第四十條至第四十五條是關於個人信息保護制度的規定,第四十六條至第五十條是關於違法信息監管制度的規定。
我國個人信息保護法自2021年11月1日起施行。
本章討論個人信息保護制度,具體包括我國個人信息保護的法律體系、個人信息保護制度概述、《個人信息保護法》概述、個人信息保護的具體規則、移動互聯網應用程序(App)收集使用個人信息的專項治理等。
本書另設專章討論違法信息監管制度。
第三節 個人信息保護法概述
2021年8月20日《中華人民共和國個人信息保護法》由全國人大常委會表決通過。下面選取重點內容進行介紹。
一、關於制定本法的必要性
第一,制定個人信息保護法是進一步加強個人信息保護法制保障的客觀要求。黨的十八大以來,全國人大及其常委會在制定關於加強網絡信息保護的決定、網絡安全法、電子商務法、修改消費者權益保護法等立法工作中,確立了個人信息保護的主要規則;在修改刑法中,完善了懲治侵害個人信息犯罪的法律制度;在編纂民法典中,將個人信息受法律保護作為一項重要民事權利作出規定。我國個人信息保護法律制度逐步建立,但仍難以適應信息化快速發展的現實情況和人民日益增長的美好生活需要。因此,應當在現行法律基礎上制定出臺專門法律,增強法律規範的系統性、針對性和可操作性,在個人信息保護方面形成更加完備的制度、提供更加有力的法律保障。
第二,制定個人信息保護法是維護網絡空間良好生態的現實需要。網絡空間是億萬民眾共同的家園,必須在法治軌道上運行。違法收集、使用個人信息等行為不僅損害人民群眾的切身利益,而且危害交易安全,擾亂市場競爭,破壞網絡空間秩序。因此,應當制定出臺專門法律,以嚴密的制度、嚴格的標準、嚴厲的責任,規範個人信息處理活動,落實企業、機構等個人信息處理者的法律義務和責任,維護網絡空間良好生態。
第三,制定個人信息保護法是促進數字經濟健康發展的重要舉措。當前,以數據為新生產要素的數字經濟蓬勃發展,數據的競爭已成為國際競爭的重要領域,而個人信息數據是大數據的核心和基礎。黨的十九大報告提出了建設網絡強國、數字中國、智慧社會的任務要求。按照這一要求,應當統籌個人信息保護與利用,通過立法建立權責明確、保護有效、利用規範的制度規則,在保障個人信息權益的基礎上,促進信息數據依法合理有效利用,推動數字經濟持續健康發展。
二、關於起草工作和把握的幾點
制定個人信息保護法列入了十三屆全國人大常委會立法規劃和年度立法工作計劃。起草工作注意把握以下幾點:一是,堅持立足國情與借鑒國際經驗相結合。從我國實際出發,深入總結網絡安全法等法律、法規、標準的實施經驗,將行之有效的做法和措施上升為法律規範。從上世紀70年代開始,經濟合作與發展組織、亞太經濟合作組織和歐盟等先後出臺了個人信息保護相關準則、指導原則和法規,有140多個國家和地區制定了個人信息保護方面的法律。草案充分借鑒有關國際組織和國家、地區的有益做法,建立健全適應我國個人信息保護和數字經濟發展需要的法律制度。二是,堅持問題導向和立法前瞻性相結合。既立足於個人信息保護領域存在的突出問題和人民群眾的重大關切,建立完善可行的制度規範。同時,對一些尚存爭議的理論問題,在本法中留下必要空間,對新技術新應用帶來的新問題,在充分研究論證的基礎上作出必要規定,體現法律的包容性、前瞻性。三是,處理好與有關法律的關系。把握權益保護的立法定位,與民法典等有關法律規定相銜接,細化、充實個人信息保護制度規則。同時,與網絡安全法和已提請全國人大常委會審議的數據安全法草案相銜接,對於網絡安全法、數據安全法草案確立的網絡和數據安全監管相關制度措施,本法不再作規定。
三、關於《個人信息保護法》的主要內容
《個人信息保護法》共八章七十四條,主要內容包括:
(一)明確本法適用範圍
一是,對本法相關用語作出界定,規定:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理後的信息;個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。(第四條)二是,明確在我國境內處理個人信息的活動適用本法的同時,借鑒有關國家和地區的做法,賦予本法必要的域外適用效力,以充分保護我國境內個人的權益,規定:以向境內自然人提供產品或者服務為目的,或者為分析、評估境內自然人的行為以及法律、行政法規規定的其他情形等發生在我國境外的個人信息處理活動,也適用本法;並要求境外的個人信息處理者在境內設立專門機構或者指定代表,負責個人信息保護相關事務。(第三條、第五十三條)
(二)健全個人信息處理規則
一是,確立個人信息處理應遵循的原則,強調處理個人信息應當遵循合法、正當、必要和誠信原則,具有明確、合理的目的,限於實現處理目的的最小範圍,遵循公開、透明原則,公開處理規則,保證個人信息質量,采取安全保護措施等,並將上述原則貫穿於個人信息處理的全過程、各環節。(第五條至第九條)
二是,確立以“告知-同意”為核心的個人信息處理一系列規則,要求處理個人信息應當在事先充分告知的前提下取得個人同意,並且個人有權撤回同意;重要事項發生變更的應當重新取得個人同意;不得以個人不同意為由拒絕提供產品或者服務。考慮到經濟社會生活的複雜性和個人信息處理的不同情況,立法還對基於個人同意以外合法處理個人信息的情形作了規定。(第十三條至第十八條)
三是,根據個人信息處理的不同環節、不同個人信息種類,對個人信息的共同處理、委托處理、向其他個人信息處理者提供、公開、用於自動化決策、處理已公開的個人信息等提出有針對性的要求。(第二十條至第二十七條)
四是,設專節對處理敏感個人信息作出更嚴格的限制,只有在具有特定的目的和充分的必要性的情形下,方可處理敏感個人信息,並且應當取得個人的單獨同意或者書面同意。(第二十八條至第三十二條)
五是,設專節規定國家機關處理個人信息的規則,在保障國家機關依法履行職責的同時,要求國家機關處理個人信息應當依照法律、行政法規規定的權限和程序進行。(第三十三條至第三十七條)
在應對新冠肺炎疫情中,大數據應用為聯防聯控和複工複產提供了有力支持。為此,立法將應對突發公共衛生事件,或者緊急情況下保護自然人的生命健康,作為處理個人信息的合法情形之一。需要強調的是,在上述情形下處理個人信息,也必須嚴格遵守本法規定的處理規則,履行個人信息保護義務。
(三)完善個人信息跨境提供規則
一是,明確關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的處理者,確需向境外提供個人信息的,應當通過國家網信部門組織的安全評估;對於其他需要跨境提供個人信息的,規定了經專業機構認證、訂立標準合同等途徑。(第三十八條、第四十條)二是,對跨境提供個人信息的“告知-同意”作出更嚴格的要求。(第三十九條)
三是,對因國際司法協助或者行政執法協助,需要向境外提供個人信息的,要求依法申請有關主管部門批準。(第四十一條)
四是,對從事侵害我國公民個人信息權益等活動的境外組織、個人,以及在個人信息保護方面對我國采取不合理措施的國家和地區,規定了可以對等采取措施。(第四十二條、第四十三條)
(四)明確個人信息處理活動中個人的權利和處理者義務
一是,與民法典的有關規定相銜接,明確在個人信息處理活動中個人的各項權利,包括知情權、決定權、查詢權、更正權、刪除權等,並要求個人信息處理者建立個人行使權利的申請受理和處理機制。(第四十四條至第五十條)二是,明確個人信息處理者的合規管理和保障個人信息安全等義務,要求其按照規定制定內部管理制度和操作規程,采取相應的安全技術措施,並指定負責人對其個人信息處理活動進行監督;定期對其個人信息活動進行合規審計;對處理敏感個人信息、向境外提供個人信息等高風險處理活動,事前進行風險評估;履行個人信息泄露通知和補救義務等。(第五十一條、第五十二條、第五十四條至第五十七條)
(五)關於履行個人信息保護職責的部門
個人信息保護涉及各個領域和多個部門的職責。立法根據個人信息保護工作實際,明確國家網信部門負責個人信息保護工作的統籌協調,發揮其統籌協調作用;同時規定:國家網信部門和國務院有關部門在各自職責範圍內負責個人信息保護和監督管理工作。(第六十條)此外,違反本法規定行為的處罰及侵害個人信息權益的民事賠償等亦有規定。
四、《個人信息保護法》確立的個人信息處理原則
【個人信息處理原則】第五條 處理個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。
【必要性原則/目的限制原則】第六條 處理個人信息應當具有明確、合理的目的,並應當與處理目的直接相關,采取對個人權益影響最小的方式。
收集個人信息,應當限於實現處理目的的最小範圍,不得過度收集個人信息。
【透明原則】第七條 處理個人信息應當遵循公開、透明原則,公開個人信息處理規則,明示處理的目的、方式和範圍。
【準確原則】第八條 處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不利影響。
【負責和安全原則】第九條 個人信息處理者應當對其個人信息處理活動負責,並采取必要措施保障所處理的個人信息的安全。
【存儲期限必要原則】第十九條 除法律、行政法規另有規定外,個人信息的保存期限應當為實現處理目的所必要的最短時間。
五、《個人信息保護法》確立的個人信息處理規則
(一)一般規定
【個人信息處理合法性基礎】第十三條 符合下列情形之一的,個人信息處理者方可處理個人信息:
(一)取得個人的同意;
(二)為訂立或者履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;
(三)為履行法定職責或者法定義務所必需;
(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;
(五)為公共利益實施新聞報道、輿論監督等行為,在合理的範圍內處理個人信息;
(六)依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息;
(七)法律、行政法規規定的其他情形。
依照本法其他有關規定,處理個人信息應當取得個人同意,但是有前款第二項至第七項規定情形的,不需取得個人同意。
【同意條件、重新取得個人同意】第十四條 基於個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自願、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。
個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。
【同意撤回】第十五條 基於個人同意處理個人信息的,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。
個人撤回同意,不影響撤回前基於個人同意已進行的個人信息處理活動的效力。
【撤回後果】第十六條 個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務;處理個人信息屬於提供產品或者服務所必需的除外。
【告知要件】第十七條 個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項:
(一)個人信息處理者的名稱或者姓名和聯系方式;
(二)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;
(三)個人行使本法規定權利的方式和程序;
(四)法律、行政法規規定應當告知的其他事項。
前款規定事項發生變更的,應當將變更部分告知個人。
個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的,處理規則應當公開,並且便於查閱和保存。
【告知的法定例外】第十八條 個人信息處理者處理個人信息,有法律、行政法規規定應當保密或者不需要告知的情形的,可以不向個人告知前條第一款規定的事項。
緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的,個人信息處理者應當在緊急情況消除後予以告知。
【共同處理決定】第二十條 兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應當約定各自的權利和義務。但是,該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。
個人信息處理者共同處理個人信息,侵害個人信息權益造成損害的,應當依法承擔連帶責任。
【委托處理關系】第二十一條 個人信息處理者委托處理個人信息的,應當與受托方約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,並對受托方的個人信息處理活動進行監督。
受托方應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息,委托合同不生效、無效、被撤銷或者終止的,受托方應當將個人信息返還個人信息處理者或者予以刪除,不得保留。
未經個人信息處理者同意,受托方不得轉委托他人處理個人信息。
【合並分立解散破產】第二十二條 個人信息處理者因合並、分立、解散、被宣告破產等原因需要轉移個人信息的,應當向個人告知接收方的名稱或者姓名和聯系方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。
【向其他個人信息處理者提供】第二十三條 個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,並取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等範圍內處理個人信息。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。
【自動化決策】第二十四條 個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果的公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。
【不得公開處理的信息】 第二十五條 個人信息處理者不得公開其處理的個人信息,取得個人單獨同意的除外。
【公共場所信息采集提示】 第二十六條 在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,並設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用於維護公共安全的目的,不得用於其他目的;取得個人單獨同意的除外。
【公開個人信息處理原則】 第二十七條 個人信息處理者可以在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息;個人明確拒絕的除外。個人信息處理者處理已公開的個人信息,對個人權益有重大影響的,應當依照本法規定取得個人同意 。
(二)敏感個人信息的處理規則
【目的特定和必要,敏感信息定義】第二十八條 敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
只有在具有特定的目的和充分的必要性,並采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。
【敏感信息處理,單獨同意原則】第二十九條 處理敏感個人信息應當取得個人的單獨同意。法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。
【特殊告知義務】第三十條 個人信息處理者處理敏感個人信息的,除本法第十七條第一款規定的事項外,還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響;依照本法規定可以不向個人告知的除外。
第三十一條 個人信息處理者處理不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監護人的同意。
個人信息處理者處理不滿十四周歲未成年人個人信息的,應當制定專門的個人信息處理規則。
【法定行政許可】第三十二條 法律、行政法規規定處理敏感個人信息應當取得相關行政許可或者作出其他限制的,從其規定。
(三)國家機關處理個人信息的特別規定
【國家機關例外規定】第三十三條 國家機關處理個人信息的活動,適用本法;本節有特別規定的,適用本節規定。
【職責必要原則】第三十四條 國家機關為履行法定職責處理個人信息,應當依照法律、行政法規規定的權限、程序進行,不得超出履行法定職責所必需的範圍和限度。
【告知義務及其例外】第三十五條 國家機關為履行法定職責處理個人信息,應當依照本法規定向個人告知義務;有本法第十八條第一款規定的情形,或者告知將妨礙國家機關履行法定職責的除外。
【境內存儲,境外提供安全評估】第三十六條 國家機關處理的個人信息應當在中華人民共和國境內存儲;確需向境外提供的,應當進行安全評估。安全評估可以要求有關部門提供支持與協助。
第四節 個人信息的收集、使用規則
一、相關規定
關於網絡運營者收集使用個人信息的規則,網絡安全法第四十一條規定:“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。
網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。”
民法典第一千零三十五條規定:“處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理,並符合下列條件:
(一)征得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外;
(二)公開處理信息的規則;
(三)明示處理信息的目的、方式和範圍;
(四)不違反法律、行政法規的規定和雙方的約定。
個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。
第一千零三十六條規定:“處理個人信息,有下列情形之一的,行為人不承擔民事責任:
(一)在該自然人或者其監護人同意的範圍內合理實施的行為;
(二)合理處理該自然人自行公開的或者其他已經合法公開的信息,但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外;
(三)為維護公共利益或者該自然人合法權益,合理實施的其他行為。”
二、個人信息的收集
《個人信息安全規範》的“5 個人信息的收集”部分有如下規定:
5.1 收集個人信息的合法性
對個人信息控制者的要求包括:
a) 不應以欺詐、誘騙、誤導的方式收集個人信息;
b) 不應隱瞞產品或服務所具有的收集個人信息的功能;
c) 不應從非法渠道獲取個人信息。
5.2收集個人信息的最小必要
對個人信息控制者的要求包括:
a) 收集的個人信息的類型應與實現產品或服務的業務功能有直接關聯;直接關聯是指沒有上述個人信息的參與,產品或服務的功能無法實現;
b) 自動采集個人信息的頻率應是實現產品或服務的業務功能所必需的最低頻率;
c) 間接獲取個人信息的數量應是實現產品或服務的業務功能所必需的最少數據。
5.3 多項業務功能的自主選擇
當產品或服務提供多項需收集個人信息的業務功能時,個人信息控制者不應違背個人信息主體的自主意願,強迫個人信息主體接受產品或服務所提供的業務功能及相應的個人信息收集請求。對個人信息控制者的要求包括:
a) 不應通過捆綁產品或服務各項業務功能的方式,要求個人信息主體一次性接受並授權同意其未申請或使用的各項業務功能收集個人信息的請求。
b) 應把個人信息主體自主作出的肯定性動作,如主動點擊、勾選、填寫等,作為產品或服務的特定業務功能的開啟條件。個人信息控制者應僅在個人信息主體開啟該業務功能後,開始收集個人信息;
c) 關閉或退出業務功能的途徑或方法應與個人信息主體選擇使用業務功能的途徑或方法同樣方便。個人信息主體選擇關閉或退出特定業務功能後,個人信息控制者應停止該業務功能的個人信息收集活動;
d) 個人信息主體不授權同意使用、關閉或退出特定業務功能的,不應頻繁征求個人信息主體的授權同意;
e) 個人信息主體不授權同意使用、關閉或退出特定業務功能的,不應暫停個人信息主體自主選擇使用的其他業務功能,或降低其他業務功能的服務質量;
f) 不得僅以改善服務質量、提升使用體驗、研發新產品、增強安全性等為由,強制要求個人信息主體同意收集個人信息。
5.4 收集個人信息時的授權同意
對個人信息控制者的要求包括:
a)收集個人信息,應向個人信息主體告知收集、使用個人信息的目的、方式和範圍等規則,並獲得個人信息護體的授權同意;
注1:如產品或服務僅提供一項收集、使用個人信息的業務功能時,個人信息控制者可通過個人信息保護政策的形式,實現向個人信息主體的告知;產品或服務提供多項收集、使用個人信息的業務功能的,除個人信息保護政策外,個人信息控制者宜在實際開始收集特定個人信息時,向個人信息主體提供收集、使用該個人信息的目的、範式和範圍,以便個人信息主體在作出具體的授權同意前,能充分考慮對其的具體影響。
注2:符合5.3和a) 要求的實現方法,可參考附錄C。
b) 收集個人敏感信息前,應征得個人信息主體的明示同意,並應確保個人信息主體的明示同意是其在完全知情的基礎上自主給出的、具體的、清晰明確的意願表示;
c) 收集個人生物識別信息前,應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和範圍,以及存儲時間等規則,並征得個人信息主體的明示同意;
注:個人生物識別信息包括個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。
d) 收集年滿14周歲未成年人的個人信息前,應征得未成年人或其監護人的明示同意;不滿14周歲的,應征得其監護人的明示同意;
e) 間接獲取個人信息時:
1) 應要求個人信息提供方說明個人信息來源,並對其個人信息來源的合法性進行確認;
2) 應了解個人信息提供方已獲取的個人信息處理的授權同意範圍,包括使用目的,個人信息主體是否授權同意轉讓、共享、公開披露、刪除等;
3) 如開展業務所需進行的個人信息處理活動超出已獲取的授權同意範圍的,應在獲取個人信息後的合理期限內或處理個人信息前,征得個人信息主體的明示同意,或通過個人信息提供方征得個人信息主體的明示同意。
5.5 征得授權同意的例外
以下情形中,個人信息控制者收集、使用個人信息不必征得個人信息主體的授權同意:
a) 與個人信息控制者履行法律法規規定的義務相關的;
b) 與國家安全、國防安全直接相關的;
c) 與公共安全、公共衛生、重大公共利益直接相關的;
d) 與刑事偵查、起訴、審判和判決執行等直接相關的;
e) 出於維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到本人授權同意的;
f) 所涉及的個人信息是個人信息主體自行向社會公開的;
g) 根據個人信息主體要求簽訂和履行合同所必需的;
注:個人信息保護政策的主要功能為公開個人信息控制者收集、使用個人信息範圍和規則,不宜將其視為合同。
h) 從合法公開披露的信息中收集個人信息的,如合法的新聞報道、政府信息公開等渠道;
i)維護所提供服務或產品的安全穩定運行所必需的,如發現、處置產品或服務的故障;
j) 個人信息控制者為新聞單位,且其開展合法的新聞報道所必需的;
k) 個人信息控制者為學術研究機構,出於公共利益開展統計或學術研究所必要,且其對外提供學術研究或描述的結果時,對結果中所包含的個人信息進行去標識化處理的。
5.6 個人信息保護政策
對個人信息控制者的要求包括:
a) 應制定個人信息保護政策,內容應包括但不限於:
1)個人信息控制者的基本情況,包括主體身份、聯系方式;
2)收集、使用個人信息的業務功能,以及各業務功能分別收集的個人信息類型。涉及個人敏感信息的,需明確標識或突出顯示;
3)個人信息收集方式、存儲期限、涉及數據出境情況等個人信息處理規則;
4) 對外共享、轉讓、公開披露個人信息的目的、涉及的個人信息類型、接收個人信息的第三方類型,以及各自的安全和法律責任;
5)個人信息主體的權利和實現機制,如查詢方法、更正方法、刪除方法、注銷賬戶的方法、撤回授權同意的方法、獲取個人信息副本的方法、對信息系統自動決策結果進行投訴的方法等;
6)提供個人信息後可能存在的安全風險,及不提供個人信息可能產生的影響;
7)遵循的個人信息安全基本原則,具備的數據安全能力,以及采取的個人信息安全保護措施,必要時可公開數據安全和個人信息保護相關的合規證明;
8)處理個人信息主體詢問、投訴的渠道和機制,以及外部糾紛解決機構及聯絡方式。
b) 個人信息保護政策所告知的信息應真實、準確、完整;
c) 個人信息保護政策的內容應清晰易懂,符合通用的語言習慣,使用標準化的數字、圖示等,避免使用有歧義的語言。
d) 個人信息保護政策應公開發布且易於訪問,例如,在網站主頁、移動互聯網應用程序安裝頁、附錄C中的交互界面或設計等顯著位置設置鏈接;
e) 個人信息保護政策應逐一送達個人信息主體。當成本過高或顯著困難時,可以公告的形式發布;
f)在a)所載事項發生變化時,應及時更新個人信息保護政策並重新告知個人信息主體。
注1:組織會習慣性將個人信息保護政策命名為“隱私政策”或其他名稱,其內容宜與個人信息保護政策內容保持一致。
注2:個人信息保護政策的內容可參考附錄D。
注3:在個人信息主體首次打開產品或服務、注冊賬戶等情形時,宜通過彈窗等形式主動向其展示個人信息保護政策的主要或核心內容,幫助個人信息主體理解該產品或服務的個人信息處理範圍和規則,並決定是否繼續使用該產品或服務。
三、個人信息的使用
《個人信息安全規範》的“7 個人信息的使用”部分有如下規定:
7.1 個人信息訪問控制措施
對個人信息控制者的要求包括:
a) 對被授權訪問個人信息的人員,應建立最小授權的訪問控制策略,使其只能訪問職責所需的最小必要的個人信息,且僅具備完成職責所需的最少的數據操作權限;
b) 對個人信息的重要操作設置內部審批流程,如進行批量修改、拷貝、下載等重要操作;
c) 對安全管理人員、數據操作人員、審計人員的角色進行分離設置;
d) 確因工作需要,需授權特定人員超權限處理個人信息的,應經個人信息保護責任人或個人信息保護工作機構進行審批,並記錄在冊;
注:個人信息保護責任人或個人信息保護工作機構的確定見11.1。
e) 對個人敏感信息的訪問、修改等操作行為,宜在對角色權限控制的基礎上,按照業務流程的需要觸發操作授權。例如,當收到客戶投訴,投訴處理人才訪問該個人信息主體的相關信息。
7.2 個人信息的展示限制
涉及通過界面展示個人信息的(如顯示屏幕、紙面),個人信息控制者宜對需展示的個人信息采取去標識化處理等措施,降低個人信息在展示環節的泄露風險。例如,在個人信息展示時,防止內部非授權人員及個人信息主體之外的其他人員未經授權獲取個人信息。
7.3 個人信息使用的目的限制
對個人信息控制者的要求包括:
a)使用個人信息時,不應超出與收集個人信息時所聲稱的目的具有直接或合理關聯的範圍。因業務需要,確需超出上述範圍使用個人信息的,應再次征得個人信息主體明示同意;
注:將所收集的個人信息用於學術研究或得出對自然、科學、社會、經濟等現象總體狀況的描述,屬於與收集目的具有合理關聯的範圍之內。但對外提供學術研究或描述的結果時,需對結果中所包含的個人信息進行去標識化處理。
b) 如所收集的個人信息進行加工處理而產生的信息,能夠單獨或與其他信息結合識別特定自然人身份或反映特定自然人活動情況的,應將其認定為個人信息。對其處理應遵循收集個人信息時獲取的授權同意範圍。
注:加工處理而產生的個人信息屬於個人敏感信息的,對其處理需符合對個人敏感信息的要求。
7.4 用戶畫像的使用限制
對個人信息控制者的要求包括:
a)用戶畫像中對個人信息主體的特征描述,不應:
1)包含淫穢、色情、賭博、迷信、恐怖、暴力的內容;
2)表達對民族、種族、宗教、殘疾、疾病歧視的內容。
b)在業務運營或對外合作中使用用戶畫像的,不應:
1) 侵害公民、法人和其他組織的合法權益;
2)危害國家安全、榮譽和利益,煽動顛覆國家政權、推翻社會主義制度,煽動分裂國家、破壞國家統一,宣揚恐怖主義、極端主義,宣揚民族仇恨、民族歧視,傳播暴力、淫穢色情信息,編造、傳播虛假信息擾亂經濟秩序和社會秩序。
c) 除為實現個人信息主體授權同意的使用目的所必需外,使用個人信息應消除明確身份指向性,避免精確定位到特定個人。例如,為準確評價個人信用狀況,可使用直接用戶畫像,而用於推送商業廣告目的時,則宜使用間接用戶畫像。
7.5 個性化展示的使用
對個人信息控制者的要求包括:
a) 在向個人信息主體提供業務功能的過程中使用個性化展示的,應顯著區分個性化展示的內容和非個性化展示的內容;
注:顯著區分的方式包括但不限於:標明“定推”等字樣,或通過不同的欄目、版塊、頁面分別展示等。
b)在向個人信息主體提供電子商務服務的過程中,根據消費者的興趣愛好、消費習慣等特征向其提供商品或者服務搜索結果的個性化展示的,應當同時向該消費者提供不針對其個人特征的選項;
注:基於個人信息主體所選擇的特定地理位置進行展示、搜索結果排序,且不因個人信息主體身份不同展示不一樣的內容和搜索結果排序,則屬於不針對其個人特征的選項。
c) 在向個人信息主體推送新聞信息服務的過程中使用個性化展示的,應:
1)為個人信息主體提供簡單直觀的退出或關閉個性化展示模式的選項;
2) 當個人信息主體選擇退出或關閉個性化展示模式時,向個人信息主體提供刪除或匿名化定向推送活動所基於的個人信息的選項。
d) 在向個人信息主體提供業務功能的過程中使用個性化展示的,宜建立個人信息主體對個性化展示所依賴的個人信息(如標簽、畫像維度等)的自主控制機制,保障個人信息主體調控個性化展示相關性程度的能力。
7.6 基於不同業務目的所收集個人信息的匯聚融合
對個人信息控制者的要求包括:
a) 應遵守7.3的要求;
b) 應根據匯聚融合後個人信息所用於的目的,開展個人信息安全影響評估,采取有效地個人信息保護措施。
7.7 信息系統自動決策機制的使用
個人信息控制者業務運營所使用的信息系統,具備自動決策機制且能對個人信息主體權益造成顯著影響的(例如,自動決定個人征信及貸款額度,或用於面試人員的自動化篩選等),應:
a)在規劃設計階段或首次使用前開展個人信息安全影響評估,並依評估結果采取有效的保護個人信息主體的措施;
b)在使用過程中定期(至少每年一次)開展個人信息安全影響評估,並依評估結果改進保護個人信息主體的措施;
c)向個人信息主體提供對自動決策結果的投訴渠道,並支持對自動決策結果的人工複核。
第五節 個人信息的存儲、委托處理、共享、轉讓、公開披露規則
一、相關規定
關於網絡運營者的個人信息保護義務,網絡安全法第四十二條規定:“網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能複原的除外。
網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶並向有關主管部門報告。”
關於禁止非法獲取、出售、提供個人信息,網絡安全法第四十四條規定:“任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。”
關於網絡安全監管部門及其工作人員的保密義務,網絡安全法第四十五條規定:“依法負有網絡安全監督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密,不得泄露、出售或者非法向他人提供。”
民法典第一千零三十八條規定:“信息處理者不得泄露或者篡改其收集、存儲的個人信息;未經自然人同意,不得向他人非法提供其個人信息,但是經過加工無法識別特定個人且不能複原的除外。
信息處理者應當采取技術措施和其他必要措施,確保其收集、存儲的個人信息安全,防止信息泄露、篡改、丟失;發生或者可能發生個人信息泄露、篡改、丟失的,應當及時采取補救措施,按照規定告知自然人並向有關主管部門報告。”
第一千零三十九條規定:“國家機關、承擔行政職能的法定機構及其工作人員對於履行職責過程中知悉的自然人的隱私和個人信息,應當予以保密,不得泄露或者向他人非法提供。”
《個人信息保護法》“第五章 個人信息處理者的義務”部分,規定如下:
【安全保障義務】 第五十一條 個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取下列措施確保個人信息處理活動符合法律、行政法規的規定,並防止未經授權的訪問以及個人信息泄露、篡改、丟失:
(一)制定內部管理制度和操作規程;
(二)對個人信息實行分類管理;
(三)采取相應的加密、去標識化等安全技術措施;
(四)合理確定個人信息處理的操作權限,並定期對從業人員進行安全教育和培訓;
(五)制定並組織實施個人信息安全事件應急預案;
(六)法律、行政法規規定的其他措施。
【信息保護負責人】第五十二條 處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。
個人信息處理者應當公開個人信息保護負責人的聯系方式等,並將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。
【境外處理者處理中國公民信息的條件】第五十三條 本法第三條第二款規定的中華人民共和國境外的個人信息處理者,應當在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,並將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。
【合規審計】第五十四條 個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。
【個人信息保護影響評估】第五十五條 有下列情形之一的,個人信息處理者應當事前進行個人信息保護影響評估,並對處理情況進行記錄:
(一)處理敏感個人信息;
(二)利用個人信息進行自動化決策;
(三)委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息;
(四)向境外提供個人信息;
(五)其他對個人權益有重大影響的個人信息處理活動。
第五十六條 個人信息保護影響評估應當包括下列內容:
(一)個人信息的處理目的、處理方式等是否合法、正當、必要;
(二)對個人權益的影響及安全風險;
(三)所采取的保護措施是否合法、有效並與風險程度相適應。
個人信息保護影響評估報告和處理情況記錄應當至少保存三年。
GB/T 39335-2020《信息安全技術 個人信息安全影響評估指南》於 2020年11月19日發布,2021年6月1日實施。
【泄露補救措施】第五十七條 發生或者可能發生個人信息泄露、篡改、丟失的,個人信息處理者應當立即采取補救措施,並通知履行個人信息保護職責的部門和個人。通知應當包括下列事項:
(一) 發生或者可能發生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害;
(二)個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施;
(三)個人信息處理者的聯系方式。
個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的,個人信息處理者可以不通知個人;履行個人信息保護職責的部門認為可能造成危害的,有權要求個人信息處理者通知個人。
【大型互聯網平臺的特殊義務】第五十八條 提供重要互聯網平臺服務、用戶數量巨大、業務類型複雜的個人信息處理者,應當履行下列義務:
(一)按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;
(二)遵循公開、公平、公正的原則,制定平臺規則,明確平臺內產品或者服務提供者處理個人信息的規範和保護個人信息的義務;
(三)對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者,停止提供服務;
(四)定期發布個人信息保護社會責任報告,接受社會監督。
【受托人義務】第五十九條 接受委托處理個人信息的受托人,應當依照本法和有關法律、行政法規的規定,采取必要措施保障所處理的個人信息的安全,並協助個人信息處理者履行本法規定的義務。
二、個人信息的存儲
《個人信息安全規範》的“6 個人信息的存儲”部分有如下規定:
6.1 個人信息存儲時間最小化
對個人信息控制者的要求包括:
a) 個人信息存儲期限應為實現個人信息主體授權使用的目的所必需的最短時間,法律法規另有規定或者個人信息主體另外授權同意的除外;
b) 超出上述個人信息存儲期限後,應對個人信息進行刪除或匿名化處理
6.2 去標識化處理
收集個人信息後,個人信息控制者宜立即進行去標識化處理,並采取技術和管理方面的措施,將可用於恢複識別個人的信息與去標識化後的信息分開存儲並加強訪問和使用的權限管理。
6.3 個人敏感信息的傳輸和存儲
對個人信息控制者的要求包括:
a) 傳輸和存儲個人敏感信息時,應采用加密等安全措施;
注:采用密碼技術時宜遵循密碼管理相關國家標準。
b) 個人生物識別信息應與個人身份信息分開存儲;
c) 原則上不應存儲原始個人生物識別信息(如樣本、圖像等),可采取的措施包括但不限於:
1)僅存儲個人生物識別信息的摘要信息;
2)在采集終端中直接使用個人生物識別信息實現身份識別、認證等功能;
3) 在使用面部識別特征、指紋、掌紋、虹膜等實現識別身份、認證等功能後刪除可提取個人生物識別信息的原始圖像。
注1:摘要信息通常具有不可逆特征,無法回溯到原始信息。
注2:個人信息控制者履行法律法規規定的義務相關的情形除外。
6.4 個人信息控制者停止運營
當個人信息控制者停止運營期產品或服務時,應:
a) 及時停止繼續收集個人信息;
b) 將停止運營的通知以逐一送達或公告的形式通知個人信息主體;
c) 對其所持的個人信息進行刪除或匿名化處理。
三、個人信息的委托處理
《個人信息安全規範》的“9 個人信息的委托處理、共享、轉讓、公開披露”部分有如下規定:
9.1 委托處理
個人信息控制者委托第三方處理個人信息時,應符合以下要求:
a) 個人信息控制者作出委托行為,不應超出已征得個人信息主體授權同意的範圍或應遵守5.6所列情形;
b) 個人信息控制者應對為委托行為進行個人信息安全影響評估,確保受委托者達到11.5的數據安全能力要求;
c) 受委托者應:
1) 嚴格按照個人信息控制者的要求處理個人信息。受委托者因特殊原因未按照個人信息控制者的要求處理個人信息的,應及時向個人信息控制者反馈;
2)受托者確需再次委托時,應事先征得個人信息控制者的授權;
3)協助個人信息控制者響應個人信息主體基於8.1-8.6提出的請求;
4) 受委托者在處理個人信息過程中無法提供足夠的安全保護水平或發生了安全事件的,應及時向個人信息控制者反馈;
5) 在委托關系解除時不再存儲相關個人信息。
d) 個人信息控制者應對受委托者進行監督,方式包括但不限於:
1) 通過合同等方式規定受托者的責任和義務;
2)對受托者進行審計。
e) 個人信息控制者應準確記錄和存儲委托處理個人信息的情況;
f) 個人信息控制者得知或者發現受托者未按照委托要求處理個人信息,或未能有效履行個人信息安全保護責任的,應立即要求受托者停止相關行為,且采取或要求受托者采取有效補救措施(如更改口令、回收權限、斷開網絡連接等)控制或消除個人信息面臨的安全風險。必要時個人信息控制者應終止與受托者的業務關系,並要求受托者及時刪除從個人信息控制者獲得的個人信息。”
四、個人信息的共享、轉讓
《個人信息安全規範》的“9 個人信息的委托處理、共享、轉讓、公開披露”部分有如下規定:
“9.2 個人信息共享、轉讓
個人信息控制者共享、轉讓個人信息時,應充分重視風險。共享轉讓個人信息,非因收購、兼並、重組、破產原因的,應符合以下要求:
a) 事先開展個人信息安全影響評估,並依據評估結果采取有效的保護個人信息主體的措施;
b) 向個人信息主體告知共享、轉讓個人信息的目的、數據接收方的類型以及可能產生的後果,並事先征得個人信息主體的授權同意。共享、轉讓經去標識化處理的個人信息,且確保數據接收方無法重新識別或者關聯個人信息主體的除外;
c) 共享、轉讓個人敏感信息前,除b)中告知的內容外,還應向個人信息主體告知涉及的個人敏感信息類型、數據接收方的身份和數據安全能力,並事先征得個人信息主體的明示同意;
d) 通過合同等方式規定數據接收方的責任和義務;
e) 準確記錄和存儲個人信息的共享、轉讓情況,包括共享、轉讓的日期、規模、目的,以及數據接收方基本情況等;
f) 個人信息控制者發現數據接收方違反法律法規要求或雙方約定處理個人信息的,應立即要求數據接收方停止相關行為,並采取或要求數據接收方采取有效補救措施(如更改口令、回收權限、斷開網絡鏈接等)控制或消除個人信息面臨的安全風險;必要時個人信息控制者應解除與數據接收方的業務關系,並要求數據接收方及時刪除從個人信息控制者獲取的個人信息;
g) 因共享、轉讓個人信息發生安全事件對個人信息主體合法權益造成損害的,個人信息控制者應承擔相應的責任。
h) 幫助個人信息主體了解數據接收方對個人信息的存儲、使用等情況,以及個人信息主體的權利,例如,訪問、更正、刪除、注銷賬戶等;
i) 個人生物識別信息原則上不應共享、轉讓。因業務需要,確需共享、轉讓的,應單獨向個人信息主體告知目的、涉及的個人生物識別信息類型、數據接收方的具體身份和數據安全能力等,並征得個人信息主體的明示同意。
9.3收購、兼並、重組、破產時的個人信息轉讓
當個人信息控制者發生收購、兼並、重組、破產等變更時,對個人信息控制者的要求包括:
a) 向個人信息主體告知有關情況;
b) 變更後的個人信息控制者應繼續履行原個人信息控制者的責任和義務,如變更個人信息使用目的後,應重新取得個人信息主體的明示同意。
c) 如破產且無承接方的,對數據做刪除處理。”
五、個人信息公開披露
《個人信息安全規範》的“9個人信息的委托處理、共享、轉讓、公開披露”部分有如下規定:
“9.4 個人信息公開披露
個人信息原則上不應公開披露。個人信息控制者經法律授權或具備合理事由確需公開披露時,應符合以下要求:
a) 事先開展個人信息安全影響評估,並依評估結果采取有效的保護個人信息主體的措施;
b) 向個人信息主體告知公開披露個人信息的目的、類型,並事先征得個人信息主體明示同意;
c) 公開披露個人敏感信息前,除b)中告知的內容外,還應向個人信息主體告知涉及的個人敏感信息的內容;
d) 準確記錄和存儲個人信息的公開披露情況,包括公開披露的日期、規模、目的、公開範圍等;
e) 承擔因公開披露個人信息對個人信息主體合法權益造成損害的相應責任;
f) 不應公開披露個人生物識別信息;
g) 不應公開披露我國公民的種族、民族、政治觀點、宗教信仰等個人敏感數據的分析結果。”
六、共享、轉讓、公開披露個人信息時事先征得授權同意的例外
《個人信息安全規範》的“9個人信息的委托處理、共享、轉讓、公開披露”部分有如下規定:
9.5 共享、轉讓、公開披露個人信息時事先征得授權同意的例外
以下情形中,個人信息控制者共享、轉讓、公開披露個人信息不必事先征得個人信息主體的授權同意:
a) 與個人信息控制者履行法律法規規定的義務相關的;
b) 與國家安全、國防安全直接相關的;
c) 與公共安全、公共衛生、重大公共利益直接相關的;
d) 與刑事偵查、起訴、審判和判決執行等直接相關的;
e) 出於維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到本人授權同意的;
f) 個人信息主體自行向社會公眾公開的個人信息;
g) 從合法公開披露的信息中收集個人信息的,如合法的新聞報道、政府信息公開等渠道;”
七、共同個人信息控制者
《個人信息安全規範》對“共同個人信息控制者”有如下規定:
9.6 共同個人信息控制者
對個人信息控制者的要求包括:
a) 當個人信息控制者與第三方為共同個人信息控制者時,個人信息控制者應通過合同等形式與第三方共同確定應滿足的個人信息安全要求,以及在個人信息安全方面自身和第三方應分別承擔的責任和義務,並向個人信息主體明確告知;
b) 如未向個人信息主體明確告知第三方身份,以及在個人信息安全方面自身和第三方應分別承擔的責任和義務,個人信息控制者應承擔因第三方引起的個人信息安全責任。
注:如個人信息控制者在提供產品或服務的過程中部署了收集個人信息的第三方插件(例如,網絡經營者與在其網頁或應用程序中部署統計分析工具、軟件開發工具包SDK、調用地圖API接口),且該第三方並未單獨向個人信息主體征得收集個人信息的授權同意,則個人信息控制者與該第三方在個人信息收集階段為共同個人信息控制者。”
八、第三方接入管理
《個人信息安全規範》對“第三方接入管理”規定如下:
9.7 第三方接入管理
當個人信息控制者在其產品或服務中接入具有收集個人信息功能的第三方產品或服務且不適用9.1-9.6時,對個人信息控制者的要求包括:
a) 建立第三方產品或服務接入管理機制和工作流程,必要時應建立安全評估等機制設置接入條件;
b) 應與第三方產品或服務提供者通過合同等形式明確雙方的安全責任及應實施的個人信息安全措施;
c) 應向個人信息主體明確標識產品或服務由第三方提供;
d) 應妥善留存平臺第三方接入有關合同和管理記錄,確保並供相關方查閱;
e) 應要求第三方根據本標準相關要求向個人信息主體征得收集個人信息的授權同意,必要時核驗其實現的方式;
f) 應要求第三方產品或服務建立響應個人信息主體請求和投訴等的機制,以供個人信息主體查詢、使用;
g) 應監督第三方產品或服務提供者加強個人信息安全管理,發現第三方產品或服務沒有落實安全管理要求和責任的,應及時督促整改,必要時停止接入;
h) 產品或服務嵌入或接入第三方自動化工具(如代碼、腳本、接口、算法模型、軟件開發工具包、小程序等)的,宜采取以下措施:
1)開展技術監測確保其個人信息收集、使用行為符合約定要求;
2)對第三方嵌入或接入的自動化工具收集個人信息的行為進行審計,發現超出約定的行為,及時切斷接入。”
作者簡介 PROFILE
壽步 國瓴名譽主任
壽步教授現為上海交通大學法學院教授、博士生導師,上海交通大學知識產權研究中心主任、網絡空間治理研究中心主任,中國法學會網絡與信息法學研究會副會長,中國科學技術法學會副會長、網絡空間法專業委員會主任,中國法學會知識產權法學研究會常務理事,中國法學會案例法學研究會常務理事,中華全國律師協會信息網絡與高新技術法律專業委員會顧問,上海知識產權法院特邀知識產權專家。
壽步教授長期從事法學與新技術交叉領域的法學研究、法學教育、法律實務工作,尤其是與計算機軟件、網絡遊戲、雲計算、網絡安全、數據安全、個人信息保護等相關的領域。
壽步教授已出版個人專著5部、合著4部、主編著作21部。代表性論著有《中國軟件版權訴訟實務》、《 計算機軟件著作權保護》、《軟件網絡和知識產權》、《軟件網絡訴訟代理實務》、《信息時代知識產權教程》等。
發表評論 取消回複