CN English中文ItalianoFrançais

广悦专业研究丨车舆配新鞍,策马再启程:《网数条例》下企业处理个人信息需要关注的十个关键要点

发布日期:2024-10-18 15:43:12浏览:

前言


2024年9月30日,国务院正式发布《网络数据安全管理条例》(以下简称《网数条例》)。作为我国首部专门针对网络数据的处理活动进行规制的行政法规,《网数条例》与我国网络安全与数据保护高位阶立法“三驾马车”,即《网络安全法》《数据保护法》《个人信息保护法》套上了指导更明确的“马鞍”,也为后续更多部门规章或规范性文件、国家标准的出台留下了衔接空间。

作为一部承上启下的法律规范,《网数条例》共九章六十四条,体量颇大。本文从关注度最高、企业最为迫切希望了解的个人信息保护入手,总结新规下与个人信息保护相关的十个关键要点,以快速了解《网数条例》对个人信息保护提出的新要求。



一、什么是“网络数据”:厘清新规适用范围


根据《网数条例》第二条,新规适用范围包括“中华人民共和国境内开展网络数据处理活动及其安全监督管理”,说明其保护的客体应为“网络数据”。《网数条例》将“网络数据”的定义为“通过网络处理和产生的各种电子数据”,尽管新规明确“网络”的定义,从广义角度解释,无论是通常理解的互联网还是局域网,都应当视为新规中所指“网络”。而文本中进一步明确“网络数据”是“通过网络处理和产生的”,则进一步指明了判断“网络数据性质”的条件,从个人信息获取的角度而言,如该类个人信息是通过任何网络收集的,即便是企业通过内网收集内部员工的个人信息,或者是像IP地址等个人使用网络时自动产生的衍生数据,该类数据仍属于“网络数据”;从个人信息后续处理的角度而言,如该类数据是基于可连接网络(包括企业内网)的设备进行处理的,也应认为该类数据属于“网络数据”。

在网络几乎无处不在的今天,对于企业而言,即便在前期是通过线下填表等形式收集的个人信息,也难保在未来是否会以扫描、录入等方式使其转变为电子形式的数据并通过网络进行处理,因而企业应当从谨慎合规的角度出发,从宽判断个人信息的“网络数据性质”,积极落实《网数条例》下各项义务,避免因后续数据形式变化导致合规措施缺位。



二、“双清单”转正:理解个人信息处理告知义务的新姿势


个人信息处理规则的告知是《个保法》下处理者的基础义务之一,《网数条例》第21条对原《个保法》第17条下的告知义务进一步细化,其中最为引人注目的要求,莫过于“双清单”要求的正式提出。

早在2021年末工信部就曾发布的《工业和信息化部关于开展信息通信服务感知提升行动的通知》中就规定APP应建立“已收集个人信息清单”和“与第三方共享个人信息清单”。本次《网数条例》第21条第2款借鉴了上述规定,提出应当以清单等形式列明“收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息”。然而,两份“双清单”在细节要求上是有所不同的:

(1)《网数条例》提及的列明形式时采用“以清单等形式”这一非穷尽式表达,说明其他非清单式列明方式并不必然违法;

(2)清单告知的适用场景仅限于是“通过制定个人信息处理规则”履行告知义务,因此,对于不依赖统一的《隐私政策》进行告知的特殊场景,例如临时性活动出现的个人信息收集处理活动、客服场景下出现难以预料的个人信息类型等特别情况,则无需列入清单范围;

(3)2021年工信部提出的“双清单”要求,其中一份清单为“已收集个人信息清单”,从当时被点名需要首批建立“双清单”的企业产品来看,这里的清单需要具有动态展示已经实际收集到的个人信息情况的能力,而《网数条例》中的“个人信息收集清单”并不强调“已收集”,理论上无需动态展示已收集情况,这对企业而言可减少技术研发投入。

对于企业而言,以清单形式列出个人信息收集和对外提供情况的,能有效地提升处理规则的透明度,倒逼企业完善个人信息数据映射,降低规则修撰过程中个人信息种类、处理场景等遗漏的可能性。因此,企业可采用《网数条例》的高标准,以主动提供“双清单”的方式,带动自身整体提升个人信息合规水平。



三、信息存储期限:既然说不清楚,那就聊聊方案


《网数条例》中个人信息处理规则告知要求的另一显著变化,莫过于对存储期限的说明要求的变化。在此之前,如何优雅地告知个人信息的“保存期限”一直是实务中的老大难题。企业通常只能采取另类的办法,例如微信和抖音都是通过告知“原则+举例”的方式,在重申仅在提供产品服务必需的期限内保存个人信息的同时,增加具体例子加强说明保存期限;也有如淘宝、拼多多等企业告知“期限判断标准”,向用户说明判断个人信息存储期限的主要参考因素。

图片

▲微信2023年11月10日生效的隐私保护指引中对个人信息存储期限的说明


图片

▲抖音2024年8月29日生效的隐私政策中对个人信息存储期限的说明


图片

▲淘宝网2024年9月17日生效的基本功能隐私政策中对个人信息存储期限的说明


图片

▲拼多多2023年8月22日更新的隐私政策中对个人信息存储期限的说明


在《网数条例》第21条第1款第3项中,“保存期限”的告知拓展为“个人信息保存期限和到期后的处理方式”的告知,更重要的是此前实务中已经被广泛采纳的“告知确定保存期限的确定方法”这一替代方案,在新规中得以转正。


对此,企业可以参考综合前述“原则+举例”以及“期限判断标准”两个表述方案,在技术和业务上可以确定个人信息保存期限确定方法的基础上,调整个人信息处理规则中有关存储期限的表述。



四、自动化收集:不小心收集到个人信息的处理路径


在产品智能化的浪潮下,无处不在的摄像头和传感器给人们带来便利的同时,也催生了信息保护的担忧,同时,智能网联汽车、智能家居设备、智能安防设备等生产企业也十分担心自己设备的摄像头和传感器会因无可避免地收集到非必要的个人信息,从而引发法律风险。

《网数新规》第24条为这类情况作出了明确规范,提出企业如果使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,应当删除个人信息或者进行匿名化处理,在整体上将“不小心收集到的个人信息”的合规处理方式丝滑地导向了《个保法》第47条对个人信息删除的相关规定。这在一方面从行政法规的高度明确了企业对于前述场景下个人信息的删除处置义务,更好地保障公民个人信息权利,在另外一方面,清晰的义务规范也有助于企业明确合规边界,防止因合规不确定性而对技术研发产生不合理束缚。

对于有使用自动化采集技术的企业,也需要进一步评估现有设备和技术能力的符合性,及时做好技术预案,明确为自动化采集技术增加个人信息删除策略。



五、个人信息共享:“委托”与“提供”规则再进化


《个保法》第21条、第23条分别对个人信息委托处理和个人信息对外提供作出了不同的规范。随着《网数条例》的出台,个人信息“委托”与“提供”两个信息共享模式的合规要求再作出了细化。

根据《网数条例》第21条要求,无论是“委托”与“提供”个人信息,处理者都应当订立合同并与接收方约定处理目的、方式、范围以及安全保护义务等内容,并对网络数据接收方履行义务的情况进行监督。在此之前,处理者对外提供个人信息并无订立合同的强制法定要求,也未明确处理者对接收方履行合同义务的监督要求;而《网数条例》则将原仅属于个人信息委托处理场景的合同订立及监督义务,一并要求处理者在个人信息对外提供的场景下予以落实。

对此,企业处理个人信息的过程中如涉及对外提供这一活动的,需要做好新规下义务变更的预案,确认自身是否已经签订了符合《网数条例》要求的合同,明确约定自身监管权限和接受方的违约责任等。

此外,《网数条例》还重申了《个保法》第55条、第56条下个人信息委托处理或对外提供时处理者的记录义务,并再次强调处理情况应当至少保存3年。企业也应当审视自身的个人信息处理情况记录程序,确保内部记录流程符合法律法规要求。



六、信息可携带权:离“带走”个人信息还有多远?


《个保法》第45条提出,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径,这一权利通常被称为个人信息“可携带权”,在欧洲GDPR等立法文件中也可以找到类似身影。然而,“网信部门规定条件”长久以来处于留白状态,缺少后续规范跟进,也导致可携带权难以行使。

本次《网数条例》第25条首次明确了首次补充了个人信息可携带权的行使条件,包括(1)能够验证请求人的真实身份;(2)请求转移的是本人同意提供的或者基于合同收集的个人信息;(3)转移个人信息具备技术可行性;(4)转移个人信息不损害他人合法权益。

尽管《网数条例》的条文仍偏概括性,但也为企业指明了未来个人信息可携带权落地的大致方向,留下了产品设计预备和技术筹划的空间。此外,《数据安全技术 个人信息转移技术要求》这一与个人信息可携带权有密切关联的标准也在起草阶段,且目前已经发布征求意见稿,企业也可以通过了解该标准,从而理解未来可携带权落地的大致技术方向和规则要求。



七、个性化推荐:个人特征标签必须可重置?


针对当前网络平台风靡的个性化推荐浪潮,《网数条例》第42条对个性化推荐作出升级规定,网络平台服务提供者在采用自动化决策机制向个人推送信息时,必须提供清晰易懂、易于访问和操作的个性化推荐关闭选项。这些选项应包括允许用户拒绝接收推送信息、删除基于其个人特征的用户标签等功能。这种做法的起源可以追溯到2022年3月生效的《互联网信息服务算法推荐管理规定》第十七条第二款,该条款要求算法推荐服务的提供者向用户提供选择或删除用于算法推荐的个人特征标签的功能。

本质上,《网数条例》这一规定是对《个保法》第24条第2款中“同时提供不针对个人特征的选项,或向个人提供便捷的拒绝方式”的要求的升级。新规这一要求,意味着网络平台企业需要调整其个推策略,审慎评估所带来的技术要求,并做好准备以应对未来大批量用户重置其个推标签可能带来的业务影响。



八、内设网数部门:千万级个人信息处理者额外义务之一


根据《网数条例》第30条要求,处理1000万人以上个人信息的网络数据处理者需参照重要数据处理者的标准,设置网络数据安全管理机构及网络数据安全负责人。尽管此前数据保护相关法律对此类组织内设机构的建立已经有所提及,但本次新规对该机构及负责人的职责、权限、工作范围等有更明确的要求,包括:

(1)要求机构制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案,定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动;

(2)要求负责人不仅需要有网络数据安全专业知识和相关管理工作经历,同时通过法规明确负责人需要由管理层成员担任;

(3)明确负责人应当有权直接向有关主管部门报告网络数据安全情况,从而将向监管部门的报告义务压实到个人,最大程度避免因公司决策而对网络数据安全部门及负责人履行其职责的影响降低。

如企业处理的个人信息达到千万级标准,应当留意自身是否需按照《网数条例》要求落实网络数据安全管理机构的要求,并严格做好对应制度建设、人员配置和工作记录。



九、主体变更报告:千万级个人信息处理者额外义务之二


《网数条例》第32条新增了针对重要数据的处理者主体重大变化报告义务的要求,该要求对处理1000万人以上个人信息的网络数据处理者也将适用。目前新规中对数据处理者出现主体变更化的情形,仅列举了合并、分立、解散、破产四个情况,但该列举并非穷尽式的,包括因经营需要而发生业务经营主体转移、从而引发数据移转的情况,也极有可能被认定为影响重要数据安全的情况。出现前述情形的,企业应根据自己所属行业领域确认行政主管条线,向省级以上主管部门报告重要数据处置方案、接收方的名称或者姓名和联系方式等信息。如确实无法明确主管部门的,应向省级以上数据安全工作协调机制履行报告义务。

如企业处理的个人信息达到千万级标准,在出现前述企业主体重大变更时,应当留意该报告义务,并将其作为相关商业方案的合规尽调内容审查重点以及交易交割条件之一。



十、个人信息保护社会责任报告:大型网络平台需落实的专项ESG


《个保法》第58条针对“互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”提出多项特殊义务要求,其中包括“定期发布个人信息保护社会责任报告”,但对于第58条下需要履行相应特殊义务的主体,法律法规始终未有明确定义。《网数条例》第44条再次提到“大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等”,在侧面上将始终未能落地的《个保法》第58条部分条款“盘活”,同时也首次在强制性法律规范文件中说明个人信息保护社会责任报告应当具备的主要内容。

根据《网数条例》定义,所谓大型网络平台是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。符合该定义的网络平台需要按照《网数条例》第44条要求每年发布个人信息保护社会责任报告。但需要注意的是,《网数条例》并未说明其中“大型网络平台”就是《个保法》第58条下义务主体。

在《网数条例》出台前,早有大型网络平台发布个人信息报告的先例。例如,百度就曾于2023年发布《百度个人信息保护社会责任报告》,但从行文上看,其并非每年都会发布的年度报告,具体内容上也与《网数条例》要求存在差异。

图片

▲浏览地址:https://privacy.baidu.com/organization/reports


在撰写标准上,目前国家标准制定机构和各重要行业协会都在紧锣密鼓地推动相关标准的制定,例如,全国信安标委于今年6月发布《数据安全技术 数据安全和个人信息保护社会责任指南》征求意见稿,其中包括数据安全和个人信息保护社会责任报告的模板;中国互联网协会在今年8月就《个人信息保护社会责任报告编写指南》开展意见征求工作;在更早的2023年9月,电信终端产业协会已经正式发布《个人信息保护社会责任报告编写指南》作为其团体标准。在现阶段,上述标准或草案都可为编撰个人信息保护社会责任报告提供有益指引。

《网数条例》将于2025年1月1日正式生效,对于企业而言,仅有三个月的窗口期给企业落实整改。考虑到《网数条例》中有较多的新观点和新要求,企业需要把握整改时机,及时查漏补缺,提升业务合规水平。 


声明

本文仅为交流探讨之目的,不代表广悦律师事务所或其律师出具的任何形式之法律意见或建议。如需转载或引用本文的任何内容,请与本所沟通授权事宜,并于转载或引用时注明出处。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

本文作者

互联网与数字经济领域

互联网与数字经济领域为广悦律师事务所组建的,专注在数字经济领域提供法律服务的律师团队。团队由广悦主任杨杰律师带领多名资深律师和专业人员共计20余人组成。


团队自成立以来,为国内外超过100家上市公司、互联网企业、科技企业以及传统行业向数字化转型的企业提供包括数据合规、数据治理、个人信息保护、股权设计、股权投融资、数字产品合规评估以及争议解决在内的创新型法律服务。


团队多次荣获钱伯斯、ALB、《商法》、The Legal 500、Asialaw 、Legalband等国内外法律评级机构的青睐与推荐。现服务客户包括腾讯微信、阿里巴巴、广汽埃安、维他奶、视源股份、华泰期货、蓝月亮等。客户行业覆盖人工智能、智能制造、金融、医疗、汽车、消费、媒体、科技等领域。



作者丨张昌倩、梁浩林

编辑丨何雪雯

审核丨欧阳进潼

审定丨品牌宣传与市场拓展委

分享到:

  • 免责声明
  • 隐私保护
  • 网站地图

Copyright 2020 广东广悦律师事务所. All Rights Reserved. 粤ICP备13002423号-2 Designed by Wanhu