以下文章来源于网安寻路人 ,作者洪延青
编者按:
11月14日,国家互联网信息办公室公布《网络数据安全管理条例(征求意见稿)》(以下简称“数安条例”)【全文见:国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知】。鉴于该条例的重要性,公号君新开这个系列,记录一些想法和建议。此前发表的文章有:
1、数安条例 | 对个人信息保护政策和数据处理规则的新要求
借着标准研究项目《个人信息主体权利实现指南研究》立项【见:《个人信息主体权利实现指南研究》标准研究项目的立项汇报】完毕开始研究,第二篇文章就关注数安条例对个人信息权利提出的新要求。
总的来说,《个人信息保护法》对个人的权利的规定是原则性、方向性的,但数安条例对个人权利的规定相对详细。在此逐一做个对比。
删除权
《个人信息保护法》 | 数安条例 |
第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除: (一)处理目的已实现、无法实现或者为实现处理目的不再必要; (二)个人信息处理者停止提供产品或者服务,或者保存期限已届满; (三)个人撤回同意; (四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息; (五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。 | 第二十二条 有下列情况之一的,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理:
删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。
法律、行政法规另有规定的从其规定。 |
两者比较,可以看出,数安条例明确了十五个工作日的响应时限;将法律中的“撤回同意”缩限为“个人注销账号”。很有意思的是,在数安条例第二十三条还出现了“撤回授权同意”和“注销账号”,从这样的行文推测条例应当认为这是两件事,可法律中明确是撤回同意,且没有出现过“注销账号”。建议对此作出厘清。
数安条例同时增加了“因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息”,这个应当是考虑到了网联汽车收集到车外人员的信息这个情形。
查询、更正、补充权利
《个人信息保护法》 | 数安条例 |
第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。
个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。
第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。
第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。
个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。 | 第二十三条 个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当履行以下义务:
(一)提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制;
(二)提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能,且不得设置不合理条件;
(三)收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。
法律、行政法规另有规定的从其规定。 |
查询、更正、补充是经典的个人信息主体权利。法律中主要要求是边界的行权机制,以及拒绝响应权利请求时应当说明理由。在数安条例中,进行了一定的细化。
很有意思的是,数安条例似乎认为查询是一项比复制、更正、补充、限制、删除、撤回同意、注销账号“等级”更高的一项权利,因为查询权中,除了便捷之外,还明确说结构化查询,而且不得以时间、位置等因素限制合理请求。但其他权利仅仅是说便捷,以及不得设置不合理条件。建议对此作出厘清。
限制处理:从原则性表述演变成具体的权利
《个人信息保护法》 | 数安条例 | GDPR |
第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。 | 第二十三条 个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当履行以下义务:
(一)提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制;
(二)提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能,且不得设置不合理条件;
(三)收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。
法律、行政法规另有规定的从其规定。 | 第十八条 数据主体限制数据处理的权利
1) 存在以下情形之一时,数据主体有权限制数据控制者对数据的处理: a) 数据主体对数据的准确性提出异议时,在数据控制者确认准确性的阶段; b) 数据处理为非法,而数据主体反对清除其数据而是要求限制对数据的使用的; c) 数据控制者出于特定目的不再需要数据主体的个人数据,但数据主体需要这些数据以建立、行使和保护自己的法律诉求的; d) 数据主体反对根据第21条(1)款的数据处理,但尚不清楚数据控制者是否有高于数据主体利益的正当事由;
2) 在上述情形中,除存储外,个人数据仅能在数据主体表达同意,或用于建立、行使和保护法律诉求时,或为保护其他自然人、法人的利益,或出于欧盟、成员国重要的公共利益时,才可处理
3) 数据控制者应告知数据主体何时对数据限制处理的要求失效。 |
《个人信息保护法》中限制他人对个人信息进行处理是个原则性的表述,体现在撤回同意、删除等,和GDPR第十八条规定的限制权利有区别。GDPR中的限制权主要是“冻结”或者暂停数据处理的权利。
数安条例在第二十三条出现了限制处理的表述,但是对该权利的内涵并没有做出任何解释。建议对此作出厘清。
转移个人信息的权利
《个人信息保护法》 | 数安条例 | GDPR |
第四十五条 个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
| 第二十四条 符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:
| 第二十条 数据主体携带数据的权利
1)存在以下情形的,数据主体有权从数据控制者获得关于其个人数据(仅限其向数据控制者提供的)的副本;副本应以结构化、普遍使用、可机读的形式;数据主体有权要求数据控制者将其个人数据向其他数据控制者提供:
a) 数据处理是基于第6条第一款a)项或第9条第2款a)项,或基于第6条第一款b)项所指涉的合同
b) 数据处理以自动化的形式进行。
2) 如技术上可行的话,数据主体有权要求数据控制者将其个人数据直接传输给另一数据控制者。
行使该权利不应对他人的权利和自由造成不利影响。 |
数安条例提出了法律中的“符合国家网信部门规定的条件”,具体来说:条件一:限制于基于同意,以及履行合同所必需两个合法性事由。条件二:只能局限于自己的信息,这个显然是题中之意,但“请求人合法获得且不违背他人意愿的他人信息”这个是相对于法律来说比较大的扩展。在关于GDPR第20条的序言(recital 68)中,欧盟立法者解释道:"如果在某一组个人数据中,涉及一个以上的数据主体,根据本条例,接收个人数据的权利应不影响其他数据主体的权利和自由”(Where, in a certain set of personal data, more than one data subject is concerned, the right to receive the personal data should be without prejudice to the rights and freedoms of other data subjects in accordance with this Regulation),但这句话的意思是当在申请个人信息的副本时,不可避免涉及到其他人的情况,但并不是允许个人直接申请关于别人的个人信息副本——也就是条例中的他人信息。
与此相比,GDPR提出了另外一个限制条件,即“如技术上可行的话,数据主体有权要求数据控制者将其个人数据直接传输给另一数据控制者”。换句话说,GDPR仅仅是规定个人有权获得个人信息副本,有权要求数据控制者将个人数据副本向其他数据控制者提供(也就包括发送邮件、链接等),仅是在技术可行的情况下,数据控制者直接传输给另一个数据控制者,例如提供API接口。这一点在Recital 68中明确指出:数据主体传送或接收有关他或她的个人数据的权利不应造成控制者有义务采用或维护技术上兼容的处理系统(The data subject's right to transmit or receive personal data concerning him or her should not create an obligation for the controllers to adopt or maintain processing systems which are technically compatible.)。
但数安条例的行文似乎是“数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务”,这样的行文中明确提出了“转移服务”,其与法律中的“转移途径”不一样。从文意理解,服务似乎更加偏向了技术兼容,例如API接口。综合理解,数安条例提出了比GDPR更强的数据可携带权,对数据处理者的系统改造要求更直接。建议对此作出厘清。
以上是第二篇文章的内容,供大家参考。
文 / 洪延青 经士智库网络安全与治理中心主任
编辑 / 庄媛 经士智库实习生