《网络数据安全管理条例（征求意见稿）》系列解读之个人信息保护篇

11月14日，国家互联网信息办公室起草《网络数据安全管理条例（征求意见稿）》（简称“《条例》”），并向社会公开征求意见。《条例》对于个人信息处理者的义务进行进一步加以明确，并提出了细化要求。

要点

CGGT，CHINAGOINGGLOBALTHINKTANK

1、《条例》作为《网络安全法》《数据安全法》和《个人信息保护法》的配套行政法规，主要针对三部法律中的原则性规范和制度进行内容和流程方面的细化规定，同时与《数据安全管理办法（征求意见稿）》具有一定的承继关系。

正文

文/宁宣凤吴涵

金杜律师事务所

引言

2021年11月14日下午，国家互联网信息办公室（“国家网信办”），发布《网络数据安全管理条例（征求意见稿）》（“《条例》”）。《条例》以《中华人民共和国网络安全法》（“《网络安全法》”）、《中华人民共和国数据安全法》（“《数据安全法》”）和《中华人民共和国个人信息保护法》（“《个人信息保护法》”）等法律法规作为上位法依据，对于《个人信息保护法》中规定的个人信息处理规则及个人信息主体权利，例如删除权、可携权等进行行政法规层面的细化规定，具有实践指导意义。《条例》的第三章对于个人信息处理者的义务进行进一步明确，增加了在“合法、正当、必要”原则下的“收集频次”“收集周期”“清单化呈现”等细化要求，旨在给出执行《数据安全法》和《个人信息保护法》的实施路径，对于企业实施上位法过程中需要明晰和进一步解释的定义进行详细规定，增强了网络安全与数据合规系列法律法规的可执行性。

一、《条例》与《网络安全法》《数据安全法》《个人信息保护法》等个人信息保护框架体系的关系

2000年，全国人大常委会通过的《全国人民代表大会常务委员会关于维护互联网安全的决定》首次将个人信息保护纳入法律法规框架，包括侵犯公民通信自由和通信秘密。互联网时代的高速迭代也激发了个人信息保护的诉求，2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》专题探讨网络信息保护问题，2016年颁布《网络安全法》，2017年出台《电子商务法（草案）》都是针对网络空间中的法律关系进行专题化规定及权利义务分配。此后，在我国《刑法修正案（九）》及《民法典》中都将个人信息保护列入其中，个人信息保护的法规要求及监管趋势在各个法律法规中回应着互联网时代民众最关切的个人信息问题，但尚未构建起完备的个人信息保护法律体系。

2021年6月10日，《数据安全法》正式通过，我国有了数据安全领域的基本法，数据安全治理体系得以进一步完善；2021年8月20日，《个人信息保护法》正式通过，我国有了个人信息保护领域的基本法，首次对于个人信息处理活动、个人信息权益保护及主管机关职权范围作出全面化规定，为企业划定了明确合规边界，为公众确定了明确权益保障，开启了我国公民个人信息保护新篇章。

二、《条例》中个人信息保护规则的具体解读

（一）“合法、正当、必要”原则的进一步细化

《条例》第十九条规定

数据处理者处理个人信息，应当具有明确、合理的目的，遵循合法、正当、必要的原则。基于个人同意处理个人信息的，应当满足以下要求：

（一）处理的个人信息是提供服务所必需的，或者是履行法律、行政法规规定的义务所必需的；

（二）限于实现处理目的最短周期、最低频次，采取对个人权益影响最小的方式；

（三）不得因个人拒绝提供服务必需的个人信息以外的信息，拒绝提供服务或者干扰个人正常使用服务。

1.“合法、正当、必要”原则的再次重申

针对个人信息的“合法、正当、必要”原则首次是在《全国人民代表大会常务委员会关于加强网络信息保护的决定》第二条中出现，在《网络安全法》第四十一条，《个人信息保护法》第五条中均一脉相承，本次《条例》亦沿用“合法、正当、必要”的原则性规定，针对《个人信息保护法》中“基于个人同意”的合法性基础下，对应的三款要求可看作是对于“必要性”的进一步解释，包括服务所必需、对个人权益影响最小、最短周期及最低频次的处理要求，明确在个人同意情形下，应限于最小影响以及最小范围。但根据《个人信息保护法》规定，其中第（一）项后半部分的“履行法律、行政法规规定的义务所必需的”与本条大前提“基于个人同意”均属于处理个人信息的合法性基础，处于并行逻辑关系，因此为避免歧义，可能可以考虑删除本条后半部分内容，保持与上位法的逻辑一致性。

2.如何理解最短周期、最低频次、服务必需？

“频次”的要求并非第一次出现，在此前《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》第七条第一款“处理个人信息的数量、频次、精度等应当为服务所必需，不得超范围处理个人信息”中即有所体现。频次与周期的最小化实际在约束互联网信息服务提供者的后台操作，法规不再停留在用户端可视界面，而是要求后端操作同样符合最小必要要求，保障个人用户真正实现明确平台对个人信息的收集及处理，用对于后台收集频次和周期的约束性要求，将平台真正规范化，从而避免了用户在不知情情况下反复多次调用用户个人信息的“黑盒”情况发生。

（二）隐私政策真的有用吗？——结构化查询个人信息的未来

《条例》第二十条第一款规定

数据处理者处理个人信息，应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置，内容明确具体、简明通俗，系统全面地向个人说明个人信息处理情况。

1.对个人信息处理规则展示方式的细化要求

针对个人信息处理规则的展示方式，《个人信息保护法》第七条及第十七条提出“公开”“透明”“显著方式”“清晰易懂的语言”“真实、准确、完整”的原则性要求，《条例》承接了前述规范，并作出进一步规定“集中公开展示”“易于访问并置于醒目位置”，同时将真实、准确、完整转化为内容“明确具体、简明通俗、系统全面”，与此前的《App违法违规收集使用个人信息行为认定方法》一脉相承。实践中个人信息处理规则多以隐私政策的形式出现，个人信息处理者可依照《条例》要求进一步调整隐私政策文本在App客户端或网页端的显示逻辑与方式。

《条例》第二十条第二款规定

个人信息处理规则应当包括但不限于以下内容：

（一）依据产品或者服务的功能明确所需的个人信息，以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等，以及拒绝处理个人信息对个人的影响；

（二）个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式；

（三）个人查阅、复制、更正、删除、限制处理、转移个人信息，以及注销账号、撤回处理个人信息同意的途径和方法；

（四）以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称，以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则；

（六）个人信息安全风险及保护措施；

（七）个人信息安全问题的投诉、举报渠道及解决途径，个人信息保护负责人联系方式。

2.如何理解以“清单”形式列明个人信息处理规则？

（点击查看大图）

同时在《个人信息保护法》要求披露“存储期限”之外，《条例》明确要求披露个人信息存储期限的确定方法及到期后的处理方式。因此，个人信息处理者应加强存储时限及必要性的内部论证，构建存储及配套删除处理制度，梳理公司存储期限的确定方法及相应的制定依据和逻辑分析，可在隐私政策的“个人信息的存储”部分予以补充披露。

《条例》第二十三条第一款规定

个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的，数据处理者应当履行以下义务：

3.如何理解“结构化”查询个人信息？

《条例》第二十一条规定

处理个人信息应当取得个人同意的，数据处理者应当遵守以下规定：

（一）按照服务类型分别向个人申请处理个人信息的同意，不得使用概括性条款取得同意；

（二）处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意；

（三）处理不满十四周岁未成年人的个人信息，应当取得其监护人同意；

（四）不得以改善服务质量、提升用户体验、研发新产品等为由，强迫个人同意处理其个人信息；

（五）不得通过误导、欺诈、胁迫等方式获得个人的同意；

（六）不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意；

（八）不得在个人明确表示不同意后，频繁征求同意、干扰正常使用服务。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，数据处理者应当重新取得个人同意，并同步修改个人信息处理规则。

对个人同意行为有效性存在争议的，数据处理者负有举证责任。

1.哪些情形被排除在“同意”之外？

2.如何理解数据处理者的举证责任？

（四）如何落地个人信息权利响应机制？

《条例》第二十二条规定

有下列情况之一的，数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理：

（一）已实现个人信息处理目的或者实现处理目的不再必要；

（二）达到与用户约定或者个人信息处理规则明确的存储期限；

（三）终止服务或者个人注销账号；

（四）因使用自动化采集技术等，无法避免采集到的非必要个人信息或者未经个人同意的个人信息。

删除个人信息从技术上难以实现，或者因业务复杂等原因，在十五个工作日内删除个人信息确有困难的，数据处理者不得开展除存储和采取必要的安全保护措施之外的处理，并应当向个人作出合理解释。

法律、行政法规另有规定的从其规定。

1.个人信息权利响应期限明确为“十五个工作日”

《个人信息保护法》中对于个人信息权利响应期限并未作出明确规定，此次《条例》则在第二十三条中直接明确规定自收到申请起“十五个工作日”内处理并反馈。在《条例》之前，《App违法违规收集使用个人信息自评估指南》9.32项以及《网络安全标准实践指南移动互联网应用程序（App）收集使用个人信息自评估指南》6.3项、《App违法违规收集使用个人信息行为认定方法》第六点中均提出“十五个工作日”的时限要求，但《条例》则是首次从行政法规层面予以规定，因此数据处理者应尽快规范并畅通内部个人信息响应流程，保障申请起十五日内完成处理并反馈，杜绝形式性的个人信息保护联系方式，要确保个人信息主体的需求能够及时有效得到企业受理并按照规范流程进行后续解决。

2.自动化采集删除情形对爬虫等技术实施的影响？

《条例》第二十四条规定

符合下列条件的个人信息转移请求，数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务：

（一）请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息；

（二）请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息；

（三）能够验证请求人的合法身份。

数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的，应当对个人信息转移请求做合理的风险提示。

请求转移个人信息次数明显超出合理范围的，数据处理者可以收取合理费用。

3.个人信息转移权的条件完善

对于数据可携权的实现，我国《个人信息安全规范》（GB/T35273—2020）中首次规定了个人信息转移权的内容，但其转移的个人信息是有限的，即内容是个人的基本资料、身份信息、健康生理信息和教育工作信息，且转移的个人信息仅为副本。《个人信息保护法》进一步发展，于第四十五条第三款规定“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。”其中“国家网信部门规定条件”的限定条件有待进一步明确，且只规定了个人信息处理者提供转移途径的义务。而《条例》在二者基础上，针对个人信息处理者协助个人信息主体实现数据可携权的义务进一步细化规定，使得数据可携权在我国具有了实践可执行性。

4.企业如何响应个人信息主体实现数据可携权？

（五）其他重点变化

《条例》第二十五条第一款规定

数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。

1.使用生物特征进行个人身份识别的合规要求？

《条例》第二十六条规定

数据处理者处理一百万人以上个人信息的，还应当遵守本条例第四章对重要数据的处理者作出的规定。

2.如何理解个人信息和重要数据的关系？

结语

《条例》所规定的“清单化”“格式化查询”，对响应期限的明确，对删除权实行情形的明确等要求，均使得企业有更为细化的落地依据，也能为企业探索个人信息保护合规化建设途径提供有效指引，解答了企业对于《个人信息保护法》等上位法原则性概念的模糊，明晰了个人信息保护的界限。随着《条例》等网络数据安全管理规则的颁布，政企机构、互联网平台等数据处理者能够进一步规范数据处理活动，我国的数据产业与数字经济发展也将在其指引下继续稳步前行。