【小贝说安全】数安条例百问31、32:关于“合法、正当、必要”原则
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第十九条 数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。基于个人同意处理个人信息的,应当满足以下要求:
(一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的;
(二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;
(三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。
解读
合法、正当、必要是收集、使用个人信息的最根本原则。为此,关于个人信息保护的三部重要法律文件中,都对此作了明确规定。
《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月28日通过)第二条规定:网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。
《网络安全法》第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
《个人信息保护法》第五条规定:处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
但在实践中,关于什么叫做“合法、正当、必要”?如何评判“合法、正当、必要”?并没有统一的标准。多数时候,“合法”比较容易理解,且有客观标准;“正当”则是主观感受,多指符合社会伦理和行为规范的要求,或者符合社会发展需要和人民利益,道德上的正当是最起码、最低的要求,但不止于此;“必要”则是个人信息保护特有的,一般解释为,只处理满足个人同意的目的所需的最少个人信息。
《个人信息保护法》第六条规定:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
《个人信息保护法》的上述规定,可以认为是对“必要”原则的阐述。但在实践中,又产生了什么叫做“最小”“最少”的进一步疑问。与之相关的是,如果不是“最小”“最少”,该怎么办?
为此,从实际需求出发,《条例》第十九条在以往相关规定的基础上,对“必要”作了进一步展开。考虑到《个人信息保护法》提出了处理个人信息的七类合法性基础,其他六类(包括兜底的第(七)项)都有特殊场景,故本条针对的是基于个人同意处理个人信息的场景(“同意”是第一类合法性基础)。
一是要求处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的。该项要求是为了体现条款完整性,对“必要”所作的原则性表述。
二是要求限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式。这是考虑到,以往人们对“最小”“最少”的理解主要体现在类型、数量方面,但实际上收集的周期、频次也对个人权益影响甚大,故需作出补充规定。
三是要求不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。这是针对一些数据处理者在用户不同意提供服务必需的个人信息以外的信息时,直接退出的情况。根据该项规定,如果用户不同意提供服务所必需的个人信息,当然可以停止服务;但如果是必需之外的个人信息,则不能停止服务,且不得降低服务质量,不得改变用户感受。
对应条款
第十九条 数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。基于个人同意处理个人信息的,应当满足以下要求:
(一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的;
(二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;
(三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。
第二十条 数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。
个人信息处理规则应当包括但不限于以下内容:
(一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响;
……
解读
收集、使用用户个人信息时应当征得同意(特殊情况例外),这是一条基本的法律要求。在我们使用互联网服务的体验中,也的确感受到了“同意”这种操作。但是不是我们“同意”一次,应用程序就收集一次信息呢?很多时候不是这样的。我们“同意”后,应用程序可能会一直在收集信息,这就产生了收集个人信息的周期、频次、时机等要求。如果对此不作规定,就会使一些机构绕过法律要求而侵害用户合法权益。
典型的是位置信息。基于位置的服务(LBS)已经应用非常普遍,但对于何时收集、多长时间收集一次、收集什么精度的位置信息,目前并没有规定。但常识告诉我们,有些服务对位置信息的收集显然超出了必要范围。例如,约车服务要收集用户的精确位置信息,而且频率较高,但新闻服务需要收集用户的精确位置信息吗?需要每分钟收集一次吗?新闻服务仅仅是为了向用户推送“本地新闻”,这根本不需要实时的精确位置,大致的、几个小时内的位置信息便可满足。
因此,仅仅把必需理解成对个人信息类型、范围提要求,这远远不够。至于说,什么样的周期、频率、时机才是合理的,这与具体服务有关,法律法规只能作出原则规定,后续还需要具体的标准规范去确定。
下期预告
33
为什么要细化对个人信息处理规则的要求?
34
如何理解对个人信息处理规则提出的“清单形式”?
35
为什么要在个人信息处理规则中对第三方代码、插件提出要求?
36
无法知道开源第三方代码的个人信息处理规则怎么办?
往期链接
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么?
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系?
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求?
19、如何理解重要数据或者十万人以上个人信息事件的处置义务?
20、如何理解向第三方提供个人信息或发送重要数据的安全要求?
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系?
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求?
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求?
27、为什么对合并、重组、分立或解散、破产提出数据安全要求?
(文章来源:小贝说安全)