【小贝说安全】数安条例百问43、44、45:关于个人行权
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第二十三条 个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当履行以下义务:
(一)提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制;
(二)提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能,且不得设置不合理条件;
(三)收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。
法律、行政法规另有规定的从其规定。
解读
所谓保护个人信息权,实际上是保护个人查阅、复制、更正、补充、限制处理、删除等权利。这些权利集中在《个人信息保护法》的第四章“个人在个人信息处理活动中的权利”体现。
当法律确定了这些权利后,个人如何行使这些权利就成了接下来的重要事务。毕竟,确认这些权利是一个法理问题,而行使这些权利是一个实务问题。如果法律确认了用户享有的这些权利,但个人信息处理者却为用户行使这些权利制造障碍,那么依然于事无补。
为此,《条例》设立了第二十三条,要求个人信息处理者为用户行权提供支持,具体分为三方面:
一是关于用户对自己的个人信息的查阅权(也称访问权)。这里突出了两个要点:(1)必须支持用户结构化查询,否则用户查到一堆乱码有什么意义?(2)不得对用户行权进行限制。有人提出,为什么对“时间”和“位置”作特殊规定?因为现实中,有的企业规定,只能在特定时间(例如每月1日)或用户亲自到特定地点(例如只能在北京现场操作)方可查询,这显然是不合理的。
二是必须提供便利用户行权的功能。不可否认,用户行使个人信息权,离不开企业的配合,如果没有提供这些功能,行权就可能会成为一句空话。
三是应当在十五个工作日内处理并反馈用户的申请。如果不对时间作出约定,有的企业可能一直拖下去,从而规避法律义务。至于为什么限定为十五个工作日,此前已在关于“删除”的条款中作过解释。”
对应条款
第二十四条 符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:
(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;
(二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;
(三)能够验证请求人的合法身份。
数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。
请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。
解读
个人信息转移请求有特定含义,特指《个人信息保护法》第四十五条第三款规定的情况:个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
但是,由于该条前两款指向了“向个人信息处理者查阅、复制其个人信息”,所以读者很容易把“个人信息转移”同“查阅、复制其个人信息”关联起来。实际上,两者可以没有关系。固然,用户可以查阅、复制其个人信息,再将个人信息交给第三方。这也能达到“将个人信息转移至其指定的个人信息处理者”的目的,但如果这样便不存在列第三款的必要了。
《个人信息保护法》第四十五条之所以列第三款,是考虑到了直接将个人信息从一个个人信息处理者直接转移到另一个个人信息处理者的情形。这在医疗健康场景中非常常见。一个人从A医院转到B医院看病时,自然希望其病例能直接转移,没有必要自己带过去。
但在这类场景中,至少涉及到了三方,且转移的信息还有可能涉及到更多方的利益,并不总是可以合法合规实现,客观上要满足一定的条件。为此,《个人信息保护法》第四十五条指出,将个人信息转移至个人指定的个人信息处理者,只有在符合国家网信部门规定条件时,个人信息处理者方有提供转移途径的义务。
但《个人信息保护法》并未明确这一条件,这便是《条例》第二十四条的立法目的。即,根据《个人信息保护法》的授权,明确个人信息转移至个人指定的个人信息处理者的条件。
对应条款
第二十四条 符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:
(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;
(二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;
(三)能够验证请求人的合法身份。
数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。
请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。
解读
《条例》规定了三种应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务的条件:
一是请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息。《个人信息保护法》第十三条规定了七种可以合法处理个人信息的场景(第七种是兜底的),其中第一种是基于个人同意,第二种是为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。前两种与后续五种的区别在哪里呢?根本在于,前两种基于个人意愿,或者说经过了个人意愿,这时候由个人提出转移其个人信息是合理的。但在其他种情形下,个人信息的收集本来就同个人意愿无关,又怎么能按个人意愿进行转移呢?
二是请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息。这其中涉及到另一个深刻的命题:一个人的个人信息有没有可能含有他人的个人信息?一般情况下,人们不会去讨论这种情况,因为基于个人同意已经可以应对绝大多数情形。但在向第三方转移场景下,情况变得较为复杂。例如,一个人要求某即时通信工具将其朋友列表转移到另一即时通信工具,这可以吗?如果原工具支持了这一请求,则接收好友列表的工具可以基于好友列表对该人的好友发出邀请,这很可能会被这些好友视为侵扰。这就属于因转移个人信息而违背他人意愿的情况,此时不应该支持用户的转移个人信息申请。
三是能够验证请求人的合法身份。任何种类的个人行权,都应当以验证个人身份为前提。但为什么在向指定个人信息处理者转移个人信息时又再次强调身份认证呢?可以联想一下个人信息处理者将个人信息转移给第三方的条件,此时需要个人“单独同意”。严格程度远远超出一般场景,可见此类事情的敏感程度。事实上,即使是个人主动发出申请,一旦处理不当,后果也同样严重。故而,此时必须验证请求人的合法身份,否则不能贸然向第三方转移个人信息。
需要指出,《条例》第二十四条还进一步设置了第二款和第三款,这两款规定也有特殊考虑。
第二款要求,数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。这是因为,有时个人未必具备足够的风险意识,可能忽视向另一方转移其个人信息的风险,故原个人信息处理者应当对个人作风险提示。
第三款要求,请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。这一规定容易理解,这是保护企业合法利益、防止滥用个人信息权的必要举措。
下期预告
46
《条例》对生物特征应用的规定是基于什么考虑?
47
如何理解对生物特征识别的必要性、安全性评估?
48
如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者?
往期链接
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么?
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系?
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求?
19、如何理解重要数据或者十万人以上个人信息事件的处置义务?
20、如何理解向第三方提供个人信息或发送重要数据的安全要求?
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系?
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求?
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求?
27、为什么对合并、重组、分立或解散、破产提出数据安全要求?
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求?
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息?
(文章来源:小贝说安全)