数安条例 | 对个人信息保护政策和数据处理规则的新要求
编者按:
借着《信息安全技术 互联网平台及产品服务隐私协议要求》立项完毕开始编制,第一篇文章就关注数安条例对个人信息保护规则和隐私政策提出的新要求。
数安条例中关于个人信息保护政策、数据处理规则的主要规定,列举如下:
个人信息相关 | 第二十条 数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。 个人信息处理规则应当包括但不限于以下内容: (一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响; (二)个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式; (三)个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法; (四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则; (五)向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等; (六)个人信息安全风险及保护措施; (七)个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。 |
数据相关 | 第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。 平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见,修改完善平台规则、隐私政策,并以易于用户访问的方式公布意见采纳情况,说明未采纳的理由,接受社会监督。 日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。 |
首先,第二十条和第四十三条用了不同的术语。前者用了个人信息处理规则,后者用了隐私政策。而且隐私政策这个词仅在第四十三条出现。在数安条例中,个人信息处理规则和隐私政策应当是一个意思,因此,第一个建议是两者术语统一。
其次,第二十条所规定的事项,大家应当不会陌生,监管部门在很多场合中都提出类似的要求。也是《个人信息保护法》中要求的细化。
第四十三条的要求较新。此前在标准立项汇报时有过初步探讨【《互联网平台及产品服务隐私协议要求》标准制定立项汇报】此次第四十三条提出了刚性的要求。总的来说,四十三条有以下特点:
1、第四十三条针对的是数据,并不只是个人信息,而且还有算法策略。这就和此前国家网信部门提出的【我国信息服务算法推荐管理 | 与个人信息保护的耦合和差异】,以及数安条例中关于重要数据处理规则的备案要求(具体见第二十九条)联系起来。
2、与数据相关的平台规则、隐私政策和算法策略,需要建立披露制度。第四十三条还对披露的内容提出了具体的要去。换言之,组织应当将平台规则、隐私政策和算法策略的制定“形式化”,变成一项具有正式流程的工作内容,而不能只是偶发性、事后性地开展此类工作。
3、对用户权益有重大影响的规则修订、算法策略改变,需要向社会公开征求意见,并说明对公众意见采纳和未采纳的情况。这是个较新的要求。具体分解,一是要判断影响是否重大,此方面,个人信息保护法规定的个人信息保护影响评估可以排上用场。具体的支撑标准是【《个人信息安全影响评估指南》(GB/T 39335-2020)正式发布】。
二是对公众会产生重大影响的,应当将用户纳入决策程序之中,这样的要求也是39335这个标准,以及ISO相关标准中规定的,影响评估在必要时可以将公众纳入咨询流程之中。但不同的是,数安条例把这个要求固定化、突出化了,变成了法定义务。如果设想下将来的执行的时候,对何为重大影响可能会存在很多争议。首先,个人信息保护法第五十五条列明的几项(处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息)是否就是重大影响?或者说是这几项进行影响评估后得出“重大”的结论后,才需要公开征求意见?等等问题。
三是对日活用户超过一亿的大型互联网平台运营者有针对性要求。先看定义,大型互联网平台“是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者”。这几个条件应当理解成需要同时具备。但总的来说,“强大社会动员能力”中的强大,是个较为模糊的概念,需要进一步确定。此外,针对性要求指向的是大型互联网平台中的一个子集——日活用户超过一亿。
对于这样的大型互联网平台,如果有对公众重大影响的规则和策略改动,不仅要公开征求意见,还要第三方评估,并获得行政批准,也就是说创设了个行政许可。这个要求背后的理解,公号君分析应当是对于这样特殊的互联网平台,规则改变和策略改动相当于是公共部门“立法”。公共部门立法需要公开征求意见,但是具有“私权力”的超大平台也需要。
以上是第一篇文章的内容,供大家参考。
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
数据跨境流动政策、法律、实践的系列文章:
传染病疫情防控与个人信息保护系列文章
关于数据与竞争政策的翻译和分析:
健康医疗大数据系列文章:
网联汽车数据和自动驾驶的系列文章:
关于中美与国家安全相关的审查机制的系列文章:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
网络空间的国际法适用问题系列文章:
赴美上市网络、数据安全风险系列文章如下:
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
关于保护网络和信息系统安全的相关文章包括:
数据执法跨境调取的相关文章:
关于人工智能安全和监管,本公号发布过以下文章:
数据的安全、个人信息保护、不正当竞争等方面的重大案例:
数字贸易协定的相关文章有:
中国个人信息保护立法的相关文章包括:
《数据安全法》相关的文章包括:
数据要素治理相关的文章包括:
个性化广告系列文章包括: