19年第四季度哪些数据保护新规最重要?盘点与解读(下)
The following article is from 环球律师事务所 Author 环球律师事务所
作者
孟洁|王程|颜婷婷|殷坤|陈子谦|张淑怡|崔卫红
前言
2019年第四季度以来,法律圈频出各类新法,在数据保护领域就更不例外了,也是持续出台新法或更新立法,这也代表了国家对网络安全和个人信息保护执法与监管的不断重视,同时也为企业落地数据合规实践提出了更高的要求与责任。
本文梳理了第四季度企业较为关心的六部代表性法律法规(《儿童个人信息网络保护规定》、《网络信息内容生态治理规定》、《网络音视频信息服务管理规定》、《中国人民银行金融消费者权益保护实施办法》、《民法典(草案)》以及《App违法违规收集使用个人信息行为认定方法》),并通过条文层面上的分析与立法背景上的洞察,提供实践操作层面的解读,帮助企业在2020年适应并把握好网络安全与个人信息保护方面这些新规的立法本意与合规要求。
(续)
2019年12月27日,中国人民银行为进一步规范金融机构经营行为,切实保护金融消费者合法权益起草了《金融消费者权益保护实施办法》并公开对外征求意见。《征求意见稿》包括7章69条,对金融机构行为规范、消费者金融信息保护、金融消费争议解决、监督与管理机制等作出明确规定。
相较于2016版的《金融消费者权益保护实施办法》,2019版在消费者金融信息保护部分条款对比如下:
2016版 | 2019版 |
第三章个人金融信息保护 | 第三章消费者金融信息保护 |
第二十七条 本办法所称个人金融信息,是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。 | 第二十七条 本办法所称消费者金融信息,是指金融机构通过开展业务或者其他合法渠道获取、加工和存储的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或服务相关的信息。 |
第二十八条第一款 金融机构应当严格落实国家网络安全和信息技术安全有关规定,采取有效措施确保个人金融信息安全,至少每半年排查一次个人金融信息安全隐患。 | 删除此条款 |
第二十八条第二款 收集个人金融信息时,应当遵循合法、合理、必要原则,按照法律法规要求和业务需要收集个人金融信息,不得收集与业务无关的信息或者采取不正当方式收集信息,不得非法存储个人金融信息;应当采取符合国家档案管理和电子数据管理规定的措施,妥善保管所收集的个人金融信息,防止信息遗失、毁损、泄露或者篡改。在发生或者可能发生个人金融信息遗失、毁损、泄露或者篡改等情况时,应当立即采取补救措施,及时告知用户并向有关主管部门报告。 金融机构及其相关工作人员应当对业务过程中知悉的个人金融信息予以保密,不得非法复制、非法存储、非法使用、向他人出售或者以其他非法形式泄露个人金融信息。 | 第二十八条第一款 金融机构收集、使用消费者金融信息,应当遵循合法、正当、必要原则,经金融消费者明示同意。金融机构不得收集与业务无关的消费者金融信息,不得采取不正当方式收集信息,不得变相强制收集消费者金融信息。 第三十二条第一款、第二款 金融机构应当按照国家档案管理和电子数据管理规定,采取技术措施和其他必要措施,妥善保管和存储所收集的消费者金融信息,防止信息遗失、毁损、泄露或者篡改。 金融机构及其工作人员应当对消费者金融信息严格保密,不得泄露或者非法向他人提供。在确认信息发生泄漏、毁损、丢失时,金融机构应当在72小时以内采取补救措施并告知金融消费者。 |
第二十九条 金融机构应当建立个人金融信息数据库分级授权管理机制,根据个人金融信息的重要性、敏感度及业务开展需要,在不影响其履行反洗钱等法定义务的前提下,合理确定本机构员工调取信息的范围、权限及程序。 | 第三十一条第一款 金融机构应当建立以分级授权为核心的消费者金融信息使用管理制度,根据消费者金融信息的重要性、敏感度及业务开展需要,在不影响其履行反洗钱等法定义务的前提下,合理确定本机构员工调取信息的范围、权限。 |
第三十条 金融机构通过格式条款取得个人金融信息书面使用授权或者同意的,应当在条款中明确该授权或者同意所适用的向他人提供个人金融信息的范围和具体情形,应当在协议的醒目位置使用通俗易懂的语言明确向金融消费者提示该授权或者同意的可能后果。 金融机构不得以概括授权的方式,索取与金融产品和服务无关的个人金融信息使用授权或者同意。 | 第二十九条 金融机构应当履行《中华人民共和国消费者权益保护法》规定的明示义务,并保留有关证明资料。 金融机构通过格式条款取得消费者金融信息收集、使用同意的,应当在条款中明确收集的目的、方式、内容和使用范围,并在协议中以显著方式尽可能通俗易懂地向金融消费者提示该同意的可能后果。 |
没有规定 | 第三十条 金融机构应当按照法律法规的规定和双方约定的用途使用消费者金融信息,不得超出范围使用。 |
第三十一条 金融机构不得将金融消费者授权或者同意其将个人金融信息用于营销、对外提供等作为与金融消费者建立业务关系的先决条件,但该业务关系的性质决定需要预先做出相关授权或者同意的除外。 | 第二十八条第二款、第三款 金融机构不得将金融消费者同意其将金融信息用于对外提供作为与金融消费者建立业务关系的先决条件,但该业务关系的性质决定需要预先同意的除外。 金融机构收集消费者金融信息用于营销、用户体验改进或者市场调查的,应当以适当方式供金融消费者自主选择是否同意金融机构将其金融信息用于上述目的。金融消费者不同意的,金融机构不得因此拒绝提供金融产品或服务。 |
第三十二条 金融机构应当建立个人金融信息使用管理制度。因监管、审计、数据分析等原因需要使用个人金融信息数据的,应当严格内部授权审批程序,采取有效技术措施,确保信息在内部使用及对外提供等流转环节的安全,防范信息泄露风险。 | 第三十一条第二款 金融机构应当严格落实信息使用授权审批程序,采取有效技术措施,确保消费者金融信息安全。 第三十二条第一款 金融机构应当按照国家档案管理和电子数据管理规定,采取技术措施和其他必要措施,妥善保管和存储所收集的消费者金融信息,防止信息遗失、毁损、泄露或者篡改。 |
第三十三条 在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,金融机构不得向境外提供境内个人金融信息。 境内金融机构为处理跨境业务且经当事人授权,向境外机构(含总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构)传输境内收集的相关个人金融信息的,应当符合法律、行政法规和相关监管部门的规定,并通过签订协议、现场核查等有效措施,要求境外机构为所获得的个人金融信息保密。 | 第三十四条 在中国境内收集的消费者金融信息的存储、处理和分析应当在中国境内进行。因业务需要,确需向境外提供消费者金融信息的,应当同时符合以下条件: (一)为处理跨境业务所必需; (二)经金融消费者书面授权; (三)信息接收方为完成该业务所必需的关联机构(含总公司、母公司或者分公司、子公司等); (四)通过签订协议、现场核查等有效措施,要求境外机构为所获得的消费者金融信息保密; (五)符合法律法规和其他相关监管部门的规定。 |
第三十四条 金融机构保护消费者个人金融信息安全的义务不因其与外包服务供应商合作而转移、减免。 金融机构应当充分审查、评估外包服务供应商保护个人金融信息的能力,在相关协议中明确外包服务供应商保护个人金融信息的职责和保密义务,并采取必要措施保证外包服务供应商履行上述职责和义务。 | 第三十五条 金融机构保护消费者金融信息安全的义务不因其与外包服务供应商合作而转移、减免。 金融机构应当充分审查、评估外包服务供应商保护消费者金融信息的能力,在相关协议中明确外包服务供应商保护消费者金融信息的职责和保密义务,并采取必要措施监督外包服务供应商履行上述职责和义务。合作关系终止后,金融机构应当监督外包服务供应商及时销毁从金融机构获取的消费者金融信息。 |
没有规定 | 第三十三条 金融消费者发现金融机构违反法律法规、监管规定或者双方的约定收集、使用其金融信息的,有权要求金融机构停止使用并删除前述金融信息;发现金融机构收集、存储的消费者金融信息有错误的,有权要求金融机构予以更正。金融机构应当采取措施予以删除或者更正。法律、行政法规另有规定的除外。 |
没有规定 | 第三十六条 鼓励金融机构在技术可行的前提下,基于金融消费者的请求,将其金融信息转移至金融消费者指定的其他金融机构。 |
通过上表可以看出,2019版相较于2016版在内容本身以及条款的排序上均发生了较大变化,以下,我们将列出2019版《征求意见稿》存在的八点主要变化:
1. 将个人金融信息明确为消费者金融信息
2019版《征求意见稿》的一个变化是术语变化:2016版《实施办法》用词为“个人金融信息”,2019版《征求意见稿》变更为“消费者金融信息”。这一变化精准了法规的保护群体定义,更加有利于金融机构在实践工作中的落实。
2. 收集、使用消费者金融信息应当征得消费者的明示同意。
《征求意见稿》明确要求金融机构在收集、使用消费者金融信息前应当征得消费者的明示同意,意味着无论是在线上还是线下,金融机构均应当在消费者通过书面、口头等方式主动做出纸质或电子形式的声明,或者自主做出肯定性动作后,方可收集、使用消费者的金融信息。
3. 删除了“至少每半年排查一次个人金融信息安全隐患”的要求
2016版《实施办法》要求金融机构应当严格落实国家网络安全和信息技术安全有关规定,采取有效措施确保个人金融信息安全,至少每半年排查一次个人金融信息安全隐患。2019版《征求意见稿》则删除了此规定,从而减少了金融机构的此项义务。
4. 信息安全事件72小时告知金融消费者
2019版《征求意见稿》要求金融机构在确认信息发生泄漏、毁损、丢失等安全事件时,应当在72小时以内采取补救措施并告知金融消费者。但值得注意的是,2019版《征求意见稿》相较于2016版《实施办法》删去了发生安全事件向有关主管部门报告的义务。
2019版《征求意见稿》删除向主办部门报告义务的原因以及目的尚不明确。笔者认为2019版《征求意见稿》在发生对消费者金融信息风险极高的安全事件时,增强了对消费者的报告义务,却同时降低了向主管部门的报告义务,这一点不利于提高金融机构的安全责任意识。虽然2019版《征求意见稿》加强了金融机构对金融消费者的保护责任,但笔者认为保留金融机构向主管部门报告的义务则有助于落实金融机构对消费者保护责任的实施。
5. 将消费者金融信息用于营销,需要提供拒绝权
2016版《实施办法》要求金融机构不得将金融消费者授权或者同意其个人金融信息可用于营销作为与金融消费者建立业务关系的先决条件,但该业务关系的性质决定需要预先做出相关授权或者同意的除外。而2019版《征求意见稿》则删除这一例外情景,并明确要求金融机构向消费者提供自主选择是否同意将金融信息用于营销的目的。消费者不同意将其个人信息用于营销的,金融机构不得因此拒绝提供金融产品或服务,即需要给予消费者对其金融个人信息用于营销时的拒绝权。
6. 外包服务结束时,需要外包服务提供商删除金融信息
2016版《实施办法》和2019版《征求意见稿》均对金融机构将其部分服务外包的要求进行规定,但2019版《征求意见稿》额外要求合作关系终止后,金融机构应当监督外包服务供应商及时销毁从金融机构获取的消费者金融信息,从而避免金融信息被第三方非法、超期持有。
7. 增加了对消费者金融信息的权利保护机制
2019版《征求意见稿》相较于2016版《实施办法》新增加了第三十三条、第三十六条关于消费者对其金融信息的权利主张,包括消费者对其金融信息的删除权、更正权以及将个人信息转移至指定机构的权利,与《网络安全法》、《信息安全技术 个人信息安全规范(征求意见稿)》(10.22版)的规定基本保持一致。
值得重点关注的是,《个人信息安全规范(征求意见稿)》第7.14条所规定的获取个人信息副本权包含了两种情形,即直接向个人信息主体提供副本,或者将副本传输给个人信息主体指定的任何第三方。2019版《征求意见稿》第三十条仅规定了第二种情形,即将其金融信息转移至金融消费者指定的其他金融机构,即并非完整意义上的获取个人信息副本权。
8. 跨境合规性要求趋于完善
《征求意见稿》在《实施办法》规定的基础上,对消费者金融信息可以出境的情形进行了体系化的规定,明确了消费者金融信息由于跨境业务出境时应当满足的具体条件,删除了《实施办法》中“除法律法规及中国人民银行另有规定外,金融机构不得向境外提供境内个人金融信息。”的表述,详细列出了消费者金融数据可以出境的前提条件,为公司在处理跨境业务中如何保证消费者金融数据出境的合规性提供了清晰的指引,也保证了国家重要利益与安全。
相关法规链接:
Ø 中国人民银行《金融消费者权益保护实施办法(征求意见稿)》:
http://www.gov.cn/gongbao/content/2017/content_5213211.htm
《中华人民共和国民法典(草案)》(以下简称“《民法典(草案)》”)于2019年12月16日出台,其中对人格权部分进行了详细规定,下文主要介绍民法典(草案)中关于个人信息保护方面的相关规定。
《中华人民共和国民法总则》(以下简称“《民法总则》”)仅在第一百一十一条对个人信息的保护进行了规定,即“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”此条款明确了个人信息收到法律保护,同时强调了获取方的两点核心义务:1.依法获取和使用个人信息;2.保障信息安全。同时,也对两类禁止性行为进行了规制。
《民法典(草案)》在涵盖了上述要点的基础上,对个人信息保护做出了更加细致的规定。第一千零三十四条沿用了《民法总则》第一百一十一条“自然人个人信息受到法律保护”的表述,没有单独将个人信息保护列为一项具体人格权,而本条中的第三款“个人信息中的私密信息,同时适用隐私权保护的有关规定。”明确了个人信息与个人隐私之间存在一定范围内的重合。但是,关于“私密信息”的范围,《民法典(草案)》中没有给出清晰的界定,还有待于相关立法机关的进一步解释。
同时,此条的第二款明确定义了个人信息的范围,与2017年生效的《中华人民共和国网络安全法》(以下称“《网络安全法》”)的界定一致,而纵观《民法典(草案)》个人信息保护部分的规定与《网络安全法》中的规定较为相似,我们总结了其中的相似条款以及条款所对应的核心要点,详见下表:
《网络安全法》 | 《民法典(草案)》 | 核心要点 |
第四十条至第四十五条 | 第一千零三十四条 | 自然人个人信息受到法律保护; |
第四十一条 | 第一千零三十五条 |
|
第四十三条 | 第一千零三十六条 |
《民法典(草案)》明确规定了个人信息主体拥有依法抄录或者复制其个人信息的权利,实质也体现了访问权的一种表现形态。 |
第四十二条 | 第一千零三十八条 |
|
第四十五条 | 第一千零三十九条 |
|
除上述条款外,《民法典(草案)》第一千零三十七条明确规定了责任豁免的情形,当收集、处理自然人的个人信息符合下列情况之一,行为人无需承担民事责任:
Ø 在该自然人或者其监护人同意的范围内实施的行为;
Ø 处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
Ø 为维护公共利益或者该自然人合法权益,合理实施的其他行为。
《民法典(草案)》第一千零三十七条首次从法律层面规定了收集、处理个人信息的责任豁免情形,并且明确了除征得同意外,收集、处理个人信息的其他合法性事由。
综上所述,在个人信息保护方面,《民法典(草案)》是在《民法总则》基础上的延伸,整体的延伸体系仍是以《网络安全法》中的规定作为主线向外扩展,融入了《信息安全技术 个人信息安全规范》的相关内容,从法律层面上进一步完善了个人信息保护的权利义务体系,为个人信息主体依法维权、企业合规措施的落地提供了明确的指导意见。
相关法规链接:
Ø 《民法典(草案)》:
http://www.npc.gov.cn/zgrdw/npc/lfzt/rlyw/node_35174.htm
Ø 《网络安全法》:
http://www.xinhuanet.com//politics/2016-11/07/c_1119867015.htm
Ø 《信息安全技术 个人信息安全规范》:
https://www.tc260.org.cn/upload/2018-01-24/1516799764389090333.pdf
从整体来看,2019年12月30日公布的正式生效版《App违法违规收集使用个人信息行为认定方法》(以下简称“《认定方法》”)对了2019年5月5日的征求意见稿(以下简称“《征求意见稿》”)做了较大幅度的更改。首先,《认定方法》删除了原有的“七、侵犯未成年人在网络空间合法权益的情形”的规定,结合上文第一部分对未成年人网络保护新规解读的探讨,笔者认为《认定方法》普适于各类App运营方,同时保护各类个人信息主体。对于特殊类别的保护人群,将由特殊法律与部门规章进行特别保护即可。而其他六条则在具体行为认定情形的层面上做出了或多或少的修改,下文将做具体介绍。
1. 可被认定为“未公开收集使用规则”的行为
首先,《认定方法》删除了“App中没有用户协议”或“用户协议没有收集使用规则”这一行为属于“未公开收集使用”的情形,明确要求App必须有隐私政策。同时,它强调和明确了隐私政策中包含的收集使用规则应是针对个人信息的收集使用规则。其次,《认定方法》强调了App通知用户阅读隐私政策应在首次运行时,同时删除了之前App可以通过链接等方式通知的选项;再次,它排除了将隐私政策链接无效或文本无法正常显示的情形归为未公开收集使用规则的行为。但相比于《征求意见稿》,《认定方法》扩大了对隐私政策等使用规则难以访问的范围,只将“多于4次点击才能访问隐私政策”的情形作为其中一个例子。此外,《认定方法》删除了之前征求意见稿的“其他情形”这一兜底条款,改为“难以阅读隐私政策等收集使用规则”这一情形,并且进行了相应的举例说明。因此,App的开发者应当制定单独的隐私政策,并且以在产品设计上通过合理的方式给予用户直接且方便的访问途径,使得用户能够快速的找到并且清晰明确的了解该App收集、使用用户个人信息以及所采取的保护措施等内容。
2. 可被认定为“未明示收集使用个人信息的目的、方式和范围”的行为
《认定方法》与《征求意见稿》相比,对这一情形的规定作了较大的修改,不光通过举例等方式对原有条文进行了更准确的解释和说明,在条文篇幅和整体结构上也形成了成体系的条文规定:
Ø 收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等。(《认定方法》第二节第2条)
Ø 有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。(《认定方法》第二节第4条)
Ø 在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解。(《认定方法》第二节第3条)
此外,《认定方法》在原有基础上还新增了一个情形:
Ø 未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。(《认定方法》第二节第1条)
这说明我国目前已经意识到了第三方主体对于App收集个人信息活动的比重逐渐加大,另有在实践中SDK隐瞒收集个人信息的问题泛滥。为在立法保护层面上与实践同步,《认定方法》明确指出违规行为的形态,有利于对App开发者收集个人信息活动的全面保护。此规定也更好的帮助了SDK的提供方履行合规义务,多数的运营商在收集用户个人信息时,无法直接从用户处取得授权,需要请求App的开发者进行协助,而《认定方法》从监管的要求上强制要求App开发者履行此项告知义务,对于SDK提供方履行合规义务、App开发者降低合规风险以及用户行使知情权等多个维度起到了良好的规制和帮助作用。
3. 可被认定为“未经用户收集使用个人信息”的行为
首先,《认定方法》在这一类别下针对“打开可收集个人信息权限”这一情形新增了以下几类违规行为:
Ø 征得用户同意前就打开可收集个人信息的权限;
Ø 用户明确表示不同意后,打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;
Ø 实际打开的可收集个人信息权限超出用户授权范围;以及
Ø 未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态。
其次,在涉及用户使用或者同意方面会被认定为“未经用户收集使用个人信息”的行为,《认定方法》也另外做出了补充,新增了:
Ø 以默认选择同意隐私政策等非明示方式征求用户同意;
Ø 以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;
Ø 未向用户提供撤回同意收集个人信息的途径、方式;
Ø 违反其所声明的收集使用规则,收集使用个人信息;以及
Ø 利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项。
2019年我国对于App违法违规收集个人信息的监管力度不断加强,为了更好地规制监管行动中所发现的违法违规情形以及为企业提供明确性的指导意见,《认定方法》在原《征求意见稿》的基础上,重点从用户行为的角度补充了App开发者存在违规收集个人信息的数类情形。明确要求App开发者不得通过默认勾选隐私政策等非明示的方式征求用户授权同意,充分保障用户自主选择的权利。同时,由于此前部分App开发者利用产品更新的契机通过技术手段在App更新后自动将未获得用户授权的权限开启或者直接将用户选择的权限状态恢复到默认状态,并且直接收集用户信息。这些都属于未经用户同意的违规收集情形,侵犯了用户的知情权。《认定方法》在进一步保障用户主体权益的同时也对App开发者在隐私产品设计上提出了更严格的要求,要求App开发者应当通过合理的隐私产品设计履行合法合规收集个人信息的义务,并赋予用户合理的行权途径。同时,本条款在原《征求意见稿》规定的基础上,要求App开发者应当为用户提供“撤回同意”的途径和方式,并且要给予用户可通过其画像向其个性化展示与非基于其画像进行普通广告展示的选项,充分保障了用户对自身个人信息的控制权。
4. 可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”的行为
与上文类似,《认定方法》同样在这一类别下针对“打开可收集个人信息的权限”这一情形新增了收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;以及要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用这些行为。其次,《认定方法》也新增了将仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息这一行为认定为违反必要原则,收集与其提供的服务无关的个人信息的情形。上述修改更加严格落实了《网络安全法》的必要性原则,对App肆意的收集以及滥用用户个人信息,导致用户个人信息甚至隐私被泄露的违规乱象起到了针对性地规制作用。
5. 可被认定为“未经同意向他人提供个人信息”的行为
《认定方法》并未对这一类别进行太大的改动。首先,这两条在实质上并未做太大的改动:“既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息”,以及“既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息”。但新增了“App接入第三方应用,未经用户同意,向第三方应用提供个人信息”这一情形,体现了监管机关对于平台类App以及集成了多个第三方服务App在个人信息共享方面合规性的监管力度,相应App的开发者运营者应当予以重视。
6. 可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”的行为
《认定方法》首先将“未公布投诉、举报方式等信息”这一类别融合到了第六节中,与原有的“未按法律规定提供删除或更正个人信息功能”并列,一同进行了规定。其次,具体规定层面上,现行版本新增了两个情形:为更正、删除个人信息或注销用户账号设置不必要或不合理条件;以及未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。与此同时,《认定方法》也在保留的行为情形中进行更准确的解释或说明:强调未提供更正、删除个人信息及注销用户账号功能应为“有效的功能”;将人工处理中增加“承诺时限不得超过15个工作日”这一时限规定;以及在更正、删除个人信息或注销用户账号等用户操作已执行完毕这一行为上,新增了“但App后台并未完成的”这一前提条件,明确了App开发者应当在前端和后端同时履行相应的更改或删除义务。企业应当严格依照法律法规要求,响应用户所提出的请求,真正落实对用户个人信息的更正或删除的处理行为。
总体来看,《认定方法》的修改结合了当下监管中发现的App违法违规的具体情形,从原则性要求及实践性要求两个维度完善了App开发者保障用户个人信息安全所应承担的合规义务。同时《认定方法》更注重于落地性以及行为的有效性层面,对组织提供了明确的合规指引,有利于组织层面对具体措施的落实与实施;同时也体现了现在国家无论在立法还是执法层面上均注重日新月异的科学技术发展,这进一步也确保了对最新科学技术的有效运用与合规管理。
相关法规链接:
Ø 《App违法违规收集使用个人信息行为认定方法》:
http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm