引言
歷時(shí)3年,《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》(下稱“《網(wǎng)數(shù)條例》”)終將于2025年1月1日起生效。在數(shù)據(jù)保護(hù)領(lǐng)域的法規(guī)標(biāo)準(zhǔn)迭出、監(jiān)管機(jī)構(gòu)交錯(cuò)的大背景下,《網(wǎng)數(shù)條例》提出的關(guān)鍵詞是聚焦重點(diǎn)、合規(guī)減負(fù)、監(jiān)管協(xié)同。本文將著重介紹《網(wǎng)數(shù)條例》下需關(guān)注的合規(guī)行動(dòng)。一、重要數(shù)據(jù):終于平穩(wěn)落定
1. 企業(yè)如何履行“重要數(shù)據(jù)”的識(shí)別申報(bào)義務(wù)?
答:政府確定目錄→企業(yè)自行識(shí)別→企業(yè)申報(bào)→政府確認(rèn)。重要數(shù)據(jù)一貫采取自上而下的路徑,先由監(jiān)管機(jī)構(gòu)定調(diào)、再由企業(yè)落地。《網(wǎng)數(shù)條例》免除了其《征求意見稿》中的重要數(shù)據(jù)備案義務(wù),但仍要求企業(yè)申報(bào)重要數(shù)據(jù)、由監(jiān)管機(jī)構(gòu)予以確認(rèn)。這一方面為企業(yè)增設(shè)了合規(guī)義務(wù),另一方面則增加了重要數(shù)據(jù)的可確定性。保護(hù)重要數(shù)據(jù)的第一步是識(shí)別重要數(shù)據(jù),而企業(yè)面臨的老大難問題正是“什么是重要數(shù)據(jù)”。《網(wǎng)數(shù)條例》在重要數(shù)據(jù)的定義中提出了定性要件,至于具體標(biāo)準(zhǔn),則交由各地區(qū)、各部門確定重要數(shù)據(jù)具體目錄。其后,由企業(yè)據(jù)此識(shí)別自己掌握的重要數(shù)據(jù),并向監(jiān)管機(jī)構(gòu)進(jìn)行申報(bào)。最后,由監(jiān)管機(jī)構(gòu)確認(rèn)重要數(shù)據(jù),并告知企業(yè)或公開發(fā)布。此外,《網(wǎng)數(shù)條例》提出,企業(yè)如果處理1000萬人以上個(gè)人信息,則應(yīng)遵守重要數(shù)據(jù)處理者的兩類義務(wù),但并未擴(kuò)展至所有義務(wù),也未將“1000萬以上個(gè)人信息”與“重要數(shù)據(jù)”直接劃等號(hào)。實(shí)踐中,可能仍有賴于部門規(guī)定(如《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》)、地方規(guī)定(如《中國(北京)自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)出境管理清單(負(fù)面清單)(2024版)》)進(jìn)行細(xì)致的界定。2. 誰可以擔(dān)任“網(wǎng)絡(luò)數(shù)據(jù)安全負(fù)責(zé)人”?答:專業(yè)知識(shí)和管理工作經(jīng)歷+管理層成員+有權(quán)向主管機(jī)構(gòu)匯報(bào)。三大法均提及網(wǎng)絡(luò)安全負(fù)責(zé)人、數(shù)據(jù)安全負(fù)責(zé)人、個(gè)人信息保護(hù)負(fù)責(zé)人,而企業(yè)的實(shí)踐難題在于誰來擔(dān)任這些負(fù)責(zé)人。《網(wǎng)數(shù)條例》要求重要數(shù)據(jù)的處理者設(shè)置“網(wǎng)絡(luò)數(shù)據(jù)安全負(fù)責(zé)人”,且對(duì)該負(fù)責(zé)人提出了具體要求,包括:(1)具備網(wǎng)絡(luò)數(shù)據(jù)安全專業(yè)知識(shí)和相關(guān)管理工作經(jīng)歷,(2)屬于企業(yè)的管理層成員,(3)有權(quán)直接向有關(guān)主管部門報(bào)告網(wǎng)絡(luò)數(shù)據(jù)安全情況。由此可見,網(wǎng)絡(luò)數(shù)據(jù)安全負(fù)責(zé)人必須由企業(yè)的管理層成員擔(dān)任,例如,分管數(shù)據(jù)安全的高管。該負(fù)責(zé)人本身應(yīng)具備相關(guān)知識(shí)與經(jīng)歷,向上應(yīng)被賦權(quán)向監(jiān)管機(jī)構(gòu)匯報(bào)情況,向下應(yīng)設(shè)置專業(yè)團(tuán)隊(duì)及人員共同支撐。此外,《網(wǎng)數(shù)條例》沒有明確規(guī)定網(wǎng)絡(luò)數(shù)據(jù)安全負(fù)責(zé)人的個(gè)人責(zé)任,對(duì)于企業(yè)的違法行為,仍由“直接負(fù)責(zé)的主管人員”和“其他直接責(zé)任人員”承擔(dān)相應(yīng)的個(gè)人責(zé)任。3. 重要數(shù)據(jù)生命周期管理中應(yīng)重點(diǎn)關(guān)注哪些環(huán)節(jié)?答:涉及第三方的流轉(zhuǎn)環(huán)節(jié):提供、委托處理、共同處理、出境、轉(zhuǎn)移。相較于企業(yè)內(nèi)部的重要數(shù)據(jù)處理,當(dāng)重要數(shù)據(jù)在企業(yè)與第三方之間流轉(zhuǎn),則天然增加了風(fēng)險(xiǎn)。因此,《網(wǎng)數(shù)條例》重點(diǎn)關(guān)注提供、委托處理、共同處理、出境、轉(zhuǎn)移這些環(huán)節(jié)。(1)提供、委托處理、共同處理:提供、委托處理、共同處理重要數(shù)據(jù)時(shí)企業(yè)應(yīng)事先進(jìn)行風(fēng)險(xiǎn)評(píng)估,除非是為履行法定義務(wù)。風(fēng)險(xiǎn)評(píng)估的內(nèi)容與數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估較為相似,但并不需要取得監(jiān)管批準(zhǔn),而是需在向主管部門報(bào)送年度風(fēng)險(xiǎn)評(píng)估報(bào)告時(shí)包含相關(guān)風(fēng)險(xiǎn)評(píng)估情況。評(píng)估內(nèi)容具體對(duì)比如下表:此外,參考《個(gè)人信息保護(hù)法》(下稱“《個(gè)保法》”)的規(guī)定,《網(wǎng)數(shù)條例》要求企業(yè)在提供、委托處理重要數(shù)據(jù)時(shí),應(yīng)與接收方進(jìn)行合同約定,對(duì)接收方進(jìn)行監(jiān)督,并保留處理情況記錄至少3年。
(2)出境:《網(wǎng)數(shù)條例》重申,企業(yè)出境重要數(shù)據(jù)前應(yīng)通過國家網(wǎng)信部門的安全評(píng)估。此外,企業(yè)在向主管部門報(bào)送年度風(fēng)險(xiǎn)評(píng)估報(bào)告時(shí),應(yīng)包括網(wǎng)絡(luò)數(shù)據(jù)出境情況。(3)轉(zhuǎn)移:企業(yè)如果發(fā)生合并、分立、解散、破產(chǎn)等事件,可能影響重要數(shù)據(jù)安全,則應(yīng)向主管部門報(bào)告重要數(shù)據(jù)處置方案、接收方的名稱/姓名和聯(lián)系方式等,以免重要數(shù)據(jù)落入無人保障的真空狀態(tài)。4. 如何通過開展重要數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估把握監(jiān)管脈絡(luò)?答:自評(píng)估+合規(guī)整改+監(jiān)管報(bào)送。“自評(píng)估+監(jiān)管報(bào)送”是數(shù)據(jù)保護(hù)領(lǐng)域常見的監(jiān)管方式,履行報(bào)送義務(wù)后自然就知道如何保護(hù)重要數(shù)據(jù)。《網(wǎng)數(shù)條例》細(xì)化了《數(shù)據(jù)安全法》關(guān)于重要數(shù)據(jù)的風(fēng)險(xiǎn)評(píng)估、報(bào)告內(nèi)容及監(jiān)管報(bào)送的要求。企業(yè)開展風(fēng)險(xiǎn)評(píng)估、撰寫報(bào)告,其實(shí)也是同步合規(guī)整改的過程,合規(guī)要點(diǎn)包括:數(shù)據(jù)及處理活動(dòng)的基本情況、企業(yè)采取的組織措施和技術(shù)措施、第三方數(shù)據(jù)流轉(zhuǎn)情況、安全事件風(fēng)險(xiǎn)及處置;大型網(wǎng)絡(luò)平臺(tái)需額外注意關(guān)鍵業(yè)務(wù)和供應(yīng)鏈安全。二、網(wǎng)絡(luò)平臺(tái):監(jiān)管走向深入
1. 如何理解“網(wǎng)絡(luò)平臺(tái)服務(wù)提供者”的適用范圍?答:法規(guī)未明確,實(shí)踐中應(yīng)當(dāng)具備外接第三方產(chǎn)品和服務(wù)、面向公眾的屬性。《網(wǎng)數(shù)條例》未對(duì)“網(wǎng)絡(luò)平臺(tái)服務(wù)提供者”作出明確定義,其適用范圍主要取決于對(duì)“網(wǎng)絡(luò)”范圍的解釋。《網(wǎng)絡(luò)安全法》項(xiàng)下的“網(wǎng)絡(luò)”覆蓋范圍較為寬泛。本處的“網(wǎng)絡(luò)”究竟采廣義解釋(互聯(lián)網(wǎng)、局域網(wǎng)、內(nèi)網(wǎng)等均被包含在內(nèi))還是狹義解釋(僅涉及面向公眾開放的互聯(lián)網(wǎng))已引發(fā)討論,但從抓重點(diǎn)的立法本意而言不宜做擴(kuò)大解釋。以下主體屬于《網(wǎng)數(shù)條例》項(xiàng)下的“網(wǎng)絡(luò)平臺(tái)服務(wù)提供者”或需適用相關(guān)規(guī)定,且將受到特別關(guān)注:● 大型網(wǎng)絡(luò)平臺(tái)服務(wù)提供者:僅就字面解讀,其需同時(shí)滿足“注冊(cè)用戶5000萬以上或者月活躍用戶1000萬以上”“業(yè)務(wù)類型復(fù)雜”“網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)對(duì)國家安全、經(jīng)濟(jì)運(yùn)行、國計(jì)民生等具有重要影響”三個(gè)要件。實(shí)踐中,用戶量可能會(huì)成為判斷企業(yè)是否落入“大型網(wǎng)絡(luò)平臺(tái)服務(wù)提供者”范圍的主要因素。一方面,用戶量為量化標(biāo)準(zhǔn),較容易判斷;另一方面,達(dá)到用戶量標(biāo)準(zhǔn)通常意味著其具有“重要影響力”,在平臺(tái)功能日益聚合化的當(dāng)下亦不難認(rèn)定“業(yè)務(wù)類型復(fù)雜”。例如,即便是垂類的電商平臺(tái),亦融合了銷售、廣告、支付、物流等諸多業(yè)務(wù)。放眼全球,歐盟的平臺(tái)治理亦以較為限定的大型網(wǎng)絡(luò)平臺(tái)為主要抓手,對(duì)“守門人”和“超大型在線平臺(tái)”進(jìn)行重點(diǎn)監(jiān)管。● 預(yù)裝應(yīng)用程序的智能終端等設(shè)備生產(chǎn)者:例如手機(jī)、車機(jī)、電腦等智能終端設(shè)備生產(chǎn)者將被視為網(wǎng)絡(luò)平臺(tái)服務(wù)提供者,督促第三方產(chǎn)品和服務(wù)提供者加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全管理。● 提供應(yīng)用程序分發(fā)服務(wù)的網(wǎng)絡(luò)平臺(tái)服務(wù)提供者:作為應(yīng)用程序分發(fā)平臺(tái),需開展應(yīng)用程序及網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)核驗(yàn),并在發(fā)現(xiàn)不符合強(qiáng)制要求時(shí)采取警示、不予分發(fā)、暫停分發(fā)或者終止分發(fā)等措施。2. 為何對(duì)網(wǎng)絡(luò)平臺(tái)服務(wù)提供者施以額外的嚴(yán)格義務(wù)?答:不履行網(wǎng)安義務(wù)+濫用數(shù)據(jù)優(yōu)勢(shì)+平臺(tái)“力量”膨脹。《網(wǎng)數(shù)條例》的官方解讀對(duì)此作出答復(fù),理解源于對(duì)網(wǎng)絡(luò)平臺(tái)服務(wù)提供者的監(jiān)管實(shí)踐:(1)基礎(chǔ)原因:平臺(tái)不履行網(wǎng)絡(luò)數(shù)據(jù)安全義務(wù);(2)進(jìn)階原因:平臺(tái)濫用數(shù)據(jù)優(yōu)勢(shì)從事法律、行政法規(guī)禁止的活動(dòng)。尤其是后者,可以看出監(jiān)管部門已充分認(rèn)識(shí)到平臺(tái)的優(yōu)勢(shì)地位以及其對(duì)社會(huì)秩序的巨大影響。法律、社群規(guī)范、市場、架構(gòu)(技術(shù))是社會(huì)控制的主要手段。在當(dāng)今時(shí)代,平臺(tái)通過網(wǎng)絡(luò)技術(shù)手段深深嵌入(甚至是重塑)人們的生活,影響著人們衣食住行的各個(gè)維度。這一點(diǎn)在大型網(wǎng)絡(luò)平臺(tái)處展現(xiàn)得更為明顯,正如《網(wǎng)數(shù)條例》第46條所道“三條路徑”,數(shù)據(jù)、算法和平臺(tái)規(guī)則助推平臺(tái)“力量”膨脹,自然也成為監(jiān)管的主要切入點(diǎn)。相較于歐盟《數(shù)字市場法》和《數(shù)字服務(wù)法》等相對(duì)“大一統(tǒng)”的平臺(tái)監(jiān)管框架,我國現(xiàn)階段的平臺(tái)監(jiān)管要求散落在不同立法之中。《網(wǎng)數(shù)條例》作為其中一塊拼圖,劃定了網(wǎng)數(shù)角度針對(duì)平臺(tái)監(jiān)管的重點(diǎn)。3. 網(wǎng)絡(luò)平臺(tái)服務(wù)提供者的哪些監(jiān)管要求值得被特別關(guān)注?答:(1)所有網(wǎng)絡(luò)平臺(tái):第三方產(chǎn)品和服務(wù)的監(jiān)督及責(zé)任承擔(dān)+用戶標(biāo)簽刪除功能+網(wǎng)絡(luò)身份認(rèn)證。(2)大型網(wǎng)絡(luò)平臺(tái):社會(huì)責(zé)任報(bào)告+數(shù)據(jù)跨境管理+禁止濫用數(shù)據(jù)、算法和平臺(tái)規(guī)則。整體而言,《網(wǎng)數(shù)條例》對(duì)網(wǎng)絡(luò)平臺(tái)服務(wù)提供者的監(jiān)管態(tài)度較為嚴(yán)格:● 第三方產(chǎn)品和服務(wù)的監(jiān)督及責(zé)任承擔(dān):第三方產(chǎn)品和服務(wù)提供者違法違約處理數(shù)據(jù),對(duì)用戶造成損害的,網(wǎng)絡(luò)平臺(tái)服務(wù)提供者、第三方產(chǎn)品和服務(wù)提供者、預(yù)裝應(yīng)用程序的智能終端等設(shè)備生產(chǎn)者應(yīng)當(dāng)依法承擔(dān)相應(yīng)責(zé)任。鑒于實(shí)踐中平臺(tái)往往會(huì)接入諸多第三方產(chǎn)品和服務(wù),本項(xiàng)要求可能會(huì)擴(kuò)大平臺(tái)的責(zé)任范圍。此外,根據(jù)《民法典》第176條,民事主體依照法律規(guī)定或當(dāng)事人約定承擔(dān)民事責(zé)任。因此,《網(wǎng)數(shù)條例》(僅為行政法規(guī))規(guī)定的前述責(zé)任當(dāng)指行政責(zé)任,而非民事責(zé)任。● 針對(duì)個(gè)人特征的用戶標(biāo)簽刪除功能:本處是對(duì)《個(gè)保法》第24條第二款(保障個(gè)人在自動(dòng)化決策信息推送中的拒絕權(quán))的延伸規(guī)定。此前,《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》就曾要求算法推薦服務(wù)提供者為用戶提供該等用戶標(biāo)簽的選擇或刪除功能。但在實(shí)踐中,本項(xiàng)要求存在一定落地阻力:既涉及技術(shù)困難,也包括可能會(huì)對(duì)精準(zhǔn)營銷業(yè)務(wù)產(chǎn)生重大影響。● 網(wǎng)絡(luò)身份認(rèn)證:我國早在《網(wǎng)絡(luò)安全法》就已為網(wǎng)絡(luò)運(yùn)營者設(shè)置身份認(rèn)證義務(wù),《網(wǎng)數(shù)條例》將在此基礎(chǔ)上按照“政府引導(dǎo)、用戶自愿”的原則進(jìn)一步推廣網(wǎng)絡(luò)身份認(rèn)證。除以上要求外,大型網(wǎng)絡(luò)平臺(tái)服務(wù)提供者將適用加重義務(wù):● 個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告:本處對(duì)《個(gè)保法》第58條第四款作出細(xì)化,將報(bào)告發(fā)布周期由“定期”明確為“每年度”,并規(guī)定了報(bào)告的主要披露事項(xiàng),可見本項(xiàng)義務(wù)將切實(shí)走向落地。● 數(shù)據(jù)跨境管理、禁止濫用數(shù)據(jù)、算法和平臺(tái)規(guī)則:本處主要是重復(fù)現(xiàn)有法律法規(guī)要求的宣示性規(guī)定,再次強(qiáng)調(diào)大型網(wǎng)絡(luò)平臺(tái)服務(wù)提供者的前述義務(wù)要求,表明監(jiān)管部門日后可能會(huì)對(duì)其采取更為嚴(yán)厲的執(zhí)法行動(dòng)。4. 如何看待網(wǎng)絡(luò)數(shù)據(jù)安全保險(xiǎn)的發(fā)展前景?基于網(wǎng)絡(luò)數(shù)據(jù)對(duì)個(gè)人、企業(yè)、社會(huì)、國家安全的重要意義,一旦發(fā)生數(shù)據(jù)泄漏等安全事件,可能會(huì)引發(fā)較大規(guī)模的損害,網(wǎng)絡(luò)平臺(tái)服務(wù)提供者即面臨承擔(dān)巨額損害賠償?shù)娘L(fēng)險(xiǎn),由此,事先購買網(wǎng)絡(luò)數(shù)據(jù)安全保險(xiǎn)的意義則凸顯出來。《網(wǎng)數(shù)條例》亦明確提出鼓勵(lì)保險(xiǎn)公司開發(fā)相關(guān)險(xiǎn)種、鼓勵(lì)網(wǎng)絡(luò)平臺(tái)服務(wù)提供者等投保。不過需注意的是,在現(xiàn)行中國法項(xiàng)下,責(zé)任保險(xiǎn)的承保范圍不包括行政罰款,可能會(huì)一定程度上限制網(wǎng)絡(luò)數(shù)據(jù)安全保險(xiǎn)的推廣。三、個(gè)人信息:強(qiáng)調(diào)、明確及優(yōu)化
1. 已存在個(gè)人信息保護(hù)專項(xiàng)立法的情況下,個(gè)人信息保護(hù)章節(jié)意義何在?
答:“強(qiáng)調(diào)(突出監(jiān)管重點(diǎn))”“明晰(方便推進(jìn)落地)”“優(yōu)化(貼合實(shí)際情況)”。《網(wǎng)數(shù)條例》系行政法規(guī),基于《個(gè)保法》及其實(shí)施三年來的經(jīng)驗(yàn),對(duì)個(gè)人信息保護(hù)要求進(jìn)行“強(qiáng)調(diào)”“明晰”及“優(yōu)化”。具體而言:(1)強(qiáng)調(diào):通過重申、整合《個(gè)保法》及相關(guān)法律法規(guī)的重點(diǎn)內(nèi)容,強(qiáng)調(diào)個(gè)人信息處理全生命周期中的重點(diǎn)監(jiān)管環(huán)節(jié)及相應(yīng)要求,包括告知、同意、個(gè)人信息權(quán)利的行使等;(2)明確:明確個(gè)別事項(xiàng)的合規(guī)要求,以便企業(yè)推進(jìn)落地,例如明確網(wǎng)絡(luò)數(shù)據(jù)處理者響應(yīng)個(gè)人信息轉(zhuǎn)移請(qǐng)求的要求及限制,要求網(wǎng)絡(luò)數(shù)據(jù)處理者落實(shí)信息收集/共享“雙清單”;(3)優(yōu)化:在《個(gè)保法》的基礎(chǔ)上,結(jié)合個(gè)人信息保護(hù)監(jiān)管的實(shí)踐經(jīng)驗(yàn),優(yōu)化個(gè)別事項(xiàng)的合規(guī)要求,以使個(gè)人信息保護(hù)要求更加貼合實(shí)際,例如允許網(wǎng)絡(luò)數(shù)據(jù)處理者在難以確定保存期限的情況下,向個(gè)人告知保存期限的確定方法。2. 具體有哪些值得關(guān)注的亮點(diǎn)?答:“同意”及相關(guān)要求、轉(zhuǎn)移權(quán)的行使、“雙清單”、保存期限披露方式。《網(wǎng)數(shù)條例》通過專門條款對(duì)同意及相關(guān)要求/概念(單獨(dú)同意、重新同意、必要性)進(jìn)行梳理、強(qiáng)調(diào),突出了“同意”在各類合法性基礎(chǔ)中的重要地位。● 即便在“同意”情形下,“必要性”仍是基本原則。超出“提供產(chǎn)品或者服務(wù)所必需”而收集的個(gè)人信息,即便獲得個(gè)人同意,仍有違“必要性”原則。即,同意不是萬能的。● 明確定義“單獨(dú)同意”,但應(yīng)如何獲取單獨(dú)同意仍有待觀察。《網(wǎng)數(shù)條例》將“單獨(dú)同意”定義為“個(gè)人針對(duì)其個(gè)人信息進(jìn)行特定處理而專門作出具體、明確的同意”。有觀點(diǎn)認(rèn)為通過“獨(dú)立勾選框”獲得單獨(dú)同意的模式將成為過去式。但是,僅從文本層面,我們理解尚無法作出此類解釋。● 關(guān)注“同意”后的持續(xù)性義務(wù)。獲得個(gè)人同意后,網(wǎng)絡(luò)數(shù)據(jù)處理者不得超出個(gè)人同意的范圍處理個(gè)人信息。當(dāng)個(gè)人信息的處理目的、方式、種類發(fā)生變更時(shí),網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)重新取得個(gè)人同意。在滿足四項(xiàng)限制性條件的情況下,網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)響應(yīng)個(gè)人信息轉(zhuǎn)移請(qǐng)求:(一)能夠驗(yàn)證請(qǐng)求人的真實(shí)身份;(二)請(qǐng)求轉(zhuǎn)移的是本人同意提供的或者基于合同收集的個(gè)人信息;(三)轉(zhuǎn)移個(gè)人信息具備技術(shù)可行性;(四)轉(zhuǎn)移個(gè)人信息不損害他人合法權(quán)益。相較于保障個(gè)人權(quán)利,轉(zhuǎn)移權(quán)對(duì)于消除鎖定效應(yīng)、促進(jìn)市場競爭的意義將更為深遠(yuǎn)。作為我國數(shù)據(jù)基礎(chǔ)制度建設(shè)的頂層設(shè)計(jì),“數(shù)據(jù)二十條”明確提出“保障數(shù)據(jù)來源者享有獲取或復(fù)制轉(zhuǎn)移由其促成產(chǎn)生數(shù)據(jù)的權(quán)益”,與歐盟《數(shù)據(jù)法》項(xiàng)下用戶的數(shù)據(jù)獲取及利用權(quán)益異曲同工。因其自帶的沖突性和使命感,料想轉(zhuǎn)移權(quán)的落地將會(huì)是緩慢卻又堅(jiān)定的過程。技術(shù)層面,個(gè)人行使轉(zhuǎn)移權(quán)的范圍,應(yīng)僅包括網(wǎng)絡(luò)數(shù)據(jù)處理者收集的、有關(guān)其個(gè)人的原始數(shù)據(jù),而不包括經(jīng)加工、處理后的衍生數(shù)據(jù);主要針對(duì)面向個(gè)人直接收集的個(gè)人信息,即以同意或“為訂立、履行合同所必需”作為合法性基礎(chǔ)所收集的個(gè)人信息。《網(wǎng)數(shù)條例》第21條第二款規(guī)定,“網(wǎng)絡(luò)數(shù)據(jù)處理者按照前款規(guī)定向個(gè)人告知收集和向其他網(wǎng)絡(luò)數(shù)據(jù)處理者提供個(gè)人信息的目的、方式、種類以及網(wǎng)絡(luò)數(shù)據(jù)接收方信息的,應(yīng)當(dāng)以清單等形式予以列明。”該款內(nèi)容系對(duì)于《關(guān)于開展信息通信服務(wù)感知提升行動(dòng)的通知》中個(gè)人信息保護(hù)“雙清單”要求的法定化,使這一義務(wù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)處理者普遍適用,規(guī)范了收集、共享個(gè)人信息的披露形式要求。網(wǎng)絡(luò)數(shù)據(jù)處理者需注意調(diào)整隱私政策等告知文本。《網(wǎng)數(shù)條例》關(guān)注到部分場景下,要求網(wǎng)絡(luò)數(shù)據(jù)處理者確定確切的個(gè)人信息保存期限可能存在困難,故允許僅明確保存期限的確定方式,如此將會(huì)更加貼合實(shí)踐做法。3. 境外網(wǎng)絡(luò)數(shù)據(jù)處理者處理境內(nèi)自然人個(gè)人信息,如何設(shè)立及向監(jiān)管機(jī)關(guān)報(bào)送境內(nèi)機(jī)構(gòu)/代表信息?答:首先判斷是否符合《個(gè)保法》第53條要求;若符合,根據(jù)《網(wǎng)數(shù)條例》進(jìn)行報(bào)送。根據(jù)《個(gè)保法》及《網(wǎng)數(shù)條例》規(guī)定,境外網(wǎng)絡(luò)數(shù)據(jù)處理者處理境內(nèi)自然人個(gè)人信息,若屬于“以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”,或?yàn)椤胺治觥⒃u(píng)估境內(nèi)自然人的行為”,需在中國境內(nèi)設(shè)立專門機(jī)構(gòu)或指定代表,負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù),并將有關(guān)機(jī)構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報(bào)送所在地設(shè)區(qū)的市級(jí)網(wǎng)信部門。目前,符合條件的境外網(wǎng)絡(luò)數(shù)據(jù)處理者完成機(jī)構(gòu)設(shè)立和報(bào)送工作的時(shí)間線、具體規(guī)則尚不清晰。實(shí)踐中,一些境外網(wǎng)絡(luò)數(shù)據(jù)處理者可能持觀望態(tài)度,特別是在中國境內(nèi)所獲實(shí)質(zhì)利益有限的情況下。題21-1_畫板 1 副本.png)
題21-1_畫板 1.png)
.png "備案圖標(biāo).png"){kind=small}
京公網(wǎng)安備110105011258
