數(shù)安條例百問20、21、22：關(guān)于向第三方提供個(gè)人信息或發(fā)送重要數(shù)據(jù)

小貝案語
11月14日，國家互聯(lián)網(wǎng)信息辦公布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》。為此，小貝說安全設(shè)立《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》（后文簡(jiǎn)稱《條例》）解讀專欄，以百問百答的形式對(duì)《條例》進(jìn)行系列解讀。

需要指出，這些解讀只是專家個(gè)人觀點(diǎn)，不代表官方意見；且這些解讀針對(duì)的是征求意見稿，未來?xiàng)l文本身可能會(huì)發(fā)生變化，不排除會(huì)有新增和刪除。

對(duì)應(yīng)條款
第十二條 數(shù)據(jù)處理者向第三方提供個(gè)人信息，或者共享、交易、委托處理重要數(shù)據(jù)的，應(yīng)當(dāng)遵守以下規(guī)定：

（一）向個(gè)人告知提供個(gè)人信息的目的、類型、方式、范圍、存儲(chǔ)期限、存儲(chǔ)地點(diǎn)，并取得個(gè)人單獨(dú)同意，符合法律、行政法規(guī)規(guī)定的不需要取得個(gè)人同意的情形或者經(jīng)過匿名化處理的除外；
（二）與數(shù)據(jù)接收方約定處理數(shù)據(jù)的目的、范圍、處理方式，數(shù)據(jù)安全保護(hù)措施等，通過合同等形式明確雙方的數(shù)據(jù)安全責(zé)任義務(wù)，并對(duì)數(shù)據(jù)接收方的數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)督；
（三）留存?zhèn)€人同意記錄及提供個(gè)人信息的日志記錄，共享、交易、委托處理重要數(shù)據(jù)的審批記錄、日志記錄至少五年。
數(shù)據(jù)接收方應(yīng)當(dāng)履行約定的義務(wù)，不得超出約定的目的、范圍、處理方式處理個(gè)人信息和重要數(shù)據(jù)。
解讀
提供數(shù)據(jù)是常見的行為，出于對(duì)個(gè)人信息和重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)的目的，應(yīng)當(dāng)對(duì)此類行為進(jìn)行規(guī)范。
  
對(duì)個(gè)人信息而言，提供分為兩種。一種是向第三方提供，一種是向委托處理者提供。因后者并不使用個(gè)人信息，僅按照與委托方約定的目的和方式開展數(shù)據(jù)處理活動(dòng)，故此時(shí)不必征得個(gè)人同意?！秱€(gè)人信息保護(hù)法》第二十三條規(guī)定：個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意。這與《條例》規(guī)定的“向第三方”提供場(chǎng)景一致。就具體要求來看，《條例》增加了存儲(chǔ)期限、存儲(chǔ)地點(diǎn)的要求，并規(guī)定了例外情況。一些人關(guān)心，這里的“存儲(chǔ)地點(diǎn)”顆粒度多大？《條例》并未明確要求，但一般而言至少應(yīng)說明是境內(nèi)還是境外。
  
從該條與《個(gè)人信息保護(hù)法》對(duì)比看，“向第三方提供”與“向其他個(gè)人信息處理者提供”的內(nèi)涵是一致的。如前所述，這個(gè)“第三方”顯然不包括委托處理者。但《條例》“附則”將“委托處理者”定義為“委托第三方按照約定的目的和方式開展的數(shù)據(jù)處理活動(dòng)”，這就出現(xiàn)了對(duì)“第三方”的不同理解，后續(xù)有必要進(jìn)行修改。
  
該條第（一）項(xiàng)的主要要求是“單獨(dú)同意”，這是處理重要數(shù)據(jù)所不涉及的，除此之外對(duì)兩類數(shù)據(jù)的處理有共同要求。無論是向第三方提供個(gè)人信息，還是共享、交易、委托處理重要數(shù)據(jù)，必然有數(shù)據(jù)接收者，故需要通過合同等方式與數(shù)據(jù)接收方作出約定，且要對(duì)數(shù)據(jù)接收方的數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)督。這是該條第（二）項(xiàng)的立法目的。對(duì)個(gè)人信息的這一要求超出了《個(gè)人信息保護(hù)法》，但在實(shí)踐中是必要的。
  
第（三）項(xiàng)中，提到了留存“審批記錄”的要求。但《條例》此前并未對(duì)審批作出規(guī)定。此處的“審批”來自第三十三條：數(shù)據(jù)處理者共享、交易、委托處理重要數(shù)據(jù)的，應(yīng)當(dāng)征得設(shè)區(qū)的市級(jí)及以上主管部門同意，主管部門不明確的，應(yīng)當(dāng)征得設(shè)區(qū)的市級(jí)及以上網(wǎng)信部門同意。鑒于兩者的位置和前后順序不便理解，后續(xù)有必要進(jìn)行修改。

  
對(duì)應(yīng)條款
第七十三條 本條例下列用語的含義：

（八）單獨(dú)同意是指數(shù)據(jù)處理者在開展具體數(shù)據(jù)處理活動(dòng)時(shí)，對(duì)每項(xiàng)個(gè)人信息取得個(gè)人同意，不包括一次性針對(duì)多項(xiàng)個(gè)人信息、多種處理活動(dòng)的同意。
解讀
“單獨(dú)同意”出自《個(gè)人信息保護(hù)法》的要求，一直以來被社會(huì)高度關(guān)注，因其直接影響到各類互聯(lián)網(wǎng)服務(wù)的設(shè)計(jì)和實(shí)現(xiàn)方式，事關(guān)重大?！稐l例》繼承了《個(gè)人信息保護(hù)法》，并有所擴(kuò)展，在四種場(chǎng)景下要求取得個(gè)人單獨(dú)同意。
  
一是向第三方提供個(gè)人信息時(shí)，要求取得個(gè)人單獨(dú)同意（第十二條）。
  
二是處理敏感個(gè)人信息時(shí)，要求取得個(gè)人單獨(dú)同意（第二十一條）。
  
三是向境外提供個(gè)人信息時(shí)，要求取得個(gè)人單獨(dú)同意（第三十六條）。
  
四是收集個(gè)人信息用于個(gè)性化推薦時(shí)，要求取得個(gè)人單獨(dú)同意（第四十九條）。
  
以上第四種場(chǎng)景是《個(gè)人信息保護(hù)法》之外新增的?！稐l例》本身可以增設(shè)此類新的要求，且《條例》第十四條還提出，法律、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書面同意的，從其規(guī)定。故《條例》作此處理并無不當(dāng)。為使讀者理解該種場(chǎng)景，后續(xù)還將對(duì)第四十九條的“單獨(dú)同意”作進(jìn)一步解讀。
  
那么，如何理解“單獨(dú)同意”呢？從《條例》“附則”所列定義看，人們更容易關(guān)注“對(duì)每項(xiàng)個(gè)人信息取得個(gè)人同意”。但實(shí)際上，該定義一共強(qiáng)調(diào)了“單獨(dú)同意”的三個(gè)特點(diǎn)，并非僅上述一個(gè)：
  
首先，強(qiáng)調(diào)事發(fā)時(shí)刻。即“數(shù)據(jù)處理者在開展具體數(shù)據(jù)處理活動(dòng)時(shí)”。為什么一定要強(qiáng)調(diào)這一點(diǎn)？因?yàn)樵诎惭b、登錄時(shí)征求用戶同意，與收集、處理用戶個(gè)人信息時(shí)征求用戶同意，給用戶的感受是不一樣的。在后者的情況下，用戶會(huì)更容易做到謹(jǐn)慎和注意。
  
其次，強(qiáng)調(diào)單項(xiàng)個(gè)人信息，這是“單獨(dú)同意”的最基本含義，毋庸多言。
  
第三，在單項(xiàng)信息的規(guī)定不適用時(shí)，以單次數(shù)據(jù)處理活動(dòng)為準(zhǔn)。這是考慮到，如果僅僅依靠時(shí)間、信息來做判斷，有時(shí)候是不夠的。最典型的是算法推薦，其收集數(shù)據(jù)的特點(diǎn)是范圍無邊界、時(shí)長無限制，這時(shí)候就只能以“單次數(shù)據(jù)處理活動(dòng)”來判斷。

  
對(duì)應(yīng)條款
第十二條 數(shù)據(jù)處理者向第三方提供個(gè)人信息，或者共享、交易、委托處理重要數(shù)據(jù)的，應(yīng)當(dāng)遵守以下規(guī)定：
（一）向個(gè)人告知提供個(gè)人信息的目的、類型、方式、范圍、存儲(chǔ)期限、存儲(chǔ)地點(diǎn)，并取得個(gè)人單獨(dú)同意，符合法律、行政法規(guī)規(guī)定的不需要取得個(gè)人同意的情形或者經(jīng)過匿名化處理的除外；
（二）與數(shù)據(jù)接收方約定處理數(shù)據(jù)的目的、范圍、處理方式，數(shù)據(jù)安全保護(hù)措施等，通過合同等形式明確雙方的數(shù)據(jù)安全責(zé)任義務(wù)，并對(duì)數(shù)據(jù)接收方的數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)督；
（三）留存?zhèn)€人同意記錄及提供個(gè)人信息的日志記錄，共享、交易、委托處理重要數(shù)據(jù)的審批記錄、日志記錄至少五年。
數(shù)據(jù)接收方應(yīng)當(dāng)履行約定的義務(wù)，不得超出約定的目的、范圍、處理方式處理個(gè)人信息和重要數(shù)據(jù)。
解讀
征得個(gè)人“同意”是個(gè)人信息保護(hù)制度的核心要求。《個(gè)人信息保護(hù)法》和《條例》均對(duì)此作出了多項(xiàng)規(guī)定，這在國外立法中也是重點(diǎn)?？梢钥吹剑P(guān)于“同意”的要求越來越嚴(yán)格，規(guī)則設(shè)計(jì)越來越精巧，這值得肯定。但事后誰能說得清“同意”的內(nèi)容呢？如果事后不可查，那么對(duì)“同意”提出更多要求又有什么意義呢？

  
遺憾的是，全球關(guān)于個(gè)人信息的立法幾乎都忽視了這一問題。國外的誠信機(jī)制比較健全，個(gè)人信息處理者“賴賬”的情況幾乎不會(huì)出現(xiàn)，但國內(nèi)的情況則有很大不同，不留存“同意”記錄的后果十分嚴(yán)重，相當(dāng)于前功盡棄。
  
為此，《條例》首次提出了留存記錄的要求。但目前該要求出現(xiàn)在向第三方提供個(gè)人信息的同意場(chǎng)景下。推而廣之，其對(duì)于所有的同意場(chǎng)景都應(yīng)該是適用的。今后有必要在此基礎(chǔ)上提出進(jìn)一步的嚴(yán)格要求。

下期預(yù)告
23、如何理解《條例》提出的網(wǎng)絡(luò)安全審查要求？
24、《條例》規(guī)定的網(wǎng)絡(luò)安全審查與《數(shù)據(jù)安全法》規(guī)定的數(shù)據(jù)安全審查是什么關(guān)系？
25、為什么對(duì)數(shù)據(jù)處理者赴國外上市和赴香港上市分別提出不同的審查要求？
26、為什么對(duì)大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營者在境外設(shè)立總部或者運(yùn)營中心、研發(fā)中心提出安全要求？
往期鏈接
條例正文
1、《條例》的定位及其同《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的關(guān)系是什么？
2、如何理解《條例》的結(jié)構(gòu)？
3、如何理解《條例》名稱中使用的是“網(wǎng)絡(luò)數(shù)據(jù)”？
4、如何理解數(shù)據(jù)處理者？
5、如何理解《條例》的域外效力？
6、如何理解《條例》的不適用范圍？
7、如何理解數(shù)據(jù)分類分級(jí)保護(hù)制度？
8、如何理解數(shù)據(jù)分類分級(jí)管理？
9、如何理解重要數(shù)據(jù)？
10、如何理解重要數(shù)據(jù)與個(gè)人信息的關(guān)系？
11、如何組織識(shí)別重要數(shù)據(jù)和核心數(shù)據(jù)？
12、如何理解重要數(shù)據(jù)和核心數(shù)據(jù)目錄？
13、如何理解數(shù)據(jù)開發(fā)利用？
14、如何理解數(shù)據(jù)交易管理制度？
15、如何理解數(shù)據(jù)處理者的安全保護(hù)義務(wù)？
16、如何理解等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)與數(shù)據(jù)安全的關(guān)系？
17、如何理解對(duì)發(fā)現(xiàn)安全缺陷、漏洞、風(fēng)險(xiǎn)時(shí)提出的補(bǔ)救措施要求？
18、如何理解數(shù)據(jù)處理者的應(yīng)急處置義務(wù)？
19、如何理解重要數(shù)據(jù)或者十萬人以上個(gè)人信息事件的處置義務(wù)？

總編輯|小貝
微信公眾號(hào)
微信號(hào)｜xiaobeisaq
長按二維碼關(guān)注