《网络数据安全管理条例》（征求意见稿）解读（三）｜MHP君悦评论

个人信息保护的特别规定部分

一、基于个人同意处理个人信息的详细要求

《条例征求意见稿》第19条强调了《个人信息保护法》第5条和第6条规定的个人信息处理原则和要求，即数据处理者处理个人信息应当具有明确、合理的目的，遵循合法、正当、必要的原则。

基于个人同意处理个人信息是数据处理者/个人信息处理者处理个人信息的法律基础之一。《个人信息保护法》第14条至第17条规定了知情同意基本要求，包括知情同意自愿原则、知情同意的形式、告知内容和形式等。《条例征求意见稿》第19条则特别增加了基于个人同意处理个人信息的详细要求，包括：

（1）处理的个人信息是提供服务所必需的，或者是履行法律、行政法规规定的义务所必需的；

（2）限于实现处理目的最短周期、最低频次，采取对个人权益影响最小的方式；

（3）不得因个人拒绝提供服务必需的个人信息以外的信息，拒绝提供服务或者干扰个人正常使用服务。

二、个人信息处理规则的详细要求

《个人信息保护法》对个人信息处理规则作了原则性规定：（1）个人信息处理规则公开，便于查询和保存；（2）处理不满十四周岁未成年人个人信息应制定专门的个人信息处理规则；（3）个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

• 首先，数据处理者处理个人信息，应当制定个人信息处理规则；

• 其次，个人信息处理规则需集中公开展示，易于访问并置于醒目位置；

• 再次，个人信息处理规则内容明确具体、简明通俗，系统全面向个人说明个人信息处理情况。

个人信息处理规则应至少包括以下内容：

（1）依据产品或者服务的功能明确所需的个人信息，以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等，以及拒绝处理个人信息对个人的影响；

（2）个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式；

（3）个人查阅、复制、更正、删除、限制处理、转移个人信息，以及注销账号、撤回处理个人信息同意的途径和方法；

（4）以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称，以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则；

（5）向第三方提供个人信息情形及其目的、方式、种类，数据接收方相关信息等；

（6）个人信息安全风险及保护措施；

（7）个人信息安全问题的投诉、举报渠道及解决途径，个人信息保护负责人联系方式。

三、同意与单独同意

除了《个人信息保护法》规定的各项知情同意要求外，《条例征求意见稿》对处理个人信息的知情同意提出了额外要求，例如：

（1）按照服务类型分别向个人申请处理个人信息的同意，不得使用概括性条款取得同意；

（2）不得以改善服务质量、提升用户体验、研发新产品等为由，强迫个人同意处理其个人信息；

（3）不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意；

（4）不得在个人明确表示不同意后，频繁征求同意、干扰正常使用服务。

当个人同意行为有效性存在争议，数据处理者负有举证责任。

而“单独同意”则是指数据处理者在开展具体数据处理活动时，对每项个人信息取得个人同意，不包括一次性针对多项个人信息、多种处理活动的同意。有了这一规定，如何按照《个人信息保护法》获得个人的单独同意变得较为清晰，也意味着在获取敏感个人信息、向境外提供个人信息等需要个人单独同意的场景下，采用概括性的或捆绑式的批量同意模式不符合《个人信息保护法》要求。

四、删除个人信息或匿名化处理的特别要求

《个人信息保护法》第47条规定了个人信息处理者应当主动删除个人信息的五种情形，包括法律、行政法规规定的其他情形。《条例征求意见稿》在此基础上明确规定四种特定情形下删除个人信息或进行匿名化处理的特别要求：

五、为个人行使权利提供便利义务

《个人信息保护法》第四章规定了诸多个人在个人信息处理活动中的权利。为了保障和便利个人行使其权利，《条例征求意见稿》强化了数据处理者的义务，主要是：

（1）提供便捷的方法和途径，不得以时间、位置等因素对个人的合理请求进行限制；

（2）提供便捷的支持功能，不得设置不合理条件；

（3）在15个工作日内处理并反馈个人合理请求。

但《条例征求意见稿》没有明确禁止或允许数据处理者是否就处理和反馈个人合理请求收取合理费用。

六、向第三方提供个人信息

《个人信息保护法》第23条规定了个人信息处理者向其他个人信息处理者提供个人信息的基本要求，包括取得个人的单独同意。

《条例征求意见稿》要求则进一步明确要求数据处理者向第三方提供个人信息须遵守告知同意、数据安全以及留存记录等规定，具体而言：

与《个人信息保护法》强调向“其他个人信息处理者”提供个人信息不同，《条例征求意见稿》并未明确何为“第三方”，也未明确何为“提供”个人信息。比照《信息安全技术 个人信息安全规范》，这里的“提供”是否意味着个人信息控制权的转移或共享，从而包括个人信息的“转让”与“共享”？相应的，这里的“第三方”作为数据接收方是否是《个人信息保护法》下的“个人信息处理者”或《条例征求意见稿》下的“数据处理者”还有待商榷。

七、转移个人信息的具体条件与要求

《个人信息保护法》第45条规定，个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。但《个人信息保护法》并未明确何为国家网信部门规定的条件。

《条例征求意见稿》对此提出了个人信息转移的具体条件，在符合条件的情况下，数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务。具体条件包括：

（1）请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息；

（2）请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息；

（3）能够验证请求人的合法身份。

《条例征求意见稿》还特别规定，如果请求转移个人信息次数明显超出合理范围，数据处理者可以收取合理费用。《条例征求意见稿》对个人信息转移能否收取费用作出了明确规定，遵从这一思路，在《条例征求意见稿》未有规定的情况下，数据处理者可能无法律法规依据对其处理和反馈个人合理请求收取任何费用。

八、利用生物特征进行身份认证的特别规定

除非法律、行政法规另有规定，数据数据处理者利用人脸、步态、指纹、虹膜、声纹等生物特征进行个人身份认证时，必须做到：

（1）对必要性、安全性进行风险评估；

（2）不得将生物特征作为唯一的个人身份认证方式。

九、处理一百万人以上个人信息的特别规定

《条例征求意见稿》还补充规定，数据处理者处理一百万人以上个人信息的，还应当遵守有关重要数据保护的相关规定。《条例征求意见稿》并未说明上述处理一百万人以上个人信息是指同时还是累积处理一百万人以上的个人信息。但从《条例征求意见稿》上下文来看，似乎是指同时处理一百万人以上的个人信息更符合立法本意。

十、向境外提供个人信息的特别规定

《条例征求意见稿》第36条基本上重复了《个人信息保护法》有关向境外提供个人信息的告知同意要求，只是额外确认在收集个人信息时已就个人信息出境取得了个人同意，在按照取得同意的事项出境时，数据处理者无需再次取得个人单独同意。

但《条例征求意见稿》在《个人保护信息法》基础上增加了严苛的年度报告义务，即向境外提供个人信息的数据处理者，应在每年1月31日前编制数据出境安全报告，向设区的市级网信部门报告上一年度以下数据出境情况。报告内容包括：

（1）全部数据接收方名称、联系方式；

（2）出境数据的类型、数量及目的；

（3）数据在境外的存放地点、存储期限、使用范围和方式；

（4）涉及向境外提供数据的用户投诉及处理情况；

（5）发生的数据安全事件及其处置情况；

（6）数据出境后再转移的情况；

（7）国家网信部门明确向境外提供数据需要报告的其他事项。

由于《条例征求意见稿》第40条并未对向境外提供个人信息设置任何门槛，这似乎意味着任何向境外提供个人信息的数据处理者都必须履行上述出境安全报告义务。这一义务是否过于繁重，地方网信部门如何处理出境安全报告还有待进一步厘清。

总体而言，《条例征求意见稿》在《网络安全法》、《数据安全法》和《个人信息保护法》基础上，细化了各法律中的原则性制度规定，将有力地推动法律的落地实施。但同时，《条例征求意见稿》又意图将三个法律涉及的不同制度安排尽可能杂糅在一起，大力增强行政监管，从而造成概念混用不清晰、行文逻辑不严密、合规义务偏重。我们希望这些美中不足之处都能在接下来的草案修改中予以改进和完善。