墨者防御联盟-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

数安条例百咨询20、21、22:对于向第三方提供个人信息或发送重要数据

06-29 WEB安全

11月14日,国家互联网信息办发布了《网络数据安全治理条例(征求意见稿)》。为此,小贝讲安全设立《网络数据安全治理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百咨询百答的形式对《条例》举行系列解读。

需要指出,这些解读不过专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,今后条文本身大概会发生变化,CC防御,不排除会有新增和删除。

数安条例百问20、21、22:关于向第三方提供个人信息或发送重要数据

数安条例百问20、21、22:关于向第三方提供个人信息或发送重要数据

对应条款

第十二条 数据处理者向第三方提供个人信息,或者共享、交易、托付处理重要数据的,应当遵守以下规定:

(一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地方,并取得个人单独接受,符合法律、行政法规规定的不需要取得个人接受的情形或者通过匿名化处理的除外;

(二)与数据接收方约定处理数据的目的、范围、处理方式,数据安全爱护措施等,经过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动举行监督;

(三)留存个人接受记录及提供个人信息的日志记录,DDoS防护,共享、交易、托付处理重要数据的审批记录、日志记录至少五年。

数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。

解读

提供数据是常见的行为,出于对个人信息和重要数据举行重点爱护的目的,应当对此类行为举行规范。

对个人信息而言,提供分为两种。一种是向第三方提供,一种是向托付处理者提供。因后者并不使用个人信息,仅按照与托付方约定的目的和方式开展数据处理活动,故此刻不必征得个人接受。《个人信息爱护法》第二十三条规定:个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独接受。这与《条例》规定的“向第三方”提供场景一致。就具体要求来看,《条例》增加了存储期限、存储地方的要求,并规定了例外事情。一些人关怀,那个地点的“存储地方”颗粒度多大?《条例》并未明确要求,但普通而言至少应讲明是境内依旧境外。

从该条与《个人信息爱护法》对照看,“向第三方提供”与“向其他个人信息处理者提供”的内涵是一致的。如前所述,那个“第三方”显然不包括托付处理者。但《条例》“附则”将“托付处理者”定义为“托付第三方按照约定的目的和方式开展的数据处理活动”,这就浮上了对“第三方”的不同理解,后续有必要举行修改。

该条第(一)项的要紧要求是“单独接受”,这是处理重要数据所不涉及的,除此之外对两类数据的处理有共同要求。不管是向第三方提供个人信息,依旧共享、交易、托付处理重要数据,必定有数据接收者,故需要经过合同等方式与数据接收方作出约定,且要对数据接收方的数据处理活动举行监督。这是该条第(二)项的立法目的。对个人信息的这一要求超出了《个人信息爱护法》,但在实践中是必要的。

第(三)项中,提到了留存“审批记录”的要求。但《条例》此前并未对审批作出规定。此处的“审批”来自第三十三条:数据处理者共享、交易、托付处理重要数据的,应当征得设区的市级及以上主管部门接受,主管部门不明确的,应当征得设区的市级及以上网信部门接受。鉴于两者的位置和前后顺序不便理解,后续有必要举行修改。

数安条例百问20、21、22:关于向第三方提供个人信息或发送重要数据

对应条款

第七十三条 本条例下列用语的含义:

(八)单独接受是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人接受,不包括一次性针对多项个人信息、多种处理活动的接受。

解读

“单独接受”出自《个人信息爱护法》的要求,向来以来被社会高度关注,因其直截了当阻碍到各类互联网服务的设计和实现方式,事关重大。《条例》继承了《个人信息爱护法》,并有所扩展,在四种场景下要求取得个人单独接受。

一是向第三方提供个人信息时,要求取得个人单独接受(第十二条)。

二是处理敏感个人信息时,要求取得个人单独接受(第二十一条)。

三是向境外提供个人信息时,要求取得个人单独接受(第三十六条)。

四是收集个人信息用于个性化推举时,要求取得个人单独接受(第四十九条)。

以上第四种场景是《个人信息爱护法》之外新增的。《条例》本身能够增设此类新的要求,且《条例》第十四条还提出,法律、行政法规规定处理个人信息应当取得个人单独接受或者书面接受的,从其规定。故《条例》作此处理并无不当。为使读者理解该种场景,后续还将对第四十九条的“单独接受”作进一步解读。

这么,怎么理解“单独接受”呢?从《条例》“附则”所列定义看,人们更容易关注“对每项个人信息取得个人接受”。但实际上,该定义一共强调了“单独接受”的三个特点并非仅上述一具:

首先,强调事发时光。即“数据处理者在开展具体数据处理活动时”。为啥一定要强调这一点?因为在安装、登录时征求用户接受,与收集、处理用户个人信息时征求用户接受,给用户的认为是不一样的。在后者的事情下,用户会更容易做到慎重和注意。

其次,强调单项个人信息,这是“单独接受”的最差不多含义,毋庸多言。

第三,在单项信息的规定不适用时,以单次数据处理活动为准。这是思量到,假如仅仅依赖时刻、信息来做推断,有时候是不够的。最典型的是算法推举,其收集数据的特点是范围无边界、时长无限制,这时候就只能以“单次数据处理活动”来推断。

数安条例百问20、21、22:关于向第三方提供个人信息或发送重要数据

对应条款

第十二条 数据处理者向第三方提供个人信息,或者共享、交易、托付处理重要数据的,应当遵守以下规定:

(一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地方,并取得个人单独接受,符合法律、行政法规规定的不需要取得个人接受的情形或者通过匿名化处理的除外;

(二)与数据接收方约定处理数据的目的、范围、处理方式,数据安全爱护措施等,经过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动举行监督;

(三)留存个人接受记录及提供个人信息的日志记录,共享、交易、托付处理重要数据的审批记录、日志记录至少五年。

数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。

解读

征得个人“接受”是个人信息爱护制度的核心要求。《个人信息爱护法》和《条例》均对此作出了多项规定,这在国外立法中也是重点。能够看到,对于“接受”的要求越来越严格,规则设计越来越精致,这值得确信。但事后谁能讲得清“接受”的内容呢?假如事后不可查,这么对“接受”提出更多要求又有啥意义呢?

遗憾的是,全球对于个人信息的立法几乎都忽视了这一咨询题。国外的诚信机制比较健全,个人信息处理者“赖账”的事情几乎不大概浮上,但国内的事情则有特别大不同,不留存“接受”记录的后果十分严峻,DDoS防护,相当于前功尽弃。

为此,《条例》首次提出了留存记录的要求。但目前该要求出如今向第三方提供个人信息的接受场景下。推而广之,其关于所有的接受场景都应该是适用的。往后有必要在此基础上提出进一步的严格要求。

版权保护: 本文由 主页 原创,转载请保留链接: /web/183240.html


QQ客服

400-0797-119