编者按
近日,中联上海合伙人方懿律师与杨瑾煜舟律师受邀前往安恒信息公司参加数据安全主题沙龙活动。在此前多次交流的基础上,本次沙龙活动双方聚焦新出台的《上海市数据条例》与《网络数据安全管理条例(征求意见稿)》(以下简称“《管理条例》”),分别从法律和技术的角度对相关问题进行了探讨。我们在此对本次交流的重点内容以问答形式整理成文,并分为两部分进行发布。第一部分是关于《上海市数据条例》的讨论(查阅请点击:【中联观点 | 《上海市数据条例》Q&A解读——法律与技术的双重视角】),第二部分是关于《管理条例》的讨论。以下为第二部分的交流内容:
问题1:
《管理条例》要求个人信息处理者说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的相关信息(第20条),那作为APP提供者是否还需具备监测SDK等第三方个人信息处理活动的能力?以及SDK提供商,如果为很多客户提供服务,从而掌握大量个人信息,是否会被认定为互联网平台运营者,从而被施加更高的合规义务?
回答:
01
是否有必要或具备监测SDK的能力,本质应该是看APP和SDK到底是谁对个人信息处理承担责任。由于接入方式不同,APP和SDK的关系主要有四种,分别对应不同的业务场景,责任承担的方式也不尽相同:
(1) APP将个人信息共享至SDK。此情境下应被认定为“个人信息处理者向其他个人信息处理者提供其处理的个人信息的”场景。APP在履行完《个信法》第23条规定的义务后,一般来说没有必要继续监测SDK如何处理个人信息。
(2) APP与SDK对个人信息共同处理。此情境下,考虑到“个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任”( 《个信法》第20条),可以考虑监测SDK对个人信息的处理,以降低APP自身被“牵连”的风险。
(3) SDK作为第三方单独接入APP直接收集个人信息。此情境下,我们认为APP履行完告知等义务后,一般来说没有必要继续监测SDK如何处理个人信息。
(4) APP和SDK是同一个提供者,或者是以纯开源的形式,即不存在具体SDK提供者。此时APP对个人信息处理承担直接责任,有必要对SDK处理个人信息情况进行监测或管理。
02
此外,还值得注意的是,大家经常会看到有关APP因为对个人信息不当处理被要求整改或直接下架的新闻报告,据我们了解,其中有部分原因可能和接入的SDK有关。因此,APP在使用和接入SDK时确实应当尽到一定的注意义务,否则可能直接导致自身被通报或下架。具体操作上,我们建议可以参考信安标委在2020年11月所发布《网络安全标准实践指南——移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》中的规定进行合规监控。
03
从业务模式来看,我们理解SDK提供者只是技术供应商,不属于传统概念或认知上的互联网平台运营者。目前法律法规对互联网运营平台有较高的合规要求,其中一个最直接的原因就是大平台获取的个人信息数量实在太多,如果不进行更高标准地约束和规范,出现危机事件以及危害后果的概率是比较高的。因此,我们认为实践中不排除因为SDK提供者所掌握的个人信息数量过大,或其运营的形式比较特别,即使不是传统意义上的互联网平台运营者,也被要求履行更高的合规义务的可能。例如,《管理条例》第26条规定“数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定”,其实就是数据处理者所掌握的个人信息数量到达或突破一定量之后,所应承担的合规义务就被提高了。
问题2:
如何理解《管理条例》第13条关于数据处理者赴香港上市,影响或者可能影响国家安全的,应当按照国家有关规定,申报网络安全审查?第一次提到赴港上市的问题是否有什么特殊含义?已在香港上市的企业是否自然认为不需要申报网络安全审查?
回答:
01
先前公布的《网络安全审查办法(修订草案征求意见稿)》只明确了“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。随后,很多客户提问赴香港上市是否属于“赴国外上市”,并有网络传言称大陆赴香港上市的公司可免于网络安全审查。我们认为这条规定实际上起到了释明与回应前述焦点的作用,即明确了赴香港上市属于赴境外上市,不属于赴国外上市。当然,这条规定也留了一个例外,即“影响或者可能影响国家安全的,应当按照国家有关规定,申报网络安全审查”。这就明确了企业赴香港上市在一定条件下需要进行申报,也需要遵守后续数据出境等的规定。
02
“安全”这个概念本来就是动态的,不存在绝对或永远的安全,且每个公司的业务也是持续在开展,各类数据的传输也是具有持续性的。因此,已在香港上市的企业,如果符合相应条件或被相关部门关注,同样有可能被要求申报网络安全审查。
问题3:
《管理条例》再次提及“处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意”,实践中如何对个人信息进行分类,个人信息的种类应如何识别?
回答:
01
目前不同的法律法规对个人信息的分类确实不同,这在一定程度上给个人信息处理者的合规工作造成了困扰。就我们经验而言,个人信息的分类需要检索相关行业具体的文件或标准,不建议直接根据《个信法》或《信息安全技术 个人信息安全规范》附录的标准进行划分。因为,通识意义上的区分可能存在划分不精准的问题,从而给后续合规制造困难。
02
以个人金融信息为例,与个人金融信息相关业务下的个人信息分类标准就不宜按照《个信法》或《信息安全技术 个人信息安全规范》的内容进行划分。而应参照《关于银行业金融机构做好个人信息保护工作的通知》和《个人金融信息保护技术规范 》的内容进行划分。
问题4:
《管理条例》第22条规定了数据处理者在存储期限届满等情况下,应当在十五个工作日内删除个人信息或者进行匿名化处理的情形。实践中,删除个人信息是否事前有必要获得个人同意?事后是否有必要告知个人?
回答:
01
“删除”属于“处理”个人信息的一种方式。根据《个信法》相关规定,处理个人信息一般需要符合“同意+告知”的条件。因此,我们认为,如果个人信息处理者在最初处理个人信息时就充分履行合规义务的话,一般情况下,其不必在删除动作之前再单独取得个人的同意,亦无需在事后告知。《管理条例》第22条的规定,是要求数据处理者在已实现处理目的、约定的存储期限到期、服务终止等情况下删除信息,属于法定的应当删除的情况,符合个人信息处理的“最小化”原则,故无需额外征得个人的同意。
02
值得关注的是在使用产品和服务的过程中产生的个人信息,即并不是在个人信息处理者最初所收集的个人信息之内的情形,对于这些个人信息,立即删除可能并非明智之举,例如可能会有其他法律法规(如《消费者权益保护法》等)要求对某些信息予以保留。我们建议企业在处理这些个人信息时,至少进行告知,在条件允许的情况下,最好单独取得个人的同意。
问题5:
《管理条例》有不少地方提及数据安全培训的问题,数据安全培训的具体内容或要求是什么,获得相关专业资质或证书的时长和外购的一些课程的时长可以计算在里面吗?以及邀请的培训讲师是否需要具备特定资质。
回答:
暂时没有法律法规对数据安全培训的具体内容或要求进行规范,但根据我们的经验:
01
培训的形式可以是多样的,我们推荐客户采用过的方式包括线下培训+随堂测试、制作宣传短片要求员工观看、举办知识竞赛、线上培训+课后作业等。获得相关专业资质或证书和外购课程的时长我们认为可以计算在内,但是同前述培训一样,需要做好记录及保存,以确保将来可以提供相应证明。
02
讲师肯定需要具备数据安全相关方面的专业知识,但目前没有说必须具备何种证书或认可,主要还是以讲师的教育背景、工作经历以及资历等作为挑选或考核标准,以后相关政府部门或组织可能会颁布相关资质证书。
问题6:
我们有一个汽车公司客户,汽车的生产和运营都在国外,研发在国内,面向的消费者是全球的,包括《管理条例》在内的,国内已出台的法律法规对这类大型跨国企业的合规会产生怎样的影响?
回答:
01
对于大型跨国企业,目前在网络安全、数据、个人信息保护等方面的合规压力是巨大的。因为,他们需要遵守多重法域下的合规要求。就国内已出台的相关法律法规而言,其所适用的范围还是比较广的。以《个信法》为例,第3条明确了很多在境外处理个人信息的处理者仍需遵循《个信法》相关规定。《管理条例》第2条也做出了类似的规定。
02
企业在面对跨法域的合规问题时,往往会出现忽视某法域合规要求,或同一合规文本或体系下混用不同法域合规概念及标准的问题。此时需要寻求专业人士的咨询意见,也对专业人士的专业知识提出了更高要求,即至少需要了解多法域下合规要求,并能将不同法域合规要求合理合法内化为自己所执业或客户所要求的法域下的合规行为。
03
另外,对于车企等生产制造型企业,可能还需关注设备采买或生产的合规问题。一直以来,企业生产、制造、采买的服务、设备的安全性问题也是网安、数据、个人信息保护领域需要关注的合规内容,但我们发现很多企业还没有意识到这些方面的问题。而像美国企业,基于政府行为等原因都会非常重视这个领域的合规。华为所遭遇的事情就是一个典型的例子。实践中,我们曾有在华美资企业客户因为不能采买华为设备导致生产成本大幅上升,但基于合规考量,他们也只能继续接受成本上升的现实。
问题7:
作为技术公司,我们其实开发了不少可以降低数据安全风险的产品,但是这些产品要发挥作用,可能不得不收集大量的周边信息包括个人信息。例如在“零信任”的理念下,可能需要收集个人使用的设备号等,这一行为其实是用来比对信息核验身份的;再比如可能要收集员工平时在设备上的操作、浏览记录,也是用来对比信息确定权限的。应如何看待此类问题?
回答:
01
这个问题的本质我们认为是是否以安全为由强制收集个人信息,或将安全功能单独作为基础业务功能。《信息安全技术个人信息安全规范》附录C只规定了不得将“改善服务质量、提升个人信息主体体验、研发新产品”这三个目的单独作为基本业务功能,而并没有将出于安全目的列入其中。
02
但是,《管理条例》第21条的表述为“不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息”,加了一个“等”字。所以我们理解,应该是留了一个口子。将来个人信息处理者如果要抗辩是基于安全问题收集相关个人信息的,若监管部门认为必要,可能会被要求说明收集的必要性及证明用途的真实性。
03
最后,需要强调的是,尽管员工和用户个人信息的保护标准与要求可能会有一定区别,但是员工的个人信息也具有保护的必要性。因此,任何情况下企业不应以管理员工为由,不受限制地处理员工个人信息。
问题8:
《管理条例》第45条规定,“国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护,非个人通信的信息按照公共信息有关规定进行管理”,请问个人通信和非个人通信如何区分?
回答:
01
区分个人通信和非个人通信,在互联网平台日常合规和有关部门依职权调查的场景下是非常重要的。根据《管理条例》第73条第(12)款,“公共信息是指数据处理者在提供公共服务过程中收集、产生的具有公共传播特性的信息。包括公开发布信息、可转发信息、无明确接收人信息等”;第52条则明确规定,“互联网平台运营者应当对有关部门调取或者访问公共数据、公共信息予以配合”。如果被认定为是个人通信,那么就要按照个人信息的标准实施严格保护;而如果被认定为是公共信息,那么就可以按照以上标准进行处理。
02
有关如何区分个人通信和非个人通信的具体标准,我们注意到信安标委新出的《即时通信服务平台个人信息认定指南(征求意见稿)》中提出了具体标准,其中“4.1发送者发送给特定接收者,且接收者不能进行再转发的信息可以被认定为个人信息。4.2以下信息不应被认定为个人信息:a) 超过 50 人的群组内的信息;b) 除发送者外的其他群组成员可以向群外转发的信息。”我们理解,有些平台在功能设计上已经尝试进行相关划分,例如个人微信和企业微信的场合,可以认为是给用户提供了不同种类通信信息的选择。
(以上是本次有关《网络数据安全管理条例(征求意见稿)》的主要交流内容实录)
交流双方简介
方懿
上海办公室
合伙人
专长领域:涉外商事;合规与政府监管;航运物流
社会兼职:华东政法大学数字法治研究院特聘研究员
邮箱:eve.fang@sgla.com
杨瑾煜舟
上海办公室
合伙人
专长领域:合规与政府监管;争议解决;刑事与合规
社会兼职:华东政法大学数字法治研究院特聘研究员
邮箱:allen.yang@sgla.com
