导读
News
★
NEWS
★
2024年4月3日,全国网络安全标准化技术委员会(以下简称“网安标委”)发布《数据安全技术 基于个人请求的个人信息转移要求(征求意见稿)》(以下简称“《个人信息转移要求》”),征求意见截至2024年6月2日。
根据《个人信息保护法》第四十五条第三款,个人信息主体享有个人信息转移权:个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。截至目前,国家网信部门尚未正式发布个人信息转移权相关的法定条件[注],个人信息转移权的行业探索实践也相对有限,《个人信息转移要求》试图明确个人信息转移权的适用和行使的条件、可请求转移的个人信息范围,以及个人信息处理者在处理个人信息主体转移个人信息的请求时应遵守的安全原则、流程和技术要求,可供企业参考搭建响应个人信息转移权的制度流程及设计相关界面功能。
[注] 《网络数据安全管理条例(征求意见稿)》第24条曾规定如下:
符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:
(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;
(二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;
(三)能够验证请求人的合法身份。
数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。
请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。
个人信息转移权的适用范围与行使条件
根据《个人信息转移要求》,个人信息转移权的行使需满足如下要求及条件:
-
主体:仅个人信息主体[注]可请求转移其个人信息。
-
客体:
-
内容:可请求转移的个人信息限于个人信息主体在知情的情况下主动提供或因使用产品或服务而被观察和收集的个人信息,而不包括对前述个人信息进行分析、计算、处理等方式得出的衍生个人信息;
-
形式:以电子方式记录。
-
合法性基础:同意或订立、履行个人信息主体为一方当事人的合同(含集体劳动合同)所必需。
-
其他:
-
不损害他人合法权益:如包括他人信息,个人信息转移的请求目的仅限于私人或家庭活动需要,且需满足他人信息是请求人合法获得、有法定权利处理的,原则上告知他人并取得其同意等条件;
-
请求在合理的限度之内:如个人信息主体应指定与个人信息处理者签订个人信息转移协议的主体作为个人信息接收方,请求频次应在合理时间间隔内。
[注] 不满14周岁的未成年人转移个人信息应取得其父母或其他监护人的同意;死者生前另有安排或法律另有规定的,可转移其个人信息。
个人信息转移方式与个人信息转移权的响应
根据《个人信息转移要求》,个人信息转移历经如下基本流程:
-
请求发起:应以显著方式、清晰易懂的语言真实、准确、完整地向个人告知行使个人信息转移请求的方式和程序,并为个人信息主体提供便捷的发起请求的途径,如个人信息主体委托第三方(含代理机构)提出请求的,应确认请求有效性。
-
请求验证:验证请求者身份、请求内容、请求频次、第三方身份及授权证明有效性等,可要求请求人提供额外信息以验证其身份,但该额外信息应仅限于确认其身份所必需的信息,且不超过个人信息主体使用或注册时提供的信息。
-
请求处理:
-
答复时限:收到请求后的一个月内(以一个月内最后一次请求的时间为起算时间)回复,最长不应超过收到请求后的两个月;
-
标准格式:以结构化、通用以及机器可读的格式,使用CSV,XML和JSON等开放格式(行业或部门特殊规定除外)提供,并应使用合适的元数据以准确表述所提供的个人信息的含义;
-
拒绝请求:如不符合适用范围、行使条件,未通过身份验证的,可拒绝请求,但应以清晰的语言告知不处理请求的原因、个人信息主体申诉的可能性及其途径、个人信息主体向监管机构投诉和寻求司法救济的权利;
-
处理费用:如所处理的请求不在合理限度之内或经各方自愿达成协议,可在处理请求所花费成本的范围内收取合理的费用。
-
个人信息导出:以便捷、安全方式导出,并在请求人存在合理疑问时,给出合理说明;如涉及他人信息,应进行评估、记录与说明,宜采用适当的工具提供可以排除他人个人信息的功能。
-
转移的个人信息导入:符合合法性及处理目的限制等要求。
在技术可行的情况下,可通过自动化处理的方式实现个人信息转移。
个人信息转移基本流程(可放大查看图片)
《个人信息转移要求》同时基于三种不同响应方式差异提出了细化的处理要求:
-
完全以个人信息主体为中心的个人信息转移(个人信息主体接收基于个人同意的转移个人信息后,提供给转移个人信息接收者):
-
个人信息处理者在接收请求后完成验证,并在15天内明确告知个人信息主体验证结果,通过验证后,在15天内将需要转移的个人信息以机器可读的格式提供给个人信息主体;
-
转移个人信息接收者在15天内完成个人信息的转移处理,并将处理结果明确告知个人信息主体。
-
个人信息接收方(转入方)积极主动模式的个人信息转移(经个人信息主体请求,个人信息处理者或转移个人信息接收者通过公开接口转移/接收个人信息):
-
转移个人信息接收者在接收请求后完成个人信息主体认证,并将请求及验证信息发送个人信息处理者;
-
个人信息处理者完成请求验证,并在15天内明确告知验证结果,通过验证后,在15天内将需要转移的个人信息以机器可读的格式直接提供给转移个人信息接收者;
-
转移个人信息接收者收到转移个人信息的请求后在15天内完成个人信息的转移处理,并将处理结果明确告知个人信息主体。
-
代理模式的个人信息转移:
-
代理机构接收请求后,依据个人信息处理者、转移个人信息接收者的验证要求收集信息,并将请求与验证信息发送个人信息处理者,向个人信息处理者提供适当的受托证明以及关于被授权的事实说明;
-
个人信息处理者应核实代理机构的身份,验证请求,并在15天内明确告知代理机构,通过验证后,在15天内将需要转移的个人信息以机器可读的格式提供给代理机构;
-
代理机构在1天内将转移个人信息发送给个人信息主体指定的接收者,并同步主体验证信息;
-
转移个人信息接收者在接收请求后在15天内完成验证,将验证结果明确告知代理机构,并在15天内完成个人信息的转移处理,将处理结果明确告知代理机构;
-
代理机构将汇总个人信息转移处理过程中各个阶段信息并发送给个人信息主体。
此外,《个人信息转移要求》还对涉及不满十四周岁未成年人个人信息、第三方及跨境提供的个人信息转移请求处理要求进行了额外提示。
了解更多,请点击文末“阅读原文”。
数据安全技术 基于个人请求的个人信息转移要求
Data security technology — Requirements for personal information transfer based on request of personal information subject
(草案)
(本稿完成时间:2024年4月1日)
前 言
数据安全技术 基于个人请求的个人信息转移要求
1 范围
本文件规定了基于个人信息主体请求转移其个人信息的适用和行使的条件、可请求转移的个人信息范围,以及个人信息处理者在处理个人信息主体转移个人信息的请求时应遵守流程和要求。
本文件适用于个人信息处理者响应个人信息主体转移信息请求的全流程,也可用于监管部门、第三方评估机构对基于个人请求而转移个人信息相关的处理活动所进行的监督、管理、评估参考。
2 规范性引用文件
3 术语和定义
个人信息转移 personal information transfer
衍生个人信息 derived personal information
请求人 requester
结构化 structured
4 缩略语
5 概述
6 个人信息转移的适用范围
7 个人信息转移行使的条件
8 个人信息转移行使流程的一般性要求
9 个人信息转移的自动化处理要求
10 对代理人或代理机构的要求
11 不满十四周岁未成年人个人信息转移请求处理的要求
12 涉及第三方的个人信息转移请求处理的要求
13 涉及跨境提供的个人信息转移请求处理的要求
14 完全以个人信息主体为中心模式的个人信息转移要求
15 个人信息转入方(接收方)积极主动模式的要个人信息转移求
16 代理模式的个人信息转移要求
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论