老烦读《网络数据安全管理条例》之五

非官方不专业版

版权所有，转发请注明出处

5.2个人信息保护

《个人信息保护法》第四条明确规定“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”这里特别要强调的一个要素是“匿名化处理”，《个人信息保护法》在附则第七十三条中对匿名化的定义为“个人信息经过处理无法识别特定自然人且不能复原的过程。” 对于匿名化的两个要件，第一经过处理、第二不能复原。匿名化技术在大数据领域为保护个人信息被广泛应用，常见的匿名化技术包括数据脱敏（Data Masking）[1]、泛化（Generalization）[2]、数据置换（Data Swapping）[3]、 数据替换（Data Substitution）[4]、数据假名化（Pseudonymization）[5]、数据排列（Data Permutation）[6]、K-匿名（K-Anonymity）[7]、差分隐私（Differential Privacy）[8]、L-多样性（L-Diversity）[9]、 T-接近（T-Closeness）[10]、合成数据（Synthetic Data）[11]、 可信执行环境（Trusted Execution Environment, TEE）[12]、安全多方计算（Secure Multiparty Computation, MPC）[13]等。还定义了“个人信息处理”的司法定义，描述为“包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”

5.2.1 个人信息处理基本原则

《条例》在第二十一条对个人信息处理前，要求①“通过制定个人信息处理规则的方式依法向个人告知；”比如：在柜台业务中通过纸质隐私协议条款；在APP中通过用户隐私协议告知模块；在应用软件中通过弹窗或提示性横幅等多种形式；我国在GB/T 2035273-2020《信息安全技术 个人信息安全规范》附录C和附录D中提供了相关模板。②对于提示性告知应符合“个人信息处理规则应当集中公开展示、易于访问并置于醒目位置，内容明确具体、清晰易懂”。在实际操作中，可以针对涉及个人信息让渡条款可通过“加粗”、“红色”、“黑体”等多种方式起到警示性作用。区别于其他条款项内容；③约定了告知内容中应具备的基本内容“（一）网络数据处理者的名称或者姓名和联系方式；（二）处理个人信息的目的、方式、种类，处理敏感个人信息的必要性以及对个人权益的影响；（三）个人信息保存期限和到期后的处理方式，保存期限难以确定的，应当明确保存期限的确定方法；（四）个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等。”在条款二中，要求对上述内容通过清单的形式进行列举。

《宪法》第十一条指出“十八周岁以上的自然人为成年人。不满十八周岁的自然人为未成年人。”《个人信息保护法》第二十八条中，将不满十四周岁未成年人的个人信息纳入敏感个人信息范围，在其第二款中指出“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处 理者方可处理敏感个人信息。”《条例》在第二十一条第二款中指出“网络数据处理者处理不满十四周岁未成年人个人信息的，还应当制定专门的个人信息处理规则。”《个人信息保护法》在第三十一条中规定“个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。”在实际工作场景中，工信部在对运营商处理未成年人办理卡业务时提出“未满十六周岁的未成年人办理卡业务，需要监护人或家长书面授权同意；并持合法身份证明后双方拍照确认身份之后方可予以办理。”

5.2.2 网络数据处理者义务

《条例》在第二十二条中明确约定针对网络数据处理者处理个人信息的基本原则是建立在“知情同意”的基础之上。《个人信息保护法》在第四十四条中指出“个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。”《条例》提出六点应当遵守的规定：

（一）“收集个人信息为提供产品或者服务所必需，不得超范围收集个人信息，不得通过误导、欺诈、胁迫等方式取得个人同意；”《个人信息保护法》在第五条中明确提出“处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。”也就意味着，网络数据处理者在采集自然人个人信息活动中应履行明示告知义务，对于通过误导、欺诈、胁迫等方式取得个人同意的将面临网信、电信及公安等主管部门“责令改正，给予警告，没收违法所得；拒不改正或者情节严重的，处100万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款。”的处罚。

（二）“处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的，应当取得个人的单独同意；”随着生物识别技术的广泛使用，其所面临的风险愈发严重，生物信息失窃或滥用直接会导致自然人不可逆的损害，比如：面部数据、DNA数据等；宗教信仰、特定身份、医疗健康及金融账户、行踪轨迹在大数据下的歧视性定义以及个人隐私问题也成为现代社会的焦点问题；但是上述数据在很多业务采集活动被泛化使用。更多的时候，电子化产品通过隐形技术手段进行的采集往往对于自然人是透明的；《条例》明确提出了“应当取得个人的单独同意”并且在附录中对“单独同意”做出明确的约定“是指个人针对其个人信息进行特定处理而专门作出具体、明确的同意。”也就意味着，针对上述数据的采集应与具体的业务相一致，并明确声明其业务中的必要性后，针对该功能单独授权同意。

（三）“处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意；”（详见5.2.1第二段）

（四）“不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息；”《条例》明确对于采集的个人信息应当且仅当应用于自然人授权的业务范围，任何超出授权范围内的使用、存储都属于违法本条例的行为。在采集过程中，对于可能产生的衍生数据、交换数据以及通过技术手段临时获取的语音、语义、影像、视频、图片等数据都不能直接被网络数据处理者以任何形式的使用。

（五）“不得在个人明确表示不同意处理其个人信息后，频繁征求同意；”《个人信息保护法》第十六条规定“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；”《条例》对于个人信息的索取场景进一步做出扩展，当自然人已经明确拒绝处理其个人信息后，依然通过各种手段要求其授权同意的，属于违反本《条例》规定行为。

（六）“个人信息的处理目的、方式、种类发生变更的，应当重新取得个人同意。”个人信息处理变更可能产生的情形较为丰富，如：业务变更、组织变更、法人变更、技术变更、法律变更、环境变更等多种可能。在任何场景变更下，数据处理者都应该重新向自然人履行“告知”义务，并通过事先约定好的手段向自然人发起授权变更的通知，通知中应具备用户是否同意重新授权的可选项，只有在获得用户同意后，方可继续使用用户个人信息。

本条款对于“法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。”在《个人信息保护法》第十八条中规定“个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。”

5.2.3 个人信息处理者的权利

《个人信息保护法》第四章个人在个人信息处理活动中的权利规定了个人权利，其中第四十五条对应《条例》中第二十三条“个人请求查阅、复制、更正、补充、删除、限制处理其个人信息，或者个人注销账号、撤回同意的，网络数据处理者应当及时受理，并提供便捷的支持个人行使权利的方法和途径，不得设置不合理条件限制个人的合理请求。”本条例规定了个人针对本人信息处理活动定义规范。①个人对个人信息的处理权利：个人针对本人信息应具备查阅、复制、更正、补充、删除和限制处理权；《个人信息保护法》在第四十六条中规定“个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。”《个人信息保护法》在第四十七条对个人信息删除做出如下规定“有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（三）个人撤回同意；（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。”②注销账号：网络数据处理者应在处理个人信息的平台上显式的设置注销账号的功能，当个人不再使用服务时，能够通过“注销账号”功能注销使用，同时注销功能应能够自动删除个人注册服务时所保留的个人信息；③撤回同意权：同意概念被用于个体之间——或更准确地说，个人之间——的关系。在这种语境中，人们普遍认为同意行为确认了授权、生成了义务并将风险与责任从这一方转移至另一方。[14]《个人信息保护法》第十五条对于该问题给出规定“基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”④网络数据处理者应履行的义务：“……及时受理，并提供便捷的支持个人行使权利的方法和途径，不得设置不合理条件限制个人的合理请求。”网络数据处理者在实际履行该义务时，应充分考虑：是否涉及必要功能；是否属于现行法律法规所规定的要求；如何在技术中实现等多种问题。

本文在5.1.2.3中针对自动化决策给出详细的论述，本《条例》在第二十四条针对自动化决策过程中对个人信息处理的做出规定①因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息，以及个人注销账号的，网络数据处理者应当删除个人信息或者进行匿名化处理。②法律、行政法规规定的保存期限未届满，或者删除、匿名化处理个人信息从技术上难以实现的，网络数据处理者应当停止除存储和采取必要的安全保护措施之外的处理。

5.2.4 个人信息可转移权

可转移权源自欧盟GDPR[15]第二十条[16]，其目的旨在增强个人对其个人信息的控制权，进一步打破数据垄断和数据孤岛。《个人信息保护法》在第四十五条第三款中首先明确针对个人信息转移的发起方为拥有信息所有权的个人；转移的必要条件是符合国家网信部门规定条件；个人信息处理者提供转移途径。《条例》在第二十五条针对个人信息转移做出进一步规定：①网络数据处理者应验证发起方条件，包括但不限于（一）能够验证请求人的真实身份；（二）请求转移的是本人同意提供的或者基于合同收集的个人信息；（三）转移个人信息具备技术可行性；（四）转移个人信息不损害他人合法权益。②对符合条件的个人信息转移请求，网络数据处理者应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径；③转移时产生的费用问题：请求转移个人信息次数等明显超出合理范围的，网络数据处理者可以根据转移个人信息的成本收取必要费用。

5.2.5 个人信息出境要求

《中华人民共和国个人信息保护法》第五十三条规定“本法第三条第二款[17]规定的中华人民共和国境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。”本《条例》在第二十六条对该问题明确指出“……应当将有关机构的名称或者代表的姓名、联系方式等报送所在地设区的市级网信部门；网信部门应当及时通报同级有关主管部门。”2023年11月28日国家互联网信息办公室2023年第26次室务会议针对对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行，审议通过《促进和规范数据跨境流动规定》，在第七条中规定“数据处理者向境外提供数据，符合下列条件之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：（一）关键信息基础设施运营者向境外提供个人信息或者重要数据；（二）关键信息基础设施运营者以外的数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息。”数据出境评估有关规定及要求根据2022年5月19日国家互联网信息办公室2022年第10次室务会议审议通过的《数据出境安全评估办法》，同时于自2023年6月1日正式执行《个人信息出境标准合同办法》作为个人信息处理者通过与境外接收方订立个人信息出境标准合同；对于数据出境根据《数据出境安全评估申报指南（第二版）》具体执行。

5.2.6 特殊场景定义

《2023审计报告》首次从国家审计角度提出有关“数据”问题。《报告》中指出“利用政务数据牟利成为新苗头。按要求，部门应有序开放所掌握的全国性政务和公共数据，降低社会公众获取成本。但一些部门监管不严，所属系统运维单位利用政务数据违规经营收费。4 个部门所属 7 家运维单位未经审批自定数据内容、服务形式和收费标准，依托 13 个系统数据对外收费 2.48亿元。”组织受传统业务思想的影响，历来在个人信息处理过程中并不考虑相关保护问题，即使近年来，各种网络安全立法在不断制定和完善，但是受存量业务系统影响和业务优先的思想导致大量业务存在过量采集、过度采集以及明文存储，个人信息滥用和未经授权的使用等多种情况。《条例》在第二十七条中规定“网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。”该条款主要包含如下内容：①定期进行合规审计：按照《中华人民共和国审计准则》第九条规定“审计机关和审计人员执行审计业务，应当依据年度审计项目计划，编制审计实施方案，获取审计证据，作出审计结论。”审计通常至少每年一次，也可以在组织发生重大变更后实施审计；有条件的组织可以组织季度审计和月度审计，其具体周期应通过审计计划明确进行约定；②审计机构：审计活动可以由组织自己完成，也可以聘请有资质的第三方机构实施审计活动，当聘请第三方机构实施审计活动时，应符合供应商管理相关规定和条款要求。目前国内有关个人信息合规性审计工作主要由行业主管机构组织实施，网络数据处理者也会通过律师事务所、第三方审计公司或者其他咨询公司实施审计活动；个人信息处理审计活动本身是一个系统工程问题，专业审计机构具有自身的专业知识背景，但是缺乏支撑个人信息处理活动的技术背景知识，导致实际在个人信息处理活动中产生的违规行为可能存在难以识别的能力，导致审计发现不健全；③审计对象与依据：《条例》中明确规定，“处理个人信息遵守法律、行政法规的情况”。审计工作首先应根据审计对象确定相应的审计依据，《中华人民共和国审计准则》第六十五条对审计依据做出如下规定“审计人员在调查了解被审计单位及其相关情况的过程中，可以选择下列标准作为职业判断的依据：（一）法律、法规、规章和其他规范性文件；（二）国家有关方针和政策；（三）会计准则和会计制度；（四）国家和行业的技术标准；（五）预算、计划和合同；（六）被审计单位的管理制度和绩效目标；（七）被审计单位的历史数据和历史业绩；（八）公认的业务惯例或者良好实务；（九）专业机构或者专家的意见；（十）其他标准。”根据我国现有的立法规范，本项审计至少应符合《中华人民共和国宪法》《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国关键信息基础设施保护条例》《促进和规范数据跨境流动规定》等相关法规及各部门自行制定的相关规章、制度、办法以及本组织相关文件、制度、规范等。④审计实施：审计实施应符合《中华人民共和国审计准则》相关要求，审计合规要求应至少覆盖《中华人民共和国个人信息保护法》第四条至第十条所有内容

条例在第二十八条中将“网络数据处理者处理1000万人以上个人信息的，”的场景定义为重要数据保护范围，对该类数据的处理要求“应当遵守本条例第三十条、第三十二条对处理重要数据的网络数据处理者（以下简称重要数据的处理者）作出的规定。”

[1]一种对数据集中的敏感信息进行加密的技术，以便在企业用于分析和测试时保护原始数据。数据脱敏可以通过随机化、替换和扰动等方式实现。

[2]通过用更通用的数据值替换特定的数据值，例如将具体的年龄替换为年龄范围。

[3]在数据集中重新排列或置换两个或多个敏感数据记录。

[4]用不同的数据块替换数据集中的数据块。

[5]原始PII被替换为假标识符或假名，但保留了可以访问原始数据的特定标识符。

[6]重新排列数据集中数据的顺序。

[7]通过删除或泛化每个人的唯一标识符数据来保护个人隐私信息。

[8]通过对查询的结果加入噪音，使得查询操作的实际结果隐藏起来或模糊化，从而实现对敏感数据的保护。

[9]在K-匿名的基础上，确保每个匿名化组内的敏感属性具有足够的多样性，以防止通过背景知识推断出特定个体的敏感信息。

[10]确保每个匿名化组内敏感属性的分布与整体数据集中的分布足够接近。

[11]人工生成的数据，模拟原始数据集的模式和组成，用于测试和分析，而不暴露实际客户个人信息。

[12]基于硬件的隐私保护方法，CPU具有与主计算机进程和内存分区的硬件分区，对加密数据的操作只能在TEE内部进行。

[13]将计算分布在多个参与方之间，没有个别参与方可以看到其他参与方的数据。

[14] http://sscp.cssn.cn/xkpd/zx_20145/201904/t20190416_4864660.html

[15] GDPR（通用数据保护条例）是欧盟在2018年5月25日出台的一项数据保护法规，旨在加强对个人数据的保护，以及统一数据保护法规。

[16] Article 20 : Right to data portability “1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:(a) the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and(b) the processing is carried out by automated means.2. In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.3. The exercise of the right referred to in paragraph 1 of this Article shall be without prejudice to Article 17. That right shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.4. The right referred to in paragraph 1 shall not adversely affect the rights and freedoms of others.“

[17]第三条 在中华人民共和国境内处理自然人个人信息的活动，适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：（一）以向境内自然人提供产品或者服务为目的；（二）分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。

原文始发于微信公众号（老烦的草根安全观）：老烦读《网络数据安全管理条例》之五