“流動”的數據,“鐵打”的合規:解析《網絡數據安全管理條例》_風聞
走出去智库-走出去智库官方账号-2021-11-29 20:23
走出去智庫觀察
**11月14日,國家互聯網信息辦公室發佈《網絡數據安全管理條例(徵求意見稿)》(以下簡稱“《管理條例》”)指出,**數據處理者應當建立數據安全應急處置機制,發生數據安全事件時及時啓動應急響應機制,採取措施防止危害擴大,消除安全隱患。
走出去智庫(CGGT)特約法律專家、君澤君律師事務所葉姝欐律師指出,就跨境數據安全管理方面的規定,《管理條例》大體參考了在先出台的《個人信息保護法》以及《數據出境安全評估辦法(徵求意見稿)》。更進一步地,《管理條例》還在第三十九條具體列舉了數據處理者向境外提供數據應履行的合規義務。而如我國出口管制項下的數據類物項,最終確被界定為“重要數據”,那麼作為此類數據處理者的企業,在進行“出口管制數據”等“重要數據”的相關出口交易時,不僅應履行《出口管制法》及相關法規項下的合規義務(包括但不限於申請出口許可證),也要符合數據保護相關的合規要求。
跨境數據如何做好合規管理?今天,走出去智庫(CGGT)刊發葉姝欐律師團隊的分析文章,供關注跨境數據管理的讀者參閲。
要 點
CGGT,CHINA GOING GLOBAL THINKTANK
1、在《出口管制法》已將出口管制上升到維護國家安全和利益的層面後,將出口管制物項相關聯的技術方面等數據作為重要數據進行監管是國家安全和公共利益保護的應有之義,也體現了我國在數據保護立法層面的統一性。
2、就境外上市而言,在數據層面最核心的即是數據出境後的安全問題,因此,在相關法律規範尚缺乏進一步釋明的情況下,相關數據處理者或可結合目前國家在數據出境方面的明確安全監管重點,即從國家秘密、核心數據、重要數據、達到一定體量的個人信息和敏感個人信息等角度,綜合考慮所處理的前述數據在數據處理者上市後是否可能存在因被惡意控制、違規濫用、不法利用而引發影響國家安全的風險,並採取必要的風險防控措施。
**3、**在“出口管制數據”被認定為“重要數據”的前提下,通過前述安全評估也將成為此類數據處理企業跨境交易的合規義務之一。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
“互聯網”顧名思義,沒有“互聯”構不成“網”。但也正因如此,網絡世界以“光速”融入現實生活,成為我們密不可分的一部分生活環境。筆者身邊就完全找不出“斷網”的人羣。社會服務效率的提高也會需要將更多的國民融入網絡服務體系,所以湧現了“老年版”各類便捷APP。在互聯網產生、存儲的數據越來越多的今天,網絡數據安全保護迫在眉睫。2021年11月14日,國家互聯網信息辦公室發佈《網絡數據安全管理條例(徵求意見稿)》(以下簡稱“《管理條例》”)並向社會公開徵求意見,意見反饋截止時間為2021年12月13日。《管理條例》擬以《網絡安全法》、《數據安全法》以及《個人信息保護法》作為其上位法,較為全面且細緻地對在中國境內利用網絡開展數據處理活動以及在中國境外處理中國境內個人和組織數據的特定活動的行為進行規範(第二條、第三條)。筆者將重點關注《徵求意見稿》中與數據跨境相關的數據合規問題,主要包括與出口管制、擬出境的數據、需要境外上市的數據處理者相關的合規要求以及我國最新的跨境數據國際合作舉措。
**首先,《管理條例》在《數據安全法》第二十一條提出的“數據分類分級保護制度”基礎上,明確“將數據分為一般數據、重要數據、核心數據,不同級別數據採取不同的保護措施”(第五條)。**目前,國家已在有計劃地對數據分級分類保護制度進行細化,例如,2021年9月30日發佈的《工業和信息化領域數據安全管理辦法(試行)(徵求意見稿)》擬界定工業和電信領域中一般數據、重要數據及核心數據的概念及範疇;又如,2021年10月1日生效的《汽車數據安全管理若干規定(試行)》已明確定義汽車行業中所涉及的“重要數據”,並以列舉形式固定了部分受監管的重要數據類型。而對於網絡環境下的“重要數據”,《管理條例》在第七十三條中將其定義為“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據”,並以列舉方式劃定了重要數據的範疇。
筆者注意到,**《管理條例》明確將“出口管制”類“數據”劃入了前述重要數據範疇。**我們認為,在《出口管制法》已將出口管制上升到維護國家安全和利益的層面後,將出口管制物項相關聯的技術方面等數據作為重要數據進行監管是國家安全和公共利益保護的應有之義,也體現了我國在數據保護立法層面的統一性。對於《管理條例》中所指的“出口管制數據”,在我國現行法律體系下並未對其進行定義的前提下,我們認為,對“出口管制數據”一詞可能存在多種理解方式。如果緊扣“出口管制”,我國出口管制的核心在於管制物項,“出口管制數據”是否是指根據《出口管制法》確定的可以以電子或其他方式記錄的管制物項?例如,列入《兩用物項和技術進口許可證管理目錄》的某種數據類的管制技術,例如,以光盤刻錄形式記載的受管控的技術。但如果做廣義解讀,“出口管制數據”是否可以理解為與管制物項相關的所有數據呢?例如,記錄在海關係統內的管制物項出口數量等信息?在“出口管制數據”尚未有明確法律定義時,任何一種解讀或都有合理性同時也都有侷限性,因此就如何識別《實施條例》中的“重要數據”之一的“出口管制數據”,我們期待最終版《管理條例》中對該詞的最終定義,或後續的行政執法及司法實踐中對該類數據的認定。《管理條例》在第七十三條第(三)款第2項將“出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據”明確定義為重要數據,我們認為,這是《管理條例》為與《出口管制法》第二條第二款(“管制物項,包括物項相關的技術資料等數據”)相呼應而作出的定義,並且《管理條例》以列舉形式進一步對相關數據進行了一定的延展,我們認為這彰顯了其從立法目的上,是希望相關合規義務主體能更加準確地自行識別這類與出口管制相關的重要數據類型,以期規範、保護這類可能涉及國家安全的重要數據的網絡數據處理活動。
對於《管理條例》監管的重頭對象——個人信息及重要數據,《管理條例》以《個人信息保護法》、《數據保護法》等上位法的規定為依據,分別在第三章及第四章以專章對相關數據處理者應盡的法定合規義務進行了明確及細化。例如,《個人信息保護法》在第五條提出了“處理個人信息應當遵循合法、正當、必要和誠信原則”,《管理條例》在第十九條對於其中的“合法、正當、必要”進行了具體説明,擬為相關數據處理者合規工作的開展提供可落地化的參考與依據。又如,《數據安全法》在第二十七條明確規定“重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任”,《管理條例》則進一步要求了數據安全負責人應為“具備數據安全專業知識和相關管理工作經歷”的“數據處理者決策層成員”(第二十八條),並列舉了數據安全管理機構應履行的職責,以便相關數據處理者結合要求設計內部的數據安全管理合規機構及體系。
此外,值得注意的是,此前於2021年7月10日發佈的《網絡安全審查辦法(修訂草案徵求意見稿)》(以下簡稱“《審查辦法》”)擬增加“掌握超過100萬用户個人信息的運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查”規定(第六條),並對赴國外上市的網絡安全審查,提出將“國外上市後關鍵信息基礎設施,核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險”作為主要考慮因素。《管理條例》第十三條在延承前述對“處理一百萬人以上個人信息的數據處理者赴國外上市”應進行網絡安全審查申報的要求外,還擬對“赴香港上市,影響或者可能影響國家安全的”數據處理者增加網絡安全審查申報義務,但對於赴港上市下“影響或可能影響國家安全”的情形,《管理條例》並未作具體展開,建議相關數據處理者密切關注後續或有的相關案例以及官方細則,以協助判斷。與此同時,我們認為,就境外上市而言(無論赴國外或赴港上市),在數據層面**,**最核心的即是數據出境後的安全問題,因此,在相關法律規範尚缺乏進一步釋明的情況下,相關數據處理者或可結合目前國家在數據出境方面的明確安全監管重點,即從國家秘密、核心數據、重要數據、達到一定體量的個人信息和敏感個人信息等角度,綜合考慮所處理的前述數據在數據處理者上市後是否可能存在因被惡意控制、違規濫用、不法利用而引發影響國家安全的風險,並採取必要的風險防控措施。
而**就跨境數據安全管理方面的規定,在數據跨境提供的適用範圍以及數據出境安全評估的適用範圍方面,《管理條例》大體參考了在先出台的《個人信息保護法》以及《數據出境安全評估辦法(徵求意見稿)》。**更進一步地,《管理條例》還在第三十九條具體列舉了數據處理者向境外提供數據應履行的合規義務。而如我國出口管制項下的數據類物項,最終確被界定為“重要數據”,那麼作為此類數據處理者的企業,在進行“出口管制數據”等“重要數據”的相關出口交易時,不僅應履行《出口管制法》及相關法規項下的合規義務(包括但不限於申請出口許可證),也要符合數據保護相關的合規要求(現行法律法規下的相關合規要求及違規後果,請見本文附件一表格),我們將本次《管理條例》徵求意見稿項下的主要規定及提示梳理如下,提示相關出口企業予以關注:
此外,我國有關部門目前還在制定包括《數據出境安全評估辦法》在內的各項數據出境相關配套條例、辦法,建議有關企業密切關注,我們也將在此類法規正式出台後,為企業提供詳細解讀,以期協助企業全面、有效開展數據合規工作。
伴隨着全球數字經貿新格局的發展,我國不僅在國內層面積極立法、為數據及個人信息規範處理提供國內法律依據,同時也在不斷加強跨境數字經濟合作。2021年11月1日,中國商務部部長王文濤代表中方向《數字經濟夥伴關係協定》(Digital Economy Partnership Agreement,“DEPA”)保存方新西蘭正式提出申請加入DEPA。在提升貿易管理效率方面,DEPA提出了無紙化貿易(Paperless Trading)概念,並要求各締約方提供與紙質版本具有相同效力的電子版本的貿易管理文件,促進前述文件相關數據(特別是進出口數據)的交換。此外,DEPA的締約方需同意在構建電子支付系統時考慮國際公認的標準,以提高各締約國之間電子支付系統之間的互操性。可以預見,在無紙化貿易以及電子支付的催化下,勢必將出現大量的數據以及個人信息跨境。對此,DEPA不僅要求各締約方在國內建立相應法律監管框架,還要求各締約方尋求建立機制,以促進各國保護個人信息法律之間的兼容性和互操性。同時,DEPA還規定各締約國建立數據監管沙盒(regulatory data sandboxes),以促進某些數據,以及個人信息在各締約國各自的法律法規下實現共享。目前,DEPA已在新西蘭和新加坡之間生效,並已於2021年11月23日對智利生效。如中國成功加入DEPA,或可對當前的數據及個人信息監管體系進行一定程度的調整,以適應DEPA的相關規定;而對於中國企業而言,在享受DEPA下無紙化貿易環境中的各項便利時,也不容忽視國內關於數據出境等方面相關規定,確保合規運營。
**附件一:**我國現行法律法規下的相關重要數據合規要求及違規後果
註釋:
1. 第七十三條 本條例下列用語的含義:
……
(三)重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據。包括以下數據:
1.未公開的政務數據、工作秘密、情報數據和執法司法數據;
2.出口管制數據,出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據,密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據;
……
2.第十九條 數據處理者處理個人信息,應當具有明確、合理的目的,遵循合法、正當、必要的原則。基於個人同意處理個人信息的,應當滿足以下要求:
(一)處理的個人信息是提供服務所必需的,或者是履行法律、行政法規規定的義務所必需的;
(二)限於實現處理目的最短週期、最低頻次,採取對個人權益影響最小的方式;
(三)不得因個人拒絕提供服務必需的個人信息以外的信息,拒絕提供服務或者干擾個人正常使用服務。
走出去智庫觀察
**11月14日,國家互聯網信息辦公室發佈《網絡數據安全管理條例(徵求意見稿)》(以下簡稱“《管理條例》”)指出,**數據處理者應當建立數據安全應急處置機制,發生數據安全事件時及時啓動應急響應機制,採取措施防止危害擴大,消除安全隱患。
走出去智庫(CGGT)特約法律專家、君澤君律師事務所葉姝欐律師指出,就跨境數據安全管理方面的規定,《管理條例》大體參考了在先出台的《個人信息保護法》以及《數據出境安全評估辦法(徵求意見稿)》。更進一步地,《管理條例》還在第三十九條具體列舉了數據處理者向境外提供數據應履行的合規義務。而如我國出口管制項下的數據類物項,最終確被界定為“重要數據”,那麼作為此類數據處理者的企業,在進行“出口管制數據”等“重要數據”的相關出口交易時,不僅應履行《出口管制法》及相關法規項下的合規義務(包括但不限於申請出口許可證),也要符合數據保護相關的合規要求。
跨境數據如何做好合規管理?今天,走出去智庫(CGGT)刊發葉姝欐律師團隊的分析文章,供關注跨境數據管理的讀者參閲。
要 點
CGGT,CHINA GOING GLOBAL THINKTANK
1、在《出口管制法》已將出口管制上升到維護國家安全和利益的層面後,將出口管制物項相關聯的技術方面等數據作為重要數據進行監管是國家安全和公共利益保護的應有之義,也體現了我國在數據保護立法層面的統一性。
2、就境外上市而言,在數據層面最核心的即是數據出境後的安全問題,因此,在相關法律規範尚缺乏進一步釋明的情況下,相關數據處理者或可結合目前國家在數據出境方面的明確安全監管重點,即從國家秘密、核心數據、重要數據、達到一定體量的個人信息和敏感個人信息等角度,綜合考慮所處理的前述數據在數據處理者上市後是否可能存在因被惡意控制、違規濫用、不法利用而引發影響國家安全的風險,並採取必要的風險防控措施。
**3、**在“出口管制數據”被認定為“重要數據”的前提下,通過前述安全評估也將成為此類數據處理企業跨境交易的合規義務之一。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
“互聯網”顧名思義,沒有“互聯”構不成“網”。但也正因如此,網絡世界以“光速”融入現實生活,成為我們密不可分的一部分生活環境。筆者身邊就完全找不出“斷網”的人羣。社會服務效率的提高也會需要將更多的國民融入網絡服務體系,所以湧現了“老年版”各類便捷APP。在互聯網產生、存儲的數據越來越多的今天,網絡數據安全保護迫在眉睫。2021年11月14日,國家互聯網信息辦公室發佈《網絡數據安全管理條例(徵求意見稿)》(以下簡稱“《管理條例》”)並向社會公開徵求意見,意見反饋截止時間為2021年12月13日。《管理條例》擬以《網絡安全法》、《數據安全法》以及《個人信息保護法》作為其上位法,較為全面且細緻地對在中國境內利用網絡開展數據處理活動以及在中國境外處理中國境內個人和組織數據的特定活動的行為進行規範(第二條、第三條)。筆者將重點關注《徵求意見稿》中與數據跨境相關的數據合規問題,主要包括與出口管制、擬出境的數據、需要境外上市的數據處理者相關的合規要求以及我國最新的跨境數據國際合作舉措。
**首先,《管理條例》在《數據安全法》第二十一條提出的“數據分類分級保護制度”基礎上,明確“將數據分為一般數據、重要數據、核心數據,不同級別數據採取不同的保護措施”(第五條)。**目前,國家已在有計劃地對數據分級分類保護制度進行細化,例如,2021年9月30日發佈的《工業和信息化領域數據安全管理辦法(試行)(徵求意見稿)》擬界定工業和電信領域中一般數據、重要數據及核心數據的概念及範疇;又如,2021年10月1日生效的《汽車數據安全管理若干規定(試行)》已明確定義汽車行業中所涉及的“重要數據”,並以列舉形式固定了部分受監管的重要數據類型。而對於網絡環境下的“重要數據”,《管理條例》在第七十三條中將其定義為“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據”,並以列舉方式劃定了重要數據的範疇。
筆者注意到,**《管理條例》明確將“出口管制”類“數據”劃入了前述重要數據範疇。**我們認為,在《出口管制法》已將出口管制上升到維護國家安全和利益的層面後,將出口管制物項相關聯的技術方面等數據作為重要數據進行監管是國家安全和公共利益保護的應有之義,也體現了我國在數據保護立法層面的統一性。對於《管理條例》中所指的“出口管制數據”,在我國現行法律體系下並未對其進行定義的前提下,我們認為,對“出口管制數據”一詞可能存在多種理解方式。如果緊扣“出口管制”,我國出口管制的核心在於管制物項,“出口管制數據”是否是指根據《出口管制法》確定的可以以電子或其他方式記錄的管制物項?例如,列入《兩用物項和技術進口許可證管理目錄》的某種數據類的管制技術,例如,以光盤刻錄形式記載的受管控的技術。但如果做廣義解讀,“出口管制數據”是否可以理解為與管制物項相關的所有數據呢?例如,記錄在海關係統內的管制物項出口數量等信息?在“出口管制數據”尚未有明確法律定義時,任何一種解讀或都有合理性同時也都有侷限性,因此就如何識別《實施條例》中的“重要數據”之一的“出口管制數據”,我們期待最終版《管理條例》中對該詞的最終定義,或後續的行政執法及司法實踐中對該類數據的認定。《管理條例》在第七十三條第(三)款第2項將“出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據”明確定義為重要數據,我們認為,這是《管理條例》為與《出口管制法》第二條第二款(“管制物項,包括物項相關的技術資料等數據”)相呼應而作出的定義,並且《管理條例》以列舉形式進一步對相關數據進行了一定的延展,我們認為這彰顯了其從立法目的上,是希望相關合規義務主體能更加準確地自行識別這類與出口管制相關的重要數據類型,以期規範、保護這類可能涉及國家安全的重要數據的網絡數據處理活動。
對於《管理條例》監管的重頭對象——個人信息及重要數據,《管理條例》以《個人信息保護法》、《數據保護法》等上位法的規定為依據,分別在第三章及第四章以專章對相關數據處理者應盡的法定合規義務進行了明確及細化。例如,《個人信息保護法》在第五條提出了“處理個人信息應當遵循合法、正當、必要和誠信原則”,《管理條例》在第十九條對於其中的“合法、正當、必要”進行了具體説明,擬為相關數據處理者合規工作的開展提供可落地化的參考與依據。又如,《數據安全法》在第二十七條明確規定“重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任”,《管理條例》則進一步要求了數據安全負責人應為“具備數據安全專業知識和相關管理工作經歷”的“數據處理者決策層成員”(第二十八條),並列舉了數據安全管理機構應履行的職責,以便相關數據處理者結合要求設計內部的數據安全管理合規機構及體系。
此外,值得注意的是,此前於2021年7月10日發佈的《網絡安全審查辦法(修訂草案徵求意見稿)》(以下簡稱“《審查辦法》”)擬增加“掌握超過100萬用户個人信息的運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查”規定(第六條),並對赴國外上市的網絡安全審查,提出將“國外上市後關鍵信息基礎設施,核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險”作為主要考慮因素。《管理條例》第十三條在延承前述對“處理一百萬人以上個人信息的數據處理者赴國外上市”應進行網絡安全審查申報的要求外,還擬對“赴香港上市,影響或者可能影響國家安全的”數據處理者增加網絡安全審查申報義務,但對於赴港上市下“影響或可能影響國家安全”的情形,《管理條例》並未作具體展開,建議相關數據處理者密切關注後續或有的相關案例以及官方細則,以協助判斷。與此同時,我們認為,就境外上市而言(無論赴國外或赴港上市),在數據層面**,**最核心的即是數據出境後的安全問題,因此,在相關法律規範尚缺乏進一步釋明的情況下,相關數據處理者或可結合目前國家在數據出境方面的明確安全監管重點,即從國家秘密、核心數據、重要數據、達到一定體量的個人信息和敏感個人信息等角度,綜合考慮所處理的前述數據在數據處理者上市後是否可能存在因被惡意控制、違規濫用、不法利用而引發影響國家安全的風險,並採取必要的風險防控措施。
而**就跨境數據安全管理方面的規定,在數據跨境提供的適用範圍以及數據出境安全評估的適用範圍方面,《管理條例》大體參考了在先出台的《個人信息保護法》以及《數據出境安全評估辦法(徵求意見稿)》。**更進一步地,《管理條例》還在第三十九條具體列舉了數據處理者向境外提供數據應履行的合規義務。而如我國出口管制項下的數據類物項,最終確被界定為“重要數據”,那麼作為此類數據處理者的企業,在進行“出口管制數據”等“重要數據”的相關出口交易時,不僅應履行《出口管制法》及相關法規項下的合規義務(包括但不限於申請出口許可證),也要符合數據保護相關的合規要求(現行法律法規下的相關合規要求及違規後果,請見本文附件一表格),我們將本次《管理條例》徵求意見稿項下的主要規定及提示梳理如下,提示相關出口企業予以關注:
此外,我國有關部門目前還在制定包括《數據出境安全評估辦法》在內的各項數據出境相關配套條例、辦法,建議有關企業密切關注,我們也將在此類法規正式出台後,為企業提供詳細解讀,以期協助企業全面、有效開展數據合規工作。
伴隨着全球數字經貿新格局的發展,我國不僅在國內層面積極立法、為數據及個人信息規範處理提供國內法律依據,同時也在不斷加強跨境數字經濟合作。2021年11月1日,中國商務部部長王文濤代表中方向《數字經濟夥伴關係協定》(Digital Economy Partnership Agreement,“DEPA”)保存方新西蘭正式提出申請加入DEPA。在提升貿易管理效率方面,DEPA提出了無紙化貿易(Paperless Trading)概念,並要求各締約方提供與紙質版本具有相同效力的電子版本的貿易管理文件,促進前述文件相關數據(特別是進出口數據)的交換。此外,DEPA的締約方需同意在構建電子支付系統時考慮國際公認的標準,以提高各締約國之間電子支付系統之間的互操性。可以預見,在無紙化貿易以及電子支付的催化下,勢必將出現大量的數據以及個人信息跨境。對此,DEPA不僅要求各締約方在國內建立相應法律監管框架,還要求各締約方尋求建立機制,以促進各國保護個人信息法律之間的兼容性和互操性。同時,DEPA還規定各締約國建立數據監管沙盒(regulatory data sandboxes),以促進某些數據,以及個人信息在各締約國各自的法律法規下實現共享。目前,DEPA已在新西蘭和新加坡之間生效,並已於2021年11月23日對智利生效。如中國成功加入DEPA,或可對當前的數據及個人信息監管體系進行一定程度的調整,以適應DEPA的相關規定;而對於中國企業而言,在享受DEPA下無紙化貿易環境中的各項便利時,也不容忽視國內關於數據出境等方面相關規定,確保合規運營。
**附件一:**我國現行法律法規下的相關重要數據合規要求及違規後果
註釋:
1. 第七十三條 本條例下列用語的含義:
……
(三)重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據。包括以下數據:
1.未公開的政務數據、工作秘密、情報數據和執法司法數據;
2.出口管制數據,出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據,密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據;
……
2.第十九條 數據處理者處理個人信息,應當具有明確、合理的目的,遵循合法、正當、必要的原則。基於個人同意處理個人信息的,應當滿足以下要求:
(一)處理的個人信息是提供服務所必需的,或者是履行法律、行政法規規定的義務所必需的;
(二)限於實現處理目的最短週期、最低頻次,採取對個人權益影響最小的方式;
(三)不得因個人拒絕提供服務必需的個人信息以外的信息,拒絕提供服務或者干擾個人正常使用服務。