《網絡數據安全管理條例（徵求意見稿）》系列解讀之個人信息保護篇_風聞

走出去智库-走出去智库官方账号-2021-12-06 21:24

2021-12-06

走出去智庫觀察

11月14日，國家互聯網信息辦公室起草《網絡數據安全管理條例（徵求意見稿）》（簡稱“《條例》”），並向社會公開徵求意見。《條例》對於個人信息處理者的義務進行進一步加以明確，並提出了細化要求。

走出去智庫（CGGT）特約法律專家、金杜律師事務所合夥人寧宣鳳指出，《條例》通過在第三章“個人信息保護”中專門針對個人信息保護規則進行細化明確，既對《個人信息保護法》的相關規定進行了銜接，又吸收採納了部分App個人信息保護監管領域的成熟做法，其中針對個人信息權利響應、合法必要性評估、用户授權同意等方面制定了細化要求，可作為上位法落地執行的參考指引，對上位法中的“單獨同意”等較為原則性的規定進行解釋説明，進一步增強數據安全法律體系的完備性和可操作性。

網絡企業如何做好個人信息保護？今天，走出去智庫（CGGT）刊發金杜律師事務所寧宣鳳、吳涵的文章，供關注數據安全的讀者參考。

要點

CGGT，CHINA GOING GLOBAL THINKTANK

1、《條例》作為《網絡安全法》《數據安全法》和《個人信息保護法》的配套行政法規，主要針對三部法律中的原則性規範和制度進行內容和流程方面的細化規定，同時與《數據安全管理辦法（徵求意見稿）》具有一定的承繼關係。

2、數據處理者在獲取個人同意的途徑與方式上，應當具有充分的法律依據進行論證同意的有效性和合規性，建議數據處理者在對於徵求個人同意功能上線前，內部進行充分的合法合規性論證，明確相關授權方式符合法規要求，並對線上用户的授權同意操作進行後台日誌記錄。

3、個人信息處理者在實踐過程中，除準備必要的替代性方案，不強制用户授權同意生物識別外，還需根據《條例》規定對必要性、安全性進行風險評估。

正文

CGGT，CHINA GOING GLOBAL THINKTANK

**文/**寧宣鳳吳涵

金杜律師事務所

引言

2021年11月14日下午，國家互聯網信息辦公室（“國家網信辦”），發佈《網絡數據安全管理條例（徵求意見稿）》（“《條例》”）。《條例》以《中華人民共和國網絡安全法》（“《網絡安全法》”）、《中華人民共和國數據安全法》（“《數據安全法》”）和《中華人民共和國個人信息保護法》（“《個人信息保護法》”）等法律法規作為上位法依據，對於《個人信息保護法》中規定的個人信息處理規則及個人信息主體權利，例如刪除權、可攜權等進行行政法規層面的細化規定，具有實踐指導意義。《條例》的第三章對於個人信息處理者的義務進行進一步明確，增加了在“合法、正當、必要”原則下的“收集頻次”“收集週期”“清單化呈現”等細化要求，旨在給出執行《數據安全法》和《個人信息保護法》的實施路徑，對於企業實施上位法過程中需要明晰和進一步解釋的定義進行詳細規定，增強了網絡安全與數據合規系列法律法規的可執行性。

本文作為團隊就《條例》的規則理解與系列解讀的個人信息保護篇，將以《條例》第三章“個人信息保護”為核心，結合《網絡安全法》《數據安全法》《個人信息保護法》等上位法以及其他相關法規標準，梳理個人信息保護體系架構，解讀《條例》中細化與明晰的新要點，以期協助企業更好地探索個人信息保護合規路徑，主動履行個人信息保護系列規範要求，護持個人信息權益，同時激勵數據合規流通，為我國數字經濟時代的蓬勃發展保駕護航。

一、《條例》與《網絡安全法》《數據安全法》《個人信息保護法》等個人信息保護框架體系的關係

2000年，全國人大常委會通過的《全國人民代表大會常務委員會關於維護互聯網安全的決定》首次將個人信息保護納入法律法規框架，包括侵犯公民通信自由和通信秘密。互聯網時代的高速迭代也激發了個人信息保護的訴求，2012年《全國人民代表大會常務委員會關於加強網絡信息保護的決定》專題探討網絡信息保護問題，2016年頒佈《網絡安全法》，2017年出台《電子商務法（草案）》都是針對網絡空間中的法律關係進行專題化規定及權利義務分配。此後，在我國《刑法修正案（九）》及《民法典》中都將個人信息保護列入其中，個人信息保護的法規要求及監管趨勢在各個法律法規中回應着互聯網時代民眾最關切的個人信息問題，但尚未構建起完備的個人信息保護法律體系。

2021年6月10日，《數據安全法》正式通過，我國有了數據安全領域的基本法，數據安全治理體系得以進一步完善；2021年8月20日，《個人信息保護法》正式通過，我國有了個人信息保護領域的基本法，首次對於個人信息處理活動、個人信息權益保護及主管機關職權範圍作出全面化規定，為企業劃定了明確合規邊界，為公眾確定了明確權益保障，開啓了我國公民個人信息保護新篇章。

如《網絡數據安全管理條例（徵求意見稿）》系列解讀之框架篇所述，《條例》作為《網絡安全法》《數據安全法》和《個人信息保護法》的配套行政法規，主要針對三部法律中的原則性規範和制度進行內容和流程方面的細化規定，同時與《數據安全管理辦法（徵求意見稿）》具有一定的承繼關係。《條例》通過在第三章“個人信息保護”中專門針對個人信息保護規則進行細化明確，既對《個人信息保護法》的相關規定進行了銜接，又吸收採納了部分App個人信息保護監管領域的成熟做法，其中針對個人信息權利響應、合法必要性評估、用户授權同意等方面制定了細化要求，可作為上位法落地執行的參考指引，對上位法中的“單獨同意”等較為原則性的規定進行解釋説明，進一步增強數據安全法律體系的完備性和可操作性。

二、《條例》中個人信息保護規則的具體解讀

（一）“合法、正當、必要”原則的進一步細化

《條例》第十九條規定

數據處理者處理個人信息，應當具有明確、合理的目的，遵循合法、正當、必要的原則。基於個人同意處理個人信息的，應當滿足以下要求：

（一）處理的個人信息是提供服務所必需的，或者是履行法律、行政法規規定的義務所必需的；

（二）限於實現處理目的最短週期、最低頻次，採取對個人權益影響最小的方式；

（三）不得因個人拒絕提供服務必需的個人信息以外的信息，拒絕提供服務或者干擾個人正常使用服務。

1.“合法、正當、必要”原則的再次重申

針對個人信息的“合法、正當、必要”原則首次是在《全國人民代表大會常務委員會關於加強網絡信息保護的決定》第二條中出現，在《網絡安全法》第四十一條，《個人信息保護法》第五條中均一脈相承，本次《條例》亦沿用“合法、正當、必要”的原則性規定，針對《個人信息保護法》中“基於個人同意”的合法性基礎下，對應的三款要求可看作是對於“必要性”的進一步解釋，包括服務所必需、對個人權益影響最小、最短週期及最低頻次的處理要求，明確在個人同意情形下，應限於最小影響以及最小範圍。但根據《個人信息保護法》規定，其中第（一）項後半部分的“履行法律、行政法規規定的義務所必需的” 與本條大前提“基於個人同意”均屬於處理個人信息的合法性基礎，處於並行邏輯關係，因此為避免歧義，可能可以考慮刪除本條後半部分內容，保持與上位法的邏輯一致性。

2.如何理解最短週期、最低頻次、服務必需？

“頻次”的要求並非第一次出現，在此前《移動互聯網應用程序個人信息保護管理暫行規定（徵求意見稿）》第七條第一款“處理個人信息的數量、頻次、精度等應當為服務所必需，不得超範圍處理個人信息”中即有所體現。頻次與週期的最小化實際在約束互聯網信息服務提供者的後台操作，法規不再停留在用户端可視界面，而是要求後端操作同樣符合最小必要要求，保障個人用户真正實現明確平台對個人信息的收集及處理，用對於後台收集頻次和週期的約束性要求，將平台真正規範化，從而避免了用户在不知情情況下反覆多次調用用户個人信息的“黑盒”情況發生。

其次，頻次與週期的要求與服務必需相對應，這是對於必要性的細化規定，將個人信息的收集限制在必需的“頻次”“週期”和“範圍”中，真正實現個人信息收集使用的最小必要。對於個人信息處理者而言，“最小必要範圍”可參見《常見類型移動互聯網應用程序必要個人信息範圍規定》，而如何確定相關業務收集個人信息的“最低頻次”與“最短週期”，仍待法規及相關行業標準進一步明確細化。

第三款則要求用户若拒絕提供非服務必需信息，個人信息處理者不得干擾或拒絕提供服務，此款規定與《網絡安全標準實踐指南-移動互聯網應用程序（App）收集使用個人信息自評估指南》4.2條及《個人信息保護法》第十六條“個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬於提供產品或者服務所必需的除外”相對應。結合《工業和信息化部關於開展信息通信服務感知提升行動的通知》中“找得到，關的了”的要求，個人信息處理者應在設計彈窗、個人信息授權同意等界面出現頻率及觸發條件時應重點關注用户感知。

（二）隱私政策真的有用嗎？——結構化查詢個人信息的未來

《條例》第二十條第一款規定

數據處理者處理個人信息，應當制定個人信息處理規則並嚴格遵守。個人信息處理規則應當集中公開展示、易於訪問並置於醒目位置，內容明確具體、簡明通俗，系統全面地向個人説明個人信息處理情況。

1.對個人信息處理規則展示方式的細化要求

針對個人信息處理規則的展示方式，《個人信息保護法》第七條及第十七條提出“公開”“透明”“顯著方式”“清晰易懂的語言”“真實、準確、完整”的原則性要求，《條例》承接了前述規範，並作出進一步規定“集中公開展示”“易於訪問並置於醒目位置”，同時將真實、準確、完整轉化為內容“明確具體、簡明通俗、系統全面”，與此前的《App違法違規收集使用個人信息行為認定方法》一脈相承。實踐中個人信息處理規則多以隱私政策的形式出現，個人信息處理者可依照《條例》要求進一步調整隱私政策文本在App客户端或網頁端的顯示邏輯與方式。

《條例》第二十條第二款規定

個人信息處理規則應當包括但不限於以下內容：

（一）依據產品或者服務的功能明確所需的個人信息，以清單形式列明每項功能處理個人信息的目的、用途、方式、種類、頻次或者時機、保存地點等，以及拒絕處理個人信息對個人的影響；

（二）個人信息存儲期限或者個人信息存儲期限的確定方法、到期後的處理方式；

（三）個人查閲、複製、更正、刪除、限制處理、轉移個人信息，以及註銷賬號、撤回處理個人信息同意的途徑和方法；

（四）以集中展示等便利用户訪問的方式説明產品服務中嵌入的所有收集個人信息的第三方代碼、插件的名稱，以及每個第三方代碼、插件收集個人信息的目的、方式、種類、頻次或者時機及其個人信息處理規則；

（五）向第三方提供個人信息情形及其目的、方式、種類，數據接收方相關信息等；

（六）個人信息安全風險及保護措施；

（七）個人信息安全問題的投訴、舉報渠道及解決途徑，個人信息保護負責人聯繫方式。

2.如何理解以“清單”形式列明個人信息處理規則？

《條例》第二十條第二款中指出以“清單”形式呈現個人信息處理規則，相較於《個人信息保護法》而言是對於個人信息處理規則具體內容的執行要求，但根據《工業和信息化部關於開展信息通信服務感知提升行動的通知》中要求建立個人信息保護“雙清單”：已收集個人信息清單和與第三方共享個人信息清單的要求，可知“清單化”“透明化”是企業梳理個人信息相關規則的必然趨勢。“清單”中應當包括的內容則可根據《條例》進一步確定，同時（四）（五）中對於第三方代碼、插件，向第三方提供個人信息的要求雖未明確點明清單化要求，但“集中展示”及“便利用户訪問的方式”也可參考清單形式進行梳理，我們結合《個人信息保護法》與《條例》規定梳理出以下清單形式供參考。

（點擊查看大圖）

同時在《個人信息保護法》要求披露“存儲期限”之外，《條例》明確要求披露個人信息存儲期限的確定方法及到期後的處理方式。因此，個人信息處理者應加強存儲時限及必要性的內部論證，構建存儲及配套刪除處理制度，梳理公司存儲期限的確定方法及相應的制定依據和邏輯分析，可在隱私政策的“個人信息的存儲”部分予以補充披露。

《條例》第二十三條第一款規定

個人提出查閲、複製、更正、補充、限制處理、刪除其個人信息的合理請求的，數據處理者應當履行以下義務：

提供便捷的支持個人結構化查詢本人被收集的個人信息類型、數量等的方法和途徑，不得以時間、位置等因素對個人的合理請求進行限制；

3.如何理解“結構化”查詢個人信息？

《條例》在第二十三條針對數據處理者的個人信息權利響應義務中，提出應提供“便捷的”“支持個人結構化查詢”的方法和途徑，對於數據處理者響應個人信息主體請求提出更細化的要求。相較於《個人信息保護法》第四章的規定，《條例》的要求有效推動了個人信息主體實現相關權利。在《個人信息保護法》第五十條已經提出的“便捷”之外，此次《條例》的新增要求為“結構化查詢”，並明確點出“個人信息類型、數量”，結合第二十條中的“清單化”要求，數據處理者在響應個人信息主體需求時亦可通過清單形式進行梳理，在後台通過數據表等形式聚合用户個人信息類型、數量等相關要素，並支持用户以“便捷”方式，例如一鍵導出獲取用户個人信息列表。本條的“結構化查詢”方式指出除隱私政策外實現個人信息查詢權的新路徑，隨着數據合規法律體系的逐步完善以及與實際產品邏輯的相互融合，我們理解有諸多形式要求的隱私政策文本是監管對個人信息保護的初步要求，可以預見的是，未來企業需要認識到，個人信息的實質性權利需要為個人信息主體所保留，企業需為個人信息主體真實、便捷地瞭解和管理其個人信息。因此，隨着監管的深入以及個人消費者個人信息保護意識的覺醒，企業越早的探索出可操作性強的替代方案（比如dashboard等），將能站在數據驅動型業態的前沿，打造出隱私保護的品牌，獲得消費者的青睞。

（三）如何實現並證明授權同意？

《條例》第二十一條規定

處理個人信息應當取得個人同意的，數據處理者應當遵守以下規定：

（一）按照服務類型分別向個人申請處理個人信息的同意，不得使用概括性條款取得同意；

（二）處理個人生物識別、宗教信仰、特定身份、醫療健康、金融賬户、行蹤軌跡等敏感個人信息應當取得個人單獨同意；

（三）處理不滿十四周歲未成年人的個人信息，應當取得其監護人同意；

（四）不得以改善服務質量、提升用户體驗、研發新產品等為由，強迫個人同意處理其個人信息；

（五）不得通過誤導、欺詐、脅迫等方式獲得個人的同意；

（六）不得通過捆綁不同類型服務、批量申請同意等方式誘導、強迫個人進行批量個人信息同意；

（七）不得超出個人授權同意的範圍處理個人信息；

（八）不得在個人明確表示不同意後，頻繁徵求同意、干擾正常使用服務。

個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，數據處理者應當重新取得個人同意，並同步修改個人信息處理規則。

對個人同意行為有效性存在爭議的，數據處理者負有舉證責任。

1.哪些情形被排除在“同意”之外？

對於個人信息主體的授權同意，《個人信息保護法》在第十四條中進行規定“該同意應當由個人在充分知情的前提下自願、明確作出”，強調個人信息主體的充分知情、自願、明確作出，目前行業實踐主要依據該條要求執行，傾向採用Opt-in的形式獲取用户明確作出的授權同意。而《條例》第二十一條則在此基礎上進一步細化，反向排除不能被認定為“個人同意”的情形，有助於數據處理者進一步明確執法界限。

《條例》第二十一條與2021年5月1日生效的《網絡交易監督管理辦法》第十三條相照應，明確指出形式上不能使用概括性條款，且與《信息安全技術個人信息安全規範》相承，提出不得僅以改善服務質量等為由強迫個人同意，不得誘導個人進行批量個人信息同意；因此在改善服務質量、提升用户體驗以及研發新產品的情形下，應當獲取用户同意才能對其信息進行進一步處理；結合《條例》第二十條對於個人信息處理規則“每項功能”分別列明的要求，數據處理者在獲取用户同意時建議應區分功能逐項獲取，儘量避免“一攬子”授權。

2.如何理解數據處理者的舉證責任？

《條例》第二十一條第三款新增在對個人同意行為存在爭議時數據處理者的舉證責任，因此，數據處理者在獲取個人同意的途徑與方式上，應當具有充分的法律依據進行論證同意的有效性和合規性，建議數據處理者在對於徵求個人同意功能上線前，內部進行充分的合法合規性論證，明確相關授權方式符合法規要求，並對線上用户的授權同意操作進行後台日誌記錄，我們理解在對用户授權同意的日誌文件中，至少應當包含時間戳、用户賬號信息、授權同意操作行為等信息，才能較為充分地佐證已獲取用户充分授權同意；同時，對線下用户的授權同意操作應當進行妥善保存留檔。

（四）如何落地個人信息權利響應機制？

《條例》第二十二條規定

有下列情況之一的，數據處理者應當在十五個工作日內刪除個人信息或者進行匿名化處理：

（一）已實現個人信息處理目的或者實現處理目的不再必要；

（二）達到與用户約定或者個人信息處理規則明確的存儲期限；

（三）終止服務或者個人註銷賬號；

（四）因使用自動化採集技術等，無法避免採集到的非必要個人信息或者未經個人同意的個人信息。

刪除個人信息從技術上難以實現，或者因業務複雜等原因，在十五個工作日內刪除個人信息確有困難的，數據處理者不得開展除存儲和採取必要的安全保護措施之外的處理，並應當向個人作出合理解釋。

法律、行政法規另有規定的從其規定。

《條例》第二十三條第一款規定

（三）收到個人複製、更正、補充、限制處理、刪除本人個人信息、撤回授權同意或者註銷賬號申請的，應當在十五個工作日內處理並反饋。

1.個人信息權利響應期限明確為“十五個工作日”

《個人信息保護法》中對於個人信息權利響應期限並未作出明確規定，此次《條例》則在第二十三條中直接明確規定自收到申請起“十五個工作日”內處理並反饋。在《條例》之前，《App違法違規收集使用個人信息自評估指南》9.32項以及《網絡安全標準實踐指南移動互聯網應用程序（App）收集使用個人信息自評估指南》6.3項、《App違法違規收集使用個人信息行為認定方法》第六點中均提出“十五個工作日”的時限要求，但《條例》則是首次從行政法規層面予以規定，因此數據處理者應儘快規範並暢通內部個人信息響應流程，保障申請起十五日內完成處理並反饋，杜絕形式性的個人信息保護聯繫方式，要確保個人信息主體的需求能夠及時有效得到企業受理並按照規範流程進行後續解決。

刪除權不僅涉及響應時限，《條例》第二十二條規定的多種應當刪除或匿名化處理的情形中，除（二）（三）有明確的時間界限外，“已實現個人信息處理目的或者實現處理目的不再必要” 及自動化採集場景下，何時起算“十五個工作日”尚存在不確定性，有待法律法規進一步明確細化。

2.自動化採集刪除情形對爬蟲等技術實施的影響？

對於需要刪除或進行匿名化處理的情形，《條例》相較於《個人信息保護法》第四十七條，增加了“個人註銷賬號”以及自動化採集到非必要或未經同意的個人信息兩種場景，並且未包含“個人撤回同意”的情形。涉及自動化採集技術的內容可以看作為自動化採集技術留出一定的處理空間，在提供數據分析服務的企業中，大量使用爬蟲等類型的自動化採集技術爬取公開平台下的需求信息，其中難以避免包含部分未經同意或非必要的個人信息。《條例》對於如何處理此部分信息作出明確指引，要求相關數據處理者在規定期限內及時進行刪除或匿名化處理。確實難以進行處理的，《條例》沿用了《個人信息保護法》第四十七條的緩衝措施，要求其停止除存儲和採取必要的安全保護措施之外的任何處理，並且增加了向相關個人作出合理解釋的義務要求。

《條例》第二十四條規定

符合下列條件的個人信息轉移請求，數據處理者應當為個人指定的其他數據處理者訪問、獲取其個人信息提供轉移服務：

（一）請求轉移的個人信息是基於同意或者訂立、履行合同所必需而收集的個人信息；

（二）請求轉移的個人信息是本人信息或者請求人合法獲得且不違揹他人意願的他人信息；

（三）能夠驗證請求人的合法身份。

數據處理者發現接收個人信息的其他數據處理者有非法處理個人信息風險的，應當對個人信息轉移請求做合理的風險提示。

請求轉移個人信息次數明顯超出合理範圍的，數據處理者可以收取合理費用。

3.個人信息轉移權的條件完善

賦予個體對其個人信息所要求的轉移和攜帶權使得其能夠真正意義上支配其個人信息，彰顯康德意義上的“人是目的，而不是手段”的主體哲學色彩，實現人格的發展和隱私的自治。同與個人信息相關的權利如查詢權、複製權、更正權、刪除權的邏輯類似，個人信息轉移權體現了主體對個人信息的自決與控制。同時在競爭法的框架下，個人信息的移轉將有助於打破鎖定效應，促進自由競爭，使得互聯網平台贏者通吃的馬太效應有所緩解，為初創公司和小企業的市場進入創造機會，有助於打破平台壁壘，推動平台的互通互聯。個人信息的共享與流動也將有助於打造基於個人信息的數字基礎設施，並通過身份認證、連接匹配、聲譽評價等制度促進個人信息的公共性使用。

對於數據可攜權的實現，我國《個人信息安全規範》（GB/T 35273—2020）中首次規定了個人信息轉移權的內容，但其轉移的個人信息是有限的，即內容是個人的基本資料、身份信息、健康生理信息和教育工作信息，且轉移的個人信息僅為副本。《個人信息保護法》進一步發展，於第四十五條第三款規定“個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。”其中“國家網信部門規定條件”的限定條件有待進一步明確，且只規定了個人信息處理者提供轉移途徑的義務。而《條例》在二者基礎上，針對個人信息處理者協助個人信息主體實現數據可攜權的義務進一步細化規定，使得數據可攜權在我國具有了實踐可執行性。

通過與歐盟《通用數據保護條例》（“GDPR”）第20條數據轉移權條款進行對比，我國《條例》允許轉移的不僅包括“個人信息”，還包括“合法獲得且不違揹他人意願的他人信息”，而GDPR中數據主體有權獲得的則是其提供給控制者的相關個人數據，其中就可能包含其獲得他人同意後向數據控制者提供的個人數據，從此維度而言，我國《條例》規定可提出轉移權的範圍實際不僅限於用户提供給數據處理者的信息，還包括合法獲得且不違揹他人意願的他人信息，例如在與他人的微信聊天中，聊天記錄信息應歸屬於所有參與主體共有，此種情況下，根據《條例》規定，用户只要不違背其他參與主體意願，即可提出對該部分聊天記錄的數據轉移。這對於可能同時歸屬於多人的數據信息轉移權利實現進行了明確指引，我們理解針對此類信息的更正權、刪除權等權利實現也可參照此邏輯。

4.企業如何響應個人信息主體實現數據可攜權？

在對於數據可攜權的實際落地中，《條例》規定了提供轉移服務的前提是“能夠驗證請求人的合法身份”，因此數據處理者應根據該條前兩項條件設置合理驗證機制，判斷相關主體是否具有數據可攜權。且相較於GDPR及《個人信息保護法》而言，《條例》不僅限於數據從一個控制者處無障礙傳輸給另一個控制者，還涵蓋了實現個人指定的其他數據處理者訪問、獲取相關數據的要求。在實現數據可攜權的過程中，《條例》還規定數據處理者具有風險提示義務，當數據處理者發現接收者具有非法處理個人信息風險時，應當對該個人信息轉移請求做合理風險提示。在實踐中，數據處理者接收個人信息轉移請求後，如何對個人信息主體指定的數據接收者進行合法處理判斷，除了通過數據傳輸協議條款控制外，是否還需盡其他注意義務，“合理風險提示”需要達到何種程度，仍待後續法規進一步解釋説明。

（五）其他重點變化

《條例》第二十五條第一款規定

數據處理者利用生物特徵進行個人身份認證的，應當對必要性、安全性進行風險評估，不得將人臉、步態、指紋、虹膜、聲紋等生物特徵作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特徵信息。

1.使用生物特徵進行個人身份識別的合規要求？

生物識別數據安全和隱私保護一直有着極高關注度，根據《個人信息保護法》規定，生物識別信息屬於敏感個人信息範疇，應當遵守敏感個人信息的相關保護要求。在地方性法規中，《深圳經濟特區數據條例》第十九條“處理生物識別數據的，應當在徵得該自然人明示同意時，提供處理其他非生物識別數據的替代方案。”即提出了利用生物特徵進行個人身份識別應向個人信息主體提供替代性方案的要求，《最高人民法院關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》第十條專門針對以人臉識別作為出入物業服務區域的場景進行説明，指出“請求提供其他合理驗證方式的，人民法院依法支持”。承繼“替代性”要求，《條例》第二十五條亦規定不得將生物特徵作為唯一的個人身份認證方式。個人信息處理者在實踐過程中，除準備必要的替代性方案，不強制用户授權同意生物識別外，還需根據《條例》規定對必要性、安全性進行風險評估。

《條例》第二十六條規定

數據處理者處理一百萬人以上個人信息的，還應當遵守本條例第四章對重要數據的處理者作出的規定。

2.如何理解個人信息和重要數據的關係？

根據《條例》第二十六條規定，如果數據處理者處理一百萬人以上個人信息時，應遵守第四章重要數據處理者的相關規定，因此如果處理一百萬人以上的個人信息，數據處理者應對其加以與“重要數據”相同的保護措施並履行相應義務。但在例如汽車等特定行業領域，《汽車數據安全管理若干規定（試行）》第三條對於重要數據的定義則包括“涉及個人信息主體超過10萬人的個人信息”。儘管該條款並沒有直接説明“一百萬以上個人信息”被視為重要數據，但如何理解“一百萬”與“十萬”之間的關係，關係到確定個人信息和重要數據的範圍。若《汽車數據安全管理若干規定（試行）》中的“十萬”只是單純的個人信息數量級別，則我們認為應當與“一百萬”進行統一，明確落入重要數據保護範圍的界限。但若“十萬”是由於汽車領域的特殊性而定，則我們理解《條例》中的“一百萬”可以理解為更為通用的規定。

針對個人信息和重要數據的交叉，我們認為“重要數據”除了關注數據涉及主體的數量外，數據的具體應用領域，對國家安全、公共利益的可能影響程度等因素均會影響對是否落入“重要數據”範圍的判斷。我們理解不應僅侷限於數量級這一單一因素，而應當將定量與定性相結合，根據具體的數據類型、特性不同，判斷是否會因量變引發質變，從而綜合判定是否落入“重要數據”範圍。

結語

在數字化時代，個人信息保護問題的重要性不言而喻，隨着《網絡安全法》《數據安全法》《個人信息保護法》三部核心法律的頒佈，我國個人信息保護已然進入新階段，而《條例》則進一步完善鞏固了我國既有的個人信息保護體系，對於諸多原則性規範要求加以詳細化、要點化、可實行化，針對個人信息保護的多環節進行説明規定，重點明確了知情同意環節及個人信息權利響應環節的相關要求。

《條例》所規定的“清單化” “格式化查詢”，對響應期限的明確，對刪除權實行情形的明確等要求，均使得企業有更為細化的落地依據，也能為企業探索個人信息保護合規化建設途徑提供有效指引，解答了企業對於《個人信息保護法》等上位法原則性概念的模糊，明晰了個人信息保護的界限。隨着《條例》等網絡數據安全管理規則的頒佈，政企機構、互聯網平台等數據處理者能夠進一步規範數據處理活動，我國的數據產業與數字經濟發展也將在其指引下繼續穩步前行。

來源：金杜研究院