大平台再上“紧箍咒”:关于隐私、变更规则有了新规定
《条例》规定各地区、各部门对本地区、本部门以及相关行业、领域的数据进行分类分级管理,并制订重要数据和核心数据目录,并报国家网信部门。
重要数据与核心数据处理的要求也更为细化。处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。
此外,重要数据的处理者应当明确数据安全负责人,成立数据安全管理机构;向网信部门备案;制定数据安全培训计划以及向网信部门提供年度数据安全评估报告。
个人信息处理:
以最短周期、最低频次方式
“合法、正当、必要”是处理个人信息的基本原则,《条例》对此进行了细化,包括要求“限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式”。
清律律师事务所首席合伙人熊定中告诉21世纪经济报道记者,周期多短算短、频次多低算低等的落地仍存在很大的弹性。
大成律师事务所高级合伙人邓志松告诉记者,“最短周期”是对“必要”存储时间的解释。例如,国标GB/T 35283-2020《个人信息安全规范》中“个人信息存储时间最小化”的要求包括“个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间”及“超出上述个人信息存储期限后,应对个人信息进行删除或匿名化处理”。
互联网隐私专家王磊认为,对APP隐私合规实际执法的时候,会根据具体的场景判断是否为最低频次,比如每次点击某个图标都收集一IMEI,会被判定为违规,但如果只第一次收集,则不算是违规。
《个人信息保护法》赋予了个人查阅、复制、更正、删除等权利,《条例》中规定了个人信息处理者应当对个人行权提供支持。
值得注意的是,《条例》细化了删除权的场景,对于“因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息”,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理。
熊定中解释道,比如做数字营销的企业去抓取淘宝平台特定商品的购买者评论,里面可能带有买家的个人信息。这种企业或许没打算利用收集的个人信息识别到特定自然人,只是做群体画像用以研判市场趋势,但按照这条规定,应当限期删除。“这在实践中会增加非常高的运营成本,极难落地。”他强调。
此外,智能网联汽车在行驶中收集的车外人员信息也属于该条规定的情形。