您的位置 : 环球研究 / 环球评论 / 新闻详情
2019年第四季度哪些数据保护新规最重要?盘点与解读(中)
2020年01月09日孟洁 | 王程 | 颜婷婷 | 殷坤 | 陈子谦 | 张淑怡 | 崔卫红

前言

2019年第四季度以来,法律圈频出各类新法,那么在数据保护领域就更不例外了,也是持续出台或更新立法,代表了国家对网络安全和个人信息保护执法与监管的不断重视,同时也为企业落地数据合规实践提出了更高的要求与责任。

本文将梳理第四季度较为企业与大众关心的六部代表性法律法规(《儿童个人信息网络保护规定》、《网络信息内容生态治理规定》、《网络音视频信息服务管理规定》、《中国人民银行金融消费者权益保护实施办法》、《民法典(草案)》以及《App违法违规收集使用个人信息行为认定方法》),并通过条文层面上的分析与立法背景上的洞察,提供实践操作层面的解读,帮助企业在2020年适应并把握好网络安全与个人信息保护方面这些新规的立法本意与合规要求。

 

(续

 

三、新规解读之三:《网络音视频信息服务管理规定》(2019年11月29日)

 

2019年11月29日,国家互联网信息办公室、文化和旅游部、国家广播电视总局联合印发了《网络音视频信息服务管理规定》(以下简称“《规定》”),以促进网络音视频信息服务健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益。《规定》自2020年1月1日起正式施行,包含以下几个方面的主要内容:

 

1. 明确网络音视频信息服务提供者的资质要求

 

《规定》明确网络音视频信息服务提供者是指向社会公众提供网络音视频信息服务的组织或者个人。网络音视频信息服务提供者应当依法取得法律、行政法规要求的相关资质。

 

2. 明确网络音视频信息服务使用者身份认证要求

 

网络音视频信息服务提供者应当依照《中华人民共和国网络安全法》的规定,对用户进行基于组织机构代码、身份证件号码、移动电话号码等方式的真实身份信息认证。用户不提供真实身份信息的,网络音视频信息服务提供者不得为其提供信息发布服务。

 

3. 明确网络音视频信息服务提供者的安全管理主体责任

 

首先,《规定》明确了信息内容安全管理责任承担的主体为网络音视频信息服务提供者,即谁经营谁负责。其次,《规定》要求网络音视频信息服务提供者建立内部管理制度体系,包括建立健全用户注册、信息发布审核、信息安全管理、应急处置、从业人员教育培训、未成年人保护、知识产权保护等制度。

 

从技术层面来看,《规定》要求网络音视频信息服务提供者具有与新技术、新应用发展相适应的安全可控的技术保障和防范措施,能有效应对网络安全事件,防范网络违法犯罪活动,并维护网络数据的完整性、保密性和可用性。

 

4. 明确对基于深度学习、虚拟现实等新技术新应用的要求

 

1)   安全评估要求

网络音视频信息服务提供者基于新技术新应用上线具有媒体属性或者社会动员功能的音视频信息服务,或者调整增设相关功能的,应当按照国家有关规定开展安全评估。

2)   标识要求

网络音视频信息服务提供者和网络音视频信息服务使用者利用新技术新应用制作、发布、传播非真实音视频信息的,应当以显著方式予以标识。

3)   明确新闻信息管理要求

“深度伪造”音视频不得制作、发布、传播虚假新闻信息。转载音视频新闻信息的,应当依法转载国家规定范围内单位发布的音视频新闻信息。

4)   明确违法违规信息管理要求

网络音视频信息服务提供者应当部署应用违法违规音视频以及非真实音视频的鉴别技术,发现音视频信息服务使用者制作、发布、传播法律法规禁止的信息内容的,应当依法依约停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关部门报告。

5)   建立辟谣机制

网络音视频信息服务提供者发现网络音视频信息服务使用者利用基于深度学习、虚拟现实等的虚假图像、音视频生成技术制作、发布、传播谣言的,应当及时采取相应的辟谣措施,并将相关信息报主管部门备案。

 

5. 通过协议明确用户与网络音视频信息服务提供者的权利责任

 

为了明确双方的权利和义务,《规定》要求服务提供者和用户签订服务协议。除建立下文的投诉机制以外,《规定》要求服务提供者对于违法违规使用服务的用户依法应采取警示整改、限制功能、暂停更新、关闭账号等措施,保存有关记录并向相关部分进行报告。

 

6. 明确受理投诉举报机制

 

《规定》要求网络音视频信息服务提供者应当自觉接受社会监督,设置便捷的投诉举报入口,公布投诉、举报方式等信息,及时受理并处理公众投诉举报。

 

《规定》创设了多项管理制度,及时回应了当前网络音视频信息服务及相关技术发展面临的问题,规定了从事网络音视频信息服务应当遵守的管理要求,为促进网络音视频信息服务健康有序发展提供了重要指引,为保护公民、法人和其他组织的合法权益,维护国家安全和公共利益提供了有力保障。

 

相关法规链接:

  •  《网络音视频信息服务管理规定》:

    http://www.cac.gov.cn/2019-11/29/c_1576561820967678.htm

 

四、新规解读之四:中国人民银行《金融消费者权益保护实施办法(征求意见稿)》(2019年12月27日)

 

2019年12月27日,中国人民银行为进一步规范金融机构经营行为,切实保护金融消费者合法权益起草了《金融消费者权益保护实施办法》并公开对外征求意见。《征求意见稿》包括7章69条,对金融机构行为规范、消费者金融信息保护、金融消费争议解决、监督与管理机制等作出明确规定。

 

相较于2016版的《金融消费者权益保护实施办法》,2019版在消费者金融信息保护部分条款对比如下:

 

2016版

2019版

第三章 个人金融信息保护

第三章 消费者金融信息保护

第二十七条

本办法所称个人金融信息,是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息

第二十七条

本办法所称消费者金融信息,是指金融机构通过开展业务或者其他合法渠道获取、加工和存储的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或服务相关的信息

第二十八条第一款

金融机构应当严格落实国家网络安全和信息技术安全有关规定,采取有效措施确保个人金融信息安全,至少每半年排查一次个人金融信息安全隐患。

删除此条款

第二十八条第二款

收集个人金融信息时,应当遵循合法、合理、必要原则,按照法律法规要求和业务需要收集个人金融信息,不得收集与业务无关的信息或者采取不正当方式收集信息,不得非法存储个人金融信息;应当采取符合国家档案管理和电子数据管理规定的措施,妥善保管所收集的个人金融信息,防止信息遗失、毁损、泄露或者篡改。在发生或者可能发生个人金融信息遗失、毁损、泄露或者篡改等情况时,应当立即采取补救措施,及时告知用户并向有关主管部门报告

金融机构及其相关工作人员应当对业务过程中知悉的个人金融信息予以保密,不得非法复制、非法存储、非法使用、向他人出售或者以其他非法形式泄露个人金融信息。

第二十八条第一款

金融机构收集、使用消费者金融信息,应当遵循合法、正当、必要原则,经金融消费者明示同意。金融机构不得收集与业务无关的消费者金融信息,不得采取不正当方式收集信息,不得变相强制收集消费者金融信息。

 

第三十二条第一款、第二款

金融机构应当按照国家档案管理和电子数据管理规定,采取技术措施和其他必要措施,妥善保管和存储所收集的消费者金融信息,防止信息遗失、毁损、泄露或者篡改。

金融机构及其工作人员应当对消费者金融信息严格保密,不得泄露或者非法向他人提供。在确认信息发生泄漏、毁损、丢失时,金融机构应当在72小时以内采取补救措施并告知金融消费者

第二十九条

金融机构应当建立个人金融信息数据库分级授权管理机制,根据个人金融信息的重要性、敏感度及业务开展需要,在不影响其履行反洗钱等法定义务的前提下,合理确定本机构员工调取信息的范围、权限及程序

第三十一条第一款

金融机构应当建立以分级授权为核心的消费者金融信息使用管理制度,根据消费者金融信息的重要性、敏感度及业务开展需要,在不影响其履行反洗钱等法定义务的前提下,合理确定本机构员工调取信息的范围、权限。

第三十条

金融机构通过格式条款取得个人金融信息书面使用授权或者同意的,应当在条款中明确该授权或者同意所适用的向他人提供个人金融信息的范围和具体情形,应当在协议的醒目位置使用通俗易懂的语言明确向金融消费者提示该授权或者同意的可能后果。

金融机构不得以概括授权的方式,索取与金融产品和服务无关的个人金融信息使用授权或者同意。

第二十九条

金融机构应当履行《中华人民共和国消费者权益保护法》规定的明示义务,并保留有关证明资料。

金融机构通过格式条款取得消费者金融信息收集、使用同意的,应当在条款中明确收集的目的、方式、内容和使用范围,并在协议中以显著方式尽可能通俗易懂地向金融消费者提示该同意的可能后果。

没有规定

第三十条

金融机构应当按照法律法规的规定和双方约定的用途使用消费者金融信息,不得超出范围使用。

第三十一条

金融机构不得将金融消费者授权或者同意其将个人金融信息用于营销、对外提供等作为与金融消费者建立业务关系的先决条件,但该业务关系的性质决定需要预先做出相关授权或者同意的除外。

第二十八条第二款、第三款

金融机构不得将金融消费者同意其将金融信息用于对外提供作为与金融消费者建立业务关系的先决条件,但该业务关系的性质决定需要预先同意的除外。

金融机构收集消费者金融信息用于营销、用户体验改进或者市场调查的,应当以适当方式供金融消费者自主选择是否同意金融机构将其金融信息用于上述目的。金融消费者不同意的,金融机构不得因此拒绝提供金融产品或服务。

第三十二条

金融机构应当建立个人金融信息使用管理制度。因监管、审计、数据分析等原因需要使用个人金融信息数据的,应当严格内部授权审批程序,采取有效技术措施,确保信息在内部使用及对外提供等流转环节的安全,防范信息泄露风险。

第三十一条第二款

金融机构应当严格落实信息使用授权审批程序,采取有效技术措施,确保消费者金融信息安全。

 

第三十二条第一款

金融机构应当按照国家档案管理和电子数据管理规定,采取技术措施和其他必要措施,妥善保管和存储所收集的消费者金融信息,防止信息遗失、毁损、泄露或者篡改。

第三十三条

在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,金融机构不得向境外提供境内个人金融信息。

境内金融机构为处理跨境业务且经当事人授权,向境外机构(含总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构)传输境内收集的相关个人金融信息的,应当符合法律、行政法规和相关监管部门的规定,并通过签订协议、现场核查等有效措施,要求境外机构为所获得的个人金融信息保密。

第三十四条

在中国境内收集的消费者金融信息的存储、处理和分析应当在中国境内进行。因业务需要,确需向境外提供消费者金融信息的,应当同时符合以下条件:

(一)为处理跨境业务所必需;

(二)经金融消费者书面授权;

(三)信息接收方为完成该业务所必需的关联机构(含总公司、母公司或者分公司、子公司等);

(四)通过签订协议、现场核查等有效措施,要求境外机构为所获得的消费者金融信息保密;

(五)符合法律法规和其他相关监管部门的规定。

第三十四条

金融机构保护消费者个人金融信息安全的义务不因其与外包服务供应商合作而转移、减免。

金融机构应当充分审查、评估外包服务供应商保护个人金融信息的能力,在相关协议中明确外包服务供应商保护个人金融信息的职责和保密义务,并采取必要措施保证外包服务供应商履行上述职责和义务。

第三十五条

金融机构保护消费者金融信息安全的义务不因其与外包服务供应商合作而转移、减免。

金融机构应当充分审查、评估外包服务供应商保护消费者金融信息的能力,在相关协议中明确外包服务供应商保护消费者金融信息的职责和保密义务,并采取必要措施监督外包服务供应商履行上述职责和义务。合作关系终止后,金融机构应当监督外包服务供应商及时销毁从金融机构获取的消费者金融信息。

没有规定

第三十三条

金融消费者发现金融机构违反法律法规、监管规定或者双方的约定收集、使用其金融信息的,有权要求金融机构停止使用并删除前述金融信息;发现金融机构收集、存储的消费者金融信息有错误的,有权要求金融机构予以更正。金融机构应当采取措施予以删除或者更正。法律、行政法规另有规定的除外。

没有规定

第三十六条

鼓励金融机构在技术可行的前提下,基于金融消费者的请求,将其金融信息转移至金融消费者指定的其他金融机构。

 

通过上表可以看出,2019版相较于2016版在内容本身以及条款的排序上均发生了较大变化,以下,我们将列出2019版《征求意见稿》存在的八点主要变化:

 

1.  将个人金融信息明确为消费者金融信息

 

2019版《征求意见稿》的一个变化是术语变化:2016版《实施办法》用词为“个人金融信息”,2019版《征求意见稿》变更为“消费者金融信息”。这一变化精准了法规的保护群体定义,更加有利于金融机构在实践工作中的落实。

 

2.  收集、使用消费者金融信息应当征得消费者的明示同意

 

《征求意见稿》明确要求金融机构在收集、使用消费者金融信息前应当征得消费者的明示同意,意味着无论是在线上还是线下,金融机构均应当在消费者通过书面、口头等方式主动做出纸质或电子形式的声明,或者自主做出肯定性动作后,方可收集、使用消费者的金融信息。

 

3.  删除了“至少每半年排查一次个人金融信息安全隐患”的要求

 

2016版《实施办法》要求金融机构应当严格落实国家网络安全和信息技术安全有关规定,采取有效措施确保个人金融信息安全,至少每半年排查一次个人金融信息安全隐患。2019版《征求意见稿》则删除了此规定,从而减少了金融机构的此项义务。

 

4.  信息安全事件72小时告知金融消费者

 

2019版《征求意见稿》要求金融机构在确认信息发生泄漏、毁损、丢失等安全事件时,应当在72小时以内采取补救措施并告知金融消费者。但值得注意的是,2019版《征求意见稿》相较于2016版《实施办法》删去了发生安全事件向有关主管部门报告的义务。

 

2019版《征求意见稿》删除向主办部门报告义务的原因以及目的尚不明确。笔者认为2019版《征求意见稿》在发生对消费者金融信息风险极高的安全事件时,增强了对消费者的报告义务,却同时降低了向主管部门的报告义务,这一点不利于提高金融机构的安全责任意识。虽然2019版《征求意见稿》加强了金融机构对金融消费者的保护责任,但笔者认为保留金融机构向主管部门报告的义务则有助于落实金融机构对消费者保护责任的实施。

 

5.  将消费者金融信息用于营销,需要提供拒绝权

 

2016版《实施办法》要求金融机构不得将金融消费者授权或者同意其个人金融信息可用于营销作为与金融消费者建立业务关系的先决条件,但该业务关系的性质决定需要预先做出相关授权或者同意的除外。而2019版《征求意见稿》则删除这一例外情景,并明确要求金融机构向消费者提供自主选择是否同意将金融信息用于营销的目的。消费者不同意将其个人信息用于营销的,金融机构不得因此拒绝提供金融产品或服务,即需要给予消费者对其金融个人信息用于营销时的拒绝权

 

6.  外包服务结束时,需要外包服务提供商删除金融信息

 

2016版《实施办法》和2019版《征求意见稿》均对金融机构将其部分服务外包的要求进行规定,但2019版《征求意见稿》额外要求合作关系终止后,金融机构应当监督外包服务供应商及时销毁从金融机构获取的消费者金融信息,从而避免金融信息被第三方非法、超期持有。

 

7.  增加了对消费者金融信息的权利保护机制

 

2019版《征求意见稿》相较于2016版《实施办法》新增加了第三十三条、第三十六条关于消费者对其金融信息的权利主张,包括消费者对其金融信息的删除权、更正权以及将个人信息转移至指定机构的权利,与《网络安全法》、《信息安全技术 个人信息安全规范(征求意见稿)》(10.22版)的规定基本保持一致。

 

值得重点关注的是,《个人信息安全规范(征求意见稿)》第7.14条所规定的获取个人信息副本权包含了两种情形,即直接向个人信息主体提供副本,或者将副本传输给个人信息主体指定的任何第三方。2019版《征求意见稿》第三十条仅规定了第二种情形,即将其金融信息转移至金融消费者指定的其他金融机构,即并非完整意义上的获取个人信息副本权。

 

8.  跨境合规性要求趋于完善

 

《征求意见稿》在《实施办法》规定的基础上,对消费者金融信息可以出境的情形进行了体系化的规定,明确了消费者金融信息由于跨境业务出境时应当满足的具体条件,删除了《实施办法》中“除法律法规及中国人民银行另有规定外,金融机构不得向境外提供境内个人金融信息。”的表述,详细列出了消费者金融数据可以出境的前提条件,为公司在处理跨境业务中如何保证消费者金融数据出境的合规性提供了清晰的指引,也保证了国家重要利益与安全。(待续)

 

相关法规链接:

 

  • 中国人民银行《金融消费者权益保护实施办法(征求意见稿)》:

    http://www.gov.cn/gongbao/content/2017/content_5213211.htm