专业研究

二、个人信息安全管理

1. 个人信息处理规则

对于个人信息，《条例》第二十条延续了《个人信息保护法》中以“告知＋同意”为核心的处理规则，提出“明确具体、简明通俗、系统全面”的标准，进一步细化对用户协议相关内容的要求。

针对备受诟病的App频繁收集个人信息问题，《条例》首次明确要求将个人信息收集的频次或时机在用户协议中列明，这也与《个人信息保护法》规定的“最小必要”原则相对应。从各种App提供服务的实际情况来看，App并非一次性收集完用户的个人信息。例如最近广受热议的App读取用户相册事件，取得用户同意后，由于相册内容不断变化，App为提供快速响应，即使用户未使用App与相册相关的功能，App也会频繁地收集相册信息，这就给用户带来很多困惑。通过明确收集个人信息的频次或时机，用户的知情权得到较好的保障。

2. 个人同意

《条例》第二十一条对《个人信息保护法》中的“个人同意”进行细化，如不得使用概括性条款取得同意；处理个人敏感信息须取得单独同意；处理不满十四周岁未成年人信息须取得其监护人同意；不得以改善服务质量、提升用户体验、研发新产品等为由强迫个人同意；不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量同意；等等。在获取同意之后，不得超出授权同意的范围处理个人信息；也不得在个人明确表示不同意后，频繁征求同意、干扰正常使用服务。

值得注意的是，《条例》明确规定，对个人同意行为有效性存在争议时，数据处理者负有举证责任。对此，数据处理者应充分重视用户协议的拟定，并留存相关记录。

3. 数据处理者的删除义务

《条例》第二十二条对《个人信息保护法》中数据处理者的删除义务进行细化，明确了十五个工作日的处理时限，即满足删除个人信息的情形时，数据处理中应在十五个工作日内删除个人信息或进行匿名化处理；删除难以实现，或十五个工作日内删除确有困难的，数据处理者不得开展除存储和必要的保护措施之外的处理方式，并应当向个人作出合理解释。

另外，相对于《个人保护法》第四十七条规定的数据处理者应删除个人信息的情形，《条例》增加了“因使用自动化采集技术等，无法避免采集到的非必要个人信息或者未经个人同意的个人信息”这种应当删除的情形。这也是对近期受到广泛热议的“爬虫”获取数据，以及网联汽车获取非必要数据的回应。

4. 数据可携带权

《个人信息保护法》首次将数据可携带权正式引入我国个人信息保护的法律体系，但其对数据可携带权的规定尚不完整，《条例》第二十四条对此予以细化。

与GDPR类似，数据可携带权仅针对基于同意或者订立、履行合同所必需而收集的个人信息，其中包括本人信息和请求人合法获得且不违背他人意愿的他人信息。同时，《条例》也参考了CPRA强调经营者应在可核实身份的前提下支持消费者的数据携带请求的要求，规定对请求人的合法身份需要验证，同时发现接收个人信息的其他数据处理者有非法处理个人信息风险的，应当对数据携带请求做合理的风险提示。

5. 生物特征识别不得作为身份认证的唯一方式

《条例》第二十五规定，数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。这也是对广泛热议的App或小区物业强制用户使用人脸识别的明确回应，意味着今后所有数据处理者必须提供人脸等生物特征识别以外的其他认证方法。

（本文为原创文章，作者为王俊林律师、石陇辉律师助理。欢迎转载，转发请注明出处，侵权必究）