前言

2019年第四季度以来,法律圈频出各类新法,那么在数据保护领域就更不例外了,也是持续出台或更新立法,代表了国家对网络安全和个人信息保护执法与监管的不断重视,同时也为企业落地数据合规实践提出了更高的要求与责任。

本文将梳理第四季度较为企业与大众关心的六部代表性法律法规(《儿童个人信息网络保护规定》、《网络信息内容生态治理规定》、《网络音视频信息服务管理规定》、《中国人民银行金融消费者权益保护实施办法》、《民法典(草案)》以及《App违法违规收集使用个人信息行为认定方法》),并通过条文层面上的分析与立法背景上的洞察,提供实践操作层面的解读,帮助企业在2020年适应并把握好网络安全与个人信息保护方面这些新规的立法本意与合规要求。

(续

三、新规解读之三:《网络音视频信息服务管理规定》(20191129日)

2019年11月29日,国家互联网信息办公室、文化和旅游部、国家广播电视总局联合印发了《网络音视频信息服务管理规定》(以下简称“《规定》”),以促进网络音视频信息服务健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益。《规定》自2020年1月1日起正式施行,包含以下几个方面的主要内容:

1. 明确网络音视频信息服务提供者的资质要求

《规定》明确��络音视频信息服务提供者是指向社会公众提供网络音视频信息服务的组织或者个人。网络音视频信息服务提供者应当依法取得法律、行政法规要求的相关资质。

2. 明确网络音视频信息服务使用者身份认证要求

网络音视频信息服务提供者应当依照《中华人民共和国网络安全法》的规定,对用户进行基于组织机构代码、身份证件号码、移动电话号码等方式的真实身份信息认证。用户不提供真实身份信息的,网络音视频信息服务提供者不得为其提供信息发布服务。

3. 明确网络音视频信息服务提供者的安全管理主体责任

首先,《规定》明确了信息内容安全管理责任承担的主体为网络音视频信息服务提供者,即谁经营谁负责。其次,《规定》要求网络音视频信息服务提供者建立内部管理制度体系,包括建立健全用户注册、信息发布审核、信息安全管理、应急处置、从业人员教育培训、未成年人保护、知识产权保护等制度。

从技术层面来看,《规定》要求网络音视频信息服务提供者具有与新技术、新应用发展相适应的安全可控的技术保障和防范措施,能有效应对网络安全事件,防范网络违法犯罪活动,并维护网络数据的完整性、保密性和可用性。

4. 明确对基于深度学习、虚拟现实等新技术新应用的要求

1) 安全评估要求

网络音视频信息服务提供者基于新技术新应用上线具有媒体属性或者社会动员功能的音视频信息服务,或者调整增设相关功能的,应当按照国家有关规定开展安全评估。

2) 标识要求

网络音视频信息服务提供者和网络音视频信息服务使用者利用新技术新应用制作、发布、传播非真实音视频信息的,应当以显著方式予以标识。

3) 明确新闻信息管理要求

“深度伪造”音视频不得制作、发布、传播虚假新闻信息。转载音视频新闻信息的,应当依法转载国家规定范围内单位发布的音视频新闻信息。

4) 明确违法违规信息管理要求

网络音视频信息服务提供者应当部署应用违法违规音视频以及非真实音视频的鉴别技术,发现音视频信息服务使用者制作、发布、传播法律法规禁止的信息内容的,应当依法依约停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关部门报告。

5) 建立辟谣机制

网络音视频信息服务提供者发现网络音视频信息服务使用者利用基于深度学习、虚拟现实等的虚假图像、音视频生成技术制作、发布、传播谣言的,应当及时采取相应的辟谣措施,并将相关信息报主管部门备案。

5. 通过协议明确用户与网络音视频信息服务提供者的权利责任

为了明确双方的权利和义务,《规定》要求服务提供者和用户签订服务协议。除建立下文的投诉机制以外,《规定》要求服务提供者对于违法违规使用服务的用户依法应采取警示整改、限制功能、暂停更新、关闭账号等措施,保存有关记录并向相关部分进行报告。

6. 明确受理投诉举报机制

《规定》要求网络音视频信息服务提供者应当自觉接受社会监督,设置便捷的投诉举报入口,公布投诉、举报方式等信息,及时受理并处理公众投诉举报。

《规定》创设了多项管理制度,及时回应了当前网络音视频信息服务及相关技术发展面临的问题,规定了从事网络音视频信息服务应当遵守的管理要求,为促进网络音视频信息服务健康有序发展提供了重要指引,为保护公民、法人和其他组织的合法权益,维护国家安全和公共利益提供了有力保障。

相关法规链接:

  • 《网络音视频信息服务管理规定》:

四、新规解读之四:中国人民银行《金融消费者权益保护实施办法(征求意见稿)》(20191227日)

2019年12月27日,中国人民银行为进一步规范金融机构经营行为,切实保护金融消费者合法权益起草了《金融消费者权益保护实施办法》并公开对外征求意见。《征求意见稿》包括7章69条,对金融机构行为规范、消费者金融信息保护、金融消费争议解决、监督与管理机制等作出明确规定。

相较于2016版的《金融消费者权益保护实施办法》,2019版在消费者金融信息保护部分条款对比如下:

通过上表可以看出,2019版相较于2016版在内容本身以及条款的排序上均发生了较大变化,以下,我们将列出2019版《征求意见稿》存在的八点主要变化:

1. 将个人金融信息明确为消费者金融信息

2019版《征求意见稿》的一个变化是术语变化:2016版《实施办法》用词为“个人金融信息”,2019版《征求意见稿》变更为“消费者金融信息”。这一变化精准了法规的保护群体定义,更加有利于金融机构在实践工作中的落实。

2. 收集、使用消费者金融信息应当征得消费者的明示同意

《征求意见稿》明确要求金融机构在收集、使用消费者金融信息前应当征得消费者的明示同意,意味着无论是在线上还是线下,金融机构均应当在消费者通过书面、口头等方式主动做出纸质或电子形式的声明,或者自主做出肯定性动作后,方可收集、使用消费者的金融信息。

3. 删除了至少每半年排查一次个人金融信息安全隐患的要求

2016版《实施办法》要求金融机构应当严格落实国家网络安全和信息技术安全有关规定,采取有效措施确保个人金融信息安全,至少每半年排查一次个人金融信息安全隐患。2019版《征求意见稿》则删除了此规定,从而减少了金融机构的此项义务。

4. 信息安全事件72小时告知金融消费者

2019版《征求意见稿》要求金融机构在确认信息发生泄漏、毁损、丢失等安全事件时,应当在72小时以内采取补救措施并告知金融消费者。但值得注意的是,2019版《征求意见稿》相较于2016版《实施办法》删去了发生安全事件向有关主管部门报告的义务。

2019版《征求意见稿》删除向主办部门报告义务的原因以及目的尚不明确。笔者认为2019版《征求意见稿》在发生对消费者金融信息风险极高的安全事件时,增强了对消费者的报告义务,却同时降低了向主管部门的报告义务,这一点不利于提高金融机构的安全责任意识。虽然2019版《征求意见稿》加强了金融机构对金融消费者的保护责任,但笔者认为保留金融机构向主管部门报告的义务则有助于落实金融机构对消费者保护责任的实施。

5. 将消费者金融信息用于营销,需要提供拒绝权

2016版《实施办法》要求金融机构不得将金融消费者授权或者同意其个人金融信息可用于营销作为与金融消费者建立业务关系的先决条件,但该业务关系的性质决定需要预先做出相关授权或者同意的除外。而2019版《征求意见稿》则删除这一例外情景,并明确要求金融机构向消费者提供自主选择是否同意将金融信息用于营销的目的。消费者不同意将其个人信息用于营销的,金融机构不得因此拒绝提供金融产品或服务,即需要给予消费者对其金融个人信息用于营销时的拒绝权

6. 外包服务结束时,需要外包服务提供商删除金融信息

2016版《实施办法》和2019版《征求意见稿》均对金融机构将其部分服务外包的要求进行规定,但2019版《征求意见稿》额外要求合作关系终止后,金融机构应当监督外包服务供应商及时销毁从金融机构获取的消费者金融信息,从而避免金融信息被第三方非法、超期持有。

7. 增加了对消费者金融信息的权利保护机制

2019版《征求意见稿》相较于2016版《实施办法》新增加了第三十三条、第三十六条关于消费者对其金融信息的权利主张,包括消费者对其金融信息的删除权、更正权以及将个人信息转移至指定机构的权利,与《网络安全法》、《信息安全技术 个人信息安全规范(征求意见稿)》(10.22版)的规定基本保持一致。

值得重点关注的是,《个人信息安全规范(征求意见稿)》第7.14条所规定的获取个人信息副本权包含了两种情形,即直接向个人信息主体提供副本,或者将副本传输给个人信息主体指定的任何第三方。2019版《征求意见稿》第三十条仅规定了第二种情形,即将其金融信息转移至金融消费者指定的其他金融机构,即并非完整意义上的获取个人信息副本权。

8. 跨境合规性要求趋于完善

《征求意见稿》在《实施办法》规定的基础上,对消费者金融信息可以出境的情形进行了体系化的规定,明确了消费者金融信息由于跨境业务出境时应当满足的具体条件,删除了《实施办法》中“除法律法规及中国人民银行另有规定外,金融机构不得向境外提供境内个人金融信息。”的表述,详细列出了消费者金融数据可以出境的前提条件,为公司在处理跨境业务中如何保证消费者金融数据出境的合规性提供了清晰的指引,也保证了国家重要利益与安全。(待续)

相关法规链接:

  • 中国人民银行《金融消费者权益保护实施办法(征求意见稿)》:

http://www.gov.cn/gongbao/content/2017/content_5213211.htm