在线人数
1246
Tax100会员
28031
搜索
本版
帖子
用户
注册
登录
帐号
自动登录
找回密码
密码
登录
立即注册
只需一步,快速开始
设为首页
收藏本站
税百:专业税务资讯
国际税收讲解
各种证件
搜索
本版
帖子
用户
x
搜索
Tax100 税百
»
论坛
›
全网热点文章
›
精选公众号
›
数安条例百问41、42、关于“删除”
国务院办公厅印发《重点省份分类加强政府投资项目管理办法(试行
@个体工商户,个税经营所得汇算进行中,这些税惠请收好~
大企业税务新“枫”吹来服务暖风
2023,减税降费这一年
【办税】自助终端--自然人信息登记
退役士兵自主就业,如何填报享受税费优惠政策?
【全网最全】31个省市!残保金政策汇编及申
全网最全|2022年失业保险稳岗补贴政策汇总
2021年个税汇算容易出现哪些错误?税务总局
【全网最全】历史上最高规模退税减税!2022
查看:
372
|
回复:
0
[小贝说安全]
数安条例百问41、42、关于“删除”
[复制链接]
数据安全君
数据安全君
当前离线
积分
93
95
主题
95
帖子
93
积分
一级税友
一级税友, 积分 93, 距离下一级还需 107 积分
一级税友, 积分 93, 距离下一级还需 107 积分
积分
93
发消息
2021-12-2 04:11:24
|
显示全部楼层
|
阅读模式
精选公众号文章
公众号名称:
小贝说安全
标题:
数安条例百问41、42、关于“删除”
作者:
发布时间:
2021-12-01 09:42
原文链接:
http://mp.weixin.qq.com/s?__biz=MzkwMDE0MzAyOQ==&mid=2247485357&idx=1&sn=608b02eb2a1b25a8761f85656896d0de&chksm=c049c577f73e4c618a8b8206e14ce4a48d8d3171922eb1955a9d1c1a514ceb9ac743583a8f96#rd
备注:
-
公众号二维码:
-
小贝案语
11月14日,国家互联网信息办公布了《
网络数据安全管理条例
(征求意见稿)》。为此,小贝说安全设立《
网络数据安全管理条例
(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第二十二条 有下列情况之一的,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理:
(一)已实现个人信息处理目的或者实现处理目的不再必要;
(二)达到与用户约定或者个人信息处理规则明确的存储期限;
(三)终止服务或者个人注销账号;
(四)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。
删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。
法律、行政法规另有规定的从其规定。
解读
“删除权”是个人的一项基本权利。正因为如此,《
个人信息保护法
》在第四章“个人在个人信息处理活动中的权利”中,通过第四十七条确认了个人信息的“删除权”:
第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
《
个人信息保护法
》第四十七条的规定已经比较清楚,但实践中有三类问题还没有解决。
一是删除的时限。虽然法律明确了“删除权”,但个人信息处理者什么时候删除才是适宜的?如果花费个三年五载才删除,算不算?
二是账号作为个人信息的一种,其删除过程较为复杂,传统的删除个人信息要求未必适用。
三是除了《
个人信息保护法
》第四十七条规定的条件外,也可能还有需要删除个人信息的情形。典型如行车记录仪,其无法避免采集到路人的信息,这种情况怎么办?
为此,《条例》第二十二条对“删除”作了细化,其对删除或匿名化个人信息的条件并没有过多创设(当然,也有人认为重复《
个人信息保护法
》没有意义,这可以另行讨论),而是重点明确了删除个人信息的时限(十五个工作日),增加了删除账号的要求,并规定了使用自动化采集技术时对个人信息的处理要求。
有的人提出,为什么一定是“十五个”工作日?当个人信息处理者需要删除个人信息时,难道不是应当立即删除吗?
从当事人的良好意愿出发,当然是越快删除越好,特别是当个人信息处理者“违反法律、行政法规或者违反约定处理个人信息”时。但在实际操作时,往往会面临两类问题,一删了之可能有困难。
一是某账号还关联了很多行为,例如有贷款。那么在删除该账号时,还要确认其绑定的所有关联关系均已解除,这个过程较为耗时。
二是某账号可能是犯罪嫌疑人用来实施诈骗的,在完成犯罪行为后,其一般会主动提出删除,如立刻响应,恐对日后公安机关办案带来困难。有的人提出,这属于“法律法规另有规定”或“司法执法活动所需”的情况,本来就应该作为证据留存。实则不然,当某账号还没有被公安机关列为犯罪嫌疑人线索时,不能因果倒置来要求该账号以司法原因必须长期保留。
为此,《条例》从实际出发,提出了十五个工作日内删除或匿名化个人信息的要求,这是综合了保护个人权利需求(时间不能太长)与各种特殊情况(时间无法太短)的结果。
但考虑到即使延长到十五日,确实也还存在难以删除的情况。故《条例》进一步规定,删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。
对应条款
第二十二条 有下列情况之一的,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理:
(一)已实现个人信息处理目的或者实现处理目的不再必要;
(二)达到与用户约定或者个人信息处理规则明确的存储期限;
(三)终止服务或者个人注销账号;
(四)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。
……
解读
“无法避免采集到非必要个人信息或者未经个人同意的个人信息”,这是《
个人信息保护法
》没有涉及的一种新场景。之所以增加这种场景,主要是考虑到了自动化采集技术应用越来越普遍的情况。
最典型的是行车记录仪,其在记录车况、路况时必然会拍摄到不相干的路人,这种情况不可避免,也不可能征得个人同意。事实上,这种场景的提出十分必要,毕竟个人信息保护的核心要求是征得“同意”,但除去例外情况(见《
个人信息保护法
》第十三条)外,仍有还一些场景是无法征得个人同意的。为此,有必要对这种场景下的个人信息保护作出规定。
《条例》第二十二条提出的主体要求是,在十五个工作日内删除此类个人信息或者进行匿名化处理。但事实上,很难对前述行车记录仪采集的个人信息作这样的处理。《条例》为此还进一步作了例外规定:如从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难,不得开展除存储和采取必要的安全保护措施之外的处理。这意味着,行程记录仪采集的信息正常存储即可,但不宜公开。如必须公开,应当对无关人员的个人信息进行处理,例如打马赛克。
【下期预告】
43、
《条例》从哪些方面保障个人行使查询、复制等权利?
44、
如何理解个人信息转移请求?
45、
如何理解个人请求直接对外转移个人信息的条件?
【往期链接】
0、
条例正文
1、
《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么?
2、
如何理解《条例》的结构?
3、
如何理解《条例》名称中使用的是“网络数据”?
4、
如何理解数据处理者?
5、
如何理解《条例》的域外效力?
6、
如何理解《条例》的不适用范围?
7、
如何理解数据分类分级保护制度?
8、
如何理解数据分类分级管理?
9、
如何理解重要数据?
10、
如何理解重要数据与个人信息的关系?
11、
如何组织识别重要数据和核心数据?
12、
如何理解重要数据和核心数据目录?
13、
如何理解数据开发利用?
14、
如何理解数据交易管理制度?
15、
如何理解数据处理者的安全保护义务?
16、
如何理解等级保护、关键信息基础设施安全保护与数据安全的关系?
17、
如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求?
18、
如何理解数据处理者的应急处置义务?
19、
如何理解重要数据或者十万人以上个人信息事件的处置义务?
20、
如何理解向第三方提供个人信息或发送重要数据的安全要求?
21、
如何理解“单独同意”?
22、
为什么要求留存个人同意记录?
23、
如何理解《条例》提出的网络安全审查要求?
24、
《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系?
25、
为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求?
26、
为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求?
27、
为什么对合并、重组、分立或解散、破产提出数据安全要求?
28、
为什么要对国家机关专门提出数据安全要求?
29、
如何理解对自动化工具访问、收集数据的安全要求?
30、
《条例》提出数据安全情况披露要求是基于什么考虑?
31、
如何理解对“合法、正当、必要”提出的要求?
32、
为什么增加了对处理个人信息“频次”“时机”的要求?
33、
为什么要细化对个人信息处理规则的要求?
34、
如何理解对个人信息处理规则提出的“清单形式”?
35、
为什么要在个人信息处理规则中对第三方代码、插件提出要求?
36、
无法对掌握开源第三方代码的个人信息处理规则怎么办?
37、
为什么要细化对“同意”的要求?
38、
为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息?
39、
什么叫做“频繁”征求同意?
40、
对个人同意行为有效性存在争议时如何处理?
总编辑|小贝
相关帖子
•
明确了!雇主责任险能否冲抵工伤赔偿?最高法院一锤定音!| 劳动法库
•
员工拒绝调岗不去新岗位报到仍去原岗出勤构成旷工吗?(还有更多)
•
最新!广东高院关于审理机动车交通事故责任纠纷案件的指引(2024)| 劳动法库
•
第五届全国人民代表大会常务委员会关于批准《国务院关于职工探亲待遇的规定》的决议 | 劳动法库
•
收藏!人社部现行有效76件规章汇总(附文号及施行日期)| 劳动法库
•
公开课:入职管理、调岗管理与解雇管理实操技巧(2024)
回复
使用道具
举报
返回列表
浏览过的版块
热点答疑
新闻资讯
浙江
产业政策
福建
上海
江西
云南
广西
官方链接
中国人大网
中国政府网
发改委
国家税务总局
北京市税务局
天津市税务局
河北省税务局
山西省税务局
内蒙古税务局
辽宁省税务局
吉林省税务局
黑龙江税务局
上海市税务局
江苏省税务局
浙江省税务局
安徽省税务局
福建省税务局
山东省税务局
江西省税务局
河南省税务局
湖北省税务局
湖南省税务局
广东省税务局
广西税务总局
海南省税务局
重庆市税务局
四川省税务局
贵州省税务局
云南省税务局
西藏税务总局
甘肃省税务局
陕西省税务局
青海省税务局
宁夏税务总局
新疆税务总局
大连市税务局
宁波市税务局
厦门市税务局
青岛市税务局
深圳市税务局
友情链接
51社保
信用卡申请
Copyright © 2001-2013
Comsenz Inc.
Powered by
Discuz!
X3.4
京公网安备 11010802035448号
(
京ICP备19053597号-1,电话18600416813,邮箱liwei03@51shebao.com
)
了解
Tax100
创始人胡万军
优化与建议
隐私政策
快速回复
返回列表
返回顶部