《个人信息保护法》的颁布和施行,为我国保护个人信息权益增添了一层强有力的法制保障,其中查阅和复制权,充分保障了个人享有知情、决定其个人信息的能力,转移权则赋予了个人自行处理其个人信息的权利。个人信息转移要求的有关国标正在征求意见,对个人信息处理者响应个人信息主体转移信息请求的全流程作出明确规范。故本文将从《个人信息保护法》第四十五条的要求出发,探讨个人信息处理者在处理 APP 查阅、复制、转移个人信息时应注意哪些要求。
一、法条解析
| 《个人信息保护法》 第四十五条 | ||
| 1 | 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。 | 条款解析:隐私政策中,需向用户提供查阅、复制个人信息的途径或方式,并确保提供的途径或方式真实有效。若因客观条件限制无法提供查阅、复制个人信息服务的,建议在隐私政策中明示其原因。 无需提供告知查阅、复制个人信息的情形: · 有法律、行政法规规定应当保密或者不需要告知的。 · 告知将妨碍国家机关履行法定职责的。 |
| 2 | 个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。 | 条款解析:个人信息处理者应尽快处理个人查阅、复制个人信息的请求,以保障个人的合法权益。 |
| 3 | 个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。 | 条款解析:APP若符合国家网信部门规定条件,个人信息处理者应向个人提供真实有效的转移个人信息途径或方式,并及时处理个人转移个人信息的请求。若因客观条件限制无法提供转移个人信息服务的,建议在隐私政策中明示原因并就此提供投诉途径。 |
注 1:在 APP 端,个人信息处理者指 APP 开发者/运营者,个人指用户。
注 2:《个人信息保护法》第十八条:个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
注 3:《个人信息保护法》第三十五条:国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。
二、检测及合规思路
(一)个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。
1. 查询个人信息
查阅隐私政策,检查 APP 隐私政策是否向用户说明了查阅个人信息的路径或方法,如果隐私政策提供了查阅个人信息的路径,应先按照隐私政策提供的路径尝试进行操作,检查隐私政策提供的路径是否真实有效。以下图 1 为提供有效查阅个人信息途径的合规示例:
图 1:APP 提供有效的查阅个人信息途径
2. 复制个人信息
查阅隐私政策,检查 APP 隐私政策是否向用户说明了复制个人信息的路径或方法,如果隐私政策提供了复制个人信息的路径,应先按照隐私政策提供的路径尝试进行操作,检查隐私政策提供的路径是否真实有效。若因客观条件限制无法提供复制个人信息服务的,如基于用户业务操作的交易信息等,除数据量巨大的原因之外,还可能因竞业限制无法提供副本,对于类似情形,建议个人信息处理者在隐私政策中明示其原因。图 2 为提供有效复制个人信息副本的合规示例:
图2:APP 提供有效的复制个人信息途径
如果隐私政策未提供已收集个人信息查阅、复制路径,应尽量通过不同手段进行验证(例如:联系在线客服、线下门店等),检查其是否能够提供查阅、复制已收集个人信息的途径或方法,并验证其提供的方法是否可操作。若询问并验证 APP,提供了查阅、复制已收集个人信息的有效途径,但未在隐私政策中向用户公开说明的,建议个人信息处理者将查阅、复制途径或方法补充到隐私政策中,使得用户知情权得到更充分的保障。
但是个人信息处理者并非无条件满足个人查阅、复制个人信息的请求,不加限制的查阅和复制权可能会导致信息的滥用或误用,除此之外信息的不正当泄露将会为国家、企业、个人带来一定程度上的危害,故《个人信息保护法》明确规定满足以下两种情形的,个人信息处理者可不向个人进行告知:
- 法律、行政法规规定(不包含地方性法规及部门规章)应当保密或者不需要告知的,以确保政府和企业能够在不受外界不当干预的情况下,有效地执行法律规定和运作。
- 取得同意将妨碍国家机关履行法定职责的可以不向个人告知,避免在告知和取得个人同意时,造成不必要的延误和干扰,以确保国家机关能够有效履行其职责。
(二)个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。
1. 处理查阅个人信息时效
查阅隐私政策,操作页面等,检查 APP 是否就人工处理查询的时效进行了承诺,或按照指引的人工服务方式,执行个人信息查询的操作,查验 APP 服务方是否能在处理时效内提供查询,如果 APP 已承诺了人工处理时效,则验证是否在处理时效内完成查询。
如果 APP 未承诺处理时效,则需通过公示的联系渠道(在线客服、客服热线、邮件等)要求 APP 服务方提供处理时效。虽然《个人信息保护法》并没有明确说明“及时提供”的具体期限,但参考《TC260-PG-20202A 网络安全标准实践指南—移动互联网应用程序(APP)收集使用个人信息自评估指南》的 6.2-b)的量化要求,人工处理查询要求的时效应为15个工作日。而《GB/T 35273-2020 信息安全技术—个人信息安全规范》的8.7-a)中,对于响应时效要求是30天以内或依据法律法规要求。对于个人信息处理者而言,建议以15个工作日为最长期限,最大程度保障个人的合法权益。
2. 处理复制个人信息时效
查阅隐私政策,操作页面等,检查 APP 是否就人工处理用户关于复制个人信息/获取个人信息副本要求的时效进行了承诺,如被测应用已经承诺了处理时效,按照其提供的人工服务方式,尝试提出获取个人信息副本的要求,并从人工服务接口人处验证其承诺的时效是否能得到保证。
如隐私政策或页面未承诺人工处理时效,尝试通过客服(在线或电话、邮件等渠道)提出获取个人信息副本的要求,并询问处理时效,查验 APP 服务方是否能在承诺的处理时效内提供个人信息副本。由于目前除了《GB/T 35273-2020 信息安全技术—个人信息安全规范》的8.7-a),暂未有其他监管规范或法规针对个人信息处理者处理复制个人信息提出时效要求,故建议将“30天”作为处理的最大期限。
综合本章节分析,个人信息处理者应尽快处理个人查阅、复制个人信息的请求,以规避有关风险。除此之外,隐私政策中也应避免使用“会尽快处理”等此类模糊、不明确的承诺表述。以下图 3 为查阅、复制个人信息的处理时效描述示例:
图 3:查阅、复制个人信息的处理时效描述
(三)个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
查阅隐私政策,查看隐私政策中是否说明个人信息转移请求的处理途径,若隐私政策已经明确转移途径或可处理转移请求的途径,尝试验证提供的途径是否有效;若 APP 未在隐私政策中说明转移个人信息的途径,但询问客服得知可提供转移服务的,建议个人信息处理者在隐私政策中补充转移个人信息的途径或方式。以下图 4 为个人信息处理者提供转移个人信息途径的示例:
图 4:隐私政策中关于转移个人信息描述
个人信息处理者响应个人的请求,将个人信息转移至其指定的个人信息处理者,有一个前提条件是需要“符合国家网信部门规定条件”,在 2021 年《网络数据安全管理条例(征求意见稿)》的第二十四条中提出:符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:
- 请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;
- 请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;
- 能够验证请求人的合法身份。
从上述要求看,合法用户的个人信息基本上都满足提出转移的要求,而个人信息处理者则不应随意拒绝用户转移个人信息的诉求,但如若 APP 因不满足网信部门的条件或因客观条件限制,无法提供转移服务的,建议在隐私政策中明示拒绝的原因,且根据《GB/T 35273-2020 信息安全技术—个人信息安全规范》的8.7-f),应用运营者/所有者如果拒绝用户转移个人信息的要求,除提供拒绝的理由之外,还应同时提供用户就此进行投诉的途径。
三、结 语
《个人信息保护法》的施行,目的在于保护个人信息权益,规范个人信息处理者活动,保障个人信息被合理利用和使用,规制了数据领域的垄断行为。但“天下之事,不难于立法,而难于法之必行”,法律作为约束、规范人类行为,维护社会稳定的工具,仍需个人、信息处理者、监管和执法部门的共同努力,把法律法规落到实处,使之发挥应有的效力,为个人、社会和国家的发展提供持续的保障。
本文作者:北京梆梆安全科技有限公司 陈希婷、陈凤萍
