17c起草的背景与立法意图
《数据安全管理办法》第十七条第三款(业内简称为“17c起草”)自征求意见阶段起就备受关注,因为它是首次在部门规章层面明确数据处理者“最小必要”原则的具体落实路径。这和之前数据安全条款制定中笼统的原则性表述完全不同,直接影响到企业的合规成本。
当时参加征求意见座谈的企业代表普遍反映,条款初稿对“自动化决策”的界定过于宽泛,可能导致正常商业分析被误伤。经过三次修订,最终发布稿吸收了部分建议,在第二款中对“直接营销”设定了单独同意门槛。这种调整背后,是起草者试图在个人信息保护与产业创新之间找平衡。
- 首次将“算法备案”写进强制性条款,配套细则随后由网信办发布
- 明确“生物特征数据”的存储地点必须在中国境内,且不得向境外提供原始数据
- 引入“数据保护官”联络机制,要求平台型企业在本地设立实体岗
我在律所参与过几家客户的合规自查,发现很多运营团队对17c起草中“间接识别”的认定标准仍存在误读——不少人以为只要做了哈希脱敏就算匿名化,但个人信息去标识化并不是法律意义上的匿名化,这一点在后续的监管案例中多次被敲打。
条款适用范围与主体界定
17c起草的适用范围并没有局限在互联网企业,传统制造业如果涉及员工健康数据的监测上传,同样会被纳入监管。比如某车企在产线上部署了疲劳检测摄像头,采集到的面部视频流一旦通过网络回传至总部,就得满足17c中的“最小必要”和“目的限制”要求。
- 数据处理者
- 指能够单方面决定处理目的和方式的组织,不包括仅受委托进行运维的技术服务商
- 自动化决策
- 凡是利用算法模型对个体做出分析评估的行为,哪怕只是生成一个信用分,也属于此范畴
需要特别注意的是,17c条款里提到的“用户画像”并不要求一定包含姓名身份证号。只要你能用设备指纹、浏览器指纹或行为序列把一个人从群体中区分出来,就构成画像,需要履行告知义务。这一点在小程序运营场景下被触犯的次数相当多,我见过的几个处罚案例,罚款金额不高但对品牌信任度的打击很大。
17c条款核心义务与禁止性规定
为了方便内部培训和制度落地,我把17c起草后的终版条款拆解成了四类义务清单。很多业务部门负责人看完之后才意识到,过去认为“技术上无法实现”的拒绝权,其实产品经理在设计阶段就能满足,完全不是成本问题。
- 提供“不针对个人特征”的通用选项,禁止把用户刻意导向个性化推荐
- 对涉及重大利益的自动化决策,必须建立人工复核通道,且复核结果需要有据可查
- 未成年人数据收集前,必须完成双重验证:身份年龄校验 + 监护人明示同意
- 数据跨境传输场景下,除安全评估外还需每半年向本地监管部门提交出境数据清单
避坑提醒:不少企业在隐私政策中笼统写“可能用于改善服务质量”,这恰恰是17c禁止的模糊表述。必须按具体业务场景分别说明要收集什么、用多久、能不能关掉,否则会被认定为未征得有效同意。
违反17c条款的法律责任
| 违法情形 | 处罚力度 | 备注 |
|---|---|---|
| 未提供通用推荐选项 | 5-20万元罚款 | 首次发现通常责令限期改正 |
| 未设人工复核机制 | 20-50万元罚款 | 直接负责主管也可能被追责 |
| 未成年人数据违规 | 上年营收1%-5% | 属于加重情节,不可与前述罚款合并计算 |
| 跨境数据未备案 | 暂停境外接收方合作 | 还可能导致App下架 |
从目前的执法节奏看,监管对“主观恶意”和“无意疏忽”的区分越来越清晰。如果是内部管理制度缺失而造成的合规漏洞,只要积极整改、如实提交整改报告,一般不会遭受顶格处罚。但如果在收到整改通知后拖延不办,被二次检查到的后果就严重得多,这也是我个人在帮客户拟合规整改方案时反复强调的部分。
实务建议与合规操作
把合规团队和产品团队拉到同一张桌上,用17c条款的“最小必要”原则做一次逆向评估,往往会发现可以砍掉三分之一以上的冗余埋点。这不仅减少法规风险,还能降低数据存储成本。另外建议每季度组织一次“模拟监管问询”,让法务、安全、公关三条线联动,演练一旦被媒体曝光数据争议后的应对流程。如果在操作中遇到条款竞合问题,比如同时适用《个人信息保护法》和17c,优先以更严格的17c具体规定为准,因为上位法在很多地方留下了裁量空间,而17c给出的却是硬性技术指标。至于后续的司法解释会不会进一步细化“自动化决策”的范围,很多同行都在等下半年发布的最新司法解释,这也有可能是明年大合规审计的风向标。
本文为本站原创内容,如需转载请注明出处。
本文永久地址:https://m.ace6192.store/article/71560.html
文章观点仅供学习交流参考。
精选评论
上周刚对照着17c把我们App的推荐弹窗改了,以前默认勾选个性化推荐,现在必须让用户手动开启,转化率虽然掉了七八个点,但总算不用担心被通报了。