地址:成都市天府大道中段1388號花樣年·美年廣場,JR·Fantasia花漾錦江B棟10樓1007室
專業視野|數據處理者的合規之路——《網絡數據安全管理條例(征求意見稿)》解讀
發布時間:2023-06-19 13:13:00 瀏覽量:82
【摘要】2021年《中華人民共和國民法典》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》先后施行,從立法角度,將數據保護、數據治理提到了前所未有的高度。加之過去和近期相繼公布的一系列與數據相關的部委規章(含征求意見稿)、地方政府大數據條例,更是豐富和完善了數據保護、數據治理的法律體系,為數字經濟發展夯實了法律根基。2021年11月14日,國家互聯網信息辦公室公布了《網絡數據安全管理條例(征求意見稿)》。作為行政法規,《網絡數據安全管理條例》對法律予以補充和完善,更加清晰、明確地壓實了數據處理者的職責和義務。本文通過解讀《網絡數據安全管理條例(征求意見稿)》,對數據處理者的職責和義務予以梳理,以期為法律實務提供參考。
【關鍵詞】數據處理者 合規 《網絡數據安全管理條例》(征求意見稿) 解讀
《網絡數據安全管理條例(征求意見稿)》(以下簡稱“條例”)依據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律制定,其作為一部行政法規,不僅對上述法律的相關規定進行了執行和細化,還作出了一定程度的補充和完善。
相比于《網絡安全法》與《個人信息保護法》側重網絡、信息和數據安全及保護,以規范處理、保障數據和網絡安全為方向,《條例》則更側重于通過清晰的結構和脈絡,壓實數據處理者的主體責任和義務,以促進數據安全保護、數據處理活動、數據流動的合規落地,保障數字經濟的穩定、安全發展。
第一節 數據處理者的一般合規責任
一、數據處理者應當承擔數據安全保護主體的責任
《條例》第73條5款規定:“數據處理者是指在數據處理活動中自主決定處理目的和處理方式的個人和組織”,這種以“處理目的和處理方式的自主性”確定數據處理者,有利于界定數據全生命周期活動過程中的不同責任主體及其責權利。
數據處理者除了普遍知曉的互聯網平臺企業,還包括但不限于如下主體:政府部門、事業單位;提供SAAS產品、管理系統、技術系統的研發、產品和服務的科技類企業;關鍵信息基礎設施運營者;互聯網平臺運營者及平臺內經營者;數據收集者、存儲者、使用者;生產制造等實體企業等。
在數據全生命周期活動過程中,履行數據安全保護責任的主體是數據處理者,其履行數據安全保護責任,接受政府和社會監督,并承擔社會責任。因此,數據處理者首先應當定位,做到兩個明確:
1.明確自己在處理數據過程中的一種及/或多種、不變及/或可能變化著的角色,以及不同角色的職責和義務,比如某數據處理者在處理某數據過程中,可能是重要數據處理者,可能是跨境數據處理者,可能是個人敏感信息處理者,可能是互聯網平臺運營者;
2.明確所涉及的各種數據處理關系,并根據數據處理的目的、內容、方式等,界定各不同數據處理者的權利、職責和義務,通過法律文件予以明確,技術手段進行規制。
二、數據處理者應當具備相應的技術能力和網絡安全等級
《條例》第73條2款規定:“數據處理活動是指數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動。”《條例》采用了《個人信息保護法》中的處理內容,相比《數據安全法》,增加了“刪除”這一步,完善了數據全生命周期活動的保護內容。
在整個數據處理過程中,數據處理者應當擁有相應的技術能力,采取相應的技術措施,包括備份、加密、訪問控制等,保障數據免遭泄露、竊取、篡改、毀損、丟失、非法使用,并能夠應對數據安全事件,防范黑客、病毒及其他違法犯罪活動,維護和保障數據的完整、保密、可用、合法。如果不具備相應的技術能力,則可能導致數據遭受破壞,導致多方被侵權,并由自身承擔侵權或者違約責任。
同時,建立相應的技術保護機制。
數據處理者采取自動化工具訪問、收集數據時,應當評估對網絡服務的性能、功能帶來的影響,若發生違規、影響網絡服務政策功能,或者侵權行為的,應當停止訪問、收集行為,并采取補救措施。
國家機關、關鍵信息基礎設施運營者應當針對采購云計算服務,通過國家網信部門會同國務院有關部門組織的安全評估。
另外,數據處理者應當根據網絡安全等級保護要求,在數據處理系統、數據傳輸系統、數據存儲環境等方面加強網絡安全防護,針對“重要數據”提供三級以上的網絡安全等級保護和關鍵信息基礎設施安全保護措施,從嚴保護核心數據,并使用“密碼”保護重要數據和核心數據。
三、數據處理者應當建立數據安全管理制度、應急、投訴等機制
1.建立數據安全管理制度
數據處理者良好的安全保障及合規管理能力,將為企業的數字化轉型奠定扎實的基礎。由于數據治理需要同時考慮合規要求及合規成本,因此,數據處理者應當根據法律、法規、國家標準的強制性要求,以及行業規范,對其數據進行分類分級,建立健全適合本組織的數據安全管理制度體系,并適時評估、不斷改進和完善,以落實數據安全保護責任,保護數據安全。
2.建立數據安全應急處理機制
《條例》對不同事件下數據處理者的合規職責和義務做了明確詳細的規定,具體內容如表1所述:
|
|
事件 |
數據合規職責及義務 |
|
1 |
網絡產品和服務存在安全缺陷、漏洞,或者威脅國家安全、危害公共利益 |
應當立即采取補救措施 |
|
2 |
安全事件對個人、組織造成危害 |
應當在3個工作日內通知利害關系人 |
|
3 |
發生重要數據或十萬人以上個人信息泄露、毀損、丟失 |
應當在事件發生后八小時內報告,在事件處置完畢后五個工作日內提交調查評估報告 |
表1 不同事件下,數據處理者的職責及義務
3.建立投訴舉報渠道
數據處理者應當建立數據安全投訴舉報渠道,及時受理、處置投訴舉報。
第二節 不同場景下數據處理者的合規責任及義務
一、個人信息處理場景下的合規職責及義務
在個人信息處理要求方面,《條例》對《個人信息保護法》進行了細化、補充和完善。數據處理者除了應當遵守《個人信息保護法》及其他法律法規規章規定的職責外,還應當遵守如下個人信息保護合規要求:
1.制定個人信息處理規則,并集中公開展示,易于訪問,內容明確具體、簡明通俗。《條例》關于“個人信息處理規則”的內容要求見表2。
|
|
事項 |
個人信息處理規則內容 |
|
1 |
列清單 |
依據產品或者服務的功能明確所需的個人信息,以清單形式列明每項功能處理個人信息的目的、用途、方式、種類、頻次或者時機、保存地點等,以及拒絕處理個人信息對個人的影響。 |
|
2 |
存儲期限 |
個人信息存儲期限或者個人信息存儲期限的確定方法、到期后的處理方式。 |
|
3 |
同意的途徑和方法 |
個人查閱、復制、更正、刪除、限制處理、轉移個人信息,以及注銷賬號、撤回處理個人信息同意的途徑和方法。 |
|
4 |
集中展示第三方信息 |
以集中展示等便利用戶訪問的方式說明產品服務中嵌入的所有收集個人信息的第三方代碼、插件的名稱,以及每個第三方代碼、插件收集個人信息的目的、方式、種類、頻次或者時機及其個人信息處理規則。 |
|
5 |
向第三方提供信息 |
向第三方提供個人信息的情形及其目的、方式、種類,數據接收方相關信息等。 |
|
6 |
安保措施 |
個人信息安全風險及保護措施。 |
|
7 |
爭議解決機制 |
個人信息安全問題的投訴、舉報渠道及解決途徑,個人信息保護負責人聯系方式。 |
表2 《條例》關于“個人信息處理規則”的內容要求
2.履行其他合規職責及義務(見表3)
|
|
事項 |
數據合規職責及義務 |
|
1 |
信息采集 |
“采集”個人信息,應當遵循合法、正當、必要和最小影響的原則,并遵守“不得”實施的禁止性要求。 |
|
2 |
同意 |
數據處理者征得個人同意,不得使用概括性條款、不得采取任何方式強迫個人單獨或批量同意,不得超出授權范圍。數據處理者對個人“同意”的有效性承擔舉證責任。 |
|
3 |
向第三方提供個人信息 |
數據處理者向第三方提供個人信息,應當充分告知個人并取得個人單獨同意,并與數據接收方通過合同明確各自數據安全責任義務,其中,數據處理者對接收方享有監督權;個人同意記錄、日志記錄、審批記錄至少留存5年。 |
|
4 |
刪除義務 |
數據處理者應當按照必須“刪除”個人信息的情形、處理方式,在15個工作日內刪除或匿名化處理。 |
|
5 |
對個人行使權利的響應 |
數據處理者應當積極響應個人行使“查閱、復制、更正、補充、限制、刪除”其個人信息的合理請求,并在15日內處理及反饋。 |
|
6 |
信息轉移 |
針對個人提出的符合條件的“信息轉移請求”,數據處理者除了提供轉移服務外,還應對轉移請求做合理的風險提示,并對超出合理范圍次數的專業享有收費權。 |
|
7 |
風險評估 |
針對數據處理者利用生物特征進行個人身份認證的,要求進行必要性、安全性的風險評估,不得將生物特征作為唯一的個人身份認證方式強制收集。 |
|
8 |
合規審計 |
數據處理者應當委托數據安全審計專業機構定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。 |
|
9 |
發生風險事件的報告及調查評估 |
發生十萬人以上個人信息泄露、毀損、丟失等數據安全事件時,數據處理者應當在八小時內向設區的市級網信部門報告,并在事件處置完畢后的五個工作日內提交有關原因、危害后果、責任處理、改進措施等內容的調查評估報告。 |
|
10 |
處理一百萬人以上個人信息 |
還應當遵守第四章“重要數據處理者”的合規職責及義務【視為重要數據】。 |
|
11 |
赴國外上市的網絡安全審查 |
處理一百萬以上個人信息的數據處理者赴國外上市的,應當申報網絡安全審查。 |
表3 數據處理者的其他職責和義務
二、重要數據處理場景下的合規義務
根據《條例》第5條規定:“國家建立數據分類分級保護制度,按照一般數據、重要數據、核心數據分級,不同級別需采取不同的保護措施,國家對個人信息和重要數據進行重點保護,對核心數據實行嚴格保護。各地區、各部門應當按照國家數據分類分級要求,對本地區、本部門以及相關行業、領域的數據進行分類分級管理。”數據處理者應當根據國家、地區、部委制定的重要數據和核心數據目錄,梳理其所處理數據的級別,識別是否存在“重要數據”“核心數據”“個人敏感信息”,并對“重要數據”“核心數據”“個人敏感信息”采取不同的合規措施。
而數據的分類,因為與管理目標、管理需求相關,其可以有不同維度、不同分類方式,《條例》并未做具體的列舉。實踐中,數據處理者可以首先按行業、領域進行初步分類,然后根據所處理數據的流轉、性質、特點、生命周期,結合業務場景等內容進行具體分類。
《條例》《數據安全法》《個人信息保護法》規定的重要數據、核心數據、個人敏感信息定義如下(見表4):
|
|
分級 |
定義 |
|
1 |
重要數據《條例》 |
重要數據指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據: 1.未公開的政務數據、工作秘密、情報數據和執法司法數據; 2.出口管制數據,出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據,密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據; 3.國家法律、行政法規、部門規章明確規定需要保護或者控制傳播的國家經濟運行數據、重要行業業務數據、統計數據等; 4.工業、電信、能源、交通、水利、金融、國防科技工業、海關、稅務等重點行業和領域安全生產、運行的數據,關鍵系統組件、設備供應鏈數據; 5.達到國家有關部門規定的規模或者精度的基因、地理、礦產、氣象等人口與健康、自然資源與環境國家基礎數據; 6.國家基礎設施、關鍵信息基礎設施建設運行及其安全數據,國防設施、軍事管理區、國防科研生產單位等重要敏感區域的地理位置、安保情況等數據; 7.其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據。 |
|
2 |
核心數據《數據安全法/條例》 |
指關系國家安全、國民經濟命脈、重要民生和重大公共利益等的數據。 |
|
3 |
個人敏感信息《個人信息保護法》 |
是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。 |
表4 不同級別的數據定義
重要數據處理者應當履行如下合規職責和義務(見表5):
|
|
事項 |
數據合規職責及義務 |
|
1 |
重要數據的備案 |
數據處理者在識別其重要數據后,應當在15個工作日內,向設區的市級網信部門進行備案。 |
|
2 |
設置數據安全管理崗位 |
明確并設置數據安全負責人及崗位,成立數據安全管理機構,履行數據安全管理職責,包括重大決策建議、制定應急預案、開展風險監控及事件處置、開展培訓、受理投訴等。 |
|
3 |
安全培訓 |
制定培訓計劃、組織開展全員數據安全教育培訓,技術和關聯人員培訓時間不得少于20小時/年。 |
|
4 |
共享、交易、委托處理 重要數據 |
①單獨同意。充分告知個人并取得個人單獨同意,通過合同落實其與數據接收方各自數據安全責任義務的方法、途徑和內容,其中,數據處理者對接收方享有監督權;個人同意記錄、日志記錄、審批記錄至少留存5年。 |
|
②進行安全評估。安全評估的重點內容:提供重要數據的合法、正當、必要性,重要數據毀損、被泄露、篡改、濫用,以及對國家安全、經濟發展、公共利益代理的風險,數據接收方的誠信、守法等背景,其安全保護責任能力,合同約定,管理和技術風險防控措施等。 |
||
|
③應當征得設區的市級及以上網信部門同意。 |
||
|
5 |
年度評估報告 |
針對重要數據的處理情況、數據安全風險的識別及處置措施、數據安全事件及處置情況、數據安全管理制度等內容,每年自行或者委托第三方進行一次數據安全年度評估,并于每年1月31日前將評估報告上報設區的市級網信部門。風險評估報告至少保留3年。 |
|
6 |
發生風險事件的報告及 調查評估 |
發生重要數據信息泄露、毀損、丟失等數據安全事件時,數據處理者應當在八小時內向設區的市級網信部門報告,并在事件處置完畢后的五個工作日內提交有關原因、危害后果、責任處理、改進措施等內容的調查評估報告。 |
表5重要數據處理者的合規職責和義務
《條例》承上啟下,彌補了現有法律對“重要數據”分級標準的缺失和邊界,使數據分級有了行政法規高位階標準,使數據的分級管理成為可操作性的指引,對保障數據安全、數據合規,促進數字經濟發展,具有重要意義。
三、跨境數據處理場景下的合規職責及義務
《數據安全法》在數據跨境處理方面,規定了域外管轄、出口管制、阻斷法令,以及數據出境規則和跨境司法,其中,關鍵信息基礎設施運營者應當將在境內獲取的數據存儲在境內;因業務需要出境的,重要數據的出境安全管理適用《網絡安全法》《個人信息保護法》在個人信息跨境方面,規定了“安全評估、保護認證、標準合同等”前提條件、“單獨同意”“國際司法協助”“黑名單制度”等內容。《條例》對法律進行了補充和細化。
《條例》第35條規定:數據處理者向中華人民共和國境外提供數據,首先應當具備相應條件,即通過國家網信辦組織的評估或者數據處理者和接收方均通過個人信息保護認證或者按照國家網信部門的標準合同立約。
其次,數據處理者還應當遵守如下合規職責和義務(見表6):
|
|
主體 |
數據處理 活動 |
數據合規職責及義務 |
|
1 |
數據處理者 |
向境外提供個人信息 |
應當將境外接收方的名稱、聯系方式,信息處理目的及方式,信息種類、個人信息主體權利行使方式等事項告知個人,并獲得個人的單獨同意。 |
|
2 |
數據處理者 |
向境外提供數據 |
不得超出評估報告明確的目的、范圍、方式和數據類型、規模等;采取有效措施監督接收方使用數據;接受投訴;對個人、組織或公共利益造成的損害承擔責任;出境審批記錄存留3年以上。 |
|
3 |
①數據處理者 |
出境數據中包含重要數據 |
應當通過國家網信部門組織的數據出境安全評估。安全評估的重點內容:提供重要數據的合法、正當、必要性,重要數據毀損、被泄露、篡改、濫用,以及對國家安全、經濟發展、公共利益代理的風險,數據接收方的誠信、守法、境外政府合作關系、是否被中國政府制裁等背景,其安全保護責任能力,合同約定,風險防控措施等。 |
|
②關鍵信息基礎設施運營者 |
向境外提供個人信息 |
||
|
③處理一百萬以上個人信息的 數據處理者 |
|||
|
4 |
數據處理者 |
向境外提供個人信息和 重要數據的 |
應當針對如下內容,每年1月31日前向設區的市級網信部門提供年度數據出境安全報告:全部數據接收方的名稱、聯系方式,數據的類型、梳理及目的,數據存在在境外的地點、期限、使用范圍和方式,安全保護機制及爭議處理機制,數據再轉移等情況。 |
|
5 |
赴境外上市的數據處理者 |
年度數據處理 |
應當針對重要數據的處理情況、數據安全風險的識別及處置措施、數據安全事件及處置情況、數據安全管理制度等內容,每年自行或者委托第三方進行一次數據安全年度評估,并于每年1月31日前將年度評估報告上報設區的市級網信部門。 |
|
6 |
處理一百萬人以上個人信息的 數據處理者 |
赴國外上市的 |
應當申報網絡安全審查。 |
|
7 |
數據處理者 |
赴香港上市,影響或可能影響國家安全的 |
表6 跨境數據處理者的其他責任和義務
四、互聯網平臺運營場景
《條例》第73條9款規定:互聯網平臺運營者是指為用戶提供信息發布、社交、交易、支付、視聽等互聯網平臺服務的數據處理者。第10款規定:大型互聯網平臺運營者是指用戶超過五千萬、處理大量個人信息和重要數據、具有強大社會動員能力和市場支配地位的互聯網平臺運營者。
《條例》對互聯網平臺運營者規定了如下數據安全保護制度(見表7):
|
|
主體 |
活動 |
數據合規職責及義務 |
|
1 |
互聯網平臺 |
信息、規則披露 |
建立與數據相關的平臺規則、隱私政策和算法策略的披露制度,并及時披露制定程序、裁決程序,保障平臺的規則、隱私政策和算法公平公開公正;平臺規則、隱私政策應當公開征求意見,時常不少于30個工作日; |
|
2 |
日活躍用戶超過1億的大型互聯網平臺(超級平臺) |
制度修訂 |
平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂的,應當經第三方機構評估及并上報省級及以上網信部門和電信主管部門同意。 |
|
3 |
互聯網平臺運營者 |
利用人工智能、虛擬現實、深度合成等新技術開展數據處理活動 |
應當進行安全評估。
|
|
4 |
互聯網平臺運營者 |
利用個人信息和個性化推送算法 |
應當取得單獨同意,設置易于操作的一鍵關閉選項,等。 |
|
5 |
互聯網平臺運營者 |
為國家機關提供服務,參與公共基礎設施、公共服務系統建設 |
收集、產生的數據不得用于其他用途。 |
|
6 |
互聯網平臺運營者 |
平臺內第三方的責任 |
對接入平臺的第三方產品和服務承擔數據安全管理責任,并第三方產品和服務對用戶造成的損害承擔先行賠償責任。 |
|
7 |
互聯網平臺運營者 |
禁止不公平競爭 |
不得實施“大數據殺熟”“損害公平競爭”的行為,不得有欺詐、脅迫、誤導,損害用戶決定權的行為;不得通過各種方式限制平臺上的中小企業獲取平臺產生的行業、市場數據。 |
|
8 |
互聯網平臺運營者 |
個人身份認證 |
應當支持并優先使用國家網絡身份認證公共服務基礎設施的個人身份認證服務。 |
|
9 |
大型互聯網平臺運營者 |
/ |
對平臺數據安全情況、規則和承諾的執行情況、個人信息保護情況、數據開發利用情況等進行年度審計,并披露審計結果的義務。 |
|
10 |
大型互聯網平臺 運營者 |
在境外設立總部或者運營中心、研發中心 |
應當向國家網信部門和主管部門報告。 |
|
11 |
提供應用程序分發服務的 互聯網平臺運營者 |
/ |
應當建立、披露應用程序審核規則,并對應用程序進行安全審核。 |
|
12 |
提供即時通信服務的互聯網平臺 運營者 |
用戶數據互通 |
應當為其他互聯網平臺運營者的即時通信服務提供數據接口,支持不同即時通信服務之間的用戶數據互通。 |
|
13 |
匯聚掌握大量關系國家安全、經濟發展、公共利益的數據資源的互聯網平臺運營者 |
實施合并、重組、分離,影響或可能影響國家安全的 |
應當申報網絡安全審查。 |
表7 互聯網平臺運營者的數據安全保護制度
五、數據處理者發生合并、重組等情況的合規職責及義務(見表8):
|
|
情形 |
合規職責及義務 |
|
|
1 |
數據處理者發生合并、重組、分立的 |
|
數據接收方應當繼續履行數據安全保護義務。 |
|
涉及重要數據和一百萬人以上個人信息的 |
應當向設區的市級主管部門報告。 |
||
|
2 |
數據處理者發生解散、被宣告破產的 |
|
應當向設區的市級主管部門報告,移交或刪除數據;主管部門不明的,向設區的市級網信部門報告。 |
表8 數據處理者發生合并、重組等情況的合規職責及義務
第三節 結語
進入21世紀后,我國經濟社會高速發展,尤其是在“十三五”期間,數字中國的建設取得了巨大成就,不論是信息基礎設施的建設規模還是信息技術的創新能力,都居于全球領先地位。
2021年,隨著《中華人民共和國民法典》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》的先后施行,數據保護、數據治理被提到了前所未有的法律高度。加之過去和近期相繼公布的一系列與數據相關的部委規章(含征求意見稿)、地方政府大數據條例,更是豐富和完善了數據保護、數據治理的法律體系,為數字經濟發展夯實了法律根基。
在企業數字化轉型升級的大趨勢下,政府部門、所有類型的企業都已/或將成為“數據處理者”,都面臨數據治理的重任,并承擔數據安全保護的職責和義務,合規之路,任重道遠;合規之路,始于腳下。
作者:四川矩衡律師事務所 王皎
來源:成都市律師協會民營經濟法律專業委員會
此文系作者個人觀點,不代表成都市律師協會立場
歡迎全市律師踴躍投稿,投稿郵箱:cdlxxc@163.com
- 地址:成都市高新區天府大道中段1577號中國歐洲中心12樓
聯系電話:028-86267893(會員部) 86267993(維權懲戒) 61988861(黨委辦公室)
郵箱:cd_bar@163.com ; cdla602@163.com (辦公室);cdlxhyb@163.com (會員部);cdlsxh603@163.com (維權懲戒部)
辦公時間:工作日9:00-12:00;13:00-17:00
©2019-2022 成都市律師協會版權所有 | 蜀ICP備17040215號 | 技術支持:竹子建站
![圖文組件]( "圖文組件")
微信公眾號
