地址:成都市天府大道中段1388号花样年·美年广场,JR·Fantasia花漾锦江B栋10楼1007室
专业视野|数据处理者的合规之路——《网络数据安全管理条例(征求意见稿)》解读
发布时间:2023-06-19 13:13:00 浏览量:2218
【摘要】2021年《中华人民共和国民法典》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》先后施行,从立法角度,将数据保护、数据治理提到了前所未有的高度。加之过去和近期相继公布的一系列与数据相关的部委规章(含征求意见稿)、地方政府大数据条例,更是丰富和完善了数据保护、数据治理的法律体系,为数字经济发展夯实了法律根基。2021年11月14日,国家互联网信息办公室公布了《网络数据安全管理条例(征求意见稿)》。作为行政法规,《网络数据安全管理条例》对法律予以补充和完善,更加清晰、明确地压实了数据处理者的职责和义务。本文通过解读《网络数据安全管理条例(征求意见稿)》,对数据处理者的职责和义务予以梳理,以期为法律实务提供参考。
【关键词】数据处理者 合规 《网络数据安全管理条例》(征求意见稿) 解读
《网络数据安全管理条例(征求意见稿)》(以下简称“条例”)依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律制定,其作为一部行政法规,不仅对上述法律的相关规定进行了执行和细化,还作出了一定程度的补充和完善。
相比于《网络安全法》与《个人信息保护法》侧重网络、信息和数据安全及保护,以规范处理、保障数据和网络安全为方向,《条例》则更侧重于通过清晰的结构和脉络,压实数据处理者的主体责任和义务,以促进数据安全保护、数据处理活动、数据流动的合规落地,保障数字经济的稳定、安全发展。
第一节 数据处理者的一般合规责任
一、数据处理者应当承担数据安全保护主体的责任
《条例》第73条5款规定:“数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织”,这种以“处理目的和处理方式的自主性”确定数据处理者,有利于界定数据全生命周期活动过程中的不同责任主体及其责权利。
数据处理者除了普遍知晓的互联网平台企业,还包括但不限于如下主体:政府部门、事业单位;提供SAAS产品、管理系统、技术系统的研发、产品和服务的科技类企业;关键信息基础设施运营者;互联网平台运营者及平台内经营者;数据收集者、存储者、使用者;生产制造等实体企业等。
在数据全生命周期活动过程中,履行数据安全保护责任的主体是数据处理者,其履行数据安全保护责任,接受政府和社会监督,并承担社会责任。因此,数据处理者首先应当定位,做到两个明确:
1.明确自己在处理数据过程中的一种及/或多种、不变及/或可能变化着的角色,以及不同角色的职责和义务,比如某数据处理者在处理某数据过程中,可能是重要数据处理者,可能是跨境数据处理者,可能是个人敏感信息处理者,可能是互联网平台运营者;
2.明确所涉及的各种数据处理关系,并根据数据处理的目的、内容、方式等,界定各不同数据处理者的权利、职责和义务,通过法律文件予以明确,技术手段进行规制。
二、数据处理者应当具备相应的技术能力和网络安全等级
《条例》第73条2款规定:“数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。”《条例》采用了《个人信息保护法》中的处理内容,相比《数据安全法》,增加了“删除”这一步,完善了数据全生命周期活动的保护内容。
在整个数据处理过程中,数据处理者应当拥有相应的技术能力,采取相应的技术措施,包括备份、加密、访问控制等,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,并能够应对数据安全事件,防范黑客、病毒及其他违法犯罪活动,维护和保障数据的完整、保密、可用、合法。如果不具备相应的技术能力,则可能导致数据遭受破坏,导致多方被侵权,并由自身承担侵权或者违约责任。
同时,建立相应的技术保护机制。
数据处理者采取自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,若发生违规、影响网络服务政策功能,或者侵权行为的,应当停止访问、收集行为,并采取补救措施。
国家机关、关键信息基础设施运营者应当针对采购云计算服务,通过国家网信部门会同国务院有关部门组织的安全评估。
另外,数据处理者应当根据网络安全等级保护要求,在数据处理系统、数据传输系统、数据存储环境等方面加强网络安全防护,针对“重要数据”提供三级以上的网络安全等级保护和关键信息基础设施安全保护措施,从严保护核心数据,并使用“密码”保护重要数据和核心数据。
三、数据处理者应当建立数据安全管理制度、应急、投诉等机制
1.建立数据安全管理制度
数据处理者良好的安全保障及合规管理能力,将为企业的数字化转型奠定扎实的基础。由于数据治理需要同时考虑合规要求及合规成本,因此,数据处理者应当根据法律、法规、国家标准的强制性要求,以及行业规范,对其数据进行分类分级,建立健全适合本组织的数据安全管理制度体系,并适时评估、不断改进和完善,以落实数据安全保护责任,保护数据安全。
2.建立数据安全应急处理机制
《条例》对不同事件下数据处理者的合规职责和义务做了明确详细的规定,具体内容如表1所述:
|
|
事件 |
数据合规职责及义务 |
|
1 |
网络产品和服务存在安全缺陷、漏洞,或者威胁国家安全、危害公共利益 |
应当立即采取补救措施 |
|
2 |
安全事件对个人、组织造成危害 |
应当在3个工作日内通知利害关系人 |
|
3 |
发生重要数据或十万人以上个人信息泄露、毁损、丢失 |
应当在事件发生后八小时内报告,在事件处置完毕后五个工作日内提交调查评估报告 |
表1 不同事件下,数据处理者的职责及义务
3.建立投诉举报渠道
数据处理者应当建立数据安全投诉举报渠道,及时受理、处置投诉举报。
第二节 不同场景下数据处理者的合规责任及义务
一、个人信息处理场景下的合规职责及义务
在个人信息处理要求方面,《条例》对《个人信息保护法》进行了细化、补充和完善。数据处理者除了应当遵守《个人信息保护法》及其他法律法规规章规定的职责外,还应当遵守如下个人信息保护合规要求:
1.制定个人信息处理规则,并集中公开展示,易于访问,内容明确具体、简明通俗。《条例》关于“个人信息处理规则”的内容要求见表2。
|
|
事项 |
个人信息处理规则内容 |
|
1 |
列清单 |
依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响。 |
|
2 |
存储期限 |
个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式。 |
|
3 |
同意的途径和方法 |
个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法。 |
|
4 |
集中展示第三方信息 |
以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则。 |
|
5 |
向第三方提供信息 |
向第三方提供个人信息的情形及其目的、方式、种类,数据接收方相关信息等。 |
|
6 |
安保措施 |
个人信息安全风险及保护措施。 |
|
7 |
争议解决机制 |
个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。 |
表2 《条例》关于“个人信息处理规则”的内容要求
2.履行其他合规职责及义务(见表3)
|
|
事项 |
数据合规职责及义务 |
|
1 |
信息采集 |
“采集”个人信息,应当遵循合法、正当、必要和最小影响的原则,并遵守“不得”实施的禁止性要求。 |
|
2 |
同意 |
数据处理者征得个人同意,不得使用概括性条款、不得采取任何方式强迫个人单独或批量同意,不得超出授权范围。数据处理者对个人“同意”的有效性承担举证责任。 |
|
3 |
向第三方提供个人信息 |
数据处理者向第三方提供个人信息,应当充分告知个人并取得个人单独同意,并与数据接收方通过合同明确各自数据安全责任义务,其中,数据处理者对接收方享有监督权;个人同意记录、日志记录、审批记录至少留存5年。 |
|
4 |
删除义务 |
数据处理者应当按照必须“删除”个人信息的情形、处理方式,在15个工作日内删除或匿名化处理。 |
|
5 |
对个人行使权利的响应 |
数据处理者应当积极响应个人行使“查阅、复制、更正、补充、限制、删除”其个人信息的合理请求,并在15日内处理及反馈。 |
|
6 |
信息转移 |
针对个人提出的符合条件的“信息转移请求”,数据处理者除了提供转移服务外,还应对转移请求做合理的风险提示,并对超出合理范围次数的专业享有收费权。 |
|
7 |
风险评估 |
针对数据处理者利用生物特征进行个人身份认证的,要求进行必要性、安全性的风险评估,不得将生物特征作为唯一的个人身份认证方式强制收集。 |
|
8 |
合规审计 |
数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。 |
|
9 |
发生风险事件的报告及调查评估 |
发生十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者应当在八小时内向设区的市级网信部门报告,并在事件处置完毕后的五个工作日内提交有关原因、危害后果、责任处理、改进措施等内容的调查评估报告。 |
|
10 |
处理一百万人以上个人信息 |
还应当遵守第四章“重要数据处理者”的合规职责及义务【视为重要数据】。 |
|
11 |
赴国外上市的网络安全审查 |
处理一百万以上个人信息的数据处理者赴国外上市的,应当申报网络安全审查。 |
表3 数据处理者的其他职责和义务
二、重要数据处理场景下的合规义务
根据《条例》第5条规定:“国家建立数据分类分级保护制度,按照一般数据、重要数据、核心数据分级,不同级别需采取不同的保护措施,国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。”数据处理者应当根据国家、地区、部委制定的重要数据和核心数据目录,梳理其所处理数据的级别,识别是否存在“重要数据”“核心数据”“个人敏感信息”,并对“重要数据”“核心数据”“个人敏感信息”采取不同的合规措施。
而数据的分类,因为与管理目标、管理需求相关,其可以有不同维度、不同分类方式,《条例》并未做具体的列举。实践中,数据处理者可以首先按行业、领域进行初步分类,然后根据所处理数据的流转、性质、特点、生命周期,结合业务场景等内容进行具体分类。
《条例》《数据安全法》《个人信息保护法》规定的重要数据、核心数据、个人敏感信息定义如下(见表4):
|
|
分级 |
定义 |
|
1 |
重要数据《条例》 |
重要数据指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据: 1.未公开的政务数据、工作秘密、情报数据和执法司法数据; 2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据; 3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等; 4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据; 5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据; 6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据; 7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。 |
|
2 |
核心数据《数据安全法/条例》 |
指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。 |
|
3 |
个人敏感信息《个人信息保护法》 |
是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 |
表4 不同级别的数据定义
重要数据处理者应当履行如下合规职责和义务(见表5):
|
|
事项 |
数据合规职责及义务 |
|
1 |
重要数据的备案 |
数据处理者在识别其重要数据后,应当在15个工作日内,向设区的市级网信部门进行备案。 |
|
2 |
设置数据安全管理岗位 |
明确并设置数据安全负责人及岗位,成立数据安全管理机构,履行数据安全管理职责,包括重大决策建议、制定应急预案、开展风险监控及事件处置、开展培训、受理投诉等。 |
|
3 |
安全培训 |
制定培训计划、组织开展全员数据安全教育培训,技术和关联人员培训时间不得少于20小时/年。 |
|
4 |
共享、交易、委托处理 重要数据 |
①单独同意。充分告知个人并取得个人单独同意,通过合同落实其与数据接收方各自数据安全责任义务的方法、途径和内容,其中,数据处理者对接收方享有监督权;个人同意记录、日志记录、审批记录至少留存5年。 |
|
②进行安全评估。安全评估的重点内容:提供重要数据的合法、正当、必要性,重要数据毁损、被泄露、篡改、滥用,以及对国家安全、经济发展、公共利益代理的风险,数据接收方的诚信、守法等背景,其安全保护责任能力,合同约定,管理和技术风险防控措施等。 |
||
|
③应当征得设区的市级及以上网信部门同意。 |
||
|
5 |
年度评估报告 |
针对重要数据的处理情况、数据安全风险的识别及处置措施、数据安全事件及处置情况、数据安全管理制度等内容,每年自行或者委托第三方进行一次数据安全年度评估,并于每年1月31日前将评估报告上报设区的市级网信部门。风险评估报告至少保留3年。 |
|
6 |
发生风险事件的报告及 调查评估 |
发生重要数据信息泄露、毁损、丢失等数据安全事件时,数据处理者应当在八小时内向设区的市级网信部门报告,并在事件处置完毕后的五个工作日内提交有关原因、危害后果、责任处理、改进措施等内容的调查评估报告。 |
表5重要数据处理者的合规职责和义务
《条例》承上启下,弥补了现有法律对“重要数据”分级标准的缺失和边界,使数据分级有了行政法规高位阶标准,使数据的分级管理成为可操作性的指引,对保障数据安全、数据合规,促进数字经济发展,具有重要意义。
三、跨境数据处理场景下的合规职责及义务
《数据安全法》在数据跨境处理方面,规定了域外管辖、出口管制、阻断法令,以及数据出境规则和跨境司法,其中,关键信息基础设施运营者应当将在境内获取的数据存储在境内;因业务需要出境的,重要数据的出境安全管理适用《网络安全法》《个人信息保护法》在个人信息跨境方面,规定了“安全评估、保护认证、标准合同等”前提条件、“单独同意”“国际司法协助”“黑名单制度”等内容。《条例》对法律进行了补充和细化。
《条例》第35条规定:数据处理者向中华人民共和国境外提供数据,首先应当具备相应条件,即通过国家网信办组织的评估或者数据处理者和接收方均通过个人信息保护认证或者按照国家网信部门的标准合同立约。
其次,数据处理者还应当遵守如下合规职责和义务(见表6):
|
|
主体 |
数据处理 活动 |
数据合规职责及义务 |
|
1 |
数据处理者 |
向境外提供个人信息 |
应当将境外接收方的名称、联系方式,信息处理目的及方式,信息种类、个人信息主体权利行使方式等事项告知个人,并获得个人的单独同意。 |
|
2 |
数据处理者 |
向境外提供数据 |
不得超出评估报告明确的目的、范围、方式和数据类型、规模等;采取有效措施监督接收方使用数据;接受投诉;对个人、组织或公共利益造成的损害承担责任;出境审批记录存留3年以上。 |
|
3 |
①数据处理者 |
出境数据中包含重要数据 |
应当通过国家网信部门组织的数据出境安全评估。安全评估的重点内容:提供重要数据的合法、正当、必要性,重要数据毁损、被泄露、篡改、滥用,以及对国家安全、经济发展、公共利益代理的风险,数据接收方的诚信、守法、境外政府合作关系、是否被中国政府制裁等背景,其安全保护责任能力,合同约定,风险防控措施等。 |
|
②关键信息基础设施运营者 |
向境外提供个人信息 |
||
|
③处理一百万以上个人信息的 数据处理者 |
|||
|
4 |
数据处理者 |
向境外提供个人信息和 重要数据的 |
应当针对如下内容,每年1月31日前向设区的市级网信部门提供年度数据出境安全报告:全部数据接收方的名称、联系方式,数据的类型、梳理及目的,数据存在在境外的地点、期限、使用范围和方式,安全保护机制及争议处理机制,数据再转移等情况。 |
|
5 |
赴境外上市的数据处理者 |
年度数据处理 |
应当针对重要数据的处理情况、数据安全风险的识别及处置措施、数据安全事件及处置情况、数据安全管理制度等内容,每年自行或者委托第三方进行一次数据安全年度评估,并于每年1月31日前将年度评估报告上报设区的市级网信部门。 |
|
6 |
处理一百万人以上个人信息的 数据处理者 |
赴国外上市的 |
应当申报网络安全审查。 |
|
7 |
数据处理者 |
赴香港上市,影响或可能影响国家安全的 |
表6 跨境数据处理者的其他责任和义务
四、互联网平台运营场景
《条例》第73条9款规定:互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。第10款规定:大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
《条例》对互联网平台运营者规定了如下数据安全保护制度(见表7):
|
|
主体 |
活动 |
数据合规职责及义务 |
|
1 |
互联网平台 |
信息、规则披露 |
建立与数据相关的平台规则、隐私政策和算法策略的披露制度,并及时披露制定程序、裁决程序,保障平台的规则、隐私政策和算法公平公开公正;平台规则、隐私政策应当公开征求意见,时常不少于30个工作日; |
|
2 |
日活跃用户超过1亿的大型互联网平台(超级平台) |
制度修订 |
平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经第三方机构评估及并上报省级及以上网信部门和电信主管部门同意。 |
|
3 |
互联网平台运营者 |
利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动 |
应当进行安全评估。
|
|
4 |
互联网平台运营者 |
利用个人信息和个性化推送算法 |
应当取得单独同意,设置易于操作的一键关闭选项,等。 |
|
5 |
互联网平台运营者 |
为国家机关提供服务,参与公共基础设施、公共服务系统建设 |
收集、产生的数据不得用于其他用途。 |
|
6 |
互联网平台运营者 |
平台内第三方的责任 |
对接入平台的第三方产品和服务承担数据安全管理责任,并第三方产品和服务对用户造成的损害承担先行赔偿责任。 |
|
7 |
互联网平台运营者 |
禁止不公平竞争 |
不得实施“大数据杀熟”“损害公平竞争”的行为,不得有欺诈、胁迫、误导,损害用户决定权的行为;不得通过各种方式限制平台上的中小企业获取平台产生的行业、市场数据。 |
|
8 |
互联网平台运营者 |
个人身份认证 |
应当支持并优先使用国家网络身份认证公共服务基础设施的个人身份认证服务。 |
|
9 |
大型互联网平台运营者 |
/ |
对平台数据安全情况、规则和承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果的义务。 |
|
10 |
大型互联网平台 运营者 |
在境外设立总部或者运营中心、研发中心 |
应当向国家网信部门和主管部门报告。 |
|
11 |
提供应用程序分发服务的 互联网平台运营者 |
/ |
应当建立、披露应用程序审核规则,并对应用程序进行安全审核。 |
|
12 |
提供即时通信服务的互联网平台 运营者 |
用户数据互通 |
应当为其他互联网平台运营者的即时通信服务提供数据接口,支持不同即时通信服务之间的用户数据互通。 |
|
13 |
汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者 |
实施合并、重组、分离,影响或可能影响国家安全的 |
应当申报网络安全审查。 |
表7 互联网平台运营者的数据安全保护制度
五、数据处理者发生合并、重组等情况的合规职责及义务(见表8):
|
|
情形 |
合规职责及义务 |
|
|
1 |
数据处理者发生合并、重组、分立的 |
|
数据接收方应当继续履行数据安全保护义务。 |
|
涉及重要数据和一百万人以上个人信息的 |
应当向设区的市级主管部门报告。 |
||
|
2 |
数据处理者发生解散、被宣告破产的 |
|
应当向设区的市级主管部门报告,移交或删除数据;主管部门不明的,向设区的市级网信部门报告。 |
表8 数据处理者发生合并、重组等情况的合规职责及义务
第三节 结语
进入21世纪后,我国经济社会高速发展,尤其是在“十三五”期间,数字中国的建设取得了巨大成就,不论是信息基础设施的建设规模还是信息技术的创新能力,都居于全球领先地位。
2021年,随着《中华人民共和国民法典》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的先后施行,数据保护、数据治理被提到了前所未有的法律高度。加之过去和近期相继公布的一系列与数据相关的部委规章(含征求意见稿)、地方政府大数据条例,更是丰富和完善了数据保护、数据治理的法律体系,为数字经济发展夯实了法律根基。
在企业数字化转型升级的大趋势下,政府部门、所有类型的企业都已/或将成为“数据处理者”,都面临数据治理的重任,并承担数据安全保护的职责和义务,合规之路,任重道远;合规之路,始于脚下。
作者:四川矩衡律师事务所 王皎
来源:成都市律师协会民营经济法律专业委员会
此文系作者个人观点,不代表成都市律师协会立场
欢迎全市律师踊跃投稿,投稿邮箱:cdlxxc@163.com
- 地址:成都市高新区天府大道中段1577号中国欧洲中心12楼
联系电话:028-86267893(会员部) 86267993(维权惩戒) 61988861(党委办公室)
邮箱:cd_bar@163.com ; cdla602@163.com (办公室);cdlxhyb@163.com (会员部);cdlsxh603@163.com (维权惩戒部)
办公时间:工作日9:00-12:00;13:00-17:00
©2019-2022 成都市律师协会版权所有 | 蜀ICP备17040215号 | 技术支持:竹子建站
![图文组件]( "图文组件")
微信公众号
