2024年9月,国务院发布《网络数据安全管理条例》(以下简称“条例”)。根据条例第二条规定,境内网络数据处理活动以及部分境外网络数据处理活动均适用该条例的规定。App/小程序/H5页面作为网络数据处理活动的典型业务场景类型,属于合规的重点领域。如何根据条例最新要求及时采取相应的合规措施成为各单位的首要任务。为此,本文针对App/小程序/H5页面等线上业务场景,提出条例出台后的合规措施建议,以供参考。
一.
通用业务合规措施优化
(三)保障用户权利的顺畅行使
对于个人信息删除问题,条例第二十四条做了进一步细化规定,即在因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的情形下,网络数据处理者应当主动删除个人信息或者进行匿名化处理。只有在法律、行政法规规定的保存期限未届满,或者删除、匿名化处理个人信息从技术上难以实现的情形下,网络数据处理者才可以不对个人信息做主动删除或匿名化处理,但应当停止除存储和采取必要的安全保护措施之外的处理。对此,建议对内部的个人信息删除策略做修订,明确个人信息删除触发条件以及例外情况处理方法。
二.
平台业务特殊合规措施
条例第六章专门规定了网络平台服务提供者的特别义务,即若运营的App、小程序、H5页面具备平台业务属性,则除前述合规要求外,还需要履行第六章有关网络平台服务提供者的特殊要求。
(一)对平台内第三方产品和服务提供者的监督要求
除协议规则要求外,条例第四十条第一款和第三款进一步要求网络平台服务提供者应当督促第三方产品和服务提供者加强网络数据安全管理。若第三方产品和服务提供者违反法律、行政法规的规定或者平台规则、合同约定开展网络数据处理活动,对用户造成损害的,网络平台服务提供者应当依法承担相应责任。根据该规定,若网络平台服务提供者对第三方产品和服务提供者的管理存在过失,如未履行接入管理要求、未对及时制止侵权行为,需要对用户的损害承担补充甚至连带责任。因此,建议在梳理第三方场景基础上,建立对第三方的监督管理机制,并通过协议约定的方式将可能的对外责任转移回第三方。
(二)对大型网络平台的额外合规要求
一些平台因用户体量较大、业务形态复杂,面临的数据安全风险更多。为此,条例针对大型网络平台做出了额外的合规要求。其中,就大型网络平台的范围,条例第六十二条对大型网络平台做出了定义,即指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。此处最核心的是用户量标准,若满足用户量标准,则原则上要履行大型网络平台的特殊义务,除非论证说明平台业务类型简单,且不会对国家安全、经济运行、国计民生带来重要影响。实践中有一些平台为了获取用户,可能通过多种方式拓客提高注册用户数,但月活数可能较低。即便如此,只要满足5000万的注册用户数标准,也需要履行大型网络平台的合规义务。为此,建议拉取各平台业务注册用户数,判断涉及的影响业务范围。
在具体合规义务上,条例第四十四条规定大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。根据该项规定,平台运营者一方面需要建立由外部成员组成的个人信息保护监督机构,另一方面要每年发布个人信息保护主题的社会责任报告。因此,建议涉及大型网络平台的企业及时招募组建外部监督机构,并开展年度社会责任报告的信息收集、整理和编制工作。
三.
数据生命周期安全管理
(一)数据安全管理制度建设
(二)加强安全漏洞及事件管理
(三)规范与第三方协议内容及管理
条例第十二条明确网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等。两个以上的网络数据处理者共同决定个人信息和重要数据的处理目的和处理方式的,应当约定各自的权利和义务。对此,建议重检与第三方协议内容,及时调整或者补充协议附件,明确处理目的、方式、范围、安全保护义务以及对第三方的监督权等方面的约定。
四.
其他
除前述合规措施要求外,条例要求平台建立便捷的网络数据安全投诉、举报渠道,公布投诉、举报方式等信息,及时受理并处理网络数据安全投诉、举报,并对数据爬取、重要数据认定方式及保护、数据跨境合规、数据转移、合规审计等方面均有相应规定,建议平台根据实际业务情况以及内部合规尺度,设定合规优先级,采取匹配业务发展状态以及内部合规要求的合规措施及计划表。既要降低数据合规风险,又要避免因合规要求导致业务受过度的影响,实现合规与业务之间的平衡。
重要提示:
本文仅作为信息性参考,不构成法律意见,不能作为任何行动的依赖。本文中的观点/意见可能是不全面的,考虑到法律的不断实践,不排除后续的进一步变化。