《条例》重申《个保法》的域外适用效力。企业在境外处理境内自然人个人信息的活动,是为向境内自然人提供产品或者服务或者分析评估境内自然人的行为,则企业需要遵守《条例》。在境外开展网络数据处理活动,损害国家安全、公共利益或者公民、组织合法权益的,企业也需依法承担责任。
《个保法》第五十三条规定境外个人信息处理者处理境内自然人个人信息,应在境内设立专门机构或者指定代表,并将机构名称或者代表姓名、联系方式等报送履行个人信息保护职责的部门。《条例》第二十六条明确报送部门为境内机构或代表所在地设区的市级网信部门。
二、《条例》的适用主体
《数安法》《数据出境安全评估办法》等法律文件中虽提到了“数据处理者”这一定义,但并未解释“数据处理者”的具体概念。《个保法》中规定了“个人信息处理者”的具体概念,《条例》沿用“个人信息处理者”的概念,将“网络数据处理者”定义为“在网络数据处理活动中自主决定处理目的和处理方式的个人、组织”,凸显数据处理者在数据处理活动中的控制性作用。
企业在与合作方实际开展业务时,通常均会签订数据保护协议模板。依据《条例》第十二条,网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应与网络数据接收方签订合同约定处理目的、方式、范围以及安全保护义务等,对网络数据接收方履行义务的情况进行监督。《条例》增加了“网络数据处理者至少3年保存处理对外提供和委托数据处理情况记录”的要求。
在签署数据保护协议时,数据处理合作关系的认定更需要综合业务模式、主合同条款等综合考虑判断。此外,企业应根据《条例》第十二条要求,审核数据保护协议模板条款的可操作性,确保涵盖法规要求。
三、《条例》的一般规定
(一)网络产品、服务存在安全缺陷、漏洞的报告义务
《条例》第十条规定网络数据处理者发现网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
《条例》第十条进一步细化涉及危害国家安全、公共利益的,网络数据处理者还应在24小时内向有关主管部门报告。
(二)网络安全事件报告义务
《条例》第十一条并未对网络数据处理者发生网络安全事件的报告时限、报告内容、报告部门等作出具体规定,鉴于国家网信办于2023年12月发布了《网络安全事件报告管理办法(征求意见稿)》,网络安全事件报告的实质内容和程序性要求将通过专门立法规定。
《条例》也规定网络数据处理者在处置网络数据安全事件过程中发现涉嫌违法犯罪线索时,应当按照规定向公安机关、国家安全机关报案。
(三)国家安全审查
《条例》第十三条规定网络数据处理者开展网络数据处理活动,影响或者可能影响国家安全的,需要进行国家安全审查。根据《中华人民共和国国家安全法》第五十九条,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
《征求意见稿》此前要求“数据处理者赴香港上市,影响或者可能影响国家安全”以及“汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立影响或可能影响国家安全的”,需要申报网络安全审查,但《条例》中并未保留上述两项。企业触发网络安全审查的条件仍以《网络安全审查办法》中规定的内容为准。
(四)自动化访问获取数据合规
《条例》第十八条延续《征求意见稿》对自动化访问手段秉持技术中立的监管态度,明确网络数据处理者使用自动化工具访问、收集网络数据,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。
鉴于自动化采集技术尚不能有针对性地收集模型所需数据,依据《条例》第二十四条,因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。
如何衡量对被访问网站造成干扰,监管也曾开展探索并试图纳入法定要求作为判断标准。2019年国家网信办公布的《数据安全管理办法(征求意见稿)》第十六条要求“网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止。”但随着技术更新,“自动化访问收集流量超过网站日均流量三分之一”作为衡量干扰网站的标准也有待商榷。
《条例》第十九条同时要求提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。
企业通过自动化访问手段获取数据应综合被访问网站性质、访问数据量级和获取数据的内容等因素,评估网络安全和数据合规、刑事以及反不正当竞争等领域的法律风险。
四、个人信息保护
(一)个人信息处理规则的告知要求
参照《信息安全技术个人信息安全规范》中隐私政策的模板,目前企业公开的隐私政策基本包含《条例》第二十一条规定的个人信息处理规则需要具备的内容:网络数据处理者的名称和联系方式;处理个人信息的目的、方式、种类,处理敏感个人信息的必要性以及对个人权益的影响;个人信息保存期限和到期后的处理方式;个人查阅、复制、转移等行使权利的方法和途径等。
(二)个人信息处理的同意要求
相较于《征求意见稿》此前规定的“单独同意”的概念(“单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。”),《条例》中“单独同意”在实践中更具有可操作性,在APP界面设计上也可以避免对用户造成更多打扰。
此外,根据(2022)粤0192民初6486号左某、某琴商务咨询(上海)有限公司等个人信息保护纠纷民事一审判决书中的司法裁判观点,即使个人信息处理者具备除了“获得个人同意”之外的其他处理个人信息合法性基础,在涉及个人信息跨境传输等需要单独同意的情形,即使不用获得用户单独同意,也需要增强用户告知。
(三)个人信息主体权利行使
《条例》第二十三条重申网络数据处理者需要保障个人信息主体行使权利的便捷性。同时《条例》第二十五对个人信息主体行使转移权进行了细化,为了防止个人信息泄露和不当利用,同时兼顾避免对企业正常开展业务造成干扰,基于以下条件,网络数据处理者应为个人提供:
(1)能够验证请求人的真实身份;
(2)请求转移的是本人同意提供的或者基于合同收集的个人信息;
(3)转移个人信息具备技术可行性;
(4)转移个人信息不损害他人合法权益。
此外,为防止个人信息主体滥用权利,《条例》以法规层面肯定了《信息安全技术个人信息安全规范》中的要求,即对于请求转移个人信息次数等明显超出合理范围的,网络数据处理者可以根据转移个人信息的成本收取必要费用。
五、重要数据管理
相比于《征求意见稿》,《条例》主要删除的合规义务包括处理重要数据的系统应满足三级以上网络安全等级保护和关键信息基础设施安全保护要求、重要数据处理者应在识别其重要数据后的十五个工作日内向设区的市级网信部门备案的义务、赴境外上市的数据处理者应自行或者委托数据安全服务机构每年开展一次数据安全评估。《条例》结合此前《汽车数据安全管理若干规定(试行)》等已生效重要数据治理规定的内容,对重要数据识别、组织统筹以及对外提供等进行了补充说明,未显著增加重要数据处理者的合规义务。
(一)重要数据识别
《数据出境安全评估办法》首次以生效法律文件正式界定“重要数据”的概念,随后出台的《汽车数据安全管理若干规定(试行)》《工业和信息化领域数据安全管理办法(试行)》《自然资源领域数据安全管理办法》《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》等文件对汽车、工信、自然资源、医药、人工智能等行业重要数据种类进行了列举。
《征求意见稿》中对“重要数据”采取概念解释及列举具体种类的方式进行定义,《条例》删除了《征求意见稿》中列举的种类。根据《条例》,“重要数据”是指“特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”,影响个人或企业经营的数据排除在“重要数据”之外,删除了《征求意见稿》列举的七类“重要数据”和“核心数据”的概念。
《征求意见稿》中此前规定数据处理者处理一百万人以上个人信息的,还应遵守对重要数据的处理者作出的规定,可见“一百万人以上个人信息”属于重要数据。《条例》本次修订提高了重要数据的认定门槛,将“一百万人以上个人信息”调整为“1000万人以上个人信息”。
(二)重要数据组织管理
借鉴《关键信息基础设施安全保护条例》运营者义务责任的要求,《条例》第三十一条规定处理重要数据的组织需要明确网络数据安全负责人和网络数据安全管理机构、制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案、定期组织开展网络数据安全风险监测评估、应急演练、宣传教育培训等活动。
掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者,还应当对网络数据安全负责人和关键岗位的人员进行安全背景审查。
(三)重要数据处理情况报备义务
《条例》第三十三条规定重要数据的处理者应每年开展数据安全风险评估,并向省级以上有关主管部门报送风险评估报告。报告内容和《汽车数据安全管理若干规定(试行)》要求汽车数据处理者每年向网信办报告的内容基本一致,值得注意的是,对于处理重要数据的大型网络平台服务提供者报送的风险评估报告,还应向监管充分说明关键业务和供应链网络数据安全等情况,但企业报送评估报告具体日期未明确规定。
六、数据跨境治理
目前数据跨境监管的法律文件较为详细,除了个人信息跨境保护认证制度尚不清晰,对应的部门规章和指导文件对《个保法》下的数据出境安全评估和个人信息出境标准合同备案制度落地提供了详细的参考。《条例》从行政法规层面确认《数据出境安全评估办法》《个人信息出境标准合同办法》和《促进和规范数据跨境流动规定》等部门规章构建的数据跨境机制要求。《条例》删除了《征求意见稿》对于数据出境事后年度报告的义务。
对比《促进和规范数据跨境流动规定》中豁免申报数据出境安全评估,备案个人信息出境标准合同,通过个人信息保护认证的情形,《条例》第三十五条新增了“为履行法定职责或者法定义务,确需向境外提供个人信息”的情形。除了法律和行政法规,部门规章和地方性法规以及条约规定的要求等能否落入本条中规定“法定义务”有待进一步解释探讨。
七、网络平台服务提供者义务
(一)减轻互联网平台运营者的合规压力
《征求意见稿》中要求互联网平台在修订平台规则、制定隐私政策等文件时,需要向社会公开征求意见不得少于三十个工作日,以及日活用户超过一亿的大型互联网平台运营者修订平台规则和隐私政策等文件,应经国家网信部门认定的第三方机构评估并报监管同意,但互联网业态更新迭代迅速,为落实法律要求,平台需要及时更新隐私政策等文件,推动业务及时合法合规上线。《条例》未保留《征求意见稿》上述对互联网平台业务影响较大的隐私政策制定需经第三方评估的要求。
此外,鉴于《个保法》并未要求个性化推荐需要单独同意,且行业内APP个性化推荐开关基本均为默认开启的状态,《条例》也删除了个性化推荐需要默认关闭的要求。
(二)大型互联网平台运营者的合规义务
《个保法》第五十八条规定提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督、制定平台规则明确平台内产品或者服务提供者处理个人信息的规范、定期发布个人信息保护社会责任报告接受社会监督等。对于“重要互联网平台”的判断标准,《个保法》未进行规定。
相比《征求意见稿》对“大型网络平台”的定义,《条例》通过“注册用户数”和“月活用户数”两个方面判断企业是否构成“大型网络平台”。根据《条例》,“大型网络平台”是指“注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。”
对于大型网络平台,《条例》细化发布个人信息保护社会责任报告的期限为每年度,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。
大型网络平台服务提供者亦不得利用网络数据和算法以及平台规则从事违法行为,包括误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据;无正当理由限制用户访问、使用其在平台上产生的网络数据;对用户实施不合理的差别待遇,损害用户合法权益。
八、监督管理
《条例》设置专章规制监管部门的执法行为,如根据《条例》第五十一条,为保护企业的商业秘密,有关主管部门在网络数据安全监督检查中不得访问、收集与网络数据安全无关的业务信息,获取的信息只能用于维护网络数据安全的需要,不得用于其他用途。
为尽可能降低对企业日常正常开展经营业务的影响,根据《条例》第五十二条,有关主管部门在开展网络数据安全监督检查时,应当加强协同配合、信息沟通,合理确定检查频次和检查方式,避免不必要的检查和交叉重复检查。
九、法律责任
《条例》细分了企业违反个人信息保护和重要数据管理义务等需要承担的法律责任,如违反重要数据管理造成大量数据泄露,企业需要承担50万元以上200万元以下罚款。鉴于《条例》是为落实三部基础法律的要求,企业因违法行为受到的处罚上限也可能会以三部基础法律规定的处罚上限为准。
为体现行政法中“处罚与教育相结合”原则,防止和减少严重违法行为、降低社会危害,《条例》五十八条规定可从轻、减轻或者不予行政处罚的情形包括企业存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果,或初次违法且危害后果轻微并及时改正等情形。
十、结语
《条例》的颁布对完善中国网络安全和数据合规监管体系具有重要意义。《条例》中未明确的条款,如个人信息审计、互联网企业成立个人信息保护监督机构等要求也将会通过其他法律规定、国家标准等进行要求,如《个人信息保护合规审计管理办法(征求意见稿)》《信息安全技术大型互联网企业内设个人信息保护监督机构要求(征求意见稿)》等正在制定讨论中。企业应根据《条例》规定的内容及时自查,完善协议文本和内部制度等,提升合规水平。