《网络数据安全管理条例》目前正在征求意见中。根据已发布的条款内容,如正式生效,对公司数据安全和产品合规都会产生较大影响。届时,需按照条例要求进行合规调整。本文梳理了《网络数据安全管理条例》中关于数据安全和产品合规的重点条款进行解读。
第五条国家建立数据分类分级保护制度。
按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
合规要求:按照一般数据、重要数据、核心数据分级,不同级别采取不同措施
合规影响:如正式生效,需按照上述分类标准重新分级,并按照法规对重要数据、核心数据采取更为严格的保护措施
2.规定重要数据需落实等保
第九条数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。
数据处理者应当使用密码对重要数据和核心数据进行保护。
第二十九条重要数据的处理者,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案,备案内容包括:
(一)数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等;
(二)处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身;
(三)国家网信部门和主管、监管部门规定的其他备案内容。
处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。
依据部门职责分工,网信部门与有关部门共享备案信息。
合规要求:重要数据原则上要满足三级以上等保和CII安全保护要求,并使用密码对重要和核心数据进行保护;同时重要数据处理者应向当地网信部门对重要数据进行备案,并制定培训计划,每年培训数据安全技术和管理人员
合规影响:如正式生效,且公司数据中有重要数据,则需要落实等保和密码保护,等保的要求相对较高,并向公司所在地的监管部门备案(可能涉及多个公司),会增加技术保护人力、资金投入
第十二条数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规定:
(一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外;
(二)与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督;
(三)留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。
数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。
合规影响:如正式生效,需要升级技术手段,获取单独同意并记录用户同意的证据(日志信息),签订数据转移协议,按照5年期限留存日志和审批记录
第十七条数据处理者在采用自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。
第五十八条国家建立数据安全审计制度。数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
主管、监管部门组织开展对重要数据处理活动的审计,重点审计数据处理者履行法律、行政法规规定的义务等情况。
合规要求:如存在自动化工具访问、收集数据,需要进行影响评估;数据处理者委托数据安全审计专业机构定期合规审计
合规影响:如正式生效,需聘请数据安全审计专业机构进行年审
第三十五条数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:
(一)通过国家网信部门组织的数据出境安全评估;
(二)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;
(三)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。
合规要求:必须符合三选一条件,即经过网信部门评估、专业机构认证或签订网信部门的标准合同
合规影响:如正式生效,对所有数据出境的场景都需要梳理并采取上述措施
第二十八条重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下,履行以下职责:
(二)制定实施数据安全保护计划和数据安全事件应急预案;
(三)开展数据安全风险监测,及时处置数据安全风险和事件;
(四)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;
(五)受理、处置数据安全投诉、举报;
(六)按照要求及时向网信部门和主管、监管部门报告数据安全情况。
合规影响:如正式生效,需要选定符合条件的负责人并履行安全职责
第二十条数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。
个人信息处理规则应当包括但不限于以下内容:
(一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响;
(二)个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式;
(三)个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法;
(四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;
(六)个人信息安全风险及保护措施;
(七)个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。
合规要求:条款内容增加,重点为
合规影响:如正式生效,需要修订产品隐私政策条款,并更新所有正在运营的产品协议
第二十三条个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当履行以下义务:
法律、行政法规另有规定的从其规定。
合规影响:如正式生效,需要对收集的数据以合理的方式存放,能保证每名用户的数据可以随时单独查询并提供,并设计实现用户权利的合理方案
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
第四十四条互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任,通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。
第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。
移动通信终端预装第三方产品适用本条前两款规定。
合规要求:合规义务增加,非常严格,重点包括
第十九条数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。基于个人同意处理个人信息的,应当满足以下要求:
(一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的;
(二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;
(三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。
合规要求:重点内容包括
合规影响:目前最低频次暂不明确,如正式生效,需要根据不同APP类型,灵活判断最小频次,按照最小原则收集信息
结语
《网络数据安全管理条例(征求意见稿)》在数据安全和产品合规方面,向互联网企业提出了更高标准的要求。无论是数据分类分级保护、定期评估审计,还是有效保障用户权利、履行互联网平台企业社会责任,都将产生较大的合规调整。建议互联网企业提前进行政策解读、做好合规预案,以便及时应对最新合规挑战。