11月14日,国家网信办公布的《网络数据安全管理条例(征求意见稿)》(简称《数安条例》)提出,国家建立数据分类分级保护制度,对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
走出去智库(CGGT)特约法律专家、中伦律师事务所合伙人陈际红指出,随法律法规的进一步细化,隐私政策的透明度及细节程度可谓有增无减,建议企业在制定隐私政策时全盘把握个人信息处理活动的各生命周期,确保真实、准确、完整地披露各项要求的内容。
要点
CGGT,CHINAGOINGGLOBALTHINKTANK
1、数据处理者应当建立数据安全应急处置机制,并在数据安全事件发生时及时启动,以防止危害扩大,消除安全隐患。
2、处理重要数据的数据处理者应自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前汇报上一年度的数据安全评估报告。数据安全评估报告需保留至少三年。
3、对于为订立、履行合同所必需而向境外提供个人信息的场景可见于跨境网购、与境外证券公司开展交易等境内个人直接与境外处理者发生个人信息传输的场景,根据《数安条例》,此等场景无需再履行《个保法》第三十八条设定的个人信息跨境传输合法路径。
正文
文/陈际红、吴佳蔚、焦雅婷、陈煜烺、韦龙杰
中伦律师事务所
2021年11月14日,国家互联网信息办公室公布《网络数据安全管理条例(征求意见稿)》(以下简称“《数安条例》”)。《数安条例》以《中华人民共和国网络安全法》(以下简称“《网安法》”)、《中华人民共和国数据安全法》(以下简称“《数安法》”)和《中华人民共和国个人信息保护法》(以下简称“《个保法》”)“三驾马车”作为上位法,内容庞大,既有对“三驾马车”重要但又落地细节不足条款的细化和补充,也增设了一些新的制度体系。鉴于该条例的高度重要性,我们通过本文对三十四个核心问题进行解读。
基本问题的细化与澄清
1、条例的定位、目标和适用范围是?
2、哪些主体适用该条例?
3、什么是重要数据?
根据《数安条例》第七十三条第(三)款规定,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取利用,可能会对国家安全和公共利益造成危害的数据,具体如下:
此项定义没有采取多年前《数据安全管理办法(征求意见稿)》(下称“《数安办法》”)中的定义,个人信息或者企业内部的生产数据在此版本中并没有被排除出重要数据的范围。
4、什么是国家核心数据?
5、个人信息和重要数据的关系?
6、什么是公共数据?
7、数据安全保障措施有什么具体要求?
根据《数安条例》第九条和第十条的规定,数据处理者需要采取下列数据保障措施:
1)采取备份、加密、访问控制等基本必要措施;
2)按照网络安全等级保护的要求加强数据处理系统、传输网络、存储环境等安全防护;
3)如果发现使用或者提供的网络产品和服务存在安全缺陷或漏洞,抑或威胁国家安全和危害公共利益等风险时,应当立即采取补救措施。
另外,数据处理者在处理重要数据和/或核心数据时,应当采取下列数据保障措施:
1)使用密码对重要数据和核心数据进行保护;
2)重要数据的处理系统原则上应满足三级以上网络安全等级保护和关键信息基础设施安全保护要求;另外,在处理核心数据时,数据处理系统需要依照有关规定从严保护。
8、关于数据安全事件的处理和报告
9、如何进行涉及第三方的数据流转?
根据《数安条例》第十二条规定,数据处理者如果向第三方提供个人信息或者共享、交易、委托处理重要数据时,应当注意下列要求:
10、企业合并、重组、分立、解散、破产,数据怎么办?
1)数据处理在者在发生合并、重组、分立等情况时,除了继续履行数据安全保护义务外,如果涉及重要数据和一百万人以上个人信息时,应当向设区的市级主管部门进行报告;
11、爬虫类的自动化访问、收集工具还能用吗?
关于个人信息
12、隐私政策得写到什么程度?
在内容上应“明确具体、简明通俗、系统全面”,具体而言:
综上,随法律法规的进一步细化,隐私政策的透明度及细节程度可谓有增无减,建议企业在制定隐私政策时全盘把握个人信息处理活动的各生命周期,确保真实、准确、完整地披露各项要求的内容。
13、用户的同意需具备哪些条件?
14、数据主体行权的响应要求
《数安条例》在延续《个保法》《安全规范》数据主体行权响应要求的基础上,细化了部分权利的响应要求。数据主体行权的范围包括查阅、复制、更正、补充、限制处理、删除其个人信息。
根据《数安条例》第二十二条,个人信息删除的条件除个人信息处理目的已实现或不再必要、存储期限届满、服务终止或账号注销外,还包括因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息,此处可能是针对爬虫或者汽车数据处理者可能收集的人脸信息、车牌信息等的车外视频、图像数据。本条跟《个保法》规定有所差异,例如不包含撤回同意的情形。
另外,《数安条例》继《认定方法》第六条[3]后,再一次明确了数据主体权利行使要求为十五个工作日。企业在接收到数据主体行权申请后,应确保在十五个工作日内处理并反馈。
15、“数据转移权”如何响应?
《数安条例》第二十四条首次对数据转移权进行了细化规定。与《欧洲通用数据保护法》(下称“GDPR”)[4]的立法逻辑类似,转移权仅针对基于同意或者订立、履行合同所必需而收集的个人信息。与GDPR不同的是,《数安条例》明确说明转移的个人信息可以是本人的信息,也可以是他人的信息,但请求人需确保他人的信息是通过合法的方式获得,且不违背他人意愿,同时,请求人的合法身份也需可验证。在实践中,企业可以考虑如何设置信息内容及申请者合法的前置证明条件。《数安条例》也未像GDPR一样规定转移的个人信息需为“通用”且“机器可读”的。
另外,GDPR规定如技术可行,数据主体有权要求数据控制者将其个人数据直接传输给另一数据控制者,而《数据条例》第二十四条在开头即表明,数据处理者提供的转移服务适用于个人指定的其他数据处理者访问、获取个人转移的个人信息,从文意上理解,此处的转移服务也发生在数据处理者及个人指定的数据接收方之间。《数安条例》特别规定,如数据处理者发现“接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示”。我们理解,此项要求如何在实践中落地还有待进一步观察及讨论,如转移权的行使是否均需要数据主体告知接收个人信息的其他数据处理者?企业如何判断其他数据处理者的个人信息处理活动是否存在风险?是否仅需做统一提示?对此,我们将持续观察后续法律进展及行业实践。
16、只能用人脸信息进行打卡合法吗?
关于重要数据
17、谁能当数据安全负责人?
18、数据安全负责机构有哪些职责?
19、重要数据处理者的数据安全法定责任有哪些?
根据《数安条例》,重要数据处理者的数据安全法定责任包括:
20、如何进行重要数据的安全评估?
《数安条例》第三十二条对于重要数据处理者的安全评估分成两种类型:
1)定期评估:处理重要数据的数据处理者应自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前汇报上一年度的数据安全评估报告。数据安全评估报告需保留至少三年。评估内容包括:
此项要求与《汽车数据安全管理规定》第十三条[6]规定的汽车数据处理者的报送义务类似。
2)场景评估:对于共享、交易、委托处理、向境外提供重要数据的场景,重点评估的内容有所区别:
如评估结果为可能危害国家安全、经济发展和公共利益,则不得共享、交易、委托处理、向境外提供数据。
关于数据跨境
21、哪些情况下,个人信息跨境提供无需签订标准合同、获得认证或者通过安全评估?
根据《数安条例》第三十五条第二款,以下两种情形无需履行《个人信息保护法》(下称“《个保法》”)第三十八条设定的个人信息跨境传输合法路径:
1)为订立、履行个人作为一方当事人的合同所必需向境外提供个人信息;
2)为了保护个人生命健康和财产安全而必须向境外提供个人信息;
其中,对于为订立、履行合同所必需而向境外提供个人信息的场景可见于跨境网购、与境外证券公司开展交易等境内个人直接与境外处理者发生个人信息传输的场景,根据《数安条例》,此等场景无需再履行《个保法》第三十八条设定的个人信息跨境传输合法路径。
我们理解,这可能由于此等场景下境外处理者将直接根据《个保法》第三条第二款构成《个保法》项下的义务主体(进而需满足个人信息处理者的一系列要求),据此无需再以跨境传输的合法路径对境外数据处理者的数据安全能力等予以重复规制。
22、哪些主体需要通过国家网信部门组织的数据出境安全评估?
23、向境外提供数据的具体义务有哪些?
24、什么是数据跨境安全网关?
数据跨境安全网关在实践中又常称为“防火墙”,《数安条例》第四十一条系国家首次以立法形式明确了“防火墙”的法律地位。具体而言,数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施(《数安条例》第七十三条第(十一)项)。
网络安全审查
25、涉及数据处理活动的网络安全审查如何启动?
此前网信办于2021年7月10日发布了《网络安全审查办法(修订草案征求意见稿)》(以下称“《审查办法》”),其中对于数据处理活动规定了主动申报审查和依职权启动审查两种情形,《数安条例》第十三条在此基础上新增了部分场景,具体请见下表:
26、国外上市和香港上市在网络安全审查方面有区别吗?
《审查办法》规定,“掌握超过100万用户个人信息的运营者赴国外上市”应主动申报网络安全审查,相较于《中华人民共和国证券法》以及国务院的有关规定,此条款并未使用“境外”这一概念,而是使用了“国外”一词。我们之前的解读《激活网络安全审查制度筑牢数据安全防火墙——〈网络安全审查办法(修订草案征求意见稿)〉评析》认为,这一特殊安排的用意旨在将赴香港上市排除在本条所规定的网络安全审查的适用范围。《数安条例》将“赴国外上市”和“赴香港上市”通过第十三条的第二项和第三项分置规定,显然印证了这一理解,即《审查办法》第六条的适用范围不包括香港上市。
我们理解,《数安条例》并非在《审查办法》基础上对香港上市监管加码,而是法律适用的明确。《数安法》第二十四条规定,“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”即,只要数据处理活动影响或可能影响国家安全,都会触发安全审查,赴港上市行为当然也应包括在内。《审查办法》第六条虽然不包括香港上市,但在第二条却有原则性的要求,即:“数据处理者开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。”
据此,相较于对国外上市所采取的一刀切的量化标准,赴港上市的网络安全审查采取是风险导向的标准,只有确实存在影响或可能影响国家安全的风险,才会触发网络安全审查。同时,为消除该规定对香港上市带来的不确定性,我们也建议监管部门尽快制定赴港上市的数据风险预判指南。
最后,《数安条例》第三十二条还规定赴境外上市的数据处理者应每年开展数据安全评估并向市级网信部门报送的义务。此为赴国外上市和赴香港上市均需遵循的法定义务。
关于互联网平台运营者
27、互联网平台运营者应当制定哪些重要规则?如何公示?
28、互联网平台运营者如何管理接入第三方?
《数安条例》第四十四条强调通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。同时,如因第三方产品和服务对用户造成损害,互联网平台运营者将可能直接向用户承担先行赔偿的责任。此外,对于移动通信终端预装第三方产品同样适用于上述规定,例如信安标委于2021年11月12日发布的《移动智能终端预装应用程序分类方法(征求意见稿)》所规定的不可卸载应用程序和可卸载应用程序均可视为上述规定中的“第三方”。
29、互联网平台运营者不能利用数据及平台规则做哪些事?
《数安条例》第四十六条则从损害后果的角度进行划分,规定了四类互联网平台运营者利用数据以及平台规则的禁止性行为:
30、互联网个性化推荐仅能一键关闭还合规吗?
《个保法》第二十四条第二款规定,通过自动化决策方式向个人进行信息推送,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。由此一键关闭个性化推荐为法定的明确要求。但是,对于个性化推荐活动的法律基础如何界定一直是业界争议的焦点,如果适用同意这一基础,则会给企业带来包括opt-in在内的更重的合规负担。
然而,《数安条例》第四十九条对于利用个人信息和个性化推送算法向用户提供信息提出了一系列的合规要求,我们理解,《数安条例》正式稿生效后,此等合规要求将成为互联网平台提供个性化推荐服务的法定义务,仅提供一键关闭功能将面临较高合规风险。具体而言,互联网平台运营者需履行的合规义务包括:
31、公共服务下收集、产生的数据能用于自身平台发展的目的吗?
根据《数安条例》第五十一条,“互联网平台运营者在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据不得用于其他用途。”
32、大型互联网平台运营者有哪些义务?
《数安条例》第七十三条第(十)项规定的大型互联网平台运营者是指“用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。”其中关于“用户超过五千万”的量化标准与《平台分类分级指南》第3.4条所规定的“大型平台”之“上年度在中国的年活跃用户不低于5000万”相呼应。可以预见,未来正式稿将有较大可能以5000万年活跃用户作为大型互联网平台的判断标准,同时,我们也倾向于认定将以5000万作为《个保法》第五十八条规定“用户数量巨大”的法定门槛。
具体而言,结合《个保法》《数安条例》和《平台责任指南》,根据对平台规制领域侧重的不同,此等大型互联网平台(或《个保法》下的“重要互联网平台”;《平台责任指南》下的“超大型平台”[7])运营者的义务包括:
关于监督管理
33、监管机构可以采取哪些监督措施?
《数安条例》第五十七条首次对于监管机构采取的监管措施进行细化,明确处理者的配合义务,可以采取以下措施对数据安全进行监督检查:
有关主管、监管部门开展数据安全监督检查,应当客观公正,不得向被检查单位收取费用。在数据安全监督检查中获取的信息只能用于维护数据安全的需要,不得用于其他用途。
34、数据安全审计怎么开展?
根据《数安条例》第五十八条规定,数据安全审计工作应当包括以下内容:
1)针对国家而言,应当建立数据安全审计制度;
2)对于数据处理者而言,如果数据处理者的处理活动涉及个人信息时,应当委托专业的数据安全审计机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。上述规定与《个保法》第五十四条规定一致;
注
[2]《个人信息安全规范》第5.3(f)条:不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求个人信息主体同意收集个人信息。
[3]《App违法违规收集使用个人信息行为认定方法》第六(5)条:以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”:…未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。…
[4]Article20ofGDPR:Thedatasubjectshallhavetherighttoreceivethepersonaldataconcerninghimorher,whichheorshehasprovidedtoacontroller,inastructured,commonlyusedandmachine-readableformatandhavetherighttotransmitthosedatatoanothercontrollerwithouthindrancefromthecontrollertowhichthepersonaldatahavebeenprovided,where:(a)theprocessingisbasedonconsentpursuanttopoint(a)ofArticle6(1)orpoint(a)ofArticle9(2)oronacontractpursuanttopoint(b)ofArticle6(1);and(b)theprocessingiscarriedoutbyautomatedmeans.2.Inexercisinghisorherrighttodataportabilitypursuanttoparagraph1,thedatasubjectshallhavetherighttohavethepersonaldatatransmitteddirectlyfromonecontrollertoanother,wheretechnicallyfeasible.
[7]根据《平台责任指南》附则第(4)项,超大型平台,是指在中国的上年度年活跃用户不低于5000万、具有表现突出的主营业务、上年底市值(或估值)不低于1000亿人民币、具有较强的限制平台内经营者接触消费者(用户)能力的平台。