2021年11月14日,国家互联网信息办公室公布《网络数据安全管理条例(征求意见稿)》(以下简称“《数安条例》”)。《数安条例》以《中华人民共和国网络安全法》(以下简称“《网安法》”)、《中华人民共和国数据安全法》(以下简称“《数安法》”)和《中华人民共和国个人信息保护法》(以下简称“《个保法》”)“三驾马车”作为上位法,内容庞大,既有对“三驾马车”重要但又落地细节不足条款的细化和补充,也增设了一些新的制度体系。鉴于该条例的高度重要性,我们通过本文对三十四个核心问题进行解读。
基本问题的细化与澄清
1、条例的定位、目标和适用范围是?
|
/ |
具体内容 |
|
定位 |
根据《数安条例》第一条规定,《数安条例》系根据《网安法》《数安法》《个保法》等法律制定的行政法规。因此《数安条例》在一定程度上可以看作是《数安法》和《个保法》的实施细则。但是《数安条例》主要针对的是“网络数据”,重点在落实法律中提出的数据安全制度,因此《数安条例》的侧重点与上述法律存在一定的区别。 |
|
目标 |
根据《数安条例》第一条规定,该条例的颁布有如下三点目标:
?规范网络数据处理活动,保障数据安全; ?保护个人、组织在网络空间的合法权益; ?维护国家安全和公共利益。 |
|
适用 范围 |
《数安条例》第二条规定的适用范围遵循了《个保法》对于适用范围的规定,即亦包括属地原则和指向原则两类,具体如下:
?如果数据处理者在中华人民共和国境内利用网络开展数据处理活动或者对网络数据安全进行监督管理,应当适用该条例; ?如果数据处理者在中华人民共和国境外处理境内个人和组织的数据,如果符合下列条件之一,应当适用该条例:(1)以向境内提供产品或者服务为目的;(2)分析、评估境内个人、组织的行为;(3)涉及中国境内重要数据的处理;(4)法律、行政法规规定的其他情形。
另外,该法规排除了自然人因为个人或者家庭事务开展数据处理活动的情形,上述活动不在《数安条例》的适用范围内。 |
2、哪些主体适用该条例?
根据《数安条例》第七十三条的规定,下列主体在进行数据处理活动时应当遵循《数安条例》的相关规定:
|
主体 |
定义 |
|
数据处 理者 |
是指在数据处理活动中自主决定处理目的和方式的个人和组织(《数安条例》第七十三条第(五)款)。 |
|
互联网平台运营者 |
是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者(《数安条例》第七十三条第(九)款)。 |
|
大型互联网平台运营者 |
是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者(《数安条例》第七十三条第十款)。本条规定亦是对《个保法》第五十八条规定的重要互联网平台的明确和细化,也就是说,如果某互联网平台运营者用户超过五千万、处理大量个人信息、具有强大社会动员能力和市场支配地位时,应当履行同时履行《个保法》第五十八条和《数安条例》规定的相关合规义务。 |
3、什么是重要数据?
根据《数安条例》第七十三条第(三)款规定,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取利用,可能会对国家安全和公共利益造成危害的数据,具体如下:
|
序号 |
具体内容 |
|
1 |
未公开的政务数据、工作秘密、情报数据和执法司法数据; |
|
2 |
与出口管制相关的数据,包括出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据; |
|
3 |
根据国家法律、行政法规、部门规章明确规定的需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等相关数据; |
|
4 |
在工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产和运行的相关数据,以及关键系统组件和设备供应链数据; |
|
5 |
达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境相关的国家基础数据; |
|
6 |
国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据; |
|
7 |
其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的相关数据。 |
此项定义没有采取多年前《数据安全管理办法(征求意见稿)》(下称“《数安办法》”)中的定义,个人信息或者企业内部的生产数据在此版本中并没有被排除出重要数据的范围。
4、什么是国家核心数据?
根据《数安条例》第七十三条第(四)条规定,核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的相关数据。国家核心数据在《数安法》中有所提及,但是并未明确其定义,而《数安条例》的规定对于国家核心数据概念的确立尚属首次。
5、个人信息和重要数据的关系?
根据《数安条例》第二十六条规定,如果数据处理者处理一百万人以上个人信息时应当参照《数安条例》第四章关于重要数据处理者的规定(重要数据处理的规定参见下文)。也就是说,《数安条例》将一百万以上的个人信息的保护要求提升到与重要数据相同的水平。但是,我们也注意到在某些行业中存在特别规定,例如在《汽车数据安全管理若干规定》(试行)(以下称“《汽车数据安全管理规定》”)的第三条规定了涉及个人信息主体超过10万人的个人信息属于重要数据。由此,分别在国家层面和行业层面,个人信息和重要数据的认定的交叉关系可能是一个需要持续关注的话题。
6、什么是公共数据?
根据《数安条例》第七十三条第(六)条规定,公共数据包括两类:第一,国家机关和法律、行政法规授权的具有管理公共事务职能的组织在履行公共管理职责或者提供公共服务过程中收集和产生的各类数据;第二,其他组织在提供公共服务过程中收集和产生的涉及公共利益的各类数据。
7、数据安全保障措施有什么具体要求?
根据《数安条例》第九条和第十条的规定,数据处理者需要采取下列数据保障措施:
1) 采取备份、加密、访问控制等基本必要措施;
2) 按照网络安全等级保护的要求加强数据处理系统、传输网络、存储环境等安全防护;
3) 如果发现使用或者提供的网络产品和服务存在安全缺陷或漏洞,抑或威胁国家安全和危害公共利益等风险时,应当立即采取补救措施。
另外,数据处理者在处理重要数据和/或核心数据时,应当采取下列数据保障措施:
1) 使用密码对重要数据和核心数据进行保护;
2) 重要数据的处理系统原则上应满足三级以上网络安全等级保护和关键信息基础设施安全保护要求;另外,在处理核心数据时,数据处理系统需要依照有关规定从严保护。
8、关于数据安全事件的处理和报告
根据《数安条例》第十一条规定,数据处理者应当建立数据安全应急处置机制,并在数据安全事件发生时及时启动,以防止危害扩大,消除安全隐患。同时,数据处理者应当注意下列时间节点:
|
时间 |
具体内容 |
|
“三个工作日” |
如果数据安全事件对个人和/或组织造成危害,相关数据处理者应当在三个工作日内通知利害关系人;同时,上述通知应当包括安全事件和风险情况、危害后果、已经采取的补救措施等内容,法律、行政法规另有规定的除外。 |
|
“八小时”和“五个工作日” |
如果发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:
?在发生上述安全事件的八小时内,向设区的市级网信部门和有关主管部门报告该事件基本信息;报告内容应当包括涉及数据数量、类型、可能的影响、已经或拟采取的处置措施等内容;在实操中,这么短的操作时间对于企业往往是比较大的挑战。
?在事件处置完毕后五个工作日内,向设区的市级网信部门和有关主管部门报送调查评估报告,报告内容应当包括事件原因、危害后果、责任处理、改进措施等内容。 |
9、如何进行涉及第三方的数据流转?
根据《数安条例》第十二条规定,数据处理者如果向第三方提供个人信息或者共享、交易、委托处理重要数据时,应当注意下列要求:
|
主体 |
要求 |
具体内容 |
|
数据处 理者 |
对个人的告知义务 |
应当向个人告知个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,法律法规规定不需要告知的或经过匿名化处理的个人信息除外; |
|
明确约定处理事项 |
应当与接收方约定处理数据的目的、范围、处理方式、数据安全保护措施、数据安全责任义务等内容,并对接收方相关数据处理活动进行监督; |
|
|
五年保存期 |
应当留存下列日志记录:个人同意记录以及提供个人信息的日志记录;共享、交易、委托处理重要数据的审批记录、日志记录。上述日志记录应保存至少五年时间。 |
|
|
数据接 收方 |
约定范围内处理数据 |
数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。 |
10、企业合并、重组、分立、解散、破产,数据怎么办?
《个保法》在第二十二条中已经规定,个人信息处理者在合并、分立、解散、被宣告破产等原因需要转移个人信息时,应当向个人告知相关个人信息接收方的名称或者姓名和联系方式。而《数安条例》的第十四条则进一步细化了数据处理者的相关义务,具体如下:
1)数据处理在者在发生合并、重组、分立等情况时,除了继续履行数据安全保护义务外,如果涉及重要数据和一百万人以上个人信息时,应当向设区的市级主管部门进行报告;
2)数据处理者发生解散、被宣告破产等情况时,应当向设区的市级主管部门报告,并按照相关要求移交或删除相关数据,如果上述主管部门不明确时应当向设区的市级网信部门报告。
11、爬虫类的自动化访问、收集工具还能用吗?
根据《数安条例》第二十二条第四款规定,如果使用自动化采集技术等技术措施,且无法避免采集到非必要个人信息或者未经个人同意的个人信息时,相关数据处理者应当在十五个工作日内删除上述采集的个人信息或者对上述个人信息进行匿名化处理。我们理解,爬虫类自动化访问、收集工具以及网联汽车收集车外数据等均可能落入此类范畴。因此,如果该类自动化访问和收集工具的确采集到非必要个人信息或未经个人同意的个人信息时,使用者应当在十五个工作日内对相关个人信息予以删除或进行匿名化处理。
关于个人信息
12、隐私政策得写到什么程度?
就隐私政策的写作尺度,《数安条例》第二十条延续了《个保法》真实、准确、完整的标准,同时进一步细化了相关内容要求。
《数安条例》在形式上要求隐私政策应当“集中公开展示、易于访问并置于醒目位置”,这一点与《App违法违规收集使用个人信息行为认定方法》(下称“《认定方法》”)的相关规定一脉相承;
在内容上应“明确具体、简明通俗、系统全面”,具体而言:
1)从体例上,隐私政策应依据产品或服务的功能,以清单的形式列明各项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点,以及拒绝处理个人信息对个人的影响。此处,个人信息收集的频次首次被明确要求在隐私政策中加以列明,这也与《数安条例》第十九条规定的个人信息需限于处理目的最低频次相对应。
2)《数安条例》还首次规定需在隐私政策中列明个人信息存储期限的确定方法,即企业需内部论证并梳理存储期限的订立逻辑,并加以公示。
3)对于公众多有困惑的第三方、第三方代码/插件的公示情况,《数安条例》也在第二十条中给出了明确的方案,要求需以集中展示等便利用户访问的方式说明第三方代码/插件的名称、收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则,也需列明向第三方提供个人信息情形及其目的、方式、种类、数据接收方相关信息等。在实践中,我们经常可以看到部分企业以在隐私政策中嵌入单独超链接或表格的方式进行公示,结合近期工信部发布的《关于开展信息通信服务感知提升行动的通知》中所要求的“双清单”义务,第三方数据共享的严格透明化将是《个保法》生效后的显著趋势。
4)《数安条例》还包括个人信息主体权利响应、个人信息安全风险及保护措施、个人信息安全问题投诉、举报渠道及解决路径、个人信息保护负责人联系方式的内容要求。
综上,随法律法规的进一步细化,隐私政策的透明度及细节程度可谓有增无减,建议企业在制定隐私政策时全盘把握个人信息处理活动的各生命周期,确保真实、准确、完整地披露各项要求的内容。
13、用户的同意需具备哪些条件?
《数安条例》第二十一条对用户的同意条件进行了集中阐述。在形式上,需按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意。此要求与今年5月1日出台的《网络交易监督管理办法》第十三条[1]相呼应。另外,与《信息安全技术 个人信息安全规范》(下称“《安全规范》”)第5.3条[2]类似,不得仅以改善服务质量、提升用户体验、研发新产品等为由强迫个人同意处理其个人信息,即前述条件需以同意作为处理的法律基础。特殊场景如敏感个人信息需取得个人单独同意,不满十四周岁的未成年人的个人信息需取得监护人同意。在获取同意之后,不得超出个人授权同意的范围处理个人信息,也不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。
值得一提的是,《数安条例》全文在多处提及单独同意相关细化要求。首先,《数安条例》在第九章中,首次对单独同意的定义加以明确。单独同意是指指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。其次,如第三十六条规定,针对跨境提供个人信息的场景,如收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。此要求即是在确保个人信息单独同意的前提下平衡用户体验的典型体现。
《数安条例》第二十一条还与《个保法》的举证责任条款有效连接,如对于同意行为有效性存在争议,数据处理者负有举证责任。对此,企业需在内部建立相关流程机制,对同意行为的有效性进行论证,并留存相关日志记录。
14、数据主体行权的响应要求
《数安条例》在延续《个保法》《安全规范》数据主体行权响应要求的基础上,细化了部分权利的响应要求。数据主体行权的范围包括查阅、复制、更正、补充、限制处理、删除其个人信息。
根据《数安条例》第二十二条,个人信息删除的条件除个人信息处理目的已实现或不再必要、存储期限届满、服务终止或账号注销外,还包括因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息,此处可能是针对爬虫或者汽车数据处理者可能收集的人脸信息、车牌信息等的车外视频、图像数据。本条跟《个保法》规定有所差异,例如不包含撤回同意的情形。
对于个人信息主体的查阅权,《数安条例》第二十三条要求数据处理者需“提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制”。其中,“便捷”、“结构化”、“个人信息类型、数量”均为值得关注的要点。业界良好实践包括部分企业提供自动化方式,供用户自行导出个人信息列表,但也需检查确保符合前述内容条件。
另外,《数安条例》继《认定方法》第六条[3]后,再一次明确了数据主体权利行使要求为十五个工作日。企业在接收到数据主体行权申请后,应确保在十五个工作日内处理并反馈。
15、“数据转移权”如何响应?
《数安条例》第二十四条首次对数据转移权进行了细化规定。与《欧洲通用数据保护法》(下称“GDPR”)[4]的立法逻辑类似,转移权仅针对基于同意或者订立、履行合同所必需而收集的个人信息。与GDPR不同的是,《数安条例》明确说明转移的个人信息可以是本人的信息,也可以是他人的信息,但请求人需确保他人的信息是通过合法的方式获得,且不违背他人意愿,同时,请求人的合法身份也需可验证。在实践中,企业可以考虑如何设置信息内容及申请者合法的前置证明条件。《数安条例》也未像GDPR一样规定转移的个人信息需为“通用”且“机器可读”的。
另外,GDPR规定如技术可行,数据主体有权要求数据控制者将其个人数据直接传输给另一数据控制者,而《数据条例》第二十四条在开头即表明,数据处理者提供的转移服务适用于个人指定的其他数据处理者访问、获取个人转移的个人信息,从文意上理解,此处的转移服务也发生在数据处理者及个人指定的数据接收方之间。《数安条例》特别规定,如数据处理者发现“接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示”。我们理解,此项要求如何在实践中落地还有待进一步观察及讨论,如转移权的行使是否均需要数据主体告知接收个人信息的其他数据处理者?企业如何判断其他数据处理者的个人信息处理活动是否存在风险?是否仅需做统一提示?对此,我们将持续观察后续法律进展及行业实践。
16、只能用人脸信息进行打卡合法吗?
个人生物特征的准确性及便捷性,使得相关身份识别及认证技术在社会上广泛使用。《数安条例》第二十五条规定数据处理者在利用生物特征进行个人身份认证时,应首先对其必要性、安全性进行风险评估。同时,规定生物特征,包括人脸、步态、指纹、虹膜、声纹等,不得作为唯一的个人身份认证方式。对于此类生物特征信息的收集,由于其属于敏感个人信息范畴,根据《数安条例》第二十一条,在收集前需获取用户的单独同意,此条规定也确认了生物特征信息用于个人身份识别是以同意作为法律基础,在使用该技术收集个人信息时需同时提供其他替代方案。
关于重要数据
17、谁能当数据安全负责人?
《数安法》第二十七条即明确重要数据的处理者应当明确数据安全负责人和管理机构,对于具体由谁来承担数据安全负责人这一角色,《数安条例》延续了《数安办法》第十七条[5]的规定。《数安条例》第二十八条说明,数据安全负责人应当具备数据安全专业知识和相关管理工作经历,且由数据处理决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。与《数安办法》不同的是,《数安条例》直接明确该负责人需为决策层成员承担,而非参与有关数据活动的重要决策。企业如需在内部设置数据安全负责人,可以根据工作背景及工作职责综合考虑决定。
18、数据安全负责机构有哪些职责?
根据《数安条例》第二十八条,重要数据的处理者应成立数据安全管理机构。数据安全管理机构应履行多方面职责。该机构由数据安全负责人带领,即该数据处理决策层成员将带领机构研究提出数据安全相关重大决策建议,并制定实施数据安全保护计划和数据安全事件应急预案。同时,数据安全负责机构还将开展数据安全风险监测,及时处置数据安全风险和事件;定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动。机构还将受理、处置数据安全投诉、举报;按照要求及时向网信部门和主管、监管部门报告数据安全情况。
19、重要数据处理者的数据安全法定责任有哪些?
根据《数安条例》,重要数据处理者的数据安全法定责任包括:
|
责任 |
具体要求 |
解读 |
|
备案 (第二十九条) |
在识别重要数据后的十五个工作日内向设区的市级网信部门备案,备案内容包括: (一)数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等; (二)处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身; (三)国家网信部门和主管、监管部门规定的其他备案内容。 |
在识别重要数据之后的十五个工作日内,重要数据处理者即需要向相关部门备案,时间之紧即要求企业在日常就为重要数据识别及相关备案内容做好准备,设立相关数据安全负责人及机构,梳理内部数据处理活动。 |
|
培训 (第三十条) |
应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。 |
该要求一方面限定了数据安全教育培训的范围,需覆盖全员,另一方面要求数据安全相关技术和管理人员每年的培训时间不得少于二十小时。企业需在内部及时做好并保存相关记录。 |
|
采购 (第三十一条) |
应当优先采购安全可信的网络产品和服务。 |
应在内部建立采购流程及制度,避免采购的网络产品和服务造成相应安全风险。 |
|
安全评估 (第三十二条) |
(在第20问具体说明) |
|
|
流转批准 (第三十三条) |
数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。 |
进一步规制数据处理者共享、交易、委托处理重要数据的行为,企业可以在共享、交易、委托处理前进行内部风险评估。相关批准流程仍有待进一步明确。 |
20、如何进行重要数据的安全评估?
《数安条例》第三十二条对于重要数据处理者的安全评估分成两种类型:
1)定期评估:处理重要数据的数据处理者应自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前汇报上一年度的数据安全评估报告。数据安全评估报告需保留至少三年。评估内容包括:
|
序号 |
具体内容 |
|
1 |
处理重要数据的情况; |
|
2 |
发现的数据安全风险及处置措施; |
|
3 |
数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性; |
|
4 |
落实国家数据安全法律、行政法规和标准情况; |
|
5 |
发生的数据安全事件及其处置情况; |
|
6 |
共享、交易、委托处理、向境外提供重要数据的安全评估情况; |
|
7 |
数据安全相关的投诉及处理情况; |
|
8 |
国家网信部门和主管、监管部门明确的其他数据安全情况。 |
此项要求与《汽车数据安全管理规定》第十三条[6]规定的汽车数据处理者的报送义务类似。
2)场景评估:对于共享、交易、委托处理、向境外提供重要数据的场景,重点评估的内容有所区别:
|
序号 |
具体内容 |
|
1 |
共享、交易、委托处理、向境外提供数据,以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要; |
|
2 |
共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险; |
|
3 |
数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况,承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全; |
|
4 |
与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务; |
|
5 |
在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。 |
如评估结果为可能危害国家安全、经济发展和公共利益,则不得共享、交易、委托处理、向境外提供数据。
下篇预告:
我们将在本系列的下篇对数据跨境、网络安全审查、互联网平台运营者以及监督管理等四个层面的数据安全核心问题展开解读。敬请期待!
[注]