编者按:2021年11月14日,国家互联网信息办公室发布了《网络数据安全条例(征求意见稿)》,为规范数据安全管理、数据处理活动等提供了有效的管理规范。因此,我们结合团队成员在数据安全领域的历史研究及从业经验,就该《条例》中所反映未来监管层面的核心要素及规则的关键要点进行简要的评释,供各位专家、学者及实务界同仁参考。
第一章 总则
第一条 为了规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定本条例。
【评释】:当前,数据已经成为各国政府及企业战略性资源和核心资产。近年来,数据安全形势日益严峻,一些国家层面的核心数据面临被泄露、滥用、交易的极大风险,企业在数据的收集、处理和使用上存在权利义务边界不清的状况,个人信息被过度收集、未经授权被滥用的现状已引起社会各层面的关注,因此亟需对数据处理活动形成自上而下全面、具体、细致的管理制度。本条款就是在上述背景的基础上,具体落实了三部上位法中提出的数据安全制度的实施路径,同时阐明《网络数据安全管理条例》的立法目的——即旨在网络数据处理活动中,在保障私权的基础上强调兼顾国家安全,同时本条第一次明确提出数据处理需要维护公共利益。《网络数据安全管理条例》将作为针对数据处理活动的行政法规,指导个人和组织的具体活动。
第二条 在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。
在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例:
(一)以向境内提供产品或者服务为目的;
(二)分析、评估境内个人、组织的行为;
(三)涉及境内重要数据处理;
(四)法律、行政法规规定的其他情形。
自然人因个人或者家庭事务开展数据处理活动,不适用本条例。
【评释】:本条确认了《网络数据安全管理条例》的效力范围,在全面规制中国境内数据处理活动和数据安全监管责任的同时,以保护性管辖的方式,赋予了《网络数据安全管理条例》较为广泛的域外效力,同时规定了境外管辖的例外排除条件。可以说只要是境外组织或个人针对中国境内的非家庭性、个人性的数据的处理行为,我国可“沾边就管”。这样的效力范围设定,是对于立法目的中所提出的保护国家安全和社会利益的有力保障,亦彰显了我国维护数据主权与数据安全的决心,将会在未来数据全球化流转的大趋势中,为我国提供更加负有主动性的法律武器。
第三条 国家统筹发展和安全,坚持促进数据开发利用与保障数据安全并重,加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用。
第四条 国家支持数据开发利用与安全保护相关的技术、产品、服务创新和人才培养。
国家鼓励国家机关、行业组织、企业、教育和科研机构、有关专业机构等开展数据开发利用和安全保护合作,开展数据安全宣传教育和培训。
【评释】:第三、四条宣告了我国对于数据处理活动的态度——“安全与发展并重”,在强调对数据保护的同时,通过支持和鼓励科技创新、人才培养、各行业机构协作、宣传等方式,为全面促进数据可持续有效有序利用创造条件,以国家统筹力量保障数据安全。
第五条 国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。
【评释】:本条是《网络数据安全管理条例》中十分重要的条款,列明本条例第一项重要任务,即为《数据安全法》第二十一条、《个人信息保护法》第五十一条中明确提出的国家数据分类分级保护制度,提供划分标准和保护尺度。但本条尚未明确严格保护和重点保护的标准,其技术要求和制度设计还有待进一步去落实。
不过,本条明确了个人信息的重要地位,即不论个人信息或个人数据的影响和重要程度,只要是公民个人信息,其安全保护等级必须至少按照重点保护的标准实施,这亦体现了我国对个人信息保护的重视程度。
第六条 数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任。
数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。
【评释】:本条明确提出了数据安全保护第一责任人,即数据处理者。数据处理者负有数据保护的强制性要求,并且对于数据保护的标准亦进行了明确。同时,数据处理者应当通过“制度+技术”双管齐下的方式,落实数据保护义务。
第七条 国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。
国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。
【评释】:本条提出了国家对于公共数据的使用态度,即“开放、共享”,这是对本条例第三条提出的数据依法有序自由流动的回应和部分落实。本条不足之处在于尚未明确公共数据的范畴,对于公共数据仍旧需要按照其重要程度分门别类,数据处理者亦需要履行相应等级的保护义务。虽然国家宣告将对公共数据进行监督管理,但还需要在未来落实具体的监督部门、管理单位。
本条例另一大亮点在于,提出了数据交易管理制度。针对当前数据交易市场的乱象,国家大刀阔斧改革,明确提出将设立数据交易机构加强对数据交易的管理,将数据交易纳入规范化的管控之中,从而实现保障国家安全,维护公共利益的目的。
第二章 一般规定
第八条 任何个人和组织开展数据处理活动应当遵守法律、行政法规,尊重社会公德和伦理,不得从事以下活动:
(一)危害国家安全、荣誉和利益,泄露国家秘密和工作秘密;
(二)侵害他人名誉权、隐私权、著作权和其他合法权益等;
(三)通过窃取或者以其他非法方式获取数据;
(四)非法出售或者非法向他人提供数据;
(五)制作、发布、复制、传播违法信息;
(六)法律、行政法规禁止的其他行为。
任何个人和组织知道或者应当知道他人从事前款活动的,不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。
【评释】:本条是对数据处理活动的禁止性规定。同时对该条所列举的数据处理禁止性活动提供帮助的行为亦设置了禁止性规定。相关帮助行为,如果满足明知或推定明知的要件,将有可能以破坏计算机信息系统罪、非法获取计算机信息系统数据罪、侵犯公民个人信息罪、非法利用信息网络罪、帮助信息网络犯罪活动罪等罪名单独或作为共犯追究责任。
第九条 数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。
数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。
数据处理者应当使用密码对重要数据和核心数据进行保护。
【评释】:本条明确了数据处理者履行数据安全保护义务的责任要求和具体应采取的措施要求。同时,本条具体回应数据分级保护中对重要数据进行重点保护的参考标准。即参考国家市场监督管理总局与中国国家标准化管理委员会发布的《信息安全技术 网络安全等级保护基本要求》中明确的第三级安全保护能力的要求,以及国务院第745号令《关键信息基础设施安全保护条例》提出的定期监测评估、安全事件报告和应对处置的要求。但是对于核心数据的严格保护,尚未给出参考性要求。目前至少能够明确的是,严格保护标准只能够比第三级网络安全保护能力更强,所承受的攻击范围更广,系统恢复更快。
同时本条款对于重要数据和核心数据提出了强制性的具体技术性要求,即使用密码技术保护。
第十条 数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞,或者威胁国家安全、危害公共利益等风险时,应当立即采取补救措施。
【评释】:本条是对数据处理者的数据安全保护义务的细化,并对于数据处理者提出来数据安全风险事件的及时补救要求。在该条款规制下,数据处理者应当制定数据安全风险监测制度及应急处置预案,如因数据处理者补救不及时,致使数据安全风险扩大的,数据处理者将为此承担相应的民事、行政乃至刑事责任。
第十一条 数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。
发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:
(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;
(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。
【评释】:该条是对数据处理者建立数据安全应急机制的全面要求,对应《数据安全法》第二十三条,也将成为企业数据合规中数据安全制度建设的要求之一。
具体而言,当发生一般数据安全事故时,一方面应当采取防范危害扩大的措施,可能包括更改口令、回收权限、断开网络连接等控制或消除数据面临的安全风险;另一方面应当尽可能的通知利害关系人。需要注意的是,此处条文规范所使用的是“利害关系人”,因此通知的对象应当不局限于数据所载信息的权益主体,而应当包括所有可能受该数据事故影响的主体。
当发生重大数据安全事故时,除上述所应采取的措施外,还应当履行规定时间内向有关部门报告的义务。该条文中对于重大数据安全事故并未进行明确界定,我们理解,此处的重大数据安全事故应当与十万人以上的信息泄露等事故具有危害的相当性。
第十二条 数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规定:
(一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外;
(二)与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督;
(三)留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。
数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。
【评释】:本条的规定是对数据交互过程中双方权利义务的规范。其中第一款规定了数据提供方的义务,主要包括三个方面:第一,获得授权。若数据接收方提供的是个人信息,则应当明示告知信息主体并获得授权。需要注意的是,该款中的例外情形包括了匿名化的个人信息,而非去标识化。匿名化应当达到完全去标识。第二,数据交互双方以合同形式对双方数据处理中所涉具体内容进行界定。第三,需要对此处数据交互行为进行留痕,且留痕至少为5年。
而该条第二款则是对数据接收方的规定,重点强调了应该在约定范围内处理数据。应当注意的是,此处的约定范围应不仅包括数据交互双方的约定,亦包括对于信息交互过程中信息主体的授权范围。
当然,该条中亦有未明确的之处。其单独要求对于个人信息的向外提供需要信息主体的授权,那么对于除个人信息以外的其他数据是否具有获得利益主体授权的问题未作规定。我们理解,应当参考各类型化信息的相关规定进行认定,不宜直接作出“其他类型数据向外提供不存在授权问题”的判断。
第十三条 数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:
(一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;
(二)处理一百万人以上个人信息的数据处理者赴国外上市的;
(三)数据处理者赴香港上市,影响或者可能影响国家安全的;
(四)其他影响或者可能影响国家安全的数据处理活动。
大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。
第十四条 数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。
【评释】:上述两条款规定了数据处理者在不同情形下的网络安全申报审查及主体变动的报告义务,并将数据安全最终的主管部门确定为网信部门,这也与《数据安全法》的规定一致。相关企业如未履行申报审查及报告义务的,将面临行政责任,乃至拒不履行信息网络安全管理义务罪的刑事责任。
第十五条 数据处理者从其他途径获取的数据,应当按照本条例的规定履行数据安全保护义务。
【评释】:该条款为注意性规定,明确了数据处理者对于任何途径所获取的数据都应当履行数据安全保护义务。正确理解该条规定,还需注意:
其一,对于获取的界定。何为获取数据,在通行的国际标准《信息技术-安全技术-电子数据识别、收集、获取和保存指南》中规定了,所谓“获取(acquisition)”是指“在特定的数据集合中进行数据副本创建的过程(process of creating a copy of data with in a defined set)”;同时对于该条款的注释亦明确“获取的内容是对于拟获取的数据信息的备份(The product of an acquisition is a potential digital evidence copy)”。可见,“获取”的技术含义应当是获取者在主观意志的支配下对于既有数据的复制行为,也即“数据镜像”的制作。因此,数据处理者作为数据保护的首要义务人,应当注意所获悉数据的行为是否属于“获取”。当然,实践中不排除对该条进行扩大解释的空间,应当审慎。
其二,此处所谓的数据安全保护义务包括哪些方面。对此,总体上应当依据《数据安全法》第二十七条的规定,包括了建立健全全流程数据安全管理制度、组织开展数据安全教育培训、采取相应的技术措施和其他必要措施,保障数据安全、重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任等。
第十六条 国家机关应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
第十七条 数据处理者在采用自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。
自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的,数据处理者应当停止访问、收集数据行为并采取相应补救措施。
【评释】:该条规定是在立法层面,首次对于数据处理自动化工具的违法性界定进行明确规定的条文。此前,对于数据处理的自动化工具在具有一定违法性的情况下,往往并无行政违规处罚的缓冲,而直接进入刑事规制的范围。以爬虫软件为例,在大量的司法实践中,只要行为人利用数据爬虫软件,爬取了未经授权的数据或者信息,达到一定条数,则易被认定为计算机网络犯罪的相关罪名,如非法获取计算机信息系统数据罪。但实际上,从爬虫软件的技术运行机制来看,将其认定为计算机网络犯罪的相关罪名存在一定的理论障碍。也即涉案的爬虫软件并没有实际上“侵入”计算机信息系统,而“侵入”要件的判断是许多罪名成立的前提。
基于对数据收集、访问自动化工具在刑事规制层面的问题与障碍,该条规定给相关的违法行为提供了行政规制的出路。我们认为,对于此后相关的爬虫软件、撞库软件的违法性,应当优先进行行政违规的判断。该判断的要点在于是否干扰了网络服务的正常功能以及是否侵犯了他人的合法权益。更进一步而言,在刑事认定中,对于此处数据收集、访问的自动化工具,应当基于其实际功能的实现方式,认定是否侵入了计算机信息系统,是否非法获取了数据或控制了计算机信息系统。若答案为否,则不能仅因干扰网络服务的正常功能或侵犯了他人的合法权益而入罪。
对于数据处理企业而言,则应当注意使用自动化工具的评估与监管。
第十八条 数据处理者应当建立便捷的数据安全投诉举报渠道,及时受理、处置数据安全投诉举报。
数据处理者应当公布接受投诉、举报的联系方式、责任人信息,每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况,接受社会监督。
【评释】:该条款要求数据处理者的对于数据安全问题举报、投诉应设置对应处置渠道、履行处置义务,并将处置情况进行公开披露,以社会监督的方式进一步规制数据处理者的数据处理行为。
第三章 个人信息保护
第十九条 数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。基于个人同意处理个人信息的,应当满足以下要求:
(一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的;
(二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;
(三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。
【评释】:该条是对涉及个人信息的数据处理活动的规范要求。重点规定了个人信息处理原则中的“最小必要原则”。对于个人信息处理业务中的最小必要原则的范围,可参照《常见类型移动互联网应用程序必要个人信息范围规》(国信办秘字〔2021〕14 号)等相关规范性文件。
第二十条 数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。
个人信息处理规则应当包括但不限于以下内容:
(一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响;
(二)个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式;
(三)个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法;
(四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;
(五)向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等;
(六)个人信息安全风险及保护措施;
(七)个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。
【评释】:该条是对个人信息处理活动各项要求的具体规定。对于具体落实可参考国标《GB/T 35273-2020 信息安全技术 个人信息安全规范》。
第二十一条 处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:
(一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;
(二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;
(三)处理不满十四周岁未成年人的个人信息,应当取得其监护人同意;
(四)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;
(五)不得通过误导、欺诈、胁迫等方式获得个人的同意;
(六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;
(七)不得超出个人授权同意的范围处理个人信息;
(八)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得个人同意,并同步修改个人信息处理规则。
对个人同意行为有效性存在争议的,数据处理者负有举证责任。
【评释】:本条表明,个人信息处理与数据处理系一体两面,当数据所记录的信息是个人信息时,数据处理行为即个人信息处理行为、数据处理者实为个人信息处理者,应当遵循《个人信息保护法》中信息处理的规则。
本条第1款所规定的处理义务,第一,需要注意并不适用于《个人信息保护法》第13条第1款第2至7项,第二,相应的义务实际上均是以不同的场景对“同意获取”的细化,对上述场景进行概括,可归纳出:明确、正当、诚信、单独、最小、实时等关键词。
第1款所规定的情况,既是对行为合规的宣示,也是企业进行合规自查、主管部门进行合规检查的重要路径指引,由于细化项目的核心是对用户“同意”的展开,因此,欠缺“告知同意”时的信息(数据)处理,具有明显的违法性。
数据处理者在个人同意行为有效性存在争议情况下的举证责任,属于举证责任倒置,符合现实生活中个人与作为数据处理者的企业之间的实力对比现状。对数据处理者而言,要求对于“同意”获取流程应当留痕,该留痕如欠缺,在民事、行政案件中将承担败诉风险,在刑事案件中将无法抗辩检察机关对于侵犯公民个人信息等行为违法性的证成。
第二十二条 有下列情况之一的,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理:
(一)已实现个人信息处理目的或者实现处理目的不再必要;
(二)达到与用户约定或者个人信息处理规则明确的存储期限;
(三)终止服务或者个人注销账号;
(四)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。
删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。
法律、行政法规另有规定的从其规定。
【评释】:本条系个人信息相应数据生命周期的终端,基本上能够与《个人信息保护法》第47条所对应,基本上属于重复规定,但是,二者之间存在的差别,《数据安全法》中的“个人撤回同意”并未作为《条例》应当在15个工作日内删除或者匿名化处理的情况,或是因为“个人撤回同意”已经抽除最为根本的信息(数据)保留的合法性根据,相应的删除或者匿名化处理应当理解为是“即刻”。
该条第1款第4项所规定的无法避免采集到的非必要个人信息或者未经个人同意的个人信息,系针对个性化推荐等自动化处理业务所产生,这些信息(数据)的获取,属于处理主体意志之外。对于这种情况,15个工作日的删除或匿名化处理期限,属于必要的宽容,如15个工作日之外并未删除,则可在规范上被评价为对个人信息(数据)的侵权行为。
就第3款而言,如处理主体主张技术上难以实现或者业务复杂等原因作为未能及时删除或者匿名化处理的理由,前者应当援引来自于行业的平行评价以增强说服力,而后者的业务复杂往往是处理者单方的陈述,需要注意仅有己方报告时证明力不强的问题。
第二十三条 个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当履行以下义务:
(一)提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制;
(二)提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能,且不得设置不合理条件;
(三)收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。
法律、行政法规另有规定的从其规定。
【评释】:本条是对个人信息(数据)主体权利的宣示性规定,信息(数据)来自于具体个人,个人掌握对自己信息的自决权。对于数据处理者,上述义务强调以个人意愿为主导,数据处理者对于数据的权益,应当建立在个人信息主体的授权基础之上,并不得对抗个人对自己信息的自决权。
第二十四条 符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:
(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;
(二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;
(三)能够验证请求人的合法身份。
数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。
请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。
【评释】:该条第1款第1项来自于《个人信息保护法》第13条第1款第1项、第2项,第2项系来自于“个人自决”,第3项中的“合法”应理解为获取身份合法,即符合个人信息获取的一般规则及特殊规则。
对于处理者识别出接受者可能非法处理个人信息,作合理的风险提示而非禁止业务,同样系因他方获取个人信息的合法性根据相较于可能存在的风险,具有优先级。合理的风险提示是处理者所进行的自我隔离,隔离的前提仍是确认他方具有获取个人信息(数据)的合法性根据,换言之,对合法性根据的留痕比合理的风险提示更重要,对合法性根据的留痕,将阻却违法乃至于参与犯罪的故意。
对于明显超出合理范围的转移所收取的合理费用,可以作两种理解,第一种是对应转移行为,费用是对协助转移行为的适当补偿,第二种是对应信息(数据),承认数据具有商品的属性,正常的信息(数据)转移行为是信息(数据)源主体权利的体现,而明显超出合理范围的转移请求,是对处理者基于信息(数据)处理所形成商品财产权益的消耗。
第二十五条 数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
法律、行政法规另有规定的从其规定。
【评释】:该条是敏感个人信息处理的规则,从《个人信息保护法》第55条第1项而来。风险评估是数据处理者处理敏感个人信息的强制义务。后半条新增,即给予个人以拒绝提供敏感个人信息的选择权利。
第二十六条 数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。
【评释】:量变引起质变。当信息(数据)成规模后,企业需要承担社会责任,相应的义务也发生质变。
第四章 重要数据安全
第二十七条 各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。
【评释】:该条细化《数据安全法》第21条“国家建立数据分类分级保护”的规定,并对重要数据区分出核心数据。对于数据处理者而言,国家对于重要数据和核心数据的分类,也是处理者进行数据内控中的数据分类标准。但《数据安全法》第21条关于核心数据“更加严格的管理制度”,暂时没有规定,需要暂待后续的文件或者实践予以明确。
第二十八条 重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下,履行以下职责:
(一)研究提出数据安全相关重大决策建议;
(二)制定实施数据安全保护计划和数据安全事件应急预案;
(三)开展数据安全风险监测,及时处置数据安全风险和事件;
(四)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;
(五)受理、处置数据安全投诉、举报;
(六)按照要求及时向网信部门和主管、监管部门报告数据安全情况。
数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。
【评释】:本条细化《数据安全法》第27条第2款的“数据保护责任”。本条第1款的数据安全管理机构的职责为法律职责,需要在日常工作中留痕以备考,其中,安全防护措施主要集中在对于安全环境的日常维护,如制定计划、应急方案、数据检测、宣传教育、应急演练。
需要注意的是,第1款第5项的数据安全投诉、举报,均是处理者获知己方行为可能违法的重要入口,应当引起重视,投诉、举报,是推定明知的重要素材。
对于数据安全负责人,具有业务技能与单位身份的双重要求,是开展正当业务的必要要件。数据安全负责人如果欠缺上述的要求,该处理者的业务正当性是存疑的。
第二十九条 重要数据的处理者,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案,备案内容包括:
(一)数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等;
(二)处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身;
(三)国家网信部门和主管、监管部门规定的其他备案内容。
处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。
依据部门职责分工,网信部门与有关部门共享备案信息。
【评释】:接受主管部门的监督是实现有效合规的必要条件。
第三十条 重要数据的处理者,应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。
【评释】:该条款规定的安全培训计划是数据处理者必须履行的责任之一,也是发生安全事故时,推定责任人员具有业务过失乃至于故意的重要依据,如数据处理者未履行数据安全培训责任的,将面临行政处罚甚至是被追究刑事责任。
第三十一条 重要数据的处理者,应当优先采购安全可信的网络产品和服务。
【评释】:本条确认了重要数据处理者的采购义务,对其使用的网络产品和服务提出了具体要求。要求重要数据的处理者具有审慎义务,在使用网络产品和服务之前,对于网络产品和网络服务的提供者先行进行筛选,以保证重要数据处理过程中的安全,防止因重要数据出现安全风险而违规违法甚至涉刑。
第三十二条 处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,年度数据安全评估报告的内容包括:
(一)处理重要数据的情况;
(二)发现的数据安全风险及处置措施;
(三)数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性;
(四)落实国家数据安全法律、行政法规和标准情况;
(五)发生的数据安全事件及其处置情况;
(六)共享、交易、委托处理、向境外提供重要数据的安全评估情况;
(七)数据安全相关的投诉及处理情况;
(八)国家网信部门和主管、监管部门明确的其他数据安全情况。
数据处理者应当保留风险评估报告至少三年。
依据部门职责分工,网信部门与有关部门共享报告信息。
数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估,应当重点评估以下内容:
(一)共享、交易、委托处理、向境外提供数据,以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要;
(二)共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险;
(三)数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况,承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全;
(四)与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务;
(五)在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。
评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供数据。
【评释】:本条是对《数据安全法》第三十条的相关规定的落实,给出了数据安全定期评估的进一步规范,具体包括评估的种类、对象、方式、内容、主管与监管部门的职责权限以及对评估结果的处理等配套规则。
本条确定两类数据处理者,即重要数据处理者及赴境外上市的数据处理者需要进行年度数据安全评估,而“赴境外上市的数据处理者”或包括正处于境外上市过程中的数据处理者和已经在境外上市的数据处理者。
对于处在境外上市过程中的数据处理者,如其满足前述触发网络安全审查义务的条件的,将需要同时考虑网络安全审查义务和数据安全评估义务。而对于已经在境外上市的数据处理者,若仅从条例征求意见稿文义上理解,该规定可能意味着其不会被溯及地要求重新申报网络安全审查,但无论其是否处理一百万人以上个人信息或涉及国家安全,均需要在每年1月31日向市级网信部门提交前将上一年度数据安全评估报告。
评估的方式可以是自行评估或委托评估。这里的境外范围包括,港澳台和其他外国国家和地区。年度评估报告中包含了七类具体内容和一个兜底条款,需要针对上一年度数据的安全性进行全方位、全角度的排摸和列明。其中的“防护措施”一般指数据备份、加密、访问控制等。
本条对年度报告中关于“共享、交易、委托处理、向境外提供重要数据的安全评估情况”的评估,文件进行了再细化,这亦是明确了重要数据保护和安全风险防范评估的重中之重。条文中还列举了在三种情况下,即可能对国家安全、经济发展、公共利益造成危害的,禁止被评估的数据处理者对数据进行相关处理。这三类情况的现实尺度是如何把握的,还有待于监管部门在实践中予以明确。
同时规定了相关部门在具有职责权限下,可以共享评估报告,以及设置了报告的最少保留期为三年。
第三十三条 数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。
【评释】:共享、交易、委托处理重要数据的行为是数据流转的核心行为,本条明确了数据处理者在为上述特定行为时不得任意进行处理,明确了一个基本前提,即重要数据的处理需要事先取得主管部门同意,方可进行共享、交易、委托处理。主管部门的层级则需要是设区的市级及以上。
第三十四条 国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估。
【评释】:针对国家机关及关键信息基础设施运营者这类数据安全高度敏感处理者所采购数据存储及云计算服务的,必须建立在对云计算服务商进行全面的安全评估基础之上,不得随意选择云计算服务商,从事前评估的角度,最大限度的确保重要数据的储存、运维的安全性。
发表评论