第五章 数据跨境安全管理
第三十五条 数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:
(一)通过国家网信部门组织的数据出境安全评估;
(二)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;
(三)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。
【评释】:本条规定了向境外提供数据所应具备的基本条件,遵从《个人信息保护法》第三十八条规定,本条文扩大了其适用范围,列举了四项条件和一项例外规定。必须在满足所有四项条件的情况下,数据处理者才能因业务或与业务类似原因向境外提供数据。例外规定中指出的“为订立、履行个人作为一方当事人的合同所必需”则是《个人信息保护法》中作为个人信息处理的合法性基础,是在一脉相承的基础上,又做了扩大。
第三十六条 数据处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项,并取得个人的单独同意。
收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。
【评释】:本条与《个人信息保护法》第三十九条相衔接,关于个人信息数据跨境提供规则的规定。再次重申了《个人信息保护法》关于个人信息数据出境所应当遵循的严格“告知—同意”规则,即需要向个人告知境外数据接收方的详细信息并取得个人单独同意。“单独同意”是指,数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。
第三十七条 数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估:
(一)出境数据中包含重要数据;
(二)关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息;
(三)国家网信部门规定的其它情形。
法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
【评释】:本条列举了需要进行数据出境安全评估情形,是在《数据出境安全评估办法(征求意见稿)》的第四条的基础上,重新整合了相关情形,明确提出了出境数据中包含重要数据出境、个人信息出境的业务需要履行数据出境安全评估的要求。对于涉及重要数据的出境数据,则不考虑数据的多少;对于个人信息出境的,则从两个维度去设计标准。因此,相关数据处理者应关注出境数据是否属于上述条件所列范围,根据要求及时做好合规评估工作。
第三十八条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
【评释】:将《个人信息保护法》第三十八条第二款进行了拆分,单独作为本条。
第三十九条 数据处理者向境外提供数据应当履行以下义务:
(一)不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息;
(二)不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据;
(三)采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全;
(四)接受和处理数据出境所涉及的用户投诉;
(五)数据出境对个人、组织合法权益或者公共利益造成损害的,数据处理者应当依法承担责任;
(六)存留相关日志记录和数据出境审批记录三年以上;
(七)国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示;
(八)国家网信部门认定不得出境的,数据处理者应当停止数据出境,并采取有效措施对已出境数据的安全予以补救;
个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。
非经中华人民共和国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
【评释】:本条主要设置了数据处理者向境外提供数据应当履行的义务。具体而言包括:不超越报送条款提供个人信息、严格遵循安全评估等等,其中的第三项签订合同,履行数据安全保护义务的规定,在《数据出境安全评估办法(征求意见稿)》的第九条中,有更明晰的规定。本条为法律落地作出细化规定,为数据处理者履行合规义务提供了指引。
第四十条 向境外提供个人信息和重要数据的数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况:
(一)全部数据接收方名称、联系方式;
(二)出境数据的类型、数量及目的;
(三)数据在境外的存放地点、存储期限、使用范围和方式;
(四)涉及向境外提供数据的用户投诉及处理情况;
(五)发生的数据安全事件及其处置情况;
(六)数据出境后再转移的情况;
(七)国家网信部门明确向境外提供数据需要报告的其他事项。
【评释】:本条列明了数据出境安全报告中的要点,着重提示数据处理者应当对出境数据进行跟踪掌握,是对个人信息和重要数据出境后的管理者提出了进一步的要求。
第四十一条 国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。
任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。
境内用户访问境内网络的,其流量不得被路由至境外。
【评释】:数据跨境安全网关,即Great Fire Wall,防火墙。该条明确了国家建立网络防火墙的义务,首次以立法形式明确了防火墙的法律地位。通过建立数据跨境安全网关,阻断传播境外、法律、行政法规禁止发布或传输的信息。同时对个人和组织提出要求,不得为穿透、绕过防火墙提供服务。
早在2015年发布的《促进大数据发展行动纲要》中,国务院已经将数据定性为国家基础性战略资源,与网络安全法相呼应,本条旨在保护数据安全。而此前,关于违法建立或使用国际联网的主要依据为1996年颁布的《中华人民共和国计算机信息网络国际联网管理暂行规定》。而此次《条例》的出台,对禁止“翻墙”的行为作了更为明确的规定,给予各类VPN全面的禁止。结合本条例的第六十六条,也修改了1996年《暂行规定》的处罚力度,可以预见,未来对此类行为的监管和处罚都将趋于严厉。
第四十二条 数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求,建立健全相关技术和管理措施。
【评释】:该条明确数据可以跨境,且明确可从事跨境的主体为数据处理者。根据《数据安全法》第三条第二项:数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等,也就说上述从事数据收集、存储、使用、加工、传输、提供、公开的经营者均可称作数据处理者。
《网络安全法》、《数据安全法》、《个人信息保护法》共同确立了数据跨境传输的基本框架,同时针对汽车、金融、医疗等行业提出了要求。例如,《汽车数据安全管理若干规定(试行)》要求重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估;《网络预约出租汽车经营服务管理暂行办法》《工信部关于加强智能网联汽车生产企业及产品准入管理的意见》等文件,对网约车平台公司、智能网联汽车生产企业、汽车数据处理者等主体就汽车行业所涉的个人信息、重要数据在跨境传输方面的监管要求进行了专门规定;《个人金融信息保护技术规范》(JR/T0171—2020)要求在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析。因业务需要,确需向境外机构(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供个人金融信息的,需首先满足该技术规范规定的具体要求等等,在重要数据方面都提出了相应的监管要求,同样的,企业也要建立与之匹配的技术和管理措施。特别是2021年9月,我国申请加入《全面与进步跨太平洋伙伴关系协定》(以下简称“CPTPP”)。CPTPP要求允许跨境传输电子信息,但也同意缔约方设有各自的监管要求,以及明确企业如何符合法律要求。该条也是为加入该协定奠定基础,在保护数据安全的基础上最大限度符合商业逻辑,达到商业运行与数据安全之间的平衡。
第六章 互联网平台运营者义务
第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。
平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见,修改完善平台规则、隐私政策,并以易于用户访问的方式公布意见采纳情况,说明未采纳的理由,接受社会监督。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
【评释】:本条第一款是规定互联网平台运营者落实《网络安全法》《数据安全法》以及《个人信息保护法》规定的一般规定,但比起先前,算法策略制度的披露是新要求,是延续《个人信息保护法》关于自动化决策的相关规定,强调企业自身的披露义务,主要目的亦是为了促进行业的良性发展。但算法作为企业的核心资产,基于商业考虑,对于该披露也仅局限于策略层面,无须将企业的代码一同披露。在实践中,美团、滴滴等互联网平台已将其算法原理进行公开披露,各大互联网企业可予以参考,在算法规则透明的情况下,实现商业价值。
本条第二款是对于平台规则和隐私政策的制定和修订提出公开征求意见的新要求,将规则制定和修改的监督权交给用户,增强用户话语权。但“对用户权益有重大影响”的界定标准尚未明确,未来可能会以正面清单的方式明确。30个工作日的征求意见时长对于企业提出较高要求。除该条例外,目前仅有《第三方电子商务交易平台服务规范》明确“平台经营者应制定并公布交易规则。交易规则的修改应当至少提前30日予以公示。”提出交易规则的修改要提前30日公示。此后,企业的平台规则制定和修改将更加规范化,但同时相应的告知程序和弹窗设置也要进行相应调整。同时要求运营者说明未采纳用户意见的理由,为用户监督平台提供通道,同时在互动中也可使用户充分了解平台规则和隐私政策,做到“隐私保护不隐蔽”,真正实现公开透明,通俗易懂。
本条第三款是对大型互联网平台运营者平台规则及隐私政策修订的审批程序规定。此前在市场监管总局颁布的《互联网平台主体落实主体责任指南(征求意见稿)》中释义超大型互联网平台为:在中国的上年度年活跃用户不低于5000万、具有表现突出的主营业务、上年底市值(或估值)不低于1000亿人民币、具有较强的限制平台内经营者接触消费者(用户)能力的平台。但是在此次条例中,对于大型互联网平台采用“日活用户超一亿”的标准。但就用户活跃度而言,可能存在偶然性,在实践中如何破解这一问题未有解决方案。该条同时要求建立“平台规则第三方评估”制度,并要求报省级以上网信和电信主管部门同意。该条也是较为新颖的规定,对于平台规则、隐私政策的审核从企业自身延伸到第三方机构,更加客观中立,也因此给企业提出了更高的要求。但“国家网信部门认定的第三方机构评估”属何性质?权限如何?呈报主管部门同意是采用备案同意制还是行政许可制,均未明确。故未来对于该规定细化亦是重点之一。
第四十四条 互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任,通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。
第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。
移动通信终端预装第三方产品适用本条前两款规定。
【评释】:本条第一款明确平台监管义务,在GB/T 35273—2020《信息安全技术 个人信息安全规范》中对于第三方接入的法律属性进行确认,分别为:该第三方与互联网平台运营者之间可能构成委托处理关系、共同的数据控制者关系或既不属于委托处理也不属于共同的数据控制者的其他第三方独立关系。实践中,对于运营者和第三方之间的责任承担,也应根据对数据的掌控和使用来综合判定。
本条第二款确立的运营平台的连带责任,平台对第三方行为承担无过错的先行赔偿责任。对于用户来说,无需区分平台还是第三方,极大便捷了权利的行使。但对平台而言,无异于加重了平台责任,扩大平台义务,但该义务的涵盖范围不能突破数据安全。
本条第三款明确了预装的第三方产品也适用平台监管义务和连带责任的规定。
第四十五条 国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护,非个人通信的信息按照公共信息有关规定进行管理。
【评释】:本条鼓励区分对待个人通信和非个人通信,但对于相关概念的认定,《即时通信服务平台个人信息认定指南(征求意见稿)》有所涉及。对于即时信息服务平台:“为用户提供发送和接收信息(文本、图片、文件、音视频、链接等)的在线交互服务的互联网平台”。对于个人信息的认定:“在即时通信服务平台中,发送者发送给特定接收者,且接受者不能进行再转发的信息可以被认定为个人信息。对于非个人信息认定为:超过50人的群组内的信息或除发送者外的其他群组成员可以向群外转发的信息。”
若是以该标准来认定个人通信和非个人通信信息,各大即时通信服务的互联网平台运营者在功能设计上将要进行调整,为用户提供选择区分个人通信和非个人通信信息。特别是对于私聊和50人以下的群聊信息,应当建立特别机制防止信息未经许可而外漏。
第四十六条 互联网平台运营者不得利用数据以及平台规则等从事以下活动:
(一)利用平台收集掌握的用户数据,无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为;
(二)利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为;
(三)利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据;
(四)在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。
【评释】:该条提出了互联网平台运营者的禁止性义务,包括禁止滥用用户画像,不得利用平台获取的数据和平台规则从事破坏经营秩序,损害消费者利益的行为,旨在促进公平竞争。
关于第一项,结合最近出台的《关于平台经济领域的反垄断指南》,本条例对于平台提出更高要求,从适用对象上,取消了“市场支配地位”的前提条件。
关于第二项,“最低价销售”是平台损害公平竞争的表现形式,在实践中利用数据进行低价竞争时,应当做好评估论证,对低价销售予以充分说明。
关于第三项“个人信息主体行权”是呼应《个人信息保护法》的规定,要求平台不得利用企业优势,违背用户意愿处理数据。
关于第四项,不得阻碍市场创新的义务,本意是为消除市场创新的障碍。但对于“中小企业”如何界定尚不明晰。
第四十七条 提供应用程序分发服务的互联网平台运营者,应当按照有关法律、行政法规和国家网信部门的规定,建立、披露应用程序审核规则,并对应用程序进行安全审核。对不符合法律、行政法规的规定和国家标准的强制性要求的应用程序,应当采取拒绝上架、督促整改、下架处置等措施。
【评释】:本条赋予提供应用程序分发平台的强制安全审核义务。在此之前,有《移动互联网应用程序信息服务管理规定》《移动智能终端应用软件预置和分发管理暂行规定》《移动互联网应用程序个人信息保护管理》《应用商店App个人信息收集使用上架审核和管理规范(征求意见稿)》《中华人民共和国反电信网络诈骗法(草案)》等文件中对于应用程序分发服务提供者的审核义务所有提及,但内容不尽相同,适用标准亦不相同,造成难以落实。但本条明确要求平台建立、披露应用程序审核规则,并进行实质审核,并要求落实相关惩治措施。
第四十八条 互联网平台运营者面向公众提供即时通信服务的,应当按照国务院电信主管部门的规定,为其他互联网平台运营者的即时通信服务提供数据接口,支持不同即时通信服务之间用户数据互通,无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。
【评释】:本条是要求平台运营者在提供即时通信服务中的互通互访,但并非“一刀切”的要求所有平台在所有场合下均提供数据接口,支持数据互通。而是局限于即时通信服务领域,主体和客体均为即时通信服务提供者,先行条件限定于国务院电信主管部门的规定,且留有正当理由这一抗辩理由,对于有正当理由的平台运营者,可以拒绝其他平台的数据接口接入申请。
该条规定也是本条例的一大亮点,对于用户而言更加便捷实用,但对于该条规定下的具体安排应当成为下一步关注重点。
第四十九条 互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的,应当对推送信息的真实性、准确性以及来源合法性负责,并符合以下要求:
(一)收集个人信息用于个性化推荐时,应当取得个人单独同意;
(三)设置易于理解、便于访问和操作的一键关闭个性化推荐选项,允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数;
(三)允许个人删除定向推送信息服务收集产生的个人信息,法律、行政法规另有规定或者与用户另有约定的除外。
【评释】:本条关于个性化推送的平台义务,是《个人信息保护法》中关于自动化决策的进一步细化。首先,要求建立落实收集个人信息用于个性化推荐中的单独同意机制;第二,进一步细化个性化推荐过程中的用户“修改、拒绝”权;第三,新增用户对已收集个人信息的“删除权”,这些要求对于平台运行规则提出新的要求。
第五十条 国家建设网络身份认证公共服务基础设施,按照政府引导、网民自愿原则,提供个人身份认证公共服务。
互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。
【评释】:居民身份网络认证是国家实施网络可信身份认证战略实施的重要环节之一。本条切实围绕网络身份认证战略实施,由国家建立网络身份认证公共服务。本条第二款规定了个人认证身份服务的优先适用,要求互联网平台要优先适用国家网络身份认证服务。故在未来,当网络身份认证体系建立后,企业的相应规则也应及时予以调整。
第五十一条 互联网平台运营者在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据不得用于其他用途。
【评释】:本条明确了互联网平台运营者所收集、获取的公共数据具有“目的专用性”,即只可用于公共事务。
第五十二条 国务院有关部门履行法定职责需要调取或者访问互联网平台运营者掌握的公共数据、公共信息,应当明确调取或者访问的范围、类型、用途、依据,严格限定在履行法定职责范围内,不得将调取或者访问的公共数据、公共信息用于履行法定职责之外的目的。
互联网平台运营者应当对有关部门调取或者访问公共数据、公共信息予以配合。
【评释】:在公共数据领域,本条明确除了互联网平台运营者之外,与之对应的有关部门在履职过程中也需要承担相应的数据安全保护义务,严格在法定职责范围内进行调取或访问,对应数据也仅可用于履行法定职责。本条是《数据安全法》第三十八条规定的进一步明确,与之不同的是,本条采用了“公共数据”的定义(根据本条例第七十三条:公共数据是指国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据,以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据),其范围较《数据安全法》中的“政务数据”更为广泛。
本条与第五十一条结合来看,对于公共数据而言具备了明确的“目的性限制”,无论是互联网平台运营者还是国务院有关部门,对于公共信息的收集、访问都只能服务于公共事务,也只有这两方面相互配合才能切实保障公共数据安全。
至本条例生效之前,若互联网平台运营者或有关部门将公共数据用于其他个人、商业用途的,则需尽快与有关监管部门确认,及时采取处置、改正措施,以防范风险。
第五十三条 大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。
【评释】:本条规定在上位三部法律中未有体现,是新增的对于大型互联网平台所赋予的年度审计义务。由于大型互联网平台用户数量巨大,所收集、处理的数据类型更为重要、数据数量更多,也就理应承担更多的情况审查、信息披露的义务。
对于审计内容本条也进行了一些列举,但可能仍不足以全面反映互联网平台数据安全情况,标准化的审计项目以及第三方审计单位的资质问题,还有待后续进一步明确。
第五十四条 互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的,应当按照国家有关规定进行安全评估。
【评释】:由于人工智能等新技术手段仍处在研究开发阶段,尽管其发展前景良好,但仍需提防可能发生的技术性风险,本条针对采取新技术手段处理数据的行为活动提出了更高的安全评估要求。
《数据安全法》第二十八条要求,研究开发数据新技术应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。上述要求尽管较为宏观,但已经体现出国家对于数据新技术研发的警惕,所以本条规定了相应的技术安全评估。而至于具体安全评估如何实现,也有待于国家有关规定的后续落地。
第七章 监督管理
第五十五条 国家网信部门负责统筹协调数据安全和相关监督管理工作。
公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。
主管部门应当定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。
【评释】:从第五十五条开始,本条例进入到针对数据安全的监管部分。本条是《数据安全法》第六条规定的进一步深化。
本条前两款自上而下具体划分了针对数据安全各行业、各领域负责监督管理的职能部门以及具体职责。但在实际管理层面,由于不同行业、领域之间存在重叠与交叉,也可能会引起监管的错位与缺位。因此,在结合中央统筹协调机制的前提之下,针对具体管理事项上仍需进一步划分管辖权,理顺各行业、各领域的监管逻辑。
同时,考虑到网络数据的广泛性与特殊性,各个领域的数据一旦互联网化之后,将会面临更加复杂的监管环境,数据安全保护的方式也会随着数据的互联网化更加的凸显技术化的特征。因此本条明确了将国家信网部门作为网络数据安全监管统筹协调的职能机关。
此外,在实操层面,本条后两款与本条例第五十七条也提出了一系列配套措施和管理细则,这些措施、细则的出台也将成为数据处理者建立数据合规管理体制的重要依据。
第五十六条 国家建立健全数据安全应急处置机制,完善网络安全事件应急预案和网络安全信息共享平台,将数据安全事件纳入国家网络安全事件应急响应机制,加强数据安全信息共享、数据安全风险和威胁监测预警以及数据安全事件应急处置工作。
【评释】:根据《数据安全法》第四条的规定,除了数据处理者、互联网平台运营者需要建立数据安全应急处置机制以外,国家也在坚持了“国家安全观”的基础上,建立健全数据安全治理体系,突显了我国对于数据安全的总体定位。
第五十七条 有关主管、监管部门可以采取以下措施对数据安全进行监督检查:
(一)要求数据处理者相关人员就监督检查事项作出说明;
(二)查阅、调取与数据安全有关的文档、记录;
(三)按照规定程序,利用检测工具或者委托专业机构对数据安全措施运行情况进行技术检测;
(四)核验数据出境类型、范围等;
(五)法律、行政法规、规章规定的其他必要方式。
有关主管、监管部门开展数据安全监督检查,应当客观公正,不得向被检查单位收取费用。在数据安全监督检查中获取的信息只能用于维护数据安全的需要,不得用于其他用途。
数据处理者应当对有关主管、监管部门的数据安全监督检查予以配合,包括对组织运作、技术系统、算法原理、数据处理程序等进行解释说明,开放安全相关数据访问、提供必要技术支持等。
【评释】:本条对于监督管理的措施进行了列举,包括但不限于相关人员的说明、查阅文字记录、委托技术检测及核验出境数据等。同时,对于维护数据安全需要而获取的数据,也需要遵循“目的限制性”的原则,这一点与本条例第五十二条规定的精神是一致的。
第五十八条 国家建立数据安全审计制度。数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
主管、监管部门组织开展对重要数据处理活动的审计,重点审计数据处理者履行法律、行政法规规定的义务等情况。
【评释】:从国家安全观出发,国家统一的数据安全审计制度正在制定之中,此项制度也将成为本条例中数据处理者、互联网平台运营者所承担审计义务的实施手则。
此外,本条第二款提出,对于重要数据处理活动的审计,不再由第三方审计机构进行,而是由主管、监管部门直接负责,符合了《数据安全法》第二十一条所规定的数据分级保护制度的精神。
第五十九条 国家支持相关行业组织按照章程,制定数据安全行为规范,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
国家支持成立个人信息保护行业组织,开展以下活动:
(一)接受个人信息保护投诉举报并进行调查、调解;
(二)向个人提供信息和咨询服务,支持个人依法对损害个人信息权益的行为提起诉讼;
(三)曝光损害个人信息权益的行为,对个人信息保护开展社会监督;
(四)向有关部门反映个人信息保护情况、提供咨询、建议;
(五)违法处理个人信息、侵害众多个人的权益的行为,依法向人民法院提起诉讼。
【评释】:本条是《数据安全法》第十条的细化。与其他领域一样,本条明确在数据安全保护方面,国家支持行业协会、组织展开自我监督,且这种自己监督也是十分必要的。由于数据安全保护的技术特征,行业组织、协会作为政府与互联网企业之间的桥梁,上可向政府传达企业共同诉求、协助政府制定发展计划、行为规范,下可对会员进行约束、协调以及监督,对于行业的健康发展具有不可或缺的重要作用。
第八章 法律责任
第六十条 数据处理者不履行第九条、第十条、第十一条、第十二条、第十三条、第十四条、第十五条、第十八条的规定,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者导致危害数据安全等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
第六十一条 数据处理者不履行第十九条、第二十条、第二十一条、第二十二条、第二十三条、第二十四条、第二十五条规定的数据安全保护义务的,由有关部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
第六十二条 数据处理者不履行第二十八条、第二十九条、第三十条、第三十一条、第三十二条、第三十三条规定的数据安全保护义务的,由有关部门责令改正,给予警告,对违法处理重要数据的系统及应用,责令暂停或者终止提供服务;拒不改正的,并处二百万元以下罚款,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处二百万元以上五百万元以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。
第六十三条 关键信息基础设施运营者违反第三十四条的规定,由有关部门责令改正,依照有关法律、行政法规的规定予以处罚。
第六十四条 数据处理者违反第三十五条、第三十六条、第三十七条、第三十九条第一款、第四十条、第四十二条的规定,由有关部门责令改正,给予警告,暂停数据出境,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
第六十五条 违反本条例第三十九条第二款的规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
第六十六条 个人和组织违反第四十一条的规定,由有关主管部门责令改正,给予警告、没收违法所得;拒不改正的,处违法所得一倍以上十倍以下的罚款,没有违法所得的,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,由有关主管部门依照相关法律、行政法规的规定,责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚。
第六十七条 互联网平台运营者违反第四十三条、第四十四条、第四十五条、第四十七条、第五十三条的规定,由有关部门责令改正,予以警告;拒不改正,处五十万元以上五百万元以下罚款,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
第六十八条 互联网平台运营者违反第四十六条、第四十八条、第五十一条的规定,由有关主管部门责令改正,给予警告;拒不改正的,处上一年度销售额百分之一以上百分之五以下的罚款;情节严重的,由有关主管部门依照相关法律、行政法规的规定,责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚。
第六十九条 互联网平台运营者违反第四十九条、第五十四条的规定,由有关主管部门责令改正,予以警告;拒不改正,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,可由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
第七十条 数据处理者违反本条例规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第七十一条 国家机关不履行本法规定的数据安全保护义务的,由其上级机关或者履行数据安全管理职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
第七十二条 在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
表一:法律责任一览表
【评释】:第八章以十三个条文规定了违反本条例前述规定的法律后果。此处重点讨论三个特点。
第一,对于全部违反条例规定的情形,均规定了由主管部门责令改正、给予警告(除第六十三条)的处理方式。且在第六十七、六十八、六十九条中,对于情节一般的违法情形,仅规定了这一种法律后果,充分给予企业合规经营的空间。同时,除去第六十三、六十四、六十五条外,均规定了“拒不改正”情形下行政处罚的加重,从负向激励角度促使企业积极整改。这种“改正不罚,不改重罚”的模式兼顾了数据价值流通和数据安全保护,是对“违法行为零容忍”的祛魅。
第二,在第六十六条中特别提示了构成犯罪的依法处罚,而第六十六条是对违反第四十一条的法律后果的规定。第四十一条的规范内容指向国家数据跨境安全网关,日常生活中感受最明显的就是“墙”。而第四十一条第二款指向的即“翻墙”并提供跨境数据服务的行为。那么这里的刑事责任即通常指向提供侵入、非法控制计算机信息系统程序、工具罪或非法经营罪。在第六十八条中同样特别提示了刑事责任,而第六十八条是互联网平台运营者违反第四十六条、第四十八条、第五十一条规定的法律后果,这三条规范的是利用数据和平台规则的禁止事项、向公众提供即时通信服务的法律义务和自公共服务中获得的数据的专用义务。那么这里的刑事责任即通常指向侵犯公民个人信息罪或涉及国家秘密、国家安全的犯罪。
第三,第七十条规定违反本条例将依法承担民事、行政、刑事责任,这主要是对本法及本章规定的法律后果的补充。允许民事主体和司法机关依据民法和刑法的规定追究违法犯罪分子的其他法律责任。因此,第六十六条和第六十八条中对刑事责任的表述,只是一种注意规定。对于其他条款而言,并不能因为其未规定刑事责任,而被认为不能作为刑法分则所要求的前置法。这样一来就为刑法第二百八十六条之一规定的拒不履行信息网络安全管理义务罪提供了大量的前置法支撑。
第九章 附则
第七十三条 本条例下列用语的含义:
(一)网络数据(简称数据)是指任何以电子方式对信息的记录。
(二)数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。
(三)重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:
1.未公开的政务数据、工作秘密、情报数据和执法司法数据;
2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;
3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;
4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;
5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;
6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;
7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
(四)核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。
(五)数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。
(六)公共数据是指国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据,以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。
(七)委托处理是指数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。
(八)单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。
(九)互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。
(十)大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
(十一)数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。
(十二)公共信息是指数据处理者在提供公共服务过程中收集、产生的具有公共传播特性的信息。包括公开发布信息、可转发信息、无明确接收人信息等。
【评释】:本条款以极大篇幅对于条例中所规定的核心用语的含义进行了全面的定义和解释,这样的注释性条款在其他的法律规范中是不多见的,这也反映出立法者希望更加清晰的界定数据安全领域的一些新概念、新制度、新提法,为该条例的顺利实施及正确解释提供有力的依据。而相关用语含义的界定,也对实践中其他法律规范在适用过程中存在语意不明或概念模糊的情形进行了纠正与释明,体现了《网络数据安全条例》立法过程中,立法者的审慎是高水平立法的典范。
第七十四条 涉及国家秘密信息、核心数据、密码使用的数据处理活动,按照国家有关规定执行。
第七十五条 本条例自 年 月 日起施行。
发表评论