欧洲杯直播蔡开明等:《网络数据安全管理条例》企业重点合规义务解读
具体介绍

  国家网信办于2021年11月4日颁布《网络数据安全管理条例(征求意见稿)》(“《征求意见稿》”),历经近三年的时间,备受瞩目的《网络数据安全管理条例》(“《条例》”)正式稿于2024年9月30日发布。《条例》作为网络安全和数据合规领域综合性的行政法规,衔接《中华人民共和国网络安全法》(“《网安法》”)、《中华人民共和国个人信息保护法》(“《个保法》”)和《中华人民共和国数据安全法》(“《数安法》”)(合称“三部基础法律”)的条款,进一步解释了三部基础法律的原则性要求。且随着人工智能新技术的发展应用,作为配套法规,结合三部基础法律的监管目标,《条例》补充新兴领域的规制重点。

  相较于《征求意见稿》的内容,《条例》缩减了此前设定的企业合规义务种类,兼顾企业发展的实际情况调整合规要求,降低了企业合规成本。在《条例》出台前,监管部门也颁布了重要数据管理、数据跨境流动、算法治理等领域的部门规章文件,上述领域的监管体系也日渐完善,《条例》又以行政法规的形式总结确认相关领域要求。《条例》不仅强化保障网络数据安全,也对促进数据要素流动利用具有重要作用。

  《条例》将于2025年1月1日生效,企业需要关注《条例》规定的合规义务,并采取整改措施,我们将对《条例》的重点内容进行解读,以供企业参考。

  《条例》重申《个保法》的域外适用效力。企业在境外处理境内自然人个人信息的活动,是为向境内自然人提供产品或者服务或者分析评估境内自然人的行为,则企业需要遵守《条例》。在境外开展网络数据处理活动,损害国家安全、公共利益或者公民、组织合法权益的,企业也需依法承担责任。

  《个保法》第五十三条规定境外个人信息处理者处理境内自然人个人信息,应在境内设立专门机构或者指定代表,并将机构名称或者代表姓名、联系方式等报送履行个人信息保护职责的部门。《条例》第二十六条明确报送部门为境内机构或代表所在地设区的市级网信部门。

  《数安法》《数据出境安全评估办法》等法律文件中虽提到了“数据处理者”这一定义,但并未解释“数据处理者”的具体概念。《个保法》中规定了“个人信息处理者”的具体概念,《条例》沿用“个人信息处理者”的概念,将“网络数据处理者”定义为“在网络数据处理活动中自主决定处理目的和处理方式的个人、组织”,凸显数据处理者在数据处理活动中的控制性作用。

  《条例》同时解释了数据处理活动中相关参与方合作关系的概念,“委托处理”是指“网络数据处理者委托个人、组织按照约定的目的和方式开展的网络数据处理活动”;“共同处理”是指“两个以上的网络数据处理者共同决定网络数据的处理目的和处理方式的网络数据处理活动。”

  企业在与合作方实际开展业务时,通常均会签订数据保护协议模板。依据《条例》第十二条,网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应与网络数据接收方签订合同约定处理目的、方式、范围以及安全保护义务等,对网络数据接收方履行义务的情况进行监督。《条例》增加了“网络数据处理者至少3年保存处理对外提供和委托数据处理情况记录”的要求。

  在签署数据保护协议时,数据处理合作关系的认定更需要综合业务模式、主合同条款等综合考虑判断。此外,企业应根据《条例》第十二条要求,审核数据保护协议模板条款的可操作性,确保涵盖法规要求。

  《条例》第二章规定了网络数据处理活动需要遵守合法性原则以及网络安全和数据合规领域的通用性要求,重点关注的要求包括以下方面。

  《条例》第十条规定网络数据处理者发现网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

  2021年发布的《网络产品安全漏洞管理规定》要求网络产品提供者应在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息,报送内容应包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

  《条例》第十条进一步细化涉及危害国家安全、公共利益的,网络数据处理者还应在24小时内向有关主管部门报告。

  《个保法》第五十七条规定了发生个人信息安全事件时,个人信息处理者应通知个人信息主体和监管部门以及通知内容,个人信息处理者采取措施能够有效避免信息安全事件造成危害的,可以不通知个人。《条例》第十一条再次明确网络数据安全事件对个人、组织合法权益造成危害的,网络数据处理者应及时通知利害关系人。《条例》更是首次明确了网络安全事件通知个人的形式,通知形式包括电话、短信、即时通信工具、电子邮件或者公告等方式。

  《条例》第十一条并未对网络数据处理者发生网络安全事件的报告时限、报告内容、报告部门等作出具体规定,鉴于国家网信办于2023年12月发布了《网络安全事件报告管理办法(征求意见稿)》,网络安全事件报告的实质内容和程序性要求将通过专门立法规定。

  《条例》也规定网络数据处理者在处置网络数据安全事件过程中发现涉嫌违法犯罪线索时,应当按照规定向公安机关、国家安全机关报案。

  《条例》第十三条规定网络数据处理者开展网络数据处理活动,影响或者可能影响国家安全的,需要进行国家安全审查。根据《中华人民共和国国家安全法》第五十九条,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。

  《征求意见稿》此前要求“数据处理者赴香港上市,影响或者可能影响国家安全”以及“汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立影响或可能影响国家安全的”,需要申报网络安全审查,但《条例》中并未保留上述两项。企业触发网络安全审查的条件仍以《网络安全审查办法》中规定的内容为准。

  自动化访问获取数据一直是实践中颇具争议的课题,自动化访问数据不当,很有可能触犯侵犯公民个人信息罪、破坏计算机信息系统罪等罪名。生成式人工智能是当前科技发展关注的重点,人工智能企业为了优化模型输出,需要海量数据训练模型,企业实践中会爬取网站的公开数据补充作为数据训练源。

  《条例》第十八条延续《征求意见稿》对自动化访问手段秉持技术中立的监管态度,明确网络数据处理者使用自动化工具访问、收集网络数据,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。

  鉴于自动化采集技术尚不能有针对性地收集模型所需数据,依据《条例》第二十四条,因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。

  如何衡量对被访问网站造成干扰,监管也曾开展探索并试图纳入法定要求作为判断标准。2019年国家网信办公布的《数据安全管理办法(征求意见稿)》第十六条要求“网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止。”但随着技术更新,“自动化访问收集流量超过网站日均流量三分之一”作为衡量干扰网站的标准也有待商榷。

  《条例》第十九条同时要求提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。

  企业通过自动化访问手段获取数据应综合被访问网站性质、访问数据量级和获取数据的内容等因素,评估网络安全和数据合规、刑事以及反不正当竞争等领域的法律风险。

  《条例》结合《个保法》、国家标准以及APP治理相关文件的要求,对个人信息处理“告知-同意”规则实施、个人信息权利行使等做了细化规定。

  参照《信息安全技术 个人信息安全规范》中隐私政策的模板,目前企业公开的隐私政策基本包含《条例》第二十一条规定的个人信息处理规则需要具备的内容:网络数据处理者的名称和联系方式;处理个人信息的目的、方式、种类,处理敏感个人信息的必要性以及对个人权益的影响;个人信息保存期限和到期后的处理方式;个人查阅、复制、转移等行使权利的方法和途径等。

  企业隐私政策如不符合《条例》第二十一条的要求的内容,可能包括个人信息保存期限表述,实践中有些隐私政策模板中的保存期限措辞模糊,根据《条例》,需要明确个人信息保存期限的具体时间,保存期限需要符合最小必要原则和法律要求。《条例》还要求对于无法确定保存期限的,需要明确保存期限的确定方法,实践中如企业为维护平台规则,需要长期保存封禁账户信息。

  此外,《条例》第二十一条吸收了“双清单”的内容,对于向其他网络数据处理者提供个人信息的情形,《条例》要求需要告知个人提供的目的、方式、种类以及网络数据接收方信息,并以清单等形式予以列明。“双清单”不是法律要求,工信部此前曾于2021年推动部分互联网企业建立个人信息保护“双清单”,相关企业应建立已收集个人信息清单和与第三方共享个人信息清单,并在APP二级菜单中展示,方便用户查询。《条例》未规定清单具体形式,企业可灵活调整展示清单。

  《个保法》规定了处理敏感个人信息等情形需要取得个人单独同意,但未规定“单独同意”的具体含义,根据《条例》附则,“单独同意”是指“个人针对其个人信息进行特定处理而专门作出具体、明确的同意”,这与此前国标《信息安全技术个人信息处理中告知和同意的实施指南》中“单独同意”的概念也是一致的(“个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为,不包括一次性针对多种目的或方式的个人信息处理活动作出的同意”)。

  相较于《征求意见稿》此前规定的“单独同意”的概念(“单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。”),《条例》中“单独同意”在实践中更具有可操作性,在APP界面设计上也可以避免对用户造成更多打扰。

  此外,根据(2022)粤0192民初6486号左某、某琴商务咨询(上海)有限公司等个人信息保护纠纷民事一审判决书中的司法裁判观点,即使个人信息处理者具备除了“获得个人同意”之外的其他处理个人信息合法性基础,在涉及个人信息跨境传输等需要单独同意的情形,即使不用获得用户单独同意,也需要增强用户告知。

  《条例》第二十三条重申网络数据处理者需要保障个人信息主体行使权利的便捷性。同时《条例》第二十五对个人信息主体行使转移权进行了细化,为了防止个人信息泄露和不当利用,同时兼顾避免对企业正常开展业务造成干扰,基于以下条件,网络数据处理者应为个人提供:

  (1)能够验证请求人的线)请求转移的是本人同意提供的或者基于合同收集的个人信息;

  此外,为防止个人信息主体滥用权利,《条例》以法规层面肯定了《信息安全技术 个人信息安全规范》中的要求,即对于请求转移个人信息次数等明显超出合理范围的,网络数据处理者可以根据转移个人信息的成本收取必要费用。

  相比于《征求意见稿》,《条例》主要删除的合规义务包括处理重要数据的系统应满足三级以上网络安全等级保护和关键信息基础设施安全保护要求、重要数据处理者应在识别其重要数据后的十五个工作日内向设区的市级网信部门备案的义务、赴境外上市的数据处理者应自行或者委托数据安全服务机构每年开展一次数据安全评估。《条例》结合此前《汽车数据安全管理若干规定(试行)》等已生效重要数据治理规定的内容,对重要数据识别、组织统筹以及对外提供等进行了补充说明,未显著增加重要数据处理者的合规义务。

  《数据安全法》只规定了核心数据的概念,没有规定重要数据的概念,依据《数据安全法》第二十一条,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据。《数据安全法》第二十一条规定国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,各地区和各部门确定本地区和本部门以及相关行业、领域的重要数据具体目录。《条例》第二十九条再次强调重要数据的认定主要以行业主管部门规定目录为参照。

  《数据出境安全评估办法》首次以生效法律文件正式界定“重要数据”的概念,随后出台的《汽车数据安全管理若干规定(试行)》《工业和信息化领域数据安全管理办法(试行)》《自然资源领域数据安全管理办法》《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》等文件对汽车、工信、自然资源、医药、人工智能等行业重要数据种类进行了列举。

  《征求意见稿》中对“重要数据”采取概念解释及列举具体种类的方式进行定义,《条例》删除了《征求意见稿》中列举的种类。根据《条例》,“重要数据”是指“特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”,影响个人或企业经营的数据排除在“重要数据”之外,删除了《征求意见稿》列举的七类“重要数据”和“核心数据”的概念。

  《征求意见稿》中此前规定数据处理者处理一百万人以上个人信息的,还应遵守对重要数据的处理者作出的规定,可见“一百万人以上个人信息”属于重要数据。《条例》本次修订提高了重要数据的认定门槛,将“一百万人以上个人信息”调整为“1000万人以上个人信息”。

  借鉴《关键信息基础设施安全保护条例》运营者义务责任的要求,《条例》第三十一条规定处理重要数据的组织需要明确网络数据安全负责人和网络数据安全管理机构、制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案、定期组织开展网络数据安全风险监测评估、应急演练、宣传教育培训等活动。

  掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者,还应当对网络数据安全负责人和关键岗位的人员进行安全背景审查。

  《条例》第三十三条规定重要数据的处理者应每年开展数据安全风险评估,并向省级以上有关主管部门报送风险评估报告。报告内容和《汽车数据安全管理若干规定(试行)》要求汽车数据处理者每年向网信办报告的内容基本一致,值得注意的是,对于处理重要数据的大型网络平台服务提供者报送的风险评估报告,还应向监管充分说明关键业务和供应链网络数据安全等情况,但企业报送评估报告具体日期未明确规定。

  目前数据跨境监管的法律文件较为详细,除了个人信息跨境保护认证制度尚不清晰,对应的部门规章和指导文件对《个保法》下的数据出境安全评估和个人信息出境标准合同备案制度落地提供了详细的参考。《条例》从行政法规层面确认《数据出境安全评估办法》《个人信息出境标准合同办法》和《促进和规范数据跨境流动规定》等部门规章构建的数据跨境机制要求。《条例》删除了《征求意见稿》对于数据出境事后年度报告的义务。

  对比《促进和规范数据跨境流动规定》中豁免申报数据出境安全评估,备案个人信息出境标准合同,通过个人信息保护认证的情形,《条例》第三十五条新增了“为履行法定职责或者法定义务,确需向境外提供个人信息”的情形。除了法律和行政法规,部门规章和地方性法规以及条约规定的要求等能否落入本条中规定“法定义务”有待进一步解释探讨。

  对于重要数据出境,《条例》重申未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。

  《征求意见稿》中要求互联网平台在修订平台规则、制定隐私政策等文件时,需要向社会公开征求意见不得少于三十个工作日,以及日活用户超过一亿的大型互联网平台运营者修订平台规则和隐私政策等文件,应经国家网信部门认定的第三方机构评估并报监管同意,但互联网业态更新迭代迅速,为落实法律要求,平台需要及时更新隐私政策等文件,推动业务及时合法合规上线。《条例》未保留《征求意见稿》上述对互联网平台业务影响较大的隐私政策制定需经第三方评估的要求。

  此外,鉴于《个保法》并未要求个性化推荐需要单独同意,且行业内APP个性化推荐开关基本均为默认开启的状态,《条例》也删除了个性化推荐需要默认关闭的要求。

  《个保法》第五十八条规定提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督、制定平台规则明确平台内产品或者服务提供者处理个人信息的规范、定期发布个人信息保护社会责任报告接受社会监督等。对于“重要互联网平台”的判断标准,《个保法》未进行规定。

  相比《征求意见稿》对“大型网络平台”的定义,《条例》通过“注册用户数”和“月活用户数”两个方面判断企业是否构成“大型网络平台”。根据《条例》,“大型网络平台”是指“注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。”

  对于大型网络平台,《条例》细化发布个人信息保护社会责任报告的期限为每年度,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。

  大型网络平台服务提供者亦不得利用网络数据和算法以及平台规则从事违法行为,包括误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据;无正当理由限制用户访问、使用其在平台上产生的网络数据;对用户实施不合理的差别待遇,损害用户合法权益。

  《条例》设置专章规制监管部门的执法行为,如根据《条例》第五十一条,为保护企业的商业秘密,有关主管部门在网络数据安全监督检查中不得访问、收集与网络数据安全无关的业务信息,获取的信息只能用于维护网络数据安全的需要,不得用于其他用途。

  为尽可能降低对企业日常正常开展经营业务的影响,根据《条例》第五十二条,有关主管部门在开展网络数据安全监督检查时,应当加强协同配合、信息沟通,合理确定检查频次和检查方式,避免不必要的检查和交叉重复检查。

  《个保法》规定个人信息处理者需要定期开展个人信息合规审计,《数安法》要求数据处理者需要开展重要数据处理风险评估,上述评估内容可能出现重合情况,为避免浪费评估资源,节省企业人力和财务成本,根据《条例》第五十二条,个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接,避免重复评估审计,重要数据风险评估和网络安全等级测评的内容重合的,相关结果可以互相采信。

  《条例》细分了企业违反个人信息保护和重要数据管理义务等需要承担的法律责任,如违反重要数据管理造成大量数据泄露,企业需要承担50万元以上200万元以下罚款。鉴于《条例》是为落实三部基础法律的要求,企业因违法行为受到的处罚上限也可能会以三部基础法律规定的处罚上限为准。

  为体现行政法中“处罚与教育相结合”原则,防止和减少严重违法行为、降低社会危害,《条例》五十八条规定可从轻、减轻或者不予行政处罚的情形包括企业存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果,或初次违法且危害后果轻微并及时改正等情形。

  《条例》的颁布对完善中国网络安全和数据合规监管体系具有重要意义。《条例》中未明确的条款,如个人信息审计、互联网企业成立个人信息保护监督机构等要求也将会通过其他法律规定、国家标准等进行要求,如《个人信息保护合规审计管理办法(征求意见稿)》《信息安全技术 大型互联网企业内设个人信息保护监督机构要求(征求意见稿)》等正在制定讨论中。企业应根据《条例》规定的内容及时自查,完善协议文本和内部制度等,提升合规水平。

 

Copyright © 2002-2024 小9直播体育免费直播科技有限公司 版权所有  备案号:粤IP K8254  
网站地图
地址:小9直播体育免费直播省广州市天河区88号  邮箱:admin@1029gmail.com  电话:400-123-8254