2021年11月14日,国家网信办发布了《网络安全数据管理条例》(征求意见稿)(以下简称《条例》),共九章七十五条。
概括来说,《条例》是在《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三部上位法的基础上制定,在实施细则、责任界定、规范要求、惩罚措施等方面更加清晰细致,同时也增加了一些新的内容,进一步强化和落实数据处理者的主体责任,共同保护重要数据和个人信息的安全。
制定目的
规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益。
法律依据
《条例》的制定是以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三部上位法为依据。
数据定义
重要数据:一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
核心数据:关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。
公共数据:国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据,以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。
主体定义
数据处理者:在数据处理活动中自主决定处理目的和方式的个人和组织。
互联网平台运营者:为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。
大型互联网平台运营者:用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
适用范围
以向境内提供产品或者服务为目的;分析、评估境内个人、组织的行为;涉及境内重要数据处理。
部门职责
国家网信部门:统筹协调数据安全和监督管理工作。
公安机关、国家安全机关:承担数据安全监管职责。
行业主管部门:承担本行业领域数据安全监管职责。
《网络安全数据管理条例》(征求意见稿)全文解读
一、用好数据,保护数据
“数据开发利用和保障数据安全并重”是《条例》的基调,即我们不仅要促进数据的使用,更要保护数据的安全。
在《网络安全法》《数据安全法》和《个人信息保护法》三驾马车的基础上,《条例》个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等方面进一步细化,将对企业合规风控工作产生广泛的指导意义,也将会对互联网产业和数字生态、数字经济带来深度的、生态性的重组和改造。
二、明确数据分类分级分类保护制度
《条例》第五条明确提出,“国家建立数据分类分级保护制度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。”
众所周知,数据分类分级是数据使用、管理和安全防护的基础,也是数据安全治理中的难点和重点。
虽然此前发布的《网络安全法》《数据安全法》《个人信息保护法》已经提及了数据分级分类,以及“重要数据”和“核心数据”的概念,但始终缺乏明确的定义。
《条例》进一步界定了一般数据、重要数据和核心数据的区别,同时增加了个人信息保护的范畴。例如,为了进一步明确重要数据的定义,《条例》在第七十三条列举了七大具体类型数据,可为数据合规提供指引,企业可参考相关规定执行。
同时,由于不同行业、不同地区数据分类分级的具体规则和考虑因素差异巨大,《条例》还强调“各地区、各部门应对本地区、本部门以及相关行业、领域的数据进行分类分级管理。”其意在于将数据分级分类的标准制定权限下放,制定出针对性的分级分类标准,真正将分级分类落在细处。
三、数据保护措施进一步明确
《条例》对于数据保护技术合规措施进行了详细的说明。
第九条提出,数据处理者应当做好等保工作,重要数据原则上要满足等保三级,以及关键信息基础设施安全保护要求,重要数据和核心数据还需使用密码进行保护。
第十条提出,“数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞,或者威胁国家安全、危害公共利益等风险时,应当立即采取补救措施。”
第十一条提出“数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患,并且要在三个工作日内向关系人进行说明,涉及犯罪者向公安机关报案。
如果涉及重要数据或10万人以上的个人信息事件,数据处理这还应在八小时内向网信部门或主管部门汇报;事件处置完毕后五个工作日内向网信部门和主管部门再次汇报处理调查报告。
四、网络安全审查范畴进一步扩大
和2020年4月印发的《网络安全审查办法》相比,《条例》进一步扩大了需要接受网络安全审查的范畴。除“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”以外,“大型互联网平台运营者实施合并、重组、分立”;“数据处理者赴香港上市,影响或者可能影响国家安全的”;都需要申报进行网络安全审查。
同时,“大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。”
五、大型互联网平台迎更强监管
在数据保护上,《条例》体现出“抓大放小”的原则。
无论是“数据处理者合并、重组、分立”还是“发生解散、被宣告破产等情况”,只要涉及重要数据和一百万人以上的个人信息,都应该向设区的市级主管部门或网信部门报告。
《条例》还强调,“日活用户超过1亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。”
这意味着,掌握着大量个人信息的大型互联网平台将迎来更强的监管,尤其是国内头部互联网平台企业更是如此。其平台规则和隐私政策将是制度性的,涉及群体利益和公众利益时必定是牵一发而动全身,平台自主性将收到明显限制,企业必须提前做好相应的准备。
值得一提的是,《条例》第十八条要求数据处理者“当建立便捷的数据安全投诉举报渠道,及时受理、处置数据安全投诉举报。数据处理者应当公布接受投诉、举报的联系方式、责任人信息,每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况,接受社会监督。”
毫无疑问,《条例》第十八条规定进一步将数据安全放在了明处,彻底改变了以往“普通民众无法了解数据保护的现状”,同时也进一步促进企业规范使用数据,保护数据,减少数据黑箱操作的可能性。
六、个人信息保护
在个人信息保护方面,《条例》主要来源于《个人信息保护法》,但对其中的内容进行了细化,从用户的角度出发,维护了用户应有的权利,让他们可以对企业的不合理要求说“不”。同时也对企业提出了具体的要求,促进它们做好安全合规工作。
1、知情同意权
《条例》的三部上位法都在一定程度上明确了用户的“知情同意权”,在此基础上,《条例》进一步提出了细则,对企业提出了更加具体的要求,进一步明确了用户的知情同意权。
《条例》第二十条规定,“数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗。”
此举将有效改变当下信息收集“服务协议”和“隐私政策”又长又难懂的情况,要“以清单形式列明”每项功能收集信息的目的、用途等等,用户可以一目了然,不再需要去阅读密密麻麻的文字,对于用户来说无疑是一件幸事。
同时,集中展示的内容还包括“个人查阅、复制、更正、删除”等敏感操作的途径;向第三方提供个人信息情形及其目的等;个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式等;以及产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称和信息收集的规则。
《条例》第二十一条规定,“处理个人信息应当取得个人同意”,同时明确“不得使用概括性条款取得同意”;“敏感个人信息应当取得个人单独同意”;“处理不满十四周岁未成年人的个人信息,应当取得其监护人同意”;“不得以胁迫、误导、欺诈、捆绑、批量处理、频繁征求等方式获取个人同意处理器个人信息等。”
此外,当“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得个人同意,并同步修改个人信息处理规则。”
总的来说,《条例》在个人信息保护上花费了大量的篇幅,详细的叙述了用户享有的知情同意权,将三部上位法个人信息保护的内容以更加浅显、直白地进行告知。
2、信息处理权
《条例》赋予用户自由处理自己信息的权利,包括查阅、复制、更正、补充、限制处理、删除其个人信息、人信息转移等权利。
《条例》第二十三条规定,对于以上的操作,企业应执行对应的规定,保障用户拥有信息处理权,包括“不得以时间、位置等因素对个人的合理请求进行限制;不得设置不合理条件;应当在十五个工作日内处理并反馈等。”
在转移个人信息时,企业应确定这些个人信息的范畴,包括确定是本人信息,或已获得且不违背他人意愿的他人信息,在信息转移时还需要确认请求人的合法身份,给予相应的风险提示,避免因此造成个人信息泄露事件。
3、不得将人脸、指纹作为唯一认证方式
《条例》第二十五条规定,“不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。”这意味着日后所有互联网产品及线下产品都应提供人脸等生物特征认证以外的其他认证方法。
七、重要数据安全
数据分类分级的目的就是为了区分一般数据、重要数据和核心数据,以便采取不同的数据安全保护措施。其中,重要数据作为大多数企业占比最大的数据种类,常成为企业重点保护对象,也是《条例》中需要重点关注的内容。
1、数据安全负责人的地位提升
《条例》第二十八条提出,“重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构,数据安全管理机构在数据安全负责人的领导下履行职责。”这意味着重要数据的识别与保护再次得到加强,从文件上规定了企业内部设立数据安全负责人和管理结构的义务。
同时,“数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况”,积极做好事情的决策建议、应急预案、风险监测、宣传培训、处置投诉等安全工作。
该规定大大提升了数据安全负责人的在企业内部的地位和权利,也体现出数据安全的重要性。
2、重要数据安全合规要求进一步明确
在提升数据安全负责人的地位后,《条例》对于企业的重要数据也提出了一些列的合规要求,督促数据处理者完成备案、培训、上报等关键操作。
其中,第二十九条提出,“重要数据的处理者,也要在识别其重要数据后的十五个工作日内向设区的市级网信部门备案。备案内容包括数据处理者基本信息,处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,以及其他规定的备案内容。”
第三十条提出,“重要数据的处理者,应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。”
第三十二条提出,“每年一度自行或委托数据安全服务机构开展数据安全评估,在1月31日前将上一年评估报告上报至市级网信部门并保存至少三年等。”
从上面的规定中不难发现国家对于重要数据安全的重视,对于企业的合规要求直接细化到了最低的颗粒度,其中包括详细的备案内容,以及不少于20h/y的安全培训工作等。此外,这样也给企业满足重要数据安全合规指出了具体的方向,企业只需要按照规定完成即可。
3、多项工作需网信部门或主管部门同意
除此之外,政府部门还对企业重要数据处理提出了其他的合规要求。比如开展共享、交易、委托处理、向境外提供重要数据的安全评估,一旦评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供数据。
第三十三条提出,“数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。”
第三十四条提出,“国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估。”
这意味着,当某些操作涉及重要数据时,企业已经不能再完全按照自身意愿处理,而是要在国家政策的同意之下方能进行。
八、数据跨境安全管理
针对数据跨境安全管理,《条例》做出了十分完善的规定,对于数据出境增加了许多限制条件,体现出我国对数据跨境的高度重视。
例如《条例》第三十五条明确提出,数据可以跨境流通,但是首先要通过网信部门组织的数据出境安全评估和满足《网络安全审查办法》的要求,以及其他审查需求,包括数据接收方、合同订立、权利与义务等都需要进行审查和满足规定的条件。
该规定进一步明确了数据处理者在数据跨境传输活动中的责任与义务,也给数据跨境提出了具体的实现方式:数据出境后数据处理者依旧要承担数据安全保护的责任,同时还需要向涉及到的每一个用户发布公告并获得同意。
这将给企业数据跨境增加了不少限制条件,尤其是涉及国计民生的信息,跨境所面临的难度将会非常高,凸显出我国坚持数据安全大前提的战略构想。
此外,《条例》还要求展开数据出境活动的数据处理者应每年编制数据出境安全报告,并在1月31日前向市级网信部门报告上一年度的数据出境情况,报告应包括接收方的名称与联系方式、数据出境后再转移的情况、数据在境外的存放地点、存储期限等。
九、互联网平台运营者义务
1、互联网平台合规要求更加明确
《条例》花费了大量的篇幅来说明互联网平台应该满足的合规要求,除了将其可能影响国家安全的数据处理行为纳入网络安全审查范畴外,还对平台规则、隐私政策修订等提出要求。
《条例》第四十三条提出,互联网平台的平台规则、隐私政策发生重大更新时需要公示三十日,并广泛听取用户的建议;日活超过一亿的大型平台还“应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。”
同时互联网平台运营者还需要承担第三方数据安全管理责任,且“第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿”,这点对于移动通信终端和预装APP同样适用。
近年来,因第三方而导致的数据泄露事件层出不穷,很多第三方平台缺乏必要的数据安全防护措施。《条例》的出现将会有效改变这一现状,能否保证数据安全将会成为互联网平台运营者选择第三方合作商的衡量指标之一,并且会体现在合同中,倒逼第三方提高数据安全保护能力。
2、杀熟将被禁止
互联网平台运营者通过已掌握的数据杀熟,定制化推荐广告已经不是什么秘密,针对这些热议的问题,《条例》做出了明确的规定。
第四十六条提出,禁止向用户提供产品和服务差异化定价等损害用户合法利益的行为;禁止利用数据诱导用户的行为;禁止最低价销售等损害公平竞争的行为;禁止限制中小企业获取资源等。
同时,对于人们关心的定制化推荐广告的行为,第四十九条提出,互联网平台运营者要“对推送信息的真实性、准确性以及来源合法性负责”,且“应取得个人单独同意”,还应该“设置便捷易懂的一键化关闭选项,允许用户重置、修改或调整针对其个人的定向推送参数”,和“允许个人删除定向推送信息服务收集产生的个人信息”。
《条例》第五十三条提出,大型互联网平台运营者应每年对平台数据安全进行审计,并将审计结果进行披露。这意味着,大型互联网平台数据安不安全以及数据使用情况,已经不仅仅是企业自己的事情,而是需要接受第三方监督,避免企业出现阳奉阴违的情况,这也是企业需要完成的合规义务之一。
十、执法职责清晰,处罚日渐严格
正如文章开头部门列举出来的一样,《条例》对于各部门的监督和执法职责有了明确的划分,避免出现职责不清的情况。
《条例》第五十五条提出,“国家网信部门负责统筹协调数据安全和相关监督管理工作;公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责;工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。”
同时还明确了各监督、执法部门的工作范畴,包括“对数据安全进行监督检查”,“对重要数据处理活动的审计”,以及“制定数据安全行为规范,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。”
针对互联网平台运营者的违法行为,《条例》也列举出详细的处罚措施,包括不履行《条例》处以金额不等的罚金;对违法处理个人信息的应用程序,责令暂停或者终止提供服务,最高可以处以上一年营业额百分之五的罚金,吊销营业执照,追究直接负责人和直接主管人员的责任,并处罚金。
第七十条更是明确指出,“数据处理者违反本《条例》规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任”,值得企业和个人警醒。
十一、总结
随着大数据、物联网、人工智能等新兴技术的发展和应用,数据的价值正在不断上升,不仅是驱动企业发展的核心要素,也直接关系到我国的经济发展、公共利益和国家安全。
《条例》的出台,不仅是对《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三部上位法的补充和说明,也进一步明确了网络数据安全管理的具体细则,进一步增加企业和社会对于数据安全的认知,进一步巩固了国家数据主权,体现出我国对于数据安全这个大前提不动摇的战略决心。
对于个人来说,《条例》的出台让用户进一步了解了对自己的数据拥有哪些权利,强化了个人信息的重要性,使得用户不会再像以前一样放任个人信息滥用而没有任何办法,这将大大缓解当下日渐严峻的个人隐私信息泄露、数据泄露事件的发生。
对于企业来说,《条例》详细列举了企业的合规要求,有的甚至已经精确到了小时,也明确了该向哪些部门进行报告等,使得企业能够在合规建设中有的放矢,某种程度上也会强化企业的数据安全防护能力。同时也对当下大数据野蛮发展的乱象进行约束,杜绝大数据杀熟、平台二选一,中小企业获取资源受限等问题,打造一个公平公开的数据市场,促进行业健康、有序的发展。