2021年《中华人民共和国民法典》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》先后施行,从立法角度,将数据保护、数据治理提到了前所未有的高度。加之过去和近期相继公布的一系列与数据相关的部委规章(含征求意见稿)、地方政府大数据条例,更是丰富和完善了数据保护、数据治理的法律体系,为数字经济发展夯实了法律根基。2021年11月14日,国家互联网信息办公室公布了《网络数据安全管理条例(征求意见稿)》。作为行政法规,《网络数据安全管理条例》对法律予以补充和完善,更加清晰、明确地压实了数据处理者的职责和义务。
《网络数据安全管理条例(征求意见稿)》(以下简称“条例”)依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律制定,其作为一部行政法规,不仅对上述法律的相关规定进行了执行和细化,还作出了一定程度的补充和完善。
相比于《网络安全法》与《个人信息保护法》侧重网络、信息和数据安全及保护,以规范处理、保障数据和网络安全为方向,《条例》则更侧重于通过清晰的结构和脉络,压实数据处理者的主体责任和义务,以促进数据安全保护、数据处理活动、数据流动的合规落地,保障数字经济的稳定、安全发展。
第一节 数据处理者的一般合规责任
一、数据处理者应当承担数据安全保护主体的责任
《条例》第73条5款规定:“数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织”,这种以“处理目的和处理方式的自主性”确定数据处理者,有利于界定数据全生命周期活动过程中的不同责任主体及其责任权利。
数据处理者除了普遍知晓的互联网平台企业,还包括但不限于如下主体:政府部门、事业单位;提供 SAAS 产品、管理系统、技术系统的研发、产品和服务的科技类企业;关键信息基础设施运营者;互联网平台运营者及平台内经营者;数据收集者、存储者、使用者;生产制造等实体企业等。
在数据全生命周期活动过程中,履行数据安全保护责任的主体是数据处理者,其履行数据安全保护责任,接受政府和社会监督,并承担社会责任。因此,数据处理者首先应当定位,做到两个明确:
明确自己在处理数据过程中的一种及/或多种、不变及/或可能变化着的角色,以及不同角色的职责和义务,比如某数据处理者在处理某数据过程中,可能是重要数据处理者,可能是跨境数据处理者,可能是个人敏感信息处理者,可能是互联网平台运营者;
明确所涉及的各种数据处理关系,并根据数据处理的目的、内容、方式等,界定各不同数据处理者的权利、职责和义务,通过法律文件予以明确,技术手段进行规制。
二、数据处理者应当具备相应的技术能力和网络安全等级
《条例》第73条2款规定:“数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。”《条例》采用了《个人信息保护法》中的处理内容,相比《数据安全法》,增加了“删除”这一步,完善了数据全生命周期活动的保护内容。
在整个数据处理过程中,数据处理者应当拥有相应的技术能力,采取相应的技术措施,包括备份、加密、访问控制等,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,并能够应对数据安全事件,防范黑客、病毒及其他违法犯罪活动,维护和保障数据的完整、保密、可用、合法。如果不具备相应的技术能力,则可能导致数据遭受破坏,导致多方被侵权,并由自身承担侵权或者违约责任。
同时,建立相应的技术保护机制。
数据处理者采取自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,若发生违规、影响网络服务政策功能,或者侵权行为的,应当停止访问、收集行为,并采取补救措施。
国家机关、关键信息基础设施运营者应当针对采购云计算服务,通过国家网信部门会同国务院有关部门组织的安全评估。
另外,数据处理者应当根据网络安全等级保护要求,在数据处理系统、数据传输系统、数据存储环境等方面加强网络安全防护,针对“重要数据”提供三级以上的网络安全等级保护和关键信息基础设施安全保护措施,从严保护核心数据,并使用“密码”保护重要数据和核心数据。
三、数据处理者应当建立数据安全管理制度、应急、投诉等机制
1. 建立数据安全管理制度
数据处理者良好的安全保障及合规管理能力,将为企业的数字化转型奠定扎实的基础。由于数据治理需要同时考虑合规要求及合规成本,因此,数据处理者应当根据法律、法规、国家标准的强制性要求,以及行业规范,对其数据进行分类分级,建立健全适合本组织的数据安全管理制度体系,并适时评估、不断改进和完善,以落实数据安全保护责任,保护数据安全。
2. 建立数据安全应急处理机制
《条例》对不同事件下数据处理者的合规职责和义务做了明确详细的规定,具体内容如表 1 所述:
表1 不同事件下,数据处理者的职责及义务
3. 建立投诉举报渠道
数据处理者应当建立数据安全投诉举报渠道,及时受理、处置投诉举报。
第二节 不同场景下数据处理者的合规责任及义务
一、个人信息处理场景下的合规职责及义务
在个人信息处理要求方面,《条例》对《个人信息保护法》进行了细化、补充和完善。数据处理者除了应当遵守《个人信息保护法》及其他法律法规规章规定的职责外,还应当遵守如下个人信息保护合规要求:
1. 制定个人信息处理规则,并集中公开展示,易于访问,内容明确具体、简明通俗。《条例》关于“个人信息处理规则”的内容要求见表 2。
表2 《条例》关于“个人信息处理规则”的内容要求
2. 履行其他合规职责及义务(见表3)
表3 数据处理者的其他职责和义务
二、重要数据处理场景下的合规义务
根据《条例》第5条规定:“国家建立数据分类分级保护制度,按照一般数据、重要数据、核心数据分级,不同级别需采取不同的保护措施,国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。”数据处理者应当根据国家、地区、部委制定的重要数据和核心数据目录,梳理其所处理数据的级别,识别是否存在“重要数据”“核心数据”“个人敏感信息”,并对“重要数据”“核心数据”“个人敏感信息”采取不同的合规措施。
而数据的分类,因为与管理目标、管理需求相关,其可以有不同维度、不同分类方式,《条例》并未做具体的列举。实践中,数据处理者可以首先按行业、领域进行初步分类,然后根据所处理数据的流转、性质、特点、生命周期,结合业务场景等内容进行具体分类。
《条例》《数据安全法》《个人信息保护法》规定的重要数据、核心数据、个人敏感信息定义如下(见表4):
表4 不同级别的数据定义
重要数据处理者应当履行如下合规职责和义务(见表5):
表5重要数据处理者的合规职责和义务
《条例》承上启下,弥补了现有法律对“重要数据”分级标准的缺失和边界,使数据分级有了行政法规高位阶标准,使数据的分级管理成为可操作性的指引,对保障数据安全、数据合规,促进数字经济发展,具有重要意义。
三、跨境数据处理场景下的合规职责及义务
《数据安全法》在数据跨境处理方面,规定了域外管辖、出口管制、阻断法令,以及数据出境规则和跨境司法,其中,关键信息基础设施运营者应当将在境内获取的数据存储在境内;因业务需要出境的,重要数据的出境安全管理适用《网络安全法》《个人信息保护法》在个人信息跨境方面,规定了“安全评估、保护认证、标准合同等”前提条件、“单独同意”“国际司法协助”“黑名单制度”等内容。《条例》对法律进行了补充和细化。
《条例》第35条规定:数据处理者向中华人民共和国境外提供数据,首先应当具备相应条件,即通过国家网信办组织的评估或者数据处理者和接收方均通过个人信息保护认证或者按照国家网信部门的标准合同立约。
其次,数据处理者还应当遵守如下合规职责和义务(见表6):
表6 跨境数据处理者的其他责任和义务
四、互联网平台运营场景
《条例》第73条9款规定:互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。第10款规定:大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
《条例》对互联网平台运营者规定了如下数据安全保护制度(见表7):
表7 互联网平台运营者的数据安全保护制度
五、数据处理者发生合并、重组等情况的合规职责及义务(见表8):
表8 数据处理者发生合并、重组等情况的合规职责及义务
第三节 结语
《网络数据安全管理条例(征求意见稿)》在数据安全和产品合规方面,向互联网企业提出了更高标准的要求。无论是数据分类分级保护、定期评估审计,还是有效保障用户权利、履行互联网平台企业社会责任,都将产生较大的合规调整。建议互联网企业提前进行政策解读、做好合规预案,以便及时应对最新合规挑战。
