历程。近日国务院常务会议,审议通过了《网络数据安全管理条例(草案)》。会议指出,要对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。《网络数据安全管理条例》连续三年写入国务院立法计划中。在2022年度和2023年度国务院立法计划里,明确将《网络数据安全管理条例》纳入拟制定的行政法规中。今年5月,国务院办公厅发布的《国务院2024年度立法工作计划》再次提到,围绕健全国家安全法治体系,制定《网络数据安全管理条例》。2021年11月,国家网信办曾就《网络数据安全管理条例(草案)》公开征求意见,从个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等多方面,作了详细规定。
目的。《网络数据安全管理条例(征求意见稿)》(以下简称“管理条例”)从总体的角度来看,是为了规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,对《网络安全法》、《数据安全法》、《个人信息保护法》的落地、细化和补充。从此管理条例不同章节的角度来看,每一章节都具有不同的核心目的。“总则”中明确此管理条例的立法目的、立法依据及适用范围,确立网络数据安全工作方针。“一般规定”中对网络数据处理活动提出基本要求,起到承上启下作用。“个人信息保护”中映射《个人信息保护法》,约束数据处理者对个人信息处理条件,保障权力主体对自身数据的唯一所有权。“重要数据安全”中明确数据安全管理机构和数据安全负责人的具体要求,量化重要数据处理者备案内容,制定数据安全培训计划,明确数据安全评估细则等。“数据跨境安全管理”中明确数据出境要求,量化数据出境条件,明确数据处理者向境外提供数据应履行的义务等。“互联网平台运营者义务”中明确互联网平台运营者平台规则、隐私政策、第三方数据安全责任,量化鼓励内容和禁止行为等。“监督管理”中规定网络数据监管机制及各部门职责分工,明确监管部门监督检查措施,强调义务主体配合的义务等。“法律责任”中明确义务主体违法处理网络数据及不履行此管理条例规定的法律责任,规定国家机关不履行此管理条例保护义务的罚则。“附则”中对此管理条例涉及到的术语进行定义,并予以解释说明。
要点。(1)本条例提出,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息;(2)本条例明确,国家建度立数据分类分级保护制。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护;(3)本条例强调,数据处理者基于个人同意处理个人信息的,应限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务;(4)本条例提出,国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通;(5)本条例指出,用户数据将分类分级保护,人脸、指纹、定位等均为敏感个人信息。
解读。在上层面法律的《数据安全法》中明确强调了(相关部门应依照本法律和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管责任),国家网信办在职责层面对《数据安全法》提到的数据安全监管责任具有统筹协调监管的工作任务,为了更加落地实施上层法律提到的数据安全监管责任,对数据安全市场的持续良性发展进行管理、约束和保护,国家互联网信息办公室会同相关部门研究起草了此管理条例,通过此草案我们可以看出,作为统筹监管的主体(网信部门)在保障各个机关单位、行业主管部门的监管职责的同时,更加强化了网信部门在数据安全中的监管权力;作为义务主体的“数据处理者”及“互联网平台运营者”具有在网络数据安全层面的细化约束及必须要履行的义务,作为权利主体的“自然人”对绝对拥有权和知情权进行了明确保护,并基于此理念反推在个人信息层面数据处理者应履行的义务。因此,此管理条例涉及到的主体包括:义务主体(数据处理者、互联网平台运营者)、权利主体(监管部门、自然人)。结合此管理条例作为义务主体的数据处理者需要对自身的网络数据安全防御能力、威胁发现能力、漏洞补救能力、制度完备能力、责任人技战术能力、投诉渠道开放能力、公开透明能力等进行义务履行及强化。作为义务主体的互联网平台运营者,在结合此管理条例进行义务履行强化的前提,需要首先对互联网平台运营者的履行义务的范围进行确定,通过是否对数据进行了处理进行判定,如“是”此义务主体即是互联网平台运营者、也是数据处理者,即需要满足此管理条例中的数据处理者的要求,也同样需要满足互联网平台运营者要求(即:平台规则、平台数据安全情况、隐私政策、披露制度等),如“否”此义务主体只履行此管理条例的互联网平台运营者的义务进行能力强化。在结合此管理条例作为权利主体的监管部门(注:这里所指的权利是国家赋予的监管权利),需在尽到对义务主体监管职责的同时,制定符合自身特点的数据安全规划、数据安全事件应急预案、定期开展风险评估、监督检查等。作为另一个权利主体的自然人(注:这里所指的权利是自然人对个人信息的绝对拥有权),以《个人信息保护法》中提到“告知——同意”为核心原则,保障权利主体的自然人拥有个人信息的绝对拥有权,并结合核心原则反推建立对义务主体数据处理者的约束机制(如:采用个人权益影响最小方式、量化处理内容、提供便捷服务、风险保护等)。
细谈:
1.强化边界、维护数据主权:
强化边界、维护数据主权。通过对总则内容的分析,我们发现此管理条例在总则中,更加强调了数据处理活动的边界,维护国家安全、数据主权的决心,界定了只要动作行为是在我国境内开展对个人或组织数据的利用、处理、分析、评估等行为,无论境内主体、境外主体都会受到此管理条例的约束。
2.持续创新、人才培育:
持续创新、人才培育。此管理办法是建立在迎合国家数字经济价值大方向的前提下,使其即可促进数据开发利用、又可保障数据安全。提出了对网络数据安全行业的创新力、人才培育、责任人技战术能力国家予以支持,体现了安全行业的重要性及人才短缺性。
3.迎合政策、细分级别:
迎合政策、细分级别。落实国家分类分级保护制度,按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,细化了数据分类分级(一般数据、重要数据、核心数据),不同级别应有不同的保护措施。
4.预感先知、防御强化:
预感先知、防御强化。数据处理者需结合数据等级持续建立自身数据安全能力,保护数据在处理前、处理中、处理后数据的完整性、可用性及保密性,提前建立预感先知的应急处置机制,并采取技术措施如(备份、加密、访问控制、密码技术等),重要数据需结合三级以上网络安全等级保护和关键信息基础设施安全保护要求,核心数据需依照有关规定从严保护,强化网络产品和服务能力,对存在安全缺陷、漏洞等的及时采取补救措施。
5.甄别发现、限时上报:
甄别发现、限时上报。如发现安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案,发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者应在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,并进行明确数据信息等。
6.义务约束、权利保护(个人信息)
义务约束、权力保护。数据处理者对个人信息处理,需要建立在“告知——同意”《个人信息保护法》核心原则基础上开展,并制定针对个人信息处理者严格进行遵守及落实,明确了个人信息处理最小必要原则,同意及重新取得同意的具体要求和举证责任,当个人提出查阅、复制、更正、补充、限制处理、删除个人信息的合理请求时,数据处理者首先需要判断请求是否合理合法,在进行义务层面的满足;当请求的转移信息基于同意或订立、合同履行、不违背他人意愿、请求人身份合法等,数据处理者应当为个人制定的其他数据处理者访问、获取其个人信息提供转移服务。
7.职责明确、能力提升(重要数据):
职责明确、能力提升。明确数据安全管理机构职责,强调在此机构中,需提出决策建议、制定方案、开展监测、安排活动、处理投诉、报告情况,对数据安全负责人能力进行了要求,需具有数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,并保障数据安全负责人的特殊权力(可直接向网信办和主管、监管部门反映数据安全情况)。针对技术和管理人员每年教育培训时间不得少于20小时,更加强调了安全意识及安全能力的持续强化,如涉及处理重要数据或者赴境外上市的数据处理者,需自行或者委托数据安全服务机构开展数据安全评估,并每年与1月31日前向社区的市级网信部门提报上一年数据安全评估报告,更加强调了出境数据的严要求、高标准、可审查的机制。
8.权力保护、强化约束(数据跨境):
权力保护、强化约束。明确了向境外提供数据的约束条件和数据出境的告知义务,一、出境数据条件中,首先需要通过国家网信部门组织的数据出境安全评估。其次,数据处理者和接收方均通过个人信息保护认证。再次,订立合同约定权力和义务,并履行法律其他条件。二、数据出境告知要求中,首先,告知境外数据接收方的名称、联系方式、处理目的、处理方式等事项,告知个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项;其次,需取得个人的单独同意,当收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。
9.信息区分、贴近市场、行为约束(互联网平台运营者):
信息区分、贴近市场、行为约束。此管理条例鼓励及时通信服务平台运营者区分管理个人通信信息和非个人通信信息,以及平台之间的互联互通要求,禁止平台运营者利用数据或者平台规则实施不正当竞争或者滥用市场支配地位的行为。同时,需要针对隐私政策更加贴近市场需要,听取社会声音,并建立针对差异定价、不公平竞争、阻碍市场创新的禁止行为,通过义务的持续执行及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。互联网平台运营者在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据不得用于其他用途,需要对有关部门调取或访问公共数据、公共信息予以配合等。
10.强化监管、关口前移:
强化监管、关口前移。更加强调了国家级数据安全行动及机制,保障数据流动的同时,建立防御监督能力,如需建立健全应急处置机制、应急预案平台、网络安全信息共享平台、支撑国家网络安全事件应急响应机制及加强应急处置工作。监督管理责任部门,由国家网信办部门进行统筹协调数据安全和相关监督管理工作,有公安机关、国家安全机关在各自职责范围内承担数据安全监管职责。行业主管部门承担本行业、本领域数据安全监管职责;明确国家建立数据安全审计制度,数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计,主管、监管部门组织开展对重要数据处理活动的审计,重点审计数据处理者履行法律、行政法规规定的义务等情况。
