来源:大成上海办公室
作者:彭凯 宋海新
写在前面的一点感触
提笔之际,乃至在多次通读《网络数据安全管理条例》之时,都未曾预判本文成稿耗时“16个小时撰写+4小时复核”之久,篇幅近3万字。条例内容之多、之广、之深,值得细读、深读、反复读。谨以此拙文,与诸君共探讨。下为正文:
2024年9月30日,《网络数据安全管理条例》(国务院令第790号,以下简称“网数条例”)公开发布(网数条例文首载明的公布日期为2024年9月24日),自2025年1月1日起施行。
相较于征求意见稿,网数条例正式稿的内容进行了相当幅度的简化,即便如此,依然为企业新增了很多义务要求。在欣喜企业的数据合规负担似乎没有预期那般重之余,在乱花渐欲迷人眼的各种解读文章之外,为帮助不同企业[1]快速、深入了解需要做什么和怎么做,进而应对网数条例的施行,我们从“所有企业需要做的11件事”和“9类企业还需要做的事”两个维度,成此文。
先上目录,一览无余:
一、所有企业需要做的11件事
1.承担主体责任,采取技术措施和其他必要措施,加强网络数据安全防护
2.更新本企业的数据安全、个人信息保护相关内部管理制度
3.更新对外部合作方的数据合规准入管控文本和约束文本
4.新增/加强对网络数据接收方履行义务的情况进行监督
5.更新隐私政策等个人信息处理规则的模板和文本内容
6.调整隐私政策等个人信息处理规则文本的展示方式和形式
7.更新个人信息保护影响评估的表格
8.调整个人信息主体权利响应机制
9.提供网络产品、服务的安全要求、风险处置和告知、报告要求
10.发生网络数据安全事件后的处置、报告、通知和报案
11.妥善落实网数条例的要求,为即将到来的个人信息保护合规审计做好准备
二、9类企业还需要做的事
1.处理1000万人以上个人信息的企业需要做的事
2.使用爬虫等自动化工具访问、收集网络数据的企业需要做的事
3.重要数据处理者需要做的事
4.网络平台服务提供者需要同做和不同做的事
5.提供生成式人工智能服务的企业需要做的事
6.向境外提供个人信息的企业需要做的事
7.符合特定条件的处理境内自然人个人信息的中国境外企业需要做的事
8.政务、关基、公共服务相关企业需要做的事
9.开展网络数据处理活动影响或者可能影响国家安全的企业需要做的事
下为详文,请君细阅:
所有企业需要做的11件事
1.承担主体责任,采取技术措施和其他必要措施,加强网络数据安全防护
在《数据安全法》第二十七条第一款[2]规定的数据安全保护基础通用义务基础上,网数条例第九条进一步细化了网络数据安全保护基础通用义务要求,规定“网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求,在网络安全等级保护的基础上,加强网络数据安全防护,建立健全网络数据安全管理制度,采取加密、备份、访问控制、安全认证等技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用,处置网络数据安全事件,防范针对和利用网络数据实施的违法犯罪活动,并对所处理网络数据的安全承担主体责任。”
“承担主体责任”的表述,与《个人信息保护法》第九条规定的“个人信息处理者应当对其个人信息处理活动负责”近似。在我国相关立法中,“主体责任”属于较为严格的表述,该表述还出现在如下文件中,个中深意思自行感受:
《党委(党组)落实全面从严治党主体责任规定》
《金融机构涉刑案件管理办法》(金规〔2024〕12号)
《企业落实食品安全主体责任监督管理规定》(国家市场监督管理总局令第60号)
《关于推动网络交易平台企业落实合规管理主体责任的指导意见(征求意见稿)》
此外,《GB/T 41479-2022 信息安全技术 网络数据处理安全要求》已于2022年11月1日实施,该推荐性国标规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求,可作参考。
2.更新本企业的数据安全、个人信息保护相关内部管理制度
在《网络安全法》《数据安全法》和《个人信息保护法》(以下合称“三驾马车”),尤其是后两部法律相继施行后,大多数企业根据三驾马车的规定制定或更新了本企业的相关制度(制度名称均以实际为准,下同):
《网络安全管理制度》
《数据安全管理制度》
《个人信息保护办法》
《数据分类分级保护办法》
《个人信息主体权益响应管理规范》
《网络安全、数据安全、个人信息安全事件应急预案》
此外还有部分企业根据自身业务及管理需要制定或更新了本企业的细化主题制度:
《隐私政策管理规范》
《网络信息、个人信息安全投诉、举报规范》
《系统操作权限管理办法》
《供应商合作伙伴网络安全和数据保护评估审查制度》
《个人信息保护影响评估指引》
随着网数条例的出台与即将施行,前述数据安全、个人信息保护相关内部管理制度需要进行相应更新。例如:
1)《数据安全管理制度》中可考虑修订增加网数条例第八条、第九条、第十三条、第十四条等的规定;
2)《个人信息保护办法》中可考虑修订增加网数条例等十二条、第二十一条、第二十二条、第二十四条、第二十七条等的规定;
3)《网络安全管理制度》中可考虑修订增加网数条例第十条等的规定;
4)《个人信息主体权益响应管理规范》中可考虑修订增加网数条例第二十三条、第二十五条等的规定;
5)《网络安全、数据安全、个人信息安全事件应急预案》中可考虑修订增加网数条例第十一条等的规定。
3.更新对外部合作方的数据合规准入管控文本和约束文本
(1)更新对外部合作方的数据合规准入管控文本
实践中,对外部合作方的数据合规准入管控文本主要包括《数据安全合规需求规格书》《外部合作方数据合规准入管控表》等,其中明确了对数据安全、数据合规方面的准入要求。
随着网数条例的出台与即将施行,前述数据合规准入管控文本需要修订增加网数条例第九条、第十一条、第十二条、第十三条、第十八条、第二十条等的规定。
(2)更新/增加对外部合作方的数据合规约束文本
实践中,做得比较好的企业一般会与对外部合作方签署数据合规约束文本,这些文本主要包括《数据合规承诺函》《数据处理协议》《个人信息对外提供协议》《个人信息委托处理协议》等单独的承诺函、个人信息处理相关协议或者合作协议中的数据合规约束条款、数据合规单独附件等。
《个人信息保护法》第二十一条第一款规定了委托处理个人信息项下需要与受托人约定的内容,网数条例第十二条则首次明确要求通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等的通用义务要求[3],对此:
1)对于此前尚未开始行动的企业而言,需要开始与外部合作方通过合同等约定前述内容;
2)对于此前做得比较好的企业,需要更新现有的与对外部合作方签署的数据合规约束文本。修订增加的内容应包括网数条例第八条、第九条、第十一条、第十二条、第十三条、第十八条、第二十条、第二十三条、第二十七条等的规定。
4.新增/加强对网络数据接收方履行义务的情况进行监督
《个人信息保护法》第二十一条第一款已明确个人信息处理者对受托人的个人信息处理活动进行监督的要求,网数条例第十二条第一款扩张为对网络数据接收方履行义务情况进行监督的通用义务要求,意味着对外提供个人信息也需要对接收方进行监督。对此,需要新增/加强对网络数据接收方履行义务的情况进行监督,主要分两步:
1)在与对外部合作方签署的数据合规约束文本中明确约定有权对网络数据接收方履行义务的情况进行监督以及接收方的配合义务(可进行要求、义务细化);
2)通过定期或不定期抽查的方式,书面要求接收方提供相应的履行义务的证明材料。
5.更新隐私政策等个人信息处理规则的模板和文本内容
实践中的隐私政策等个人信息处理规则,主要以《GB/T 35273-2020 信息安全技术 个人信息安全规范》(以下简称“35273”)的附录D“个人信息保护政策模板”为基础或参考,以《个人信息保护法》为主要法律依据而制定、修订。App(含小程序,下同)的隐私政策等个人信息处理规则还适用的主要依据包括:
《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)
《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号)
《工业和信息化部关于开展App侵害用户权益专项整治工作的通知》(工信部信管函〔2019〕337号)
《工业和信息化部关于开展纵深推进App侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号,以下简称“164号文”)
《工业和信息化部关于开展信息通信服务感知提升行动的通知》(工信部信管函〔2021〕292号,以下简称“292号文”)
《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》(工信部信管函〔2023〕26号,以下简称“26号文”)
网数条例第二十一条、第二十二条将App数据合规领域比较成熟的部分监管要求上升为对所有企业的要求,第二十五条在《个人信息保护法》第四十五条第三款[4]的基础上明确了个人信息转移请求的适用条件和要求。所有企业均需要对照更新隐私政策等个人信息处理规则模板和具体业务载体的文本,主要涉及的更新之处包括:
1)需新增明确个人信息存储期限到期后的处理方式;
2)个人信息存储期限难以确定的,需新增明确存储期限的确定方法;
3)新增明确转移、限制处理个人信息以及注销账号、撤回同意的方法和途径等。
此外,《GB/T 44588-2024 数据安全技术 互联网平台及产品服务个人信息处理规则》于2024年9月29日发布,于2025年4月1日实施,可作参考。
6.调整隐私政策等个人信息处理规则文本的展示方式和形式
实践中,常见的个人信息处理规则文本包括隐私政策(又名个人信息保护政策、隐私权政策等)、儿童个人信息保护政策、双清单(已收集个人信息清单、向第三方共享个人信息清单)等。该等文本的展示方式和形式,既有集中展示、位置明显、易于查找的安排,也有分散展示、位置隐蔽、不易查找的设置。在App领域,随着《App违法违规收集使用个人信息行为认定方法》[5]等规定的施行和持续数年的多轮、多方检测、通报、下架,该等问题相对有所减少。
根据网数条例第二十一条第一款的规定,“个人信息处理规则应当集中公开展示、易于访问并置于醒目位置”,这就要求所有企业需要将所有个人信息处理规则文本集中在某一访问路径下(如放置在“我的”或者“设置”项下)进行公开、显著展示,且该等访问路径不应需要过多操作步骤(参考App领域的规定,建议进入主界面后不超过4次操作可以访问到)。实践中通过联系客服方能获取到隐私政策等个人信息处理规则文本的安排,明显违反该规定,需尽快调整。
根据网数条例第二十一条第二款的规定:“网络数据处理者按照前款规定向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息的,应当以清单等形式予以列明。”与之相关的“清单”要求主要包括292号文对部分App运营企业提出的“建立个人信息保护‘双清单’”(包括已收集个人信息清单和与第三方共享个人信息清单)的要求[6]和26号文对所有App运营企业建立已收集个人信息清单的要求[7]等。这里使用了“以清单等形式”,从文义解释角度,不宜理解为要求所有企业均必须通过双清单的方式告知收集个人信息情况和对外提供个人信息情况。当然,如果能够做到通过双清单的方式进行告知,会更加清晰。
7.更新个人信息保护影响评估的表格
《个人信息保护法》第五十五条、第五十六条规定了个人信息保护影响评估的要求,实践中企业通常通过评估表的方式开展个人信息保护影响评估(以下简称“PIA”),其中非出境情形下的PIA主要依据《个人信息保护法》《未成年人网络保护条例》(国务院令第七百六十六号)《儿童个人信息网络保护规定》(国家互联网信息办公室令第4号)等规定设定评估内容,参考《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》等标准指南设定评估逻辑和起草评估报告等。
随着网数条例的出台与即将施行,企业需要更新个人信息保护影响评估的表格,对应需要增加的评估内容主要包括网数条例第八条、第九条、第十二条、第十三条、第十八条、第二十条、第二十一条、第二十二条、第二十三条、第二十五条、第二十七条等。
8.调整个人信息主体权利响应机制
《个人信息保护法》第四章“个人在个人信息处理活动中的权利”(第四十四到第五十条)用专章的方式明确了个人信息主体权利的相关规定。网数条例第二十一条、第二十三条、第二十五条对个人信息主体权利的相关规定进行了细化,其中包括将App领域比较成熟的部分监管要求上升为对所有企业的要求、明确个人信息转移请求的适用条件和要求等。
随着网数条例的出台与即将施行,企业需要调整个人信息主体权利响应机制,除前文已述的隐私政策等个人信息处理规则文本中涉及个人信息权利响应的更新内容外,需要调整之处包括新增做好个人转移其个人信息、限制处理其个人信息、注销账号、撤回同意等权利主张的响应,不得设置不合理条件限制个人的合理请求。
对于个人转移其个人信息,《信息安全技术 基于个人请求的个人信息转移要求(征求意见稿)》已于2024年4月1日发布(非正式稿),可作参考。
9.提供网络产品、服务的安全要求、风险处置和告知、报告要求
在《网络安全法》第二十二条第一款[8]对网络产品、服务作出规定的基础上,网数条例第十条在重申前述规定的基础上,进一步增加了“涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告”的要求。
对于网络产品安全漏洞管理,2021年9月1日起施行的《网络产品安全漏洞管理规定》(工信部联网安〔2021〕66号)作出了具体的规定。此外,《GB/Z 42885-2023 信息安全技术 网络安全信息共享指南》已于2024年3月1日实施,《GB/T 43557-2023 信息安全技术 网络安全信息报送指南》已于2024年7月1日实施,可作参考。
10.发生网络数据安全事件后的处置、报告、通知和报案
《网络安全法》第二十五条规定了发生网络安全事件后的处置、报告要求[9],《数据安全法》第二十九条规定了发生数据安全事件后的处置、报告和告知用户要求[10],《个人信息保护法》第五十七条规定了发生个人信息安全事件后的处置、通知主管部门和个人的要求[11]。
在前述法律规定基础上,网数条例第十一条明确了发生网络数据安全事件后的处置、报告、通知和报案要求[12]。《GB/T 20986-2023 信息安全技术 网络安全事件分类分级指南》已于2023年12月1日实施,《GB/T 43557-2023 信息安全技术 网络安全信息报送指南》已于2024年7月1日实施,可作参考。
(1)关于发生网络数据安全事件后的处置要求
企业需要根据事先制定好的应急预案进行应急处置,处置的时间要求为“立即”,不容迟缓。
(2)关于发生网络数据安全事件后的报告要求
“按照规定向有关主管部门报告”中的“规定”,后续将指向《网络安全事件报告管理办法(征求意见稿)》(2023年12月8日征求意见),其明确了报告的时间要求、部门要求、内容要求、流程要求等。随着网数条例的出台与即将施行,该办法的正式出台有望加速。
实践中,企业困扰之处在于报告渠道不通畅,主要问题包括想要报告联系不上主管部门、联系上了主管部门不接收报告等。相信在该办法正式出台后,该等困扰问题有望得到明显改善。
(3)关于发生网络数据安全事件后的通知要求
网数条例第十一条第二款明确了发生网络数据安全事件后的通知要求,具体来说包含通知的前提、时限、内容、方式、对象以及除外情形。
1)通知的前提
通知的前提的为“对个人、组织合法权益造成危害”,换言之,未对个人、组织合法权益造成危害的无需通知。对此,《个人信息保护法》规定的个人信息安全事件通知要求中有相应的规定,“个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人”。
2)通知的时限
通知的时限要求为“及时”,也就意味着时限要求紧迫,迟延通知的话则很难论证满足了“及时”的要求。如可行,建议在事件发生后24小时内通知。
3)通知的内容
通知的内容包括“安全事件和风险情况、危害后果、已经采取的补救措施等”。该等要求更多地适用于网络安全事件和数据安全事件的通知。《个人信息保护法》规定的个人信息安全事件通知内容更加具体,应以其规定为准。
4)通知的方式
与35273的10.2“安全事件告知”a)规定的通知方式[13]有所不同,网数条例规定的通知的方式包括“电话、短信、即时通信工具、电子邮件或者公告等方式”。前面四种方式均为点对点的通知,其点对点触达的有效率相对较高。公告的方式,在难以直接触达用户时,其效果会较为显著。
前面四种方式也可以和公告的方式结合起来,进一步提高通知的覆盖面和有效率。实践中,我们已帮助多家企业起草了点对点告知安全事件的通知函模板和对外公告的函件模板,以备企业应急演练使用和不时之需。
5)通知的对象
在《数据安全法》规定的通知对象为“用户”、《个人信息保护法》规定的通知对象为“个人”的基础上,网数条例进一步将通知的对象扩张至“利害关系人”,其范围明显大于数据主体(包括非个人信息的数据主体、个人信息主体)。对于“利害关系人”的准确范围,还有待进一步明确。从文义理解角度,举例而言,贷款场景下,用户除了提供本人个人信息,还提供了紧急联系人的信息,如果前述个人信息遭到了泄露,通知的对象不仅应包括借款人,还应包括紧急联系人。
6)除外情形
除外情形即“法律、行政法规规定可以不通知的,从其规定”。对此,需要有明确的规定方可适用。《个人信息保护法》第五十七条第二款规定的“个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人”,我们理解不属于该等除外情形,因为其已限定为能够有效避免造成危害的情形,不造成危害本身也就不满足网数条例本条规定需要通知的前提。
11.妥善落实网数条例的要求,为即将到来的个人信息保护合规审计做好准备
《个人信息保护合规审计管理办法(征求意见稿)》于2023年8月3日发布,其后《数据安全技术 个人信息保护合规审计要求(征求意见稿)》《个人信息保护合规审计技术能力及工具要求(征求意见稿)》也相继发布。随着网数条例的发布,个人信息保护合规审计的前述规定、国标和团标的发布进程势必会加速。
作为三驾马车配套的行政法规,网数条例的效力仅次于三驾马车,数据合规的三驾马车也正式升级为“3+1”的复合模式。因此,除三驾马车的要求外,网数条例的要求,也势必成为个人信息保护合规审计的审计重点,需要妥善落实网数条例的要求,为即将到来的个人信息保护合规审计做好准备。
9类企业还需要做的事
1.处理1000万人以上个人信息的企业需要做的事
处理1000万人以上个人信息的企业,还应当遵守网数条例第三十条、第三十二条对处理重要数据的网络数据处理者作出的规定。针对网数条例第三十条,具体来说,该等企业需要做如下2件事:
(1)明确网络数据安全负责人和网络数据安全管理机构
网数条例第三十条第二款规定:“网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历,由网络数据处理者管理层成员担任,有权直接向有关主管部门报告网络数据安全情况。”
网数条例第三十条第一款规定:“重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构。网络数据安全管理机构应当履行下列网络数据安全保护责任:(一)制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案;(二)定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动,及时处置网络数据安全风险和事件;(三)受理并处理网络数据安全投诉、举报。”
相较于35273的11.1“明确责任部门与人员”和上海、深圳等地方发布的《数据条例》《企业数据合规指引》等地方规定中对相关责任部门和负责人的规定,网数条例一定程度上吸收了《网络安全法》第三十四条对于关键信息基础设施运营者的要求[14],对《数据安全法》第二十七条第二款[15]的规定进行了细化,首次从法律规定层面对于网络数据安全负责人(以下简称“数安负责人”)和安全管理机构明确了具体的要求。
其中,前述规定对数安负责人的专业背景、履历作出了限制,并明确了数安负责人的职级要求即管理层成员,该等要求在严格的同时有助于对数安负责人赋权及更好地独立履职。需要指出的是,前述规定未限制数安负责人兼任《网络安全法》第二十一条第一项[16]规定的网络安全负责人,也未限制其不可以兼任《个人信息保护法》第五十二条第一款[17]规定的个人信息保护负责人[18]。
(2)掌握特定重要数据的企业,还应当对网络数据安全负责人和关键岗位的人员进行安全背景审查,加强相关人员培训
网数条例第三十条第三款规定:“掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者,应当对网络数据安全负责人和关键岗位的人员进行安全背景审查,加强相关人员培训。审查时,可以申请公安机关、国家安全机关协助。”
该等规定一定程度上吸收了《网络安全法》第三十四条第一款、《关键信息基础设施安全保护条例》(国务院令第七百四十五号)第十四条对于关键信息基础设施运营者的安全管理负责人和关键岗位人员的安全背景审查要求,旨在从核心人员管控方面进一步减少特定种类、规模的重要数据的安全隐患。需要指出的是,“特定种类、规模的重要数据”的前置限定为“有关主管部门规定”,也就意味着在有关主管部门规定的情况下才需履行本项要求。
进一步需要指出的是,虽有前述规定,但不应仅据此就将处理1000万人以上个人信息的企业认定为重要数据处理者。理由有二:
其一,如果处理1000万人以上个人信息的企业均认定为重要数据处理者,则网数条例的表述不应为其应履行重要数据处理者的其中两条义务,而应为履行其全部义务。
其二,在《促进和规范数据跨境流动规定》(国家互联网信息办公室令第16号)第二条[19]规定的基础上,网数条例第二十九条第二款进一步明确规定“对确认为重要数据的,相关地区、部门应当及时向网络数据处理者告知或者公开发布。”重要数据的确认,以相关地区、部门的告知或者公开发布为触发条件,例如“北京自贸试验区企业掌握的1000万人以上个人信息”被公开发布的《中国(北京)自由贸易试验区数据分类分级参考规则》认定为重要数据。反言之,未触发则不是重要数据。
此外,针对网数条例第三十二条(合并、分立、解散、破产等可能影响重要数据安全情形下的保护义务和报告要求),我们将在后文“1.重要数据处理者需要做的事”部分进行详述。
2.使用爬虫等自动化工具访问、收集网络数据的企业需要做的事
实践中,使用爬虫等自动化工具爬取其他网站、移动互联网应用端数据的行为较为常见,爬取的数据类型包括个人信息、非个人信息的公开数据、非公开数据等,一系列与此相关的“不劳而获”“搭便车”等数据不正当纠纷案件、破坏、控制计算机系统及获取数据的刑事犯罪案件等引起了不少的关注和探讨。我们这些年也收到了很多企业关于使用爬虫等自动化工具访问、收集数据的合法性边界的法律咨询。
在《数据安全管理办法(征求意见稿)》第十六条规定[20]的基础上,网数条例第十八条首次从法律规定层面对使用爬虫等自动化工具访问、收集网络数据作出了直接的规定。
对于“不得干扰网络服务正常运行”,网数条例未像前者规定那样举例说明“自动化访问收集流量超过网站日均流量三分之一”,而是需要企业自行“评估对网络服务带来的影响”。原因可能在于难以界定不同网络服务正常运行的统一标准,也可能在于保留更多的弹性空间,为执法留下更多余地,只是对于企业而言,把握爬取数据的度会比较困难。
对于“不得非法侵入他人网络”,一般理解,绕开robots协议、破解网站天然的加密规则(如破解API交互规则、App的加密算法等),破坏网站技术保护措施(如使用伪造IP、UA、ID等规避系统IP壁垒、UA设置等技术保护措施)等行为,被认定为非法侵入他人网络的可能性较高。
3.重要数据处理者需要做的事
在《数据安全法》首次从法律层面规定了对重要数据的保护要求的基础上,网数条例明确了重要数据的法律定义[21],并通过第四章“重要数据安全”专章加上其他条文组合规定的方式,明确了重要数据处理者需要履行的义务要求。对此,重要数据处理者均需要做如下7件事,特定重要数据处理者还需要做如下“7+1”或“7+2”件事:
(1)确认本企业处理的被相关地区、部门告知或者公开发布的重要数据范围
根据网数条例第二十九条第二款,企业应当按照国家有关规定识别、申报重要数据,但这不意味着该等识别、申报的数据就确定为重要数据,而是应该以相关地区、部门告知或者公开发布的重要数据范围为准。
对于重要数据的具体识别,《GB/T 43697-2024 数据安全技术 数据分类分级规则》的6.5“级别确定规则”b)“满足以下任一条件的数据,识别为重要数据:……”和附录G“重要数据识别指南”可作参考,部门地区(如北京自贸区)亦有区域性文件作参考。
(2)明确网络数据安全负责人和网络数据安全管理机构
对此,前文“明确网络数据安全负责人和网络数据安全管理机构”部分已有详细介绍,此处不再赘述。
(3)履行网络数据安全保护责任
根据网数条例第二十九条第二款规定,网络数据处理者应当履行网络数据安全保护责任。对此,《信息安全技术 重要数据处理安全要求(征求意见稿)》已于2023年8月10日发布,可作参考。
(4)对外提供、委托处理重要数据的,应事先开展风险评估,通过合同等与接收方约定特定内容,对接收方履行义务的情况进行监督,并保存处理情况记录至少3年
根据网数条例第三十一条第一款的规定,除履行法定职责或者法定义务外,对外提供、委托处理重要数据应事先开展风险评估。此外,网数条例第十二条将对外提供、委托处理重要数据的义务要求与对外提供、委托处理个人信息的义务要求保持了一致。综合而言,对外提供、委托处理重要数据需要履行如下4项要求:
1)除履行法定职责或者法定义务外,事先开展风险评估
网数条例第三十一条第二款明确了风险评估的重点评估内容。[22]该等评估内容与《数据出境安全评估办法》(国家互联网信息办公室令第11号)第五条规定的数据出境风险自评估的重点评估内容[23]有一定的相似之处,其评估内容在一定程度上可供参考。《TC260-PG-20231A 网络安全标准实践指南—网络数据安全风险评估实施指引》已于2023年5月26日正式发布,《信息安全技术 数据安全风险评估办法(征求意见稿)》也已于2023年8月20日发布(注:该标准已有报批稿),可作参考。
2)通过合同等与接收方约定处理目的、方式、范围以及安全保护义务等
该要求与网数条例第十二条规定的对外提供、委托处理个人信息的义务要求一致,前文“更新/增加对外部合作方的数据合规约束文本”部分已有详细介绍,此处不再赘述。
3)对接收方履行义务的情况进行监督
该要求与网数条例第十二条规定的对外提供、委托处理个人信息的义务要求一致,前文“新增/加强对网络数据接收方履行义务的情况进行监督”部分已有详细介绍,此处不再赘述。
(5)共同处理重要数据的,应事先开展风险评估,并约定各自的权利和义务
共同处理重要数据的,即与其他网络数据处理者共同决定重要数据的处理目的和处理方式的,根据网数条例第三十一条和第十二条第三款,应事先开展风险评估,并约定各自的权利和义务。
对于事先开展风险评估,该要求与对外提供、委托处理重要数据的要求一致,此处不再赘述。
对于约定各自的权利和义务,该要求与共同处理个人信息的要求一致,需要通过合作协议中的专门条款、附件协议或者单独的数据共同处理协议进行具体约定。
(6)合并、分立、解散、破产等可能影响重要数据安全情形下的保护义务和报告要求
《个人信息保护法》第二十二条规定了合并、分立、解散、被宣告破产等原因需要转移个人信息情形下的告知要求和接收方的义务要求[24]。与之相类似,网数条例第三十二条规定了重要数据处理者因合并、分立、解散、破产等可能影响重要数据安全情况下的保护义务和报告要求。
对于保护义务,具体为“采取措施保障网络数据安全”,对此,前文“履行网络数据安全保护责任”部分已有具体介绍,此处不再赘述。
对于报告要求,具体为“向省级以上有关主管部门报告重要数据处置方案、接收方的名称或者姓名和联系方式等;主管部门不明确的,应当向省级以上数据安全工作协调机制报告”。
(7)重要数据的处理者应每年度对其网络数据处理活动开展风险评估并报送风险评估报告
根据网数条例第三十三条第一款,重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告。网数条例第三十三条第二款规定了风险评估报告的六项通用内容和一项内容,对此需要注意的是,评估内容中除重要数据处理情况外,还包括本企业处理其他网络数据的处理情况。
(8)特定重要数据处理者还需要做的事
1)处理重要数据的大型网络平台服务[25]提供者报送的年度风险评估报告还需报送额外内容
根据网数条例第三十三条第三款,处理重要数据的大型网络平台服务提供者报送的年度风险评估报告,除包括第三十三条第二款规定的内容外,还需“充分说明关键业务和供应链网络数据安全等情况”。关于大型网络平台服务提供者的界定以及大型网络平台服务提供者需要做的事,请见下文“大型网络平台服务提供者还需要做的事”部分。
2)掌握特定重要数据的企业,还应当对网络数据安全负责人和关键岗位的人员进行安全背景审查,加强相关人员培训
对此,前文“掌握特定重要数据的企业,还应当对网络数据安全负责人和关键岗位的人员进行安全背景审查,加强相关人员培训”部分已有详细介绍,此处不再赘述。
3)向境外提供重要数据的企业,应当通过国家网信部门组织的数据出境安全评估,评估通过后提供的重要数据不得超出评估时明确的数据出境目的、方式、范围和种类、规模等
网数条例第三十七条规定了网络数据处理者在中华人民共和国境内运营中收集和产生的重要数据确需向境外提供情况下的要求[26],其主要是对既有规定的汇总和重申。
根据网数条例第三十八条的规定,评估通过后提供的重要数据不得超出评估时明确的数据出境目的、方式、范围和种类、规模等,特别是其中的“规模”限制,应予以额外注意,容易超限。
4.网络平台服务提供者需要同做和不同做的事
网数条例未对网络平台服务或网络平台服务提供者进行定义,《国务院反垄断委员会关于平台经济领域的反垄断指南》第二条对平台和平台运营者的定义可供参考,“平台为互联网平台,是指通过网络信息技术,使相互依赖的双边或者多边主体在特定载体提供的规则下交互,以此共同创造价值的商业组织形态”,“平台经营者,是指向自然人、法人及其他市场主体提供经营场所、交易撮合、信息交流等互联网平台服务的经营者”。
此外,还可参考《互联网平台分类分级指南(征求意见稿)》的规定,其规定网络平台服务具有连接属性,通过网络技术把人和商品、服务、信息、娱乐、资金以及算力等连接起来,由此使得平台具有交易、社交、娱乐、资讯、融资、计算等各种功能。前述指南依据平台的连接对象和主要功能,将平台分为网络销售类平台、生活服务类平台、社交娱乐类平台、信息资讯类平台、金融服务类平台、计算应用类平台六大类,并进一步划分了其子平台。六大类平台的特征和子平台的划分可参见本文“附表1-互联网平台分类参考表”。
(1)网络平台服务提供者需要同做的事
网络平台服务提供者,以及预装应用程序的智能终端等设备生产者(包括手机厂商、平板电脑厂商等),需要同做的事主要包括如下3项:
1)通过平台规则或者合同等明确接入的第三方的网络数据安全保护义务
关于接入平台的第三方产品和服务提供者,我们认为,从文义理解的角度,包括平台入驻商家、平台接入的第三方小程序、h5页面等第三方业务载体、SDK等第三方自动化工具[27]。
实践中,头部电商平台、短视频平台等已经通过平台规则、商家入驻协议等法律文本,明确了接入其平台的第三方产品和服务提供者的网络数据安全保护义务。
网数条例第四十条第一款将“通过平台规则或者合同等明确接入的第三方的网络数据安全保护义务”作为对网络平台服务提供者的通用法律规定要求。这就需要网络平台服务提供者修订平台规则、商家入驻协议、商家合作协议、商家数据合规承诺函或者新起草数据保护协议等,明确第三方产品和服务提供者的网络数据安全保护义务。
其中,关于App接入第三方SDK,26号文已经明确要求“使用SDK前对其进行个人信息保护能力评估,通过合同等形式明确约定各方权利和义务,确保个人信息处理依法合规”[28]。此外,《GB/T 43435-2023 信息安全技术 移动互联网应用程序(App)软件开发工具包(SDK)安全要求》已于2024年6月1日实施,可作参考。
2)督促第三方产品和服务提供者加强网络数据安全管理
网数条例第四十条第一款要求网络平台服务提供者“督促第三方产品和服务提供者加强网络数据安全管理”,这点与对网络数据接收方履行义务的情况进行监督的通用义务要求有相似之处,前文“新增/加强对网络数据接收方履行义务的情况进行监督”的内容可在一定程度上供参考。
网数条例第四十条第三款规定了第三方产品和服务提供者违反法律、行政法规的规定或者平台规则、合同约定开展网络数据处理活动对用户造成损害情况下的责任承担主体和责任划分要求[29]。这意味着,督促第三方产品和服务提供者加强网络数据安全管理既是网络平台服务提供者的义务要求,在义务妥善履行的情况下也能够从一定程度上保护网络平台服务提供者,有助于减轻网络平台服务提供者的责任。
3)通过自动化决策方式向个人进行信息推送的,应当设置关闭选项,为用户提供拒绝和删除针对其个人特征的用户标签等功能
《个人信息保护法》第二十四条规定了利用个人信息进行自动化决策的相关要求,其中第二款规定了通过自动化决策方式向个人进行信息推送、商业营销的要求。 在此基础上,网数条例第四十二条进一步规定了网络平台服务提供者通过自动化决策方式向个人进行信息推送的要求,进一步保障用户的自主选择权,包括:设置易于理解、便于访问和操作的个性化推荐关闭选项;为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。
实践中,部分头部互联网平台App、手机银行等App已经采取了提供“个性化推荐”的关闭按钮、个性化广告的关闭按钮、拒绝接收推送信息(包括拒绝接收特定类型信息)按钮、删除用户标签功能,可供参考。其中删除用户标签,需关注删除的是通用的用户标签,还是针对个人特征的用户标签,后者例如用户自行手动设置的用户标签、企业为用户画像后配置的用户标签等。
《信息安全技术 基于个人信息的自动化决策安全要求(征求意见稿)》已于2023年8月13日发布,可作参考。
(2)提供应用程序分发服务的网络平台服务提供者还需要做的事
根据《移动互联网应用程序信息服务管理规定》第二条规定,应用程序分发服务是指通过互联网提供应用程序发布、下载、动态加载等服务的活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。
在App领域,164号文规定了应用分发平台的责任[31],26号文进一步强化了平台分发管理的责任,包括严格App上架审核、强化在架App巡查、完善分发管理机制[32]。实践中,主流应用商店、小程序平台也陆续加强了数据合规方面的审核和管理,近些年我们也先后协助多家企业处理应用商店对App(含小程序)上架的审核要求,包括按照审核要求修订隐私政策等个人信息保护规则文本、回复审核问题等。
网数条例第四十一条将App领域的监管规定上升为行政法规的要求,其规定“提供应用程序分发服务的网络平台服务提供者,应当建立应用程序核验规则并开展网络数据安全相关核验。发现待分发或者已分发的应用程序不符合法律、行政法规的规定或者国家标准的强制性要求的,应当采取警示、不予分发、暂停分发或者终止分发等措施。”此外,网数条例第五十五条还明确了违反前述规定的法律责任,包括责令改正,给予警告,没收违法所得,处100万元以下罚款,责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
可以预见的是,随着网数条例的出台与即将施行,提供应用程序分发服务的网络平台服务提供者对待上架和已上架的App等应用程序的审核和管理将进一步加强,从而履行其法律义务和避免其自身承担违法的法律责任。
对此,《GB/T 43739-2024 数据安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》于2024年4月25日发布,于2024年11月1日起施行,可作参考。
(3)大型网络平台服务提供者还需要做的事
在《个人信息保护法》第五十八条[33]首次提出对大型网络平台的个人信息保护特别义务的基础上,网数条例第六十二条对“大型网络平台”的含义细化了“用户数量巨大”“重要互联网平台服务”的划分标准,即指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。其中注册用户或者月活用户的指标要求对于主要面向个人提供服务的大型企业来说很容易触发,但叠加“业务类型复杂”和“网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响”的条件后,其范围相对更为限缩在头部互联网平台等大型企业。
1)大型网络平台服务提供者都需要做的事
① 每年度发布个人信息保护社会责任报告
在《个人信息保护法》第五十八条第四项[34]规定的基础上,网数条例第四十四条细化了发布个人信息保护社会责任报告的时间和内容要求,其中时间方面,将“定期”细化为了“每年度”;内容方面,要求报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。
实践中,部分头部互联网企业已经连续多年发布个人信息保护相关年度报告,其内容可作参考。于2023年8月25日发布的《信息安全技术 大型互联网企业内设个人信息保护监督机构要求(征求意见稿)》,以及于2024年6月20日发布的《数据安全技术 数据安全和个人信息保护社会责任指南(征求意见稿)》,也可作参考。
② 跨境提供网络数据,应当遵守国家数据跨境安全管理要求,健全相关技术和管理措施,防范网络数据跨境安全风险
网数条例第四十五条规定,大型网络平台服务提供者跨境提供网络数据,应当遵守国家数据跨境安全管理要求,健全相关技术和管理措施,防范网络数据跨境安全风险。该规定更多地在于重申对数据跨境安全管理要求的遵守。
③ 不得利用网络数据、算法以及平台规则等从事禁止性行为
网数条例第四十六条规定,大型网络平台服务提供者不得利用网络数据、算法以及平台规则等从事下列活动:
ⅰ 通过误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据
该项要求系在《个人信息保护法》第五条规定的“不得通过误导、欺诈、胁迫等方式处理个人信息”基础上,将要求扩展至用户在平台上产生的网络数据。
ⅱ 无正当理由限制用户访问、使用其在平台上产生的网络数据
该项要求旨在保护用户对于在平台上产生的网络数据的访问和使用的权利。需要指出的是,这里的表述为“用户”,而非“个人”或者“自然人”,因此,该项要求不是对于《个人信息保护法》规定的个人享有的查阅权的简单重申,而是将权利主体扩张至了所有网络平台用户,其中包含企业用户。也就意味着,平台的企业用户有权访问、使用其在平台上产生的数据,除非有正当理由,否则不得进行限制。
对于“正当理由”,其边界存在一定的不确定性,实践中可能引起争议,在数据要素火热的背景下,与数据权益相关的数据资产、数据交易、数据不正当竞争可能会出现更多的纠纷。
对于数据的范围,限缩在了“用户自身在平台上产生的网络数据”,避免用户违法访问、使用其他用户的数据和属于平台自身的数据。想要通过该项规定,试图绕开网数条例第十八条对于使用自动化工具访问、收集网络数据的规定,不可行。
此外,对于用户使用自动化工具访问、使用其在平台上产生的网络数据,也应遵守网数条例第十八条的规定,否则平台也可依据该条或者将该条规定作为正当理由,对用户进行限制。
ⅲ 对用户实施不合理的差别待遇,损害用户合法权益
该项要求系在《个人信息保护法》第二十四条规定的“不得对个人在交易价格等交易条件上实行不合理的差别待遇”基础上,将要求扩展至不得利用网络数据、算法以及平台规则等对用户实施不合理的差别待遇。实践中,“大数据杀熟”等行为仍不鲜见,相同条件下不同手机打车费用不一致、买机票费用不一致等行为让很多用户颇受其扰。
ⅳ 法律、行政法规禁止的其他活动
该项要求为兜底规定,也是指引条款,需要结合企业所处行业等梳理是否有适用的法律、行政法规还有其他禁止性要求。
2)处理重要数据的大型网络平台服务提供者还需要做的事
除上述大型网络平台服务提供者都需要做的事之外,处理重要数据的大型网络平台服务提供者还需要做的事,前文“重要数据处理者需要做的事”部分已经具体介绍,此处不再赘述。
5.提供生成式人工智能服务的企业需要做的事
网数条例第十九条规定,提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。
前述规定更多在于从高位阶层面明确基本要求,相应的具体要求已经由《生成式人工智能服务管理暂行办法》(国家互联网信息办公室令第15号)第七条[35]作出了规定。已于2024年2月29日发布的《TC260-003 生成式人工智能服务安全基本要求》,以及《网络安全技术 生成式人工智能预训练和优化训练数据安全规范(征求意见稿)》《网络安全技术 生成式人工智能服务安全基本要求(征求意见稿)》的内容,可作参考。
6.向境外提供个人信息的企业需要做的事
在《个人信息保护法》第三章“个人信息跨境提供的规则”(第三十八条至第四十三条)《数据出境安全评估办法》(国家互联网信息办公室令第11号)《个人信息出境标准合同办法》(国家互联网信息办公室令第13号)《促进和规范数据跨境流动规定》(国家互联网信息办公室令第16号)等规定的基础上,网数条例第五章“网络数据跨境安全管理”(第三十四条至第三十九条)进一步汇总并新增了部分个人信息和重要数据出境的要求。
(1)谨慎适用“为履行法定职责或者法定义务,确需向境外提供个人信息”
新增的个人信息出境要求主要体现在将“为履行法定职责或者法定义务,确需向境外提供个人信息”明确为可以向境外提供个人信息的条件之一,其对应的法律依据为《个人信息保护法》第三十八条第一款第四项,即“法律、行政法规或者国家网信部门规定的其他条件”。但这里的“法定职责或者法定义务”,需要有明确的法律依据作为支撑,叠加“确需”的条件后其适用可能会更加有限。对此,《GB/T 42574—2023 信息安全技术 个人信息处理中告知和同意的实施指南》6.2.2“履行法定职责或者法定义务所必需”[36]列举的情形可作参考。
(2)通过数据出境安全评估后向境外提供个人信息的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等
根据网数条例第三十八条,通过数据出境安全评估后向境外提供个人信息的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。特别是其中的“规模”限制,应予以额外注意,容易超限。
前述规定限定在了“通过数据出境安全评估”的情形,对于通过订立个人信息出境标准合同备案向境外提供个人信息的,网数条例则未予以限制。
7.符合特定条件的处理境内自然人个人信息的中国境外企业需要做的事
在《个人信息保护法》第三条第二款[37]和第五十三条[38]规定的基础上,网数条例第二十六条进一步明确了报送的主管机关为“所在地设区的市级网信部门”。随着该条规定的明确,不知道联系哪级网信部门以及联系了网信部门无法完成有效报送等问题,有望得到解决。
8.政务、关基、公共服务相关企业需要做的事
在《数据安全法》第四十条等规定的基础上,网数条例第十五条规定了国家机关委托他人建设、运行、维护电子政务系统,存储、加工政务数据的要求,第十六条规定了网络数据处理者为国家机关、关键信息基础设施运营者提供服务,或者参与其他公共基础设施、公共服务系统建设、运行、维护的要求,第十七条规定了为国家机关提供服务的信息系统的要求。
对此,相关的企业应妥善落实该等要求,特别是部分数据风控机构、大数据营销机构,应重新审视自身获取的以及对外提供的与此相关的数据,其来源的授权是否充分,合同约定是否有效。
9.开展网络数据处理活动影响或者可能影响国家安全的企业需要做的事
根据网数条例第十三条,网络数据处理者开展网络数据处理活动,影响或者可能影响国家安全的,应当按照国家有关规定进行国家安全审查。该规定未保留征求意见稿中“数据处理者赴香港上市,影响或者可能影响国家安全的”需申报网络安全审查的要求,一定程度上让部分准备赴港上市的企业松了一口气。
关于“国家安全审查”,其出自《国家安全法》第五十九条至第六十一条,审查的对象为“影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动”,审查的目的在于“有效预防和化解国家安全风险”。前述网数条例规定下的国家安全审查,主要指向“影响或者可能影响国家安全的网络信息技术产品和服务”,具体到数据安全领域,其指向了数据安全审查,并进一步指向了网络安全审查,依据有三:
其一,根据《数据安全法》第二十四条第一款,“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查”;
其二,根据《网络安全审查办法》(国家互联网信息办公室等令第8号)第二条第一款规定“……网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查”[39],该办法的上位法之一包括《数据安全法》,其修订时间也是在《数据安全法》施行之后。我们理解,数据安全审查融入到了网络安全审查之中,影响或影响国家安全的数据处理活动应当开展网络安全审查;
其三,实践中,我们尚未注意到有单独的“影响或者可能影响国家安全的网络信息技术产品和服务”国家安全审查案例,也未注意到有单独的数据安全审查案例。而网络安全的审查案例则较多,几起公开通报的审查案例也都引起了很大的关注,受之影响,我们撰写的文章《起风了 请添衣 | 关于滴滴出行被实施网络安全审查你最想知道的八个问题》的阅读量冲上了10W+。
写在最后,我们聊聊天
上面用大量篇幅从“所有企业需要做的11件事”和“9类企业还需要做的事”的角度,回答了企业“要做什么?”“要怎么做”这两个问题。最后用一段话总结一下,企业不做的后果是什么?
网数条例第八章专章规定了“法律责任”,其中第五十五条至五十七条对网数条例的部分规定创设了新的罚则,第五十八条规定了兜底的罚则,也就意味着,所有违反网数条例的规定都有可能会承担相应的法律责任,行政罚款最重的责任为大家此前“津津乐道”以及已经有落地案例的《个人信息保护法》第六十六条第二款[40]规定的顶格处罚(上一年度营业额百分之五以下罚款)。不危言耸听,最重的处罚不会落到每个企业身上,但确实需要高度重视网数条例的落地。此外,如果不幸轻微违反网数条例且没有造成危害后果或者初次违法且危害后果轻微,根据网数条例第五十九条,建议尽快主动消除或者减轻违法行为危害后果、及时改正,以争取从轻、减轻或者不予行政处罚,甚至不予处罚。
写到这里,正文结束。近3万字的长篇,后续恐怕很难再有数据合规的新规,能需要这样的篇幅来探讨了。感谢作为读者的你坚持看到了最后,不管身份如何、处在何方、何时看完,感谢。
作者介绍
彭 凯
大成上海 合伙人
calvin.peng@dentons.cn
彭凯,大成上海办公室合伙人,复旦大学、中南财经政法大学法律硕士专业校外导师,上海市互联网金融行业协会理事,曾连续获得钱伯斯大中华区指南2023-2024通信媒体:数据保护与隐私领域领先个人称号。专业领域涉及网络安全与数据合规、金融科技、公司治理与合规等,行业涉及金融、电子商务与零售、人工智能、汽车、生物医药、医疗器械等。服务内容涉及数据治理合规体系建设、数据出境合规、个人信息保护影响评估、个人金融信息保护、儿童个人信息保护、APP/小程序数据合规、隐私政策审阅与修订、企业出海数据合规评估、网络安全等级保护、网安数据合规法律培训等。
宋海新
大成上海 律师
haixin.song@dentons.cn
宋海新,大成上海律师,2024年LegalOne 实力新锐(Stellar Novo)30强,专业领域包括数据合规、人工智能合规等。
宋律师为国内较早开展并连续多年深耕数据合规服务的律师之一,正在为银行、卡清算组织、保险公司、再保险公司、奢侈品巨头公司、互联网巨头公司、生物医药公司、外资零售巨头公司、制造业公司等多家世界500强企业、上市公司和其他内外资客户提供数据合规、人工智能合规相关法律服务。
宋律师为客户提供的服务内容涉及数据合规风险识别与优化、组织架构和管理制度构建、对客文本和交互设计管理、供应商准入管控和协议约束、个人信息权利响应、突发事件处置、个人信息保护影响评估、IPO数据合规、数据出境合规和人工智能相关咨询、合规落地等。
