作者丨袁立志 朱垒
2024年9月30日,国务院发布《网络数据安全管理条例》(简称《网数条例》),该条例将于2025年1月1日起施行。本文从实务角度出发,针对《网数条例》的新要求,为企业提供如下合规提示:
一、各类义务主体及其关系
《网数条例》适用于网络数据处理者。“网络数据”中的“网络”二字是“网络空间”之意,用以修饰和限定“数据”,即网络空间中的数据,相对于非网络空间中的数据而言。
网络数据处理者包括个人信息处理者、重要数据处理者及其他网络数据处理者,这是从数据类型维度对网络数据处理者做的分类。个人信息处理者中有一类特殊类型,即处理1000万人以上个人信息的处理者,这是从规模维度对个人信息处理者做的进一步细分。
此外,《网数条例》还规定了 “网络平台服务提供者”与“大型网络平台服务提供者”的义务,前者可以理解为特殊的网络数据处理者(这是从交易架构维度对网络数据处理者做的细分),后者则是特殊的网络平台服务提供者(这是从规模和影响力维度对网络平台服务提供者做的进一步细分)。
要注意的是,数据类型和交易架构是两种不同的分类维度,故存在交叉重叠。比如,网络平台服务提供者,可能同时是个人信息处理者或重要数据处理者。
上述从不同维度对网络数据处理者做的细分和再细分,旨在分类监管,在普遍义务或共同义务的基础上,对不同的细分主体施加不同的特殊义务。条例对父节点主体的义务规定同时适用于其下的所有子节点义务主体,如网络数据处理者的义务同时适用于个人信息处理者、重要数据处理者及其他网络数据处理者。同时具备多种身份的主体,多种义务重叠适用,如网络平台服务提供者同时构成个人信息处理者,则两类主体的义务同时适用。
二、对网络数据处理者的合规提示
为落实《网数条例》,网络数据处理者可从如下几方面着手开展合规工作:
1. 漏洞管理与应急响应
《网数条例》新增“24小时内报告义务”,此条规定与《网络产品安全漏洞管理规定》进行衔接,即发生或者获知所提供网络产品存在安全漏洞后应在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息,如涉及危害国家安全、公共利益的则在24小时内进行报告。
《网数条例》第11条则规定了网络数据安全事件应急响应要求,包括事件上报、通知利害关系人等。我们建议企业建立较为详细的网络数据安全事件应急预案,对安全事件进行分级,明确各类事件上报的时限、对接的主管部门、通知利害关系人(如受影响的用户、上下游合作方等)的模板,以便应对未来可能发生的网络安全事件。
现行法律规定及部分行业有关漏洞缺陷与安全事件的上报条件、上报时限等要求如下所示:
法律 | 上报条件 | 上报时间 | 上报部门 |
《网络产品安全漏洞管理规定》 | 网络产品提供者发生或者获知所提供网络产品存在安全漏洞 | 2日内 | 工信部 |
《网络数据安全管理条例》 | 涉及危害国家安全、公共利益的产品缺陷或漏洞 | 24小时内 | 工信部 |
《国家网络安全事件应急预案》 | 初判为特别重大、重大网络安全事件的 | 立即 | 应急办(中央网信办网络安全协调局) |
《公共互联网网络安全突发事件应急预案》 | 发生本预案规定的网络安全突发事件 | 立即通过电话等方式 | 部应急办和相关省(自治区、直辖市)通信管理局 |
《中华人民共和国计算机信息系统安全保护条例》 | 计算机信息系统中发生的案件 | 24小时内 | 当地县级以上人民政府公安机关 |
《工业和信息化领域数据安全管理办法(试行)》 | 涉及重要数据和核心数据的安全事件 | 第一时间 | 本地区行业监管部门 |
《中国人民银行金融消费者权益保护实施办法》 | 发生信息泄露、毁损、丢失可能危及金融消费者人身/财产安全的事件 | 立即 | 银行、支付机构住所地的中国人民银行分支机构报告 |
信息泄露、毁损、丢失可能对金融消费者产生其他不利影响的 | 72小时以内 | ||
《证券期货业网络安全事件报告与调查处理办法(2021) | 发生网络安全事件 | 立即,重大事件至少每隔 30分钟至少上报一次事件处置情况 | 通过电话或事件报送平台进行报告中国证监会或其派出机构 |
《邮政行业安全信息报告和处理规定》 | 用户使用寄递服务的信息遭非法泄露 | 第一时间 | 所在地省级以下邮政管理机构,并视情况依法报告当地公安、安全生产监督管理等部门 |
遭非法泄露500条以上 | 2小时内 | 邮政管理机构应在2小时内报省级邮政管理部门 | |
《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》 | 发生本预案规定的网络安全突发事件 | 按规定 | 按照《公共互联网网络安全突发事件应急预案》向有关主管部门报告 |
2.第三方合作管理
(1)建立系列数据处理协议(DPA)模板
《个人信息保护法》规定在共同处理、委托处理个人信息场景下签署协议,明确约定双方权利和义务。《网数条例》将前述协议的要求扩大至“对外提供个人信息”的场景,并进一步扩展至重要数据处理,明确要求在共同处理、委托处理、对外提供个人信息和重要数据的情形,均需与第三方签署合同,约定数据处理目的、方式、范围及安全保护义务。
基于我们的服务经验,我们建议企业搭建系列的数据保护协议模板,根据不同的数据法律关系制定不同的数据保护协议模板。在与第三方开展数据交互合作时,准确适当地识别或构建双方数据法律关系,并签署对应版本的数据保护协议。
(2)搭建第三方数据合作管理台账
《网数条例》中规定需存储对外提供、委托处理活动记录至少3年。为满足法律要求、监督管控企业数据流转情况,建议企业建立第三方数据合作管理台账,明确记录合作方信息、数据法律关系、数据流转情况、DPA签署情况、安全技术措施、PIA评估情况等。
3. 对从事政府业务的网络数据处理者的要求
《网数条例》第15-17条规定了从事2G业务的网络数据处理者在数据安全方面的要求。实践中,向国家机关提供智能软硬件产品或服务、受托处理政务数据、受托建设运营电子政务系统的企业不在少数,如为交通部门提供图像采集设备(CCTV)及监控系统,为民政部门开发运营一套社区养老系统等。该类企业需根据《网数条例》及《党委(党组)网络安全工作责任制实施办法》《互联网政务应用安全管理规定》等规定,重点落实电子政务系统安全要求,包括落实网络安全等级保护(三级)要求、国密要求、访问控制策略设置、容灾备份、境内部署境内存储、域名解析管控等。
三、对个人信息处理者的合规提示
1. 产品设计
(1)梳理完善产品个人信息处理规则,增加个人信息保护“双清单”。
网数条例第31条重申了个人信息处理告知规则,并明确了个人信息保护“双清单”要求,“双清单”要求首次列入法律法规中。该要求最早源于2021年工业和信息化部发布《关于开展信息通信服务感知提升行动的通知》(“524”行动),当时要求39家头部企业建立已收集个人信息清单和与第三方共享个人信息清单,并在APP二级菜单中展示。而后在2023年,工信部发布《关于进一步提升移动互联网应用服务能力的通知》,进一步明确了个人信息收集清单和第三方SDK清单的要求。然而,实践中仍有不少企业未落实“双清单”要求,我们建议企业可先着手梳理设置静态的个人信息收集清单、个人共享清单(第三方SDK清单可并入本清单,亦可单独成文),并在App、小程序等网络载体的二级菜单进行展示。
(2)梳理敏感个人信息处理场景,补足敏感个人信息单独告知书与单独同意功能。
网络数据处理者提供产品或服务过程中,存在多个处理敏感个人信息的场景,如实名认证、绑定银行卡、线上购药或问诊时提供历史病历等。企业应在用户触发该等场景时,通过单独的敏感个人信息告知书说明处理情况、必要性及对个人权益的影响,并通过勾选或同意按钮等方式获得用户的单独同意。如具备其他合法事由,企业可不获取用户的单独同意,但应落实增强告知的义务。
实务中,企业在界定敏感个人信息时会存在歧义,如身份证照片等个人身份信息、身高体重体脂率骨骼肌含量等个人健康数据。我们建议结合业务场景,参考《网络安全标准实践指南-敏感个人信息识别指南》,对个人信息的敏感程度进行判定,并落实相应要求。
(3)建立个人信息授权同意管理平台(CMP),设置隐私更新弹窗等类似产品交互机制,个人信息处理情况发生变化时重新获得个人的同意。
为更好地记录和管理用户的授权情况,履行合规证明,我们建议企业搭建个人信息授权同意日志管理平台,记录用户授权同意的情况,如个人信息的处理目的、方式、种类发生变更的,应当重新通过恰当方式取得个人同意。通常企业可采取设置隐私更新弹窗模块功能,在前述事宜发生变化时及时更新隐私政策,并通过同意平台圈选适用的用户人群包进行弹窗重获授权,用户不同意的则根据产品情况为其提供浏览模式或旧版模式,避免强迫用户同意。如个人信息的处理目的、方式、种类发生变更后可依赖除同意外的其他合法事由,则可仅通过站内信、push等方式告知用户即可。
2. 个人行权响应
(1)搭建内部个人信息行权响应机制与工作规范
实践中,不少企业对个人信息主体行权响应的工作并不重视,对外公示的邮箱或客服电话往往没有专人维护,无法保障及时与专业地回复。但随着数据保护工作的深入、用户隐私意识的提升,个人行权如未及时处理,可能导致事件升级,对企业来说是一个非常大的风险敞口。因此,我们建议企业建立畅通的个人信息行权响应机制,根据企业情况设置专人专岗或明确工作流,制定工作流程与规范、个人信息行权响应话术,及时处理维护对外公示的邮箱中接收到的反馈问题。
(2)关注个人信息转移权
《个人信息保护法》第45条第三款规定了“个人信息转移权”,然而实践中,由于技术发展、商业竞争等多种原因,个人信息转移权一直未落实。本次《网数条例》通过单独条款明确了“个人信息转移权”的条件,企业需将这一权利的响应与落实列上日程。值得关注的是,条款中明确可适用转移权的个人信息是基于个人同意或履行合同所必需提供的个人信息,基于其他合法事由的个人信息不适用个人信息转移请求。
至于如何落实转移权以及适用的个人信息范围,可以参考TC260在今年4月发布的《数据安全技术 基于个人请求的个人信息转移要求》(征求意见稿),其中列明了3种个人信息转移的实现方式,具体如下:
转移权的实际落地,还取决于市场生态与技术的发展。目前国内头部企业多数产品已上线了个人信息副本下载或导出功能,这为转移权奠定了基础,但其仅是个人信息复制权的实现。国外已有部分产品落实了个人信息转移权,如Facebook,国内企业可做参考:
处理1000万以上个人信息的企业应在内部机构设置与人员管理方面开展以下工作:
(1)任命网络数据安全负责人和网络数据安全管理机构。网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历,由网络数据处理者管理层成员担任,如企业的CTO、CDO、CRO等,有权直接向有关主管部门报告网络数据安全情况。有关“管理层”的定义,《网数条例》未做进一步解释,根据《公司法》及相关法律,我们理解此处管理层相当于《公司法》所称的董事、监事、高级管理人员的范围,按照《公司法》定义,高级管理人员是指公司的经理、副经理、财务负责人,上市公司董事会秘书和公司章程规定的其他人员,即企业可以通过修改章程自定义高级管理人员的范围。至于具体人选的任命,我们建议视各自企业情况,与《网络安全法》规定的网络安全负责人(多称为CSO、CISO)、《数据安全法》规定的数据安全负责人(多称为CDO)、《个人信息保护法》中规定的个人信息保护负责人(实践中多称为DPO)分别设置或合并设置。
(2)关键岗位人员管理。企业应明确关键岗位清单,如系统管理岗位、信息安全岗位、数据治理岗位等与数据处理相关度高、权限大的岗位。针对关键岗位人员招聘建立安全背景审查机制,如过往履历中是否发生过网络安全事件,调查方式可包括在已有背调模板中添加有关网数安全方面的背调问题,由公司或第三方背调公司开展背调,或通过裁判文书网、行政处罚公示途径、公开新闻等渠道查询被调人是否存在网数安全方面的违法记录;此外,企业应要求关键岗位人员签署数据安全责任书或保密协议,内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容。
(3)加强网数安全培训。企业应制定培训计划,并对相关人员开展网络数据安全教育和培训,其中部分行业要求年度培训达到一定课时,如电信领域一般数据处理岗位年度培训不少于10个学时,重要数据处理岗位人员不少于20个学时。
4. 个人信息保护合规审计
《网数条例》再次重申了个人信息保护合规审计要求,结合2023年8月国家网信办发布的《个人信息保护合规审计管理办法》(征求意见稿)《个人信息保护合规审计参考要点》以及今年7月TC260发布的《数据安全技术 个人信息保护合规审计要求》(征求意见稿),我们猜测个保审计规则将年底或明年出台。前述征求意见稿中要求处理超过100万个人信息的个人信息处理者应每年至少开展一次个保审计,其余应至少每2年开展一次个保审计。
因此,我们建议企业提前着手合规审计工作,委托专业机构全面开展合规审计,尽早发现内部数据合规风险点或问题项,落实整改措施,留存个人信息处理合规记录与合规审计报告,以衔接平台社会责任报告、合规自证等要求。
四、对重要数据处理者的合规提示
1. 重要数据处理者界定与重要数据识别
重要数据的定义与识别规则虽在多个法律法规及标准文件中出现,但各地区、各行业重要数据目录仍在探索制定中。过去两年部分行业主管部门仅就部分地区部分企业开展重要数据识别试点工作,如工信部的“数安护航”专项行动,依据《工业领域重要数据和核心数据识别指南(试行)》《电信领域重要数据和核心数据识别指南(试行)》开展重要数据识别试点工作,目前该等文件并未对外公示。
后《促进和规范数据跨境流动规定》提出“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”,侧面说明“企业如未被告知或公布涉及处理重要数据,则不构成重要数据处理者”,该逻辑同“关键信息基础设施运营者”。《网数条例》重申了此规则,将重要数据的识别与认定工作交给了监管部门。
我们理解,接下来重要数据识别工作将从部分试点走向全面推行,目前尚未接到重要数据识别通知的企业,仍应提前着手准备重要数据安全管理工作,梳理筹备重要数据处理者的合规义务,以便后续及时顺利地响应监管要求。
2. 重要数据处理者的义务
企业可从如下几个方面,着手开展重要数据准备工作:
(1)内部机构设置:同上文处理1000万以上个人信息的企业的组织设置要求。
(2)重要数据识别与目录梳理:企业可根据所在行业制定的重要数据识别指南或公开的目录识别重要数据,并按要求填写重要数据目录,并按要求报主管部门。目前各行业可参考的重要数据识别规则如下:
行业 | 识别规则 | 示例 | 目录 |
工业领域 | 《工业领域重要数据和核心数据识别指南(试行)》 YD/T xxx《工业领域重要数据识别指南》 | 示例:
| 《工业和信息化领域重要数据和核心数据目录备案表》 |
电信领域 | 《电信领域重要数据和核心数据识别指南(试行)》 YD/T 3867-2024《电信领域重要数据识别指南》 | 示例:
| 《工业和信息化领域重要数据和核心数据目录备案表》 |
汽车行业 | 《汽车数据安全管理若干规定(试行)》 |
| 《汽车数据安全年度工作报告》 |
卫生健康领域 | 《卫生健康行业数据分类分级指南(试行)》 | 示例:
|
|
(3)重要数据风险评估:
风险评估分为定期风险评估与触发型风险评估。定期评估是指重要数据处理者每年需对网络数据处理活动开展风险评估,并向省级以上有关主管部门报送评估报告,部分行业有特殊规定的还需遵循特殊规定,如汽车领域每年12月15日前向省级网信部门及通管部门报送汽车数据处理年报;工信领域每年12月25日前向省级网信部门及相关部门进行报送;触发型风险评估是指触发相应场景时,如委托处理、共同处理、对外提供重要数据的,重要数据处理者需开展风险评估;如基于履行法定职责或法定义务的情形委托处理、共同处理、对外提供重要数据的,则豁免风险评估。
如何开展风险评估?风险评估有哪些要素呢?风险评估报告何时向谁报送?根据现在已有规则,我们梳理了不同行业重要数据主体开展风险评估的要素、形式与报送要求等内容,具体如下:
主体 | 工业和电信领域重要数据处理者 | 汽车重要数据 | 网络重要数据处理者 |
依据 | 《工业和信息化领域数据安全管理办法(试行)》 《工业和信息化领域数据安全风险评估实施细则(试行)》 YD/T3956-2024《电信领域数据安全风险评估规范》 |
| 《网数条例》 |
评估场景 | 年度:每年至少1次 新增评估:
| 日常开展重要数据处理活动 | 年度:每年1次 日常:提供、委托处理、共同处理网络数据时 |
评估要素 |
|
|
|
报告形式 | 年度数据安全风险评估报告 |
|
|
报送时间 | 评估完成后10个工作日内,每年12月25日前 | 随汽车年报一同在每年12月15日前报送 | 随年度风险评估报告一同报送,时间待各地行业主管部门明确 |
报送形式 | 各地省级通管局 |
| 各地主管部门,待明确 |
(4)并购重组时的重要数据管理:如涉及合并、分立、解散、破产等可能影响重要数据安全的,应当采取措施保障网络数据安全,并向省级以上有关主管部门报告重要数据处置方案、接收方的名称或者姓名和联系方式等;主管部门不明确的,应当向省级以上数据安全工作协调机制报告。
(五)对网络平台服务提供者的合规提示
《网数条例》设专章规定网络平台服务提供者的义务,常见的电商平台、应用程序分发平台、软件开放平台、预置应用的智能终端设备生产者、智能网联汽车运营商等均适用该等要求。
《网数条例》颁布前,《个人信息保护法》第58条提出过“重要互联网平台”的概念,但并未给出明确界定标准。后《互联网平台分类分级指南(征求意见稿)》(征求意见稿)中给出了界定标准,但至今仍为征求意见稿状态。
本次《网数条例》对“大型网络平台”给出了定义,即指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。
企业应识别自身是否构成大型网络平台服务提供者,并结合要求落实如下合规义务:
(1)成立主要由外部成员组成的个人信息保护监督机构,对平台个人信息保护情况进行监督。有关外部成员的任职与任免规则可参考《信息安全技术 大型互联网企业内设个人信息保护监督机构要求(征求意见稿)》;
(2)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(3)建立平台内对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(4)每年发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等,具体可参考CCIA发布的《《数据安全和个人信息保护社会责任指南》(T/CCIA 002—2022)。
总体提示:随着监管审查的深化和用户隐私保护意识的提升,企业在数据安全和隐私保护方面的工作必须从最初的建设思维转变为落地执行和运营思维。过去从零开始搭建的合规体系已无法满足当前和未来的合规要求。因此,我们建议企业以《网数条例》为契机建立专项项目,全面审视数据处理实践,开展个人信息保护的合规审计,制定重要数据的合规应对策略,以确保企业的稳健和安全发展。
