整体看,没什么特别亮点与新点,比2021版改动大,大多是条款削减,实质是松绑义务。结果来看,出不出差别似乎不大。业内期待的在关键问题、核心概念上起到进一步解释说明、细化澄清的作用,基本是一点没有。最大的作用是让3变成3+1,联动了部门规章规范性文件之类,位阶板块补齐关键一环。节后乃明年,这个条例不会给我们带来太多的合规义务落地难题,当然也不会带来太多的新KPI或业务机会可能。
下面对一些条文速读速记写点commts:
第十条 网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求;发现网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告。
新东西,义务主体是网络产品服务提供者。措辞表述笼统,立即、补救措施、安全风险、漏洞、有关主管部门。每一个词语都能看懂,每一个词语都很难精准理解。
第十一条第二款 网络数据安全事件对个人、组织合法权益造成危害的,网络数据处理者应当及时将安全事件和风险情况、危害后果、已经采取的补救措施等,以电话、短信、即时通信工具、电子邮件或者公告等方式通知利害关系人;法律、行政法规规定可以不通知的,从其规定。网络数据处理者在处置网络数据安全事件过程中发现涉嫌违法犯罪线索的,应当按照规定向公安机关、国家安全机关报案,并配合开展侦查、调查和处置工作。
妥协产物,通知方式不区分先后顺序,也没有量化时效要求。
通知是发出主义还是到达主义,不知道。
利害关系人的范围?不限于消费者/用户。
第十二条 网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况进行监督。向其他网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录,应当至少保存3年。
网络数据接收方应当履行网络数据安全保护义务,并按照约定的目的、方式、范围等处理个人信息和重要数据。
两个以上的网络数据处理者共同决定个人信息和重要数据的处理目的和处理方式的,应当约定各自的权利和义务。
新条款,重要数据的部分交互要求,参考了个人信息交互的类似要求。
对外提供明确要协议,对个保法条文义务扩张。
第十三条 网络数据处理者开展网络数据处理活动,影响或者可能影响国家安全的,应当按照国家有关规定进行国家安全审查。
限缩了,无新意。这个条文写在这里的作用就是给网安审查浅露个脸刷下存在感。
算一个KPI/业务机会,“重要数据交互/保护协议”。
第十八条 网络数据处理者使用自动化工具访问、收集网络数据,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。
“爬虫”条款(不限于爬虫),好像说了,但其实啥也没说。
第十九条 提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。
正确但无用的条文(没有负面评价的意思),这次条例里面这类条文很多。
第二十一条 网络数据处理者在处理个人信息前,通过制定个人信息处理规则的方式依法向个人告知的,个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、清晰易懂,包括但不限于下列内容:
(一)网络数据处理者的名称或者姓名和联系方式;
(二)处理个人信息的目的、方式、种类,处理敏感个人信息的必要性以及对个人权益的影响;
(三)个人信息保存期限和到期后的处理方式,保存期限难以确定的,应当明确保存期限的确定方法;
(四)个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等。
网络数据处理者按照前款规定向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息的,应当以清单等形式予以列明。网络数据处理者处理不满十四周岁未成年人个人信息的,还应当制定专门的个人信息处理规则。
融合条款,有个保法内容、App规范内容、双清单内容、儿童个人信息内容,没什么新意,大白话就是这类条款其实可以不写(因为其他地方都有,比它还细)。
“保存期限难以确定的,应当明确保存期限的确定方法”,有一定影响,且看隐私政策条款大家怎么春秋笔法改(等抄作业)。
第二十五条 对符合下列条件的个人信息转移请求,网络数据处理者应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径:
(一)能够验证请求人的真实身份;
(二)请求转移的是本人同意提供的或者基于合同收集的个人信息;
(三)转移个人信息具备技术可行性;
(四)转移个人信息不损害他人合法权益。
请求转移个人信息次数等明显超出合理范围的,网络数据处理者可以根据转移个人信息的成本收取必要费用。
算不算补齐了个保法中的转移权行使的“网信部门规定”前置要件?
期待转移权个保诉讼案例。转移范围(有限定,似乎不含衍生PI),技术不可行抗辩。
第二十六条 中华人民共和国境外网络数据处理者处理境内自然人个人信息,依照《中华人民共和国个人信息保护法》第五十三条规定在境内设立专门机构或者指定代表的,应当将有关机构的名称或者代表的姓名、联系方式等报送所在地设区的市级网信部门;网信部门应当及时通报同级有关主管部门。
确定了企业报送对象是设区的市级网信部门,行业主管部门转报由网信做。
希望不要只说,尽快实际做。个保法报送义务在实务中执行很不好,企业不想做、不敢做、不知道怎么做和要不要做。企业侧违规认定,不应当有“不作为”因素。
细节缺失,专门机构或制定代表,具体要求?境外个人信息处理者(满足PIPL第三条第二款)报送义务,覆盖面其实很大,条款写的直接要报,后续执行力度还是不好说,创造了专设机构或制定代表的目的之一就是创造监管连接点,那么问题来了,本身在境内没有机构或代表的境外机构,有什么动力来报?
第二十八条 网络数据处理者处理1000万人以上个人信息的,还应当遵守本条例第三十条、第三十二条对处理重要数据的网络数据处理者(以下简称重要数据的处理者)作出的规定。
不能得出1000万个人信息就是重要数据的结论。
有1000万以上个人信息,恭喜获得重要数据处理者身份,但注意,义务限于第30/32条。
第三十一条 重要数据的处理者提供、委托处理、共同处理重要数据前,应当进行风险评估,但是属于履行法定职责或者法定义务的除外。
风险评估应当重点评估下列内容:
(一)提供、委托处理、共同处理网络数据,以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要;
(二)提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险,以及对国家安全、公共利益或者个人、组织合法权益带来的风险;
(三)网络数据接收方的诚信、守法等情况;
(四)与网络数据接收方订立或者拟订立的相关合同中关于网络数据安全的要求能否有效约束网络数据接收方履行网络数据安全保护义务;
(五)采取或者拟采取的技术和管理措施等能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险;
(六)有关主管部门规定的其他评估内容。
新要求,重要数据风险评估义务。
三触发(提供委托共同),一豁免(法定职责/义务)。
评估维度和数据出境安全评估比较像,算一个新的业务点/KPI项,法律合规色彩浓于技术色彩。
第三十三条 重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关。
风险评估报告应当包括下列内容:
(一)网络数据处理者基本信息、网络数据安全管理机构信息、网络数据安全负责人姓名和联系方式等;
(二)处理重要数据的目的、种类、数量、方式、范围、存储期限、存储地点等,开展网络数据处理活动的情况,不包括网络数据内容本身;
(三)网络数据安全管理制度及实施情况,加密、备份、标签标识、访问控制、安全认证等技术措施和其他必要措施及其有效性;
(四)发现的网络数据安全风险,发生的网络数据安全事件及处置情况;
(五)提供、委托处理、共同处理重要数据的风险评估情况;
(六)网络数据出境情况;
(七)有关主管部门规定的其他报告内容。
类比个人信息定期合规审计,又挖一坑,看怎么填吧。
第三十五条 符合下列条件之一的,网络数据处理者可以向境外提供个人信息:
(一)通过国家网信部门组织的数据出境安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)符合国家网信部门制定的关于个人信息出境标准合同的规定;
(四)为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息;
(五)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;
(六)为履行法定职责或者法定义务,确需向境外提供个人信息;
(七)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;
(八)法律、行政法规或者国家网信部门规定的其他条件。
这条挺逗,加了个法定职责/义务情形,3.22出境新规没有这个。算不算违反上位法?自己回答,不算,个保法38条其他情形包含了“行政法规规定的其他条件”。
法定的法,是哪里的法,答案想得到,但答案也说明这个情形适用范围比较窄(我相信你能看懂我这句话哈)。
第六十二条
(四)重要数据,是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
(七)单独同意,是指个人针对其个人信息进行特定处理而专门作出具体、明确的同意。
重要数据不再具体示例,重要数据认定限缩信号,也是重要数据目录认定义务仍要仰赖主管部门地方政府的信号。
单独同意不再苛责,之前要按照类别逐个同意实在夸张看似松绑,但回归“说了等于没说”的现状。
其他条款,看看就好。
以上是新法速读后的一些观后感速记,接受不同观点和讨论,但任何笔者即兴发挥的话术与用词希望不要作出“作者在不善意甚至恶意批评/指责”的理解和认定,李姐万岁~
