本文作者
朱幸
重庆静昇律师事务所合伙人
合规风控法律服务中心执行主任
前言
网数条例新规,指国务院于2024年9月24日发布,将于2025年1月1日生效施行的《网络数据安全管理条例》。
新规《网络数据安全管理条例》共九章六十四条,系统而全面地规定了网络数据处理活动的一系列核心要素,包括但不限于一般规定、个人信息保护的强化措施、重要数据的安全保障、网络数据跨境安全管理的细化要求、网络平台服务提供者的明确义务、监督管理的强化机制以及法律责任的严格界定。此新规的重要性不言而喻,它不仅是对“三驾马车”——《网络安全法》、《数据安全法》、《个人信息保护法》规范要求的协同整合,更是对这些法律精神的深化与拓展,为企业的数据合规工作构建了更为严密且具体的法律框架,带来了深远且重大的影响。
对于国有企业而言,《网数条例》的实施,意味着必须全面审视,同时也应建立健全现有的数据合规体系,确保数据处理活动的合法性、安全性和隐私性,避免出现的合规风险。
本文旨在深入探讨《网数条例》新规对国有企业数据合规工作的具体影响,通过梳理《网数条例》的关键条款和要求,结合国有企业的实际运营情况,分析国有企业在新规下可能面临的合规挑战,并提出切实可行的合规策略和建议。
本文主要内容如下:
一、国有企业数据合规工作的必要性
二、《网数条例》对国有企业数据合规的影响
三、《网络条例》提出的重要合规义务要求
(一)一般性合规义务
(二)个人信息保护合规义务
(三)重要数据安全合规义务
四、国有企业应对新规的合规策略和建议
一、国有企业数据合规工作的必要性
国有企业数据合规工作,是指国有企业在收集、存储、处理、传输和共享数据的过程中,严格遵守国家法律法规、行业准则和道德规范,确保数据处理的合法性、安全性和隐私性,避免企业及从业人员因此产生数据保护方面的相关合规责任(包括民事责任、行政责任以及刑事责任)的管理活动,包括但不限于构建数据合规制度体系、数据全生命周期的运行管理、个人信息及隐私的保护要求、数据保护的合规风险识别评估预警及应对机制,以及数据保护合规文化建设,监督与审计等要求。
《中央企业合规管理办法》第十八条明确将数据保护列为国有企业合规制度管理的核心领域,这一举措深刻反映了在国有企业经营管理日益信息化、数字化的当下,数据合规工作的重要性正不断凸显。随着信息技术的飞速发展,国有企业在运营过程中愈发依赖数据资源,而确保数据的合法性、安全性和隐私性,已成为企业合规管理中不可或缺的一环。因此,加强数据合规工作,不仅是国有企业响应国家法律法规的必然要求,也是企业在数字化转型过程中保障自身稳健运营、提升竞争力的关键所在。
国有企业,数据合规工作的必要性包括:
1、数据合规是国有企业数据治理必须遵循的法定责任
对于国有企业而言,作为国家经济的重要组成部分,必须严格遵守数据合规要求,否则将面临法律制裁和声誉损失。
2、数据合规能帮助国有企业防控数据泄露和滥用风险
在数字化转型过程中,国有企业积累了大量敏感数据和重要数据,这些数据一旦泄露或被滥用,将对国有企业,甚至国家造成不可估量的损失和影响。通过建立健全的数据合规体系,国有企业可以加强对数据全生命周期的管理和监控,确保数据的合法、合规使用,从而降低数据泄露和滥用的风险。
3、促进数据要素资产有效、合规利用
数据合规工作的推进,有助于国有企业更好地挖掘和利用数据要素资产的价值。通过建立健全的数据合规体系,国有企业可以确保数据的合法、合规收集、存储、处理和利用,从而避免数据使用中的法律风险和合规障碍。这将为企业提供更广阔的数据应用空间和创新机会,促进数据资产的有效利用和价值的最大化。
4、应对国际竞争和挑战
在全球化的背景下,国有企业面临着激烈的国际竞争和挑战。数据合规已成为国际竞争中的重要议题,许多国家和地区都制定了严格的数据保护法规。国有企业通过加强数据合规工作,可以确保在国际市场中的合规运营,避免因数据合规问题而遭受国际制裁和贸易壁垒。同时,数据合规工作的推进也有助于国有企业提升国际竞争力,拓展国际市场。
二、《网数条例》对国有企业数据合规的影响
《网数条例》的发布施行,将对国有企业数据合规工作产生了深远的影响。其影响主要如下:
1、明确了一体化的数据合规管理框架
在《网数条例》之前,国有企业往往受困于《网络安全法》《数据安全法》及《个人信息保护法》三部法律的遵从协同问题,而《网数条例》无疑为国有企业数据合规管理提供了一体化管理的合规依据,包括合规管理举措理解。
2、强化个人信息及重要数据管理
个人信息与重要数据,是数据合规管理中的重点对象。对于国有企业而言,可能是掌握大量个人信息的公共服务企业,如供水、供电、供气等,也可能是掌握大量重要数据的公共基础运营企业,如文旅、交通运输等,其一方面有义务采取必要措施保障个人信息的安全,另一方面也需按要求对重要数据进行严格保护,防范数据泄露、篡改、破坏等安全事件。
3、推动国有企业数据保护合规文化建设
《网数条例》的实施要求国有企业加强合规文化建设,提高员工对数据合规重要性的认识和理解。国有企业需要通过培训、宣传等方式,让员工了解数据合规的要求和操作流程,增强合规意识,形成全员参与数据合规的良好氛围。这一规定有助于国有企业构建合规文化,提升数据合规工作的整体水平。
4、法律责任的体系化及强化
《网数条例》第八章法律责任一章,是网络数据处理者的合规风险的体系化统筹,具体如下图:
三、《网络条例》提出的重要合规义务要求
《网数条例》第二章至第六章分别提出:一般性合规义务、个人信息保护合规义务、重要数据安全合规义务等。其中:
(一)一般性合规义务
对于国有企业而言,需关注以下重要合规义务:
报告及通知义务
《网数条例》第十条、第十一条规范了网络数据处理者在提供网络产品、服务,以及出现网络数据安全事件时的相关报告及通知义务。实践中,国有企业在报告及通知义务上,往往是合规的短板。其中:
当国有企业作为网络数据处理者时,应遵循以下重要合规义务:
1、风险应对与报告:当发现网络产品或服务存在安全缺陷、漏洞等风险时,国有企业需立即采取补救措施,以降低或消除这些风险。同时,国有企业需按照规定及时告知用户风险情况,并向有关主管部门报告(可参考网信办于2023年12月征求意见的《网络安全事件报告管理办法》,其对报告时限和内容要求作了明确规范)。这体现了国有企业对用户权益和公共安全的负责任态度。如果风险涉及危害国家安全或公共利益,国有企业还需在24小时内向有关主管部门报告,以便及时应对和处置。
2、用户通知:如果网络数据安全事件对个人、组织的合法权益造成危害,国有企业需及时将安全事件和风险情况、危害后果、已经采取的补救措施等通知利害关系人。这有助于维护用户的知情权和权益。通知方式可以包括电话、短信、即时通信工具、电子邮件或公告等,以确保用户能够及时获取相关信息。
3、违法犯罪线索的报告:在处置网络数据安全事件过程中,如果国有企业发现涉嫌违法犯罪的线索,需按照规定向公安机关、国家安全机关报案,并配合开展侦查、调查和处置工作。这体现了国有企业在维护网络安全和打击网络犯罪方面的社会责任。
数据处理与委托
《网数条例》第十二条规范了网络数据处理者在向其他网络数据处理者提供或委托处理个人信息和重要数据时的行为准则,以及网络数据接收方应履行的义务。实践中,国有企业在类似数据处理活动中,既可能是网络数据处理者,也可能是数据接收方。其中:
当国有企业作为网络数据处理者时,应遵循以下重要合规义务:
1、合规性及合同约束:国有企业作为网络数据处理者,必须严格遵守国家法律法规和行业标准,确保数据处理的合法性和合规性。在提供或委托处理个人信息和重要数据时,应通过合同等法律文件明确约定处理目的、方式、范围以及安全保护义务等。
2、监督责任:国有企业不仅要与数据接收方签订合同,还要对其履行义务的情况进行监督。若数据接收方未能履行安全保护义务或违反合同约定,国有企业应及时采取措施并追究其责任。是否开展监督,以及如何开展监督,在实践层面往往是国有企业的难点,具体而言可通过合规检查、审计等方式展开,宜提前在合同中约定相关检查、审计权。
3、记录保存:国有企业向其他网络数据处理者提供或委托处理个人信息和重要数据的处理情况记录,应当至少保存3年。这是为了以备后续审计、查证或法律诉讼之需,确保数据处理活动的可追溯性。
当国有企业作为数据接收方时,应遵循以下重要合规义务:
4、安全保护:当国有企业作为数据接收方时,应严格履行网络数据安全保护义务,确保接收到的个人信息和重要数据的安全性和完整性。这包括采取必要的技术措施和管理措施,防止数据泄露、篡改或损毁。
5、合规处理:国有企业应按照与网络数据处理者约定的目的、方式、范围等处理个人信息和重要数据。不得擅自改变处理目的或方式,也不得将数据用于非法用途或泄露给未经授权的第三方。
受托数据加工、信息开发及运营服务
《网数条例》第十五条、第十六条及第十七条规范了网络数据处理者在受托数据加工、信息开发及运营服务时的合规义务。实践中,不少国家出资企业会设立科技及数据产业企业,承接集团或当地的数据加工、信息开发及运营等相关服务。其中:
当国有企业受国家机关委托进行建设、运行、维护电子政务系统,或存储、加工政务数据时,应注意以下合规义务:
1、严格遵守批准程序:国有企业必须按照国家有关规定,经过严格的批准程序,确保委托事项的合法性和合规性。
2、明确权限与责任:在委托合同中,国有企业应明确自己的网络数据处理权限和保护责任,确保在数据处理过程中不超越权限,同时承担起相应的数据保护责任。
3、接受监督履行义务:国有企业作为受托方,应自觉接受国家机关的监督,并主动履行网络数据安全保护义务,确保数据的安全性和完整性。
当国有企业作为网络数据处理者,为国家机关、关键信息基础设施运营者提供服务,或参与其他公共基础设施、公共服务系统的建设、运行、维护时,需遵守以下规定:
4、合法合规服务:国有企业应依照法律、法规的规定和合同约定,提供合法、合规的网络数据处理服务。
5、保护数据安全:在提供服务过程中,国有企业应履行网络数据安全保护义务,确保数据的安全性和隐私性。
6、禁止未经授权的数据操作:未经委托方同意,国有企业不得访问、获取、留存、使用、泄露或向他人提供网络数据,也不得对网络数据进行关联分析,以确保数据的合法使用。
7、电子政务管理要求:国有企业应参照电子政务系统的管理要求,制定和完善自己的网络数据安全管理制度和流程。加强对信息系统的安全管理和防护,确保信息系统的安全性和稳定性,防止数据泄露或被滥用。
(二)个人信息保护合规义务
对于国有企业而言,需关注以下重要合规义务:
个人信息处理规则制定与公示
《网数条例》第二十一条对网络数据处理者在处理个人信息前所需遵循的规定进行了明确,特别是针对个人信息处理规则的制定与公示提出了具体要求。实践中,不少涉及公共服务的国有企业,其经营管理会涉及个人信息,其首当其冲的合规义务,即是个人信息处理规则的制定与公示。
具体如下:
1、制定规则:国有企业作为网络数据处理者,在处理个人信息前,必须依法制定个人信息处理规则。这些规则是国有企业处理个人信息的法律依据,也是保障个人信息安全和权益的重要手段。
2、公示要求:个人信息处理规则应当集中公开展示,确保易于访问并置于醒目位置。这意味着国有企业需要在其官方网站、APP等用户易于接触到的渠道上公开这些规则,以便用户随时查阅。
3、内容要求:规则内容必须明确具体、清晰易懂,不能含糊其词或过于复杂。这有助于用户理解国有企业如何处理他们的个人信息,以及他们的权益如何得到保障。具体包括:
(1)企业信息:规则中必须包含国有企业的名称或姓名和联系方式。这是为了让用户知道是谁在处理他们的个人信息,并在必要时能够联系到企业。
(2)处理信息详情:规则需要明确说明处理个人信息的目的、方式、种类,以及处理敏感个人信息的必要性和对个人权益的影响。这有助于用户了解他们的个人信息将被如何使用,以及可能带来的风险。
(3)保存期限:规则中应明确个人信息的保存期限和到期后的处理方式。如果保存期限难以确定,应明确保存期限的确定方法。这有助于用户了解他们的个人信息将被保存多久,以及到期后如何处理。
(4)个人权利:规则应详细说明用户查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径。这是为了保障用户的合法权益,确保他们能够对自己的个人信息进行有效管理。
4、向其他网络数据处理者提供信息:如果国有企业需要向其他网络数据处理者提供个人信息,应以清单等形式列明收集和提供的目的、方式、种类以及网络数据接收方信息。这有助于确保信息的透明性和可追溯性。
5、处理未成年人信息:对于处理不满十四周岁未成年人个人信息的,国有企业还应制定专门的个人信息处理规则。这是为了保护未成年人的合法权益,确保他们的个人信息得到更加严格地保护。
基于个人同意处理个人信息
《网数条例》第二十二条对网络数据处理者在基于个人同意处理个人信息时应遵守的规定进行了详细阐述。实践中,国有企业在提供公共服务时,除了通过个人信息处理规则履行告知义务,还应关注个人信息处理的同意机制。
具体如下:
1、收集必要:国有企业收集个人信息必须为提供产品或者服务所必需,这意味着信息收集应有明确的目的性,并且与所提供的服务直接相关。不得超范围收集个人信息,即不能收集与提供服务无关的个人信息。
2、同意获取:国有企业在收集个人信息时,必须获得个人的明确同意。这种同意应当是自愿的、知情的,并且不得通过误导、欺诈或胁迫等方式取得。
3、单独同意:对于生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息,国有企业必须取得个人的单独同意。这意味着对于这类信息的处理,需要个人给予更明确的、针对性的同意。
4、监护人同意:对于处理不满十四周岁未成年人的个人信息,国有企业必须取得未成年人的父母或其他监护人的同意。这是为了保护未成年人的合法权益,确保他们的个人信息得到适当保护。
5、处理限制:国有企业在处理个人信息时,必须严格遵守个人同意的处理目的、方式、种类和保存期限。不得超出这些限制处理个人信息,以确保个人信息的合法性和安全性。
6、变更重新同意:如果个人信息的处理目的、方式或种类发生变更,国有企业必须重新取得个人的同意。这是为了保障个人对自己信息的控制权,确保他们的信息被用于预期的目的。
7、不得频繁征求:如果个人已经明确表示不同意处理其个人信息,国有企业不得频繁征求其同意。这是为了尊重个人的选择权,避免对个人造成不必要的困扰。
8、书面同意要求:如果法律或行政法规规定处理敏感个人信息应当取得书面同意,国有企业必须遵守这些规定。这是为了确保国有企业在处理个人信息时符合更高的法律标准。
合规审计
《网数条例》第二十七条强调了网络数据处理者需要定期对其处理个人信息的情况进行合规审计的重要性。
具体如下:
1、遵循法律:条例明确规定,网络数据处理者(包括国有企业)应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。这是国有企业必须履行的法律义务,以确保其个人信息处理活动的合法性和合规性。
2、风险管理:通过合规审计,国有企业可以及时发现并纠正个人信息处理过程中存在的问题和漏洞,从而降低因违规行为而引发的法律风险和数据安全风险。
3、自行审计:国有企业可以自行组织内部团队进行合规审计,确保审计工作的独立性和客观性。自行审计需要建立完善的审计制度和流程,确保审计结果的准确性和可靠性。
4、委托专业机构:国有企业也可以选择委托专业的第三方机构进行合规审计。这些机构通常具有丰富的审计经验和专业知识,能够提供更全面、更专业的审计服务,帮助国有企业更好地发现和解决合规问题。
5、合规审计内容:审计应重点关注国有企业处理个人信息时是否遵守了相关法律法规和行政法规的要求,包括个人信息的收集、使用、存储、传输、披露等各个环节。同时,审计还应评估国有企业的内部管理制度是否完善,是否能够有效保障个人信息的安全和合规处理。这包括个人信息处理规则的制定、执行和监督等方面。
7、定期要求:条例要求国有企业定期进行合规审计,但并未具体规定审计的周期和频率。国有企业应根据自身的业务规模、处理个人信息的数量和类型等因素,合理确定审计的周期和频率,确保审计工作的及时性和有效性。
(三)重要数据安全合规义务
对于国有企业而言,需关注以下重要合规义务:
重要数据的识别、申报
《网数条例》第二十九条规定了重要数据的基本合规要求(补充新要求)。其中,国有企业在公共服务中往往涉及重要数据,其合规义务主要为:
1、识别与申报重要数据:国有企业作为网络数据处理者,有责任按照国家规定识别其处理的数据中哪些属于重要数据,并及时向相关部门进行申报。重要数据的认定主要以行业主管部门规定目录为参照,如《汽车数据安全管理若干规定(试行)》《工业和信息化领域数据安全管理办法(试行)》《自然资源领域数据安全管理办法》等行业规定对“重要数据”的界定。
2、履行保护责任:一旦数据被确认为重要数据,国有企业必须采取必要的措施来保护这些数据的安全,防止数据泄露、篡改或非法使用。
3、关注官方发布:国有企业应密切关注相关地区、部门对重要数据的告知或公开发布,以便及时了解哪些数据被认定为重要数据,并据此调整数据保护措施。
需注意,在《网数条例》征求意见之前,曾有处理重要数据的系统应满足三级以上网络安全等级保护和关键信息基础设施安全保护要求、重要数据处理者应在识别其重要数据后的十五个工作日内向设区的市级网信部门备案的义务等要求,目前正式公布文本中并未体现。
网络数据安全保护责任
《网数条例》第三十条、第三十二规定了网络数据处理者的基本网络数据安全保护责任要求,这是国有企业应予遵循的基本合规义务。
具体如下:
1、制定管理制度和应急预案:国有企业网络数据安全管理机构负责制定并实施网络数据安全管理制度、操作规程和应急预案。这些制度和预案是保障数据安全的重要基础。
2、定期开展活动:国有企业应定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动。这些活动有助于及时发现并处置数据安全风险,提高员工的数据安全意识。
3、受理投诉和举报:国有企业还应受理并处理网络数据安全投诉、举报。这一职责确保了员工和外部人员能够方便地报告数据安全问题,有助于及时发现和解决潜在的安全隐患。
四、国有企业应对新规的合规策略和建议
面对《网数条例》,国有企业有必要采取积极有效的合规策略,以确保企业在数据治理方面的稳健运营和高质量发展。
以下是对国有企业应对新规的合规策略和建议,供参考:
1、识别数据处理者的主体适用
在《网数条例》颁布之前,《数据安全法》和《数据出境安全评估办法》等法规虽然引入了“数据处理者”的概念,但并未对其进行明确的定义。而此次的《网数条例》,参考了《个人信息保护法》中对“个人信息处理者”的阐述,对“数据处理者”进行了清晰的界定,即“在网络数据处理活动中自主决定处理目的和处理方式的个人、组织”。
对于国有企业而言,其对本条例的主体适用,一是业务经营活动中是否涉及通过网络处理和产生各种电子数据;二是是涉及电子数据的收集、存储、使用、加工、传输、提供、公开、删除等网络数据处理活动。
2、建立健全数据合规制度和管控机制
国有企业应根据国家法律法规和行业标准,制定和完善数据合规管理制度,包括数据分类分级制度、数据安全管理制度、个人信息保护制度、数据跨境传输制度等。这些制度应明确数据处理的全流程规范,确保数据处理的合法性、安全性和隐私性。
除此之外,自2022年11月1日起实施的《GB/T 41479-2022 信息安全技术 网络数据处理安全要求》,对网络数据的收集、存储、使用、加工、传输、提供及公开等处理活动时,设定了明确的安全技术与管理规范,可作为管控机制重要的参考依据。
3、完善数据合作方的合同约束及监督机制
国有企业需通过合同等法律文件对合作方的数据处理行为进行持续约束,充分融入网数条例的相关规定,包括但不限于《数据合规承诺函》《数据处理协议》《个人信息对外提供协议》《个人信息委托处理协议》等文本,明确双方在数据处理过程中的权利和义务。
在完善合同约束的同时,国有企业还需建立有效的监督机制,确保合作方切实履行数据合规义务。这包括定期对合作方的数据处理活动进行审计和检查,评估其数据合规水平;建立数据泄露应急响应机制,一旦发生数据泄露事件能够迅速采取措施减少损失;以及加强与监管机构的沟通与合作,及时获取最新的数据合规政策和指导。
4、设立专门的数据合规管理部门
国有企业应设立专门的数据合规管理部门,指定专人负责数据合规工作,负责数据合规制度的制定、执行和监督。该部门能够有效协调各部门的数据合规工作,确保数据合规政策的有效实施。
5、强化个人信息和重要数据保护
国有企业应严格遵守相关法律法规,确保在个人信息的收集、使用、存储、传输和披露等各个环节均符合法律要求。具体来说,当收集个人信息时,需明确告知信息主体关于收集信息的目的、方式和范围,并需取得信息主体的明确同意。此外,国有企业还应按照《数据安全法》《网数条例》等要求,识别并申报重要数据,同时采取必要的技术和管理措施,以确保重要数据的安全性和完整性。为了及时发现并处置数据安全风险,还应建立完善的重要数据安全监测和预警机制。
6、建立数据泄露应急响应机制
国有企业应制定完善的数据泄露应急响应计划,明确应急响应的流程和责任分工。一旦发生数据泄露事件,应立即启动应急响应机制,采取有效措施控制事态发展,并及时向相关部门报告。
7、建立数据合规监督机制
国有企业应建立数据合规监督机制,对自身和合作方的数据处理活动进行监督。通过定期或不定期的合规检查、审计等方式,确保数据处理活动的合法性和合规性。同时,应建立举报机制,鼓励员工积极举报数据违规行为。同时,国有企业可以引入第三方专业机构进行数据合规审计,以提高合规审计的客观性和专业性。第三方机构可以对企业的数据处理活动进行全面审计,发现潜在的合规风险,并提出改进建议。
8、加强数据合规培训
国有企业应定期对员工进行数据合规培训,提高员工的数据合规意识和技能。培训内容应包括数据合规法律法规、企业数据合规制度、数据处理操作流程等,确保员工能够熟练掌握并遵守数据合规要求。