张良,盈科北京合伙人,盈科全国数字经济法律专业委员会秘书长,中国信息通信研究院DSI数安智库专家,欧盟 EXIN 数据保护官(DPO),中国电子商会数据要素发展工作委员会专家组成员,2024法律500强(The Legal 500)亚太榜单中获金融科技领域(数据合规)“推荐律师”,2024年律新社数据合规领域“匠心律师”。
曾在某信息安全公司、某跨国贸易和物流企业担任法务负责人十余年,自2017年以来专注于网络安全、数据安全与个人信息保护领域,致力于为各企事业单位提供数据合规治理、数据全生命周期合规体系建设、数据资产入表及数据流通和交易以及人工智能合规治理等数字经济领域法律咨询服务;参与了该领域近十项行业标准、地方标准以及团体标准的制定。参著《企业数据合规——基础实务与专题指南》,法律出版社2023年1月版;参著《数据资产入表:理论与实务》,中国财政经济出版社2024年3月版。
随着数字经济的飞速发展,网络数据已成为现代社会的重要生产要素。然而,数据泄露、滥用和非法获取等问题日益突出,对个人隐私、企业利益乃至国家安全构成了严重威胁。
《条例》贯彻总体国家安全观,从网络数据分类分级、安全防护、应急处置、事件报告、安全检查、信息共享,以及重要数据申报和告知、提供或者委托处理、风险评估、年度报告等角度,构建数据识别、处理、防护、评估、检查、整改、应急响应等体系化、闭环式管理机制。与三年前的征求意见稿相比,《条例》主要呈现出以下特点:
(1) 在立法层面:《条例》坚持问题导向,聚焦个人信息、重要数据、网络数据跨境流动等方面突出问题,有针对性地健全制度措施;条文表述方式上谦抑克制,立法技术更加成熟,合规尺度更加包容审慎,文字处理上主动避免国际社会过度解读。
(2) 在监管层面:《条例》进一步厘清了监管执法权限和检查措施,进一步强调了部委协调机制,尤其强化了各主管部门承担本行业、本领域网络数据安全监督管理职责,具有重要的风向标意义。
(3) 在法律适用层面:相较于效力级别较低的法律文件,《条例》作为一部行政法规,有利于统一法律理解与适用,是各司法机构开展司法活动和不同主管部门开展监管执法的明确法律依据。
《条例》对企业数据安全治理机构、人员进行了详细规定。笔者拟从法律解释的角度,并结合相关实务经验,将相关条款可能对数安人才产生的影响分析如下,供读者参考。
(1) 《条例》规定了需要明确网络数据安全负责人的企业范围
《条例》第三十条规定,“重要数据的处理者应当明确网络数据安全负责人……网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历,由网络数据处理者管理层成员担任,有权直接向有关主管部门报告网络数据安全情况。”同时,《条例》第二十八条还规定,“网络数据处理者处理1000万人以上个人信息的,还应当遵守本条例第三十条……的规定。”结合《中华人民共和国数据安全法》第二十七条和《中华人民共和国个人信息保护法》第五十二条的规定,目前重要数据处理者和千万级个人信息处理者必须明确网络数据安全负责人。
如何量化千万级个人信息处理者?根据监管实践,“1000万人”包括个人信息处理者在基准日合法处理的所有主体(包括会员、用户、交易相对人、员工等),统计可以按照人头去重,但不得通过数量拆分等方式恶意逃避法律责任。此外,不具有管理、人事、系统及业务等独立性的集团各子、分公司,一般应当合并统计人数。
除了重要数据处理者和千万级个人信息处理者外,参照GB/T 35273-2020《信息安全技术 个人信息安全规范》及目前主流行业实践,主要面向C端用户的企业,如金融、交通、汽车、零售、医药、互联网企业等,亦建议明确网络数据安全负责人,由此,企业对数据安全专业人员的需求应有增加。
数据安全负责人能否兼任?根据目前的法律规定,只有关键信息基础设施运营者(CIIO)的安全负责人需要“专门设置”,CIIO以外的其他企业并无专门设置网络数据安全负责人的法定义务,可以兼任,所以企业可以通过任命书、上岗通知、内部政策等方式明确CISO、DPO或是法务负责人、合规负责人等现有人员兼任“数据安全负责人”“网络数据安全负责人”“个人信息保护负责人”等。
(2) 《条例》明确了网络数据安全负责人的职级
《条例》首次从行政法规层面明确了机构职责,以及明确了负责人职级要求——由网络数据处理者管理层成员担任,并“应当具备网络数据安全专业知识和相关管理工作经历”。
考虑到岗位的专业背景,现有人员“向上兼任”的模式(例如DPO进入管理层)可能性增加,这也就为企业网数人才向上职业发展提供了新途径。有关“管理层”的定义,《网络数据安全管理条例》未做进一步解释,根据《中华人民共和国公司法》及相关法律,此处管理层相当于《中华人民共和国公司法》所称的董事、监事、高级管理人员的范围,而高级管理人员是指公司的经理、副经理、财务负责人,上市公司董事会秘书和公司章程规定的其他人员,即企业可以通过修改章程自定义高级管理人员的范围。
作为专业背景的加持,建议拟进入本行业的在校学生以及在职人员通过专业学习、考取专业资质、实施具体项目等方式,尽快丰富“网络数据安全专业知识”和“管理工作经历”两个维度,参考电信业务许可申请、ICP备案及公安联网备案等规定的安全负责人任职条件要求,“网络数据安全专业知识”通常需要提供相关的考试、证书、学习及学历背景等材料提供支撑,“相关管理工作经历”通常需要提供相关的任命文件、任职经历、项目经验等材料提供支撑。
(3) 明确了特定种类、规模的重要数据的网络数据安全负责人的任职要求
《条例》规定,掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者,应当对网络数据安全负责人和关键岗位的人员进行“安全背景审查,加强相关人员培训”,并且审查时,可以申请公安机关、国家安全机关协助。该类型企业的网络数据安全负责人的重要性由此可见一斑。
(4) 明确对漏洞管理和应急响应的要求
总体而言,随着《条例》的落地实施,将进一步增强企业数据合规预期,强化主管部门监管联系,明确法律适用标准及合规尺度,这些都将有利于数安人才的长期职业发展。
《条例》明确了企业一系列具体的合规义务,涵盖数据安全管理制度、数据处理活动的合规性、数据安全事件的应对与报告以及特定场景下的合规要求等。建议企业应积极履行这些合规义务,以确保网络数据的安全和合规处理。
第一:对内建立并完善企业数据合规管理机制。例如,依法设立网络数据安全负责人及管理机构;制定数据分类分级管理制度;对数据全生命周期处理活动进行风险排查并制定相应的合规处理机制(如用户权利请求及响应机制、用户同意管理机制等);建立数据安全监测机制以及网安、数安事件的应急预案、演练、响应及报告机制;建立自动化工具管理及评估机制;完善第三方尽调及管理机制;以《条例》为契机,开展数据合规教育培训(部分行业要求年度培训达到一定课时,如电信领域一般数据处理岗位年度培训不少于10个学时,重要数据处理岗位人员不少于20个学时)等。
第二:对外完善数据合规相关的协议、政策及规则等文本。例如,修订与第三方的数据处理协议,完善权益、安全、监督、法律责任等条款;完善隐私政策有关告知内容及交互形式;完善首次列入法律法规中的“双清单”文本;完善儿童个人信息处理规则;完善自动化决策规则;优化App/小程序/H5 页面等。
第三:完善数据安全相关的技术措施。例如,采取或完善加密、备份、访问控制、安全认证等技术措施、留痕机制;准备本地化建设;准备网络身份核验接口建设等。
第四:为个保合规审计做好准备。结合2023年8月国家网信办发布的《个人信息保护合规审计管理办法(征求意见稿)》《个人信息保护合规审计参考要点》以及今年7月TC260发布的《数据安全技术 个人信息保护合规审计要求(征求意见稿)》,个保审计规则可能明年出台。企业宜前期数据合规建设情况,选择适当的内审或外审机制,准备个保合规审计相关组织、人员及预算等资源,迎接即将落地的个保合规审计制度。值得注意的是,根据《个人信息保护合规审计管理办法(征求意见稿)》的相关条款规定,当存在委托处理、向第三方提供、自动化决策、公开以及处理敏感个人信息的情形时,都应事先开展个人信息保护影响评估(PIA)。
1. 司法部、国家网信办负责人就《网络数据安全管理条例》答记者问,载司法部微信公号,2024-09-30
2. 黄春林、冯莉:《网数条例》系列解读:网络数据安全负责人十问十答,载网络与数据法律实务公众号,2024-10-11
3. 100问《网络数据安全管理条例》,载炼石网络CipherGateway公众号,2024-10-11
4. 黄春林、方可言:《网络数据安全管理条例》主要影响及合规行动建议,载网络与数据法律实务公众号,2024-10-09
5. 孟洁等:三万字精读《网络数据安全管理条例》:洞悉数字战役背后的护航力量(上、中、下),载数据合规评论公众号,2024-10-06/07/08
往期推荐
