正文字数共计4702字,大约花费15分钟阅读时间。
专栏介绍:
随着数字中国战略的实施,数据在我国成为了至关重要的生产要素,数字化开始驱动中国社会生产生活和治理方式产生深刻的变革。以《国家安全法》《网络安全法》《数据安全法》《个人信息保护法》《密码法》《关键信息基础设施保护条例》为核心的“五法一条例”以及相关的法规规章、司法解释、其他规范性文件和技术标准在不断出台,网络安全执法已经在全面展开,网络安全监管口径日益收紧,越来越多的企业因不合规而被科以各类法律责任,企业的网络安全风险日趋加剧。数据合规是企业数据产权的基础,是数据进行流通交易的前提,是数据资产化的必经之路,也是防范企业数据责任的必要保障。
本专栏的作者与团队具有数据流通、数据安全与网络安全背景的交叉学科团队。本专栏将以数据相关的法律问题为切入,以理论探究、实务操作及热点评论等为方式,将针对行业发展趋势、法律分析、执法动态、企业内部数据合规、个人隐私保护、数据交易等法律热点问题进行系统的梳理并推出系列原创文章,在将最新的数据法领域研究成果深入浅出的呈现给读者的同时,还能为各类企业提供网络与数据安全、数据合规、数据交易相关的建议和参考。
2024年9月30日,《网络数据安全管理条例》(以下简称为《条例》)正式出台,自2025年1月1日起施行。《条例》共有九章六十四条,作为“三法一条例”(《网络安全法》《数据安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》)出台后最重要的法律规范,其出台标志着我国网络安全与数据安全领域形成了“三法两条例”的基本格局。
《条例》对企业合规提出了较高的标准,北京德恒(重庆)律师事务所数据法团队整理了相关合规要求,以供企业根据自身情况遵照执行。
一、通用合规要求
(一)禁止非法数据活动
合规要求:《条例》第八条
(1)不得利用网络数据从事非法活动,不得从事窃取或者以其他非法方式获取网络数据、非法出售或者非法向他人提供网络数据等非法网络数据处理活动;
(2)不得提供专门用于从事前款非法活动的程序、工具;
(3)明知他人从事前款非法活动的,不得为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助。
(二)网络数据安全保护义务
合规要求:《条例》第九条
(1)完成网络安全等级保护;
(2)加强网络数据安全防护,建立健全网络数据安全管理制度;
(3)采取加密、备份、访问控制、安全认证等技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用;
(4)处置网络数据安全事件,防范针对和利用网络数据实施的违法犯罪活动,并对所处理网络数据的安全承担主体责任。
(三)缺陷产品或服务的补救与报告
合规要求:《条例》第十条
(1)提供的网络产品、服务,应当符合相关国家标准的强制性要求;
(2)发现网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告。
(四)网络数据安全事件应急预案
合规要求:《条例》第十一条
(1)建立健全网络数据安全事件应急预案,并按照规定向有关主管部门报告;
(2)网络数据安全事件对个人、组织合法权益造成危害的,应及时以各种方式通知利害关系人;
(3)发现涉嫌违法犯罪线索的,应当按照规定向公安机关、国家安全机关报案。
(五)网络安全审查
合规要求:《条例》第十三条
开展网络数据处理活动,影响或者可能影响国家安全的,应当按照国家有关规定进行国家安全审查。
(六)建立投诉举报制度
合规要求:《条例》第二十条
(1)建立便捷的网络数据安全投诉、举报渠道,公布投诉、举报方式等信息;
(2)及时受理并处理网络数据安全投诉、举报。
二、特殊场景合规要求
(一)对外提供、委托处理个人信息和重要数据的特殊义务
合规要求:《条例》第十二条
(1)订立合同约定处理目的、方式、范围以及安全保护义务等;
(2)对网络数据接收方履行义务的情况进行监督;
(3)至少保存3年记录。
(二)网络数据接收方的义务
合规要求:《条例》第十二条、十四条
(1)履行网络数据安全保护义务;
(2)按照约定的目的、方式、范围等处理个人信息和重要数据;
(3)多个主体共同决定个人信息和重要数据的处理目的和处理方式的,应当约定各自的权利和义务;
(4)因合并、分立、解散、破产等原因需要转移网络数据的,网络数据接收方应当继续履行网络数据安全保护义务。
(三)国家机关委托建设电子政务系统的义务
合规要求:《条例》第十五条
(1)按照国家有关规定经过严格的批准程序;
(2)明确受托方的网络数据处理权限、保护责任等;
(3)监督受托方履行网络数据安全保护义务。
(四)为国家机关、关键信息基础设施运营者、公共基础设施或系统提供服务者的义务
合规要求:《条例》第十六条
(1)依照法律、法规的规定和合同约定履行网络数据安全保护义务,提供安全、稳定、持续的服务;
(2)未经委托方同意,不得访问、获取、留存、使用、泄露或者向他人提供网络数据,不得对网络数据进行关联分析;
(3)参照电子政务系统的管理要求加强网络数据安全管理,保障网络数据安全。
(五)自动化工具(爬虫)使用者义务
合规要求:《条例》第十八条
(1)应当评估对网络服务带来的影响;
(2)不得非法侵入他人网络,不得干扰网络服务正常运行。
(六)生成式人工智能数据处理者义务
合规要求:《条例》第十九条
(1)加强对训练数据和训练数据处理活动的安全管理;
(2)采取有效措施防范和处置网络数据安全风险。
三、个人信息保护合规要求
(一)个人信息处理规则的制定、公示义务
合规要求:《条例》第二十一条
(1)个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、清晰易懂,包括但不限于下列内容:
①网络数据处理者的名称或者姓名和联系方式;
②处理个人信息的目的、方式、种类,处理敏感个人信息的必要性以及对个人权益的影响;
③个人信息保存期限和到期后的处理方式,保存期限难以确定的,应当明确保存期限的确定方法;
④个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等;
(2)提供个人信息的目的、方式、种类以及网络数据接收方信息应当以清单等形式予以列明;
(3)处理不满十四周岁未成年人个人信息的,还应当制定专门的个人信息处理规则。
(二)基于个人同意处理个人信息的义务
合规要求:《条例》第二十二条
(1)收集个人信息为提供产品或者服务所必需,不得超范围收集个人信息,不得通过误导、欺诈、胁迫等方式取得个人同意;
(2)处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的单独同意;
(3)处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意;
(4)不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息;
(5)不得在个人明确表示不同意处理其个人信息后,频繁征求同意;
(6)个人信息的处理目的、方式、种类发生变更的,应当重新取得个人同意。
(三)配合个人行使权利的义务
合规要求:《条例》第二十三条
(1)应当及时受理个人请求查阅、复制、更正、补充、删除、限制处理其个人信息,或者个人注销账号、撤回同意;
(2)提供便捷的支持个人行使权利的方法和途径;
(3)不得设置不合理条件限制个人的合理请求。
(四)删除个人信息或匿名化的义务
合规要求:《条例》第二十四条
(1)应当删除个人信息或者进行匿名化处理因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的;
(2)应当停止除存储和采取必要的安全保护措施之外的处理。
(五)提供个人信息转移途径的义务
合规要求:《条例》第二十五条
应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径。
(六)境外网络数据处理者处理境内自然人个人信息的义务
合规要求:《条例》第二十六条
在境内设立专门机构或者指定代表的,应当将有关机构的名称或者代表的姓名、联系方式等,报送所在地设区的市级网信部门。
(七)合规审计的义务
合规要求:《条例》第二十七条
应当定期自行或者委托专业机构,对其处理个人信息遵守法律、行政法规的情况进行合规审计。
四、重要数据安全合规要求
(一)重要数据识别、申报、安全管理的义务
合规要求:《条例》第二十九条
(1)应当按照国家有关规定识别、申报重要数据;
(2)使用数据标签标识等技术和产品,提高重要数据安全管理水平。
(二)网络数据安全保护的义务
合规要求:《条例》第三十条
(1)应当明确网络数据安全负责人和网络数据安全管理机构,履行下列网络数据安全保护责任:
①制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案;
②定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动,及时处置网络数据安全风险和事件;
③受理并处理网络数据安全投诉、举报;
(2)应当对网络数据安全负责人和关键岗位的人员进行安全背景审查,加强相关人员培训。审查时,可以申请公安机关、国家安全机关协助。
(三)提供、委托处理、共同处理重要数据的风险评估义务
合规要求:《条例》第三十一条
(1)提供、委托处理、共同处理网络数据,以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要;
(2)提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险,以及对国家安全、公共利益或者个人、组织合法权益带来的风险;
(3)网络数据接收方的诚信、守法等情况;
(4)与网络数据接收方订立或者拟订立的相关合同中,关于网络数据安全的要求能否有效约束网络数据接收方履行网络数据安全保护义务;
(5)采取或者拟采取的技术和管理措施等,能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险;
(6)有关主管部门规定的其他评估内容。
(四)重要数据处置方案报告的义务
合规要求:《条例》第三十二条
因合并、分立、解散、破产等可能影响重要数据安全的,应当采取措施保障网络数据安全,并向省级以上有关主管部门报告重要数据处置方案、接收方的名称或者姓名和联系方式等;主管部门不明确的,应当向省级以上数据安全工作协调机制报告。
(五)报送年度风险评估的义务
合规要求:《条例》第三十三条
(1)应当每年度对网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告。风险评估报告应当包括下列内容:
①网络数据处理者基本信息、网络数据安全管理机构信息、网络数据安全负责人姓名和联系方式等;
②处理重要数据的目的、种类、数量、方式、范围、存储期限、存储地点等,开展网络数据处理活动的情况,不包括网络数据内容本身;
③网络数据安全管理制度及实施情况,加密、备份、标签标识、访问控制、安全认证等技术措施和其他必要措施及其有效性;
④发现的网络数据安全风险,发生的网络数据安全事件及处置情况;
⑤提供、委托处理、共同处理重要数据的风险评估情况;
⑥网络数据出境情况;
⑦有关主管部门规定的其他报告内容;
(2)大型网络平台报送的风险评估报告,还应当充分说明关键业务和供应链网络数据安全等情况。
(3)被省级以上有关主管部门责令采取整改或者停止处理重要数据等措施,应当按照有关要求立即采取措施。
五、网络数据跨境合规要求
(一)可以向境外提供个人信息的情形
合规要求:《条例》第三十五条
(1)通过国家网信部门组织的数据出境安全评估;
(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(3)符合国家网信部门制定的关于个人信息出境标准合同的规定;
(4)为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息;
(5)按照依法制定的劳动规章制度和依法签订的集体合同,实施跨境人力资源管理,确需向境外提供员工个人信息;
(6)为履行法定职责或者法定义务,确需向境外提供个人信息;
(7)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;
(8)法律、行政法规或者国家网信部门规定的其他条件。
(二)重要数据出境的安全评估义务
合规要求:《条例》第三十七条
在中华人民共和国境内运营中收集和产生的重要数据确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。
(三)向境外提供个人信息和重要数据不超范围的义务
合规要求:《条例》第三十八条
向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。
(四)不提供破坏、避开技术措施或为其提供帮助的义务
合规要求:《条例》第三十九条
(1)不得提供专门用于破坏、避开技术措施的程序、工具等;
(2)明知他人从事破坏、避开技术措施等活动的,不得为其提供技术支持或者帮助。
六、网络平台服务提供者合规要求
(一)网络数据安全保护义务
合规要求:《条例》第四十条
应当通过平台规则或者合同等,明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务,督促第三方产品和服务提供者加强网络数据安全管理。
(二)应用程序核验的义务
合规要求:《条例》第四十一条
(1)应当建立应用程序核验规则并开展网络数据安全相关核验;
(2)发现待分发或者已分发的应用程序不符合法律、行政法规的规定或者国家标准的强制性要求的,应当采取警示、不予分发、暂停分发或者终止分发等措施。
(三)提供个性化推荐关闭选项的义务
合规要求:《条例》第四十二条
(1)通过自动化决策方式向个人进行信息推送的,应当设置易于理解、便于访问和操作的个性化推荐关闭选项;
(2)为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。
(四)发布年度个人信息保护社会责任报告的义务
合规要求:《条例》第四十四条
应当每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。
(五)跨境提供网络数据的风险防范义务
合规要求:《条例》第四十五条
应当遵守国家数据跨境安全管理要求,健全相关技术和管理措施,防范网络数据跨境安全风险。
(六)不得利用网络数据、算法以及平台规则等从事的活动
合规要求:《条例》第四十六条
(1)通过误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据;
(2)无正当理由限制用户访问、使用其在平台上产生的网络数据;
(3)对用户实施不合理的差别待遇,损害用户合法权益;
(4)法律、行政法规禁止的其他活动。
结语
总的来说,《条例》的颁布对完善我国网络安全和数据合规体系具有重要意义。对企业来说,数据安全已不是可选项,而是必选项。
企业应根据《条例》规定的内容及时自查,完善协议文本和内部制度等,提升合规水平。
本栏目的作者及其团队是重庆市少有的具有网络安全与数据安全背景的交叉学科团队,负责人赵长江律师系法学博士、副教授、硕士生导师(法学、网络空间安全),距今为止执业20年,长期从事企业合规治理、网络与数据安全、数据法领域的研究。
担任重庆市首席法律咨询专家、中国互联网安全大会行业专家委员会专家、重庆市互联网信息办公室专家顾问、重庆市知识产权研究会理事、中国通信学会网络空间安全战略与法律委员会委员、重庆市网络空间安全法治研究基地执行主任、北京网络安全大会虎符杰出专家组专家等。同时担任重庆市委网信办、市检察院、市版权局、市知识产权局、市公安局、计算机应急中心等多个部门及联合实验室专家顾问。
出版《网络安全法》等教材和专著,主持和主研了十余项国家级和省部级交叉学科项目。前期团队完成的相关数据合规法律服务已经成熟,具备了推广的条件。
本文作者
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
往期文章链接:
专栏丨爬虫研究之(二):网络爬虫入罪的实证分析与保护边界争议
专栏丨数据资产入表确权与合规指南之(一):数据资产入表的政策解读与基本步骤
专栏丨数据资产入表确权与合规指南之(二):数据资产确权的探索与争议
