新规解读|《网络数据安全管理条例》
科技
2024-10-01 16:21
北京
《网络数据安全管理条例》(“《条例》”)由国家互联网信息办公室于2021年11月发布征求意见稿,已经连续三年写入国务院立法工作计划,是网络数据安全管理的重要立法工程,终于作为2024年国庆献礼于9月30日正式发布,将于2025年1月1日起正式实施。 《条例》共有9章64条,既体现了中国网络数据安全监管的自上而下的法律层面的监管原则与基本制度,也彰显了自下而上的来自部门规章和标准实践的阶段性成果和前瞻性考虑,切实实现“规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益”的立法目的。 《条例》的制定是在“坚持党的领导、坚持总体国家安全观、坚持问题导向、坚持统筹协调”的四个坚持之下,细化了《中华人民共和国个人信息保护法》关于告知同意、个人行使权利等方面的规定;制定了保障重要数据安全的主要规定;建立高效便利安全的数据跨境流动机制;对网络平台服务提供者义务做出专门规定;同时明确了开展网络安全管理工作的部门职责与分工。 有关《条例》内容的概览,本文整理制作图文详见文后附件。 《条例》重申了《个人信息保护法》和《数据安全法》两部上位法有关域外适用的相关要求,即:1.《个人信息保护法》第三条第二款规定的对域外个人信息处理活动适用的情形,即“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:2.《数据安全法》第二条第二款规定“在境外开展数据处理活动,损害国家安全、公共利益或者公民、组织合法权益,依法追究法律责任。” 相较于2021年的《条例》征求意见稿,正式发布的《条例》并未将“涉及境内重要数据处理”作为一种新的情形加以规定,我们认为可以涵盖在第2种情形下。 《条例》第二部分作为对不同性质的网络数据处理者处理各种类型网络数据的一般性规定,内容充分与《网络安全法》《数据安全法》《个人信息保护法》衔接,并涵盖已有监管实践的主要关注点,设定了网络数据处理者的基本且一般适用的义务如下:1. 【第八条】非法网络数据处理活动监管要求方面,相对于征求意见稿,《网络数据安全管理条例》删除了违法信息等相关内容,聚焦于数据,明确了非法网络数据处理活动的范围,强调禁止为该等非法活动提供专门的程序、工具,并明确了禁止为前述非法活动提供的技术支持或帮助范围。2. 【第九条】在网络数据处理者应当采取的必要措施方面,《网络数据安全管理条例》增加了备份访问控制、安全认证等技术措施及其他必要措施的示例,在立法层面为企业实践提供了更多的选择和指引,同时强调网络数据处理者应对其所处理的网络数据的安全承担主体责任。3. 【第十条】提出数据安全风险报告要求和时限,特别是,涉及危害国家安全、公共利益的,网络数据处理者应当在24小时内向有关主管部门报告。4. 【第十一条】在网络数据安全事件处置方面,明确了向利害关系人进行通知的方式,包括电话、短信、即时通信工具、电子邮件或者公告等。同时,强调了网络数据处理者在发现涉嫌违法犯罪线索时的报案义务及协助执法义务。5. 【第十二条】在合同方面,明确了提供、委托处理个人信息和重要数据的主要条款规定,并强调对于提供、委托处理个人信息和重要数据的处理情况记录,应当至少保存3年。7. 【第十四条】在应对因合并、分立、解散、破产等原因需要转移网络数据的情形方面,相对于《个人信息保护法》,《网络数据安全管理条例》将范围从个人信息扩大至网络数据,并再次强调网络数据接收方应当继续履行网络数据安全保护义务。8. 【第十五条~第十七条】在网络数据处理者为国家机关等提供服务时的数据安全保护义务方面,相对于《数据安全法》,《网络数据安全管理条例》将监管范围从国家机关扩大至国家机关、关键信息基础设施运营者,并将网络数据处理者参与其他公共基础设施、公共服务系统建设、运行、维护的情形也纳入监管范围。9. 【第十八条】对使用自动化工具进行数据访问和收集的要求,包括进行数据安全影响评估,不得非法侵入他人网络,不得干扰网络服务正常运行。10. 【第十九条】响应人工智能应用技术的发展热潮,《条例》新增生成式人工智能服务的网络数据处理者对训练数据和训练数据处理活动的安全管理义务,提高了相关规定的效力层级。11. 【第二十条】面向社会提供产品、服务的网络数据处理者应建立安全投诉、举报机制。 作为网络数据安全管理的重要组成部分,《条例》第三章通过八条的篇幅强调了处理个人信息的重点内容,主要集中在告知、同意以及个人信息主体权利行使方面。1.【第二十一条】再次重申了《个人信息处理规则》(即“《隐私政策》”)的“告知”性质,对的告知内容也进行了重点强调。提示企业关注以下重点:- 形式上:《条例》要求网络数据处理者向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息的,应当以清单等形式予以列明。这让人联想到实务中已经通过《隐私政策》普遍落实的权限清单和共享(第三方SDK)清单。但是,工信部早在2021年11月通过《工业和信息化部关于开展信息通信服务感知提升行动的通知(工信部信管函〔2021〕292号)》提出的已收集个人信息清单和与第三方共享个人信息清单的“双清单”公示要求,除了当时已有的试点企业外,在实践中并未有进一步的推广和强制要求。此次《条例》中的“以清单等形式予以列明”是否意味着监管明确要求推动落实双清单要求,需予以关注和准备。
- 内容上:要求明确保存期限和到期后的处理方式,保存期限难以确定的,也应当明确保存期限的确定方法。与《个人信息保护法》仅规定应在保存期限届满后删除个人信息不同,《条例》直接要求企业在《隐私政策》中明确个人信息保存期限,这无疑是基于个人信息处理的最小必要原则对企业数据存储内控和公示制度提出了更高的要求。建议企业及时组织开展基于业务目的使用的个人信息存储期限评估,首先集合内部及外部数据合规专业力量明确个人信息保存期限,明确合规基线,最终根据《条例》要求进行公示。
2.【第二十三条】强调网络数据处理者应当及时响应个人信息行权请求,并提供便捷的行权方法和途径,值得关注的是强调了实践中较为少见的限制处理个人信息权。该权利在《个人信息保护法》第四十四条中一笔带过。《条例》出台后,企业需要注意审查现有的隐私政策文本,确定将限制处理个人信息权和监管关注的撤回同意权明确列明在个人信息主体权利部分,并落实相关适格主体的行权请求。3.【第二十四条】对个人信息删除和匿名化处理的更明确的合规要求,明确通过自动化采集技术无法避免采集到非必要个人信息或未依法取得个人同意的个人信息的,以及个人注销账号的,应当删除个人信息或匿名化处理。本条以《条例》的方式向企业明确,处理个人信息需要在遵循最小必要原则的基础上具备合法基础,技术措施的局限原则上不作为企业豁免责任的理由。因此提醒企业注意,需要梳理和优化采用的自动化采集技术措施,将通过技术措施采集的数据限制在最小必要范围和依法获取授权的范围内,若无法满足前述要求,则应当对采集来的措施进行删除或匿名化处理,否则将会面临合规风险。4.【第二十五条】首次明确了个人信息转移请求的行权条件,包括真实身份验证、请求转移的个人的合法处理基础、技术可行性、不损害他人合法利益等方面,同时明确了对请求次数明显不合理的行权要求,网络数据处理者可以就成本收取必要费用。5.【第二十六条】明确了境外网络数据处理者处理境内自然人个人信息,并在境内设立专门机构或指定代表的,应当将有关机构的名称或代表的姓名、联系方式等报送所在地设区的市级网信部门,并由网信部门及时通报同级有关主管部门。6.【第二十八条】明确了此前一直悬而未决的按照“重要数据”保护的个人信息数量门槛——处理1000万人以上个人信息的网络数据处理者,还应当遵循《条例》关于处理重要数据的网络数据处理者的两项规定。即(1)明确网络数据安全负责人和网络数据安全管理机构的义务(第三十条),以及(2)合并、分立、解散、破产等可能影响数据安全情形下的网络数据安全保障义务以及向省级以上主管部门、或省级以上数据安全工作协调机制报告数据处置方案、接收方名称或姓名及联系方式的义务(第三十二条)。 欧盟委员会的《数字市场法》开创性地提出“守门人”概念,要求被认定为“守门人”的企业应承担多项义务。《数字市场法》于2023年5月2日生效。企业被认定为守门人的原则性条件是企业对内部市场有重大影响;提供核心平台服务且作为商务用户和终端用户的重要交互手段;在其业务中享有稳固而持久的地位,或者可以预见它将在不久的将来享有这种地位。 中国的《个人信息保护法》第五十八条规定普遍被认为是中国式的“守门人”要求,本条要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行特定义务:(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(四)定期发布个人信息保护社会责任报告,接受社会监督。 但不同于欧盟的立法,《个人信息保护法》仅从个人信息保护的要求对处理者提出要求,并且对此类个人信息处理者的义务既包括针对大型网络平台自身处理个人信息所施加的义务,也包括大型网络平台对平台内商户处理个人信息进行监督管理的义务。 《条例》对“守门人”性质的大型网络平台的网络数据安全管理要求做了细化,充分考虑了国际国内有关此类网络平台的监管探索,构成具有中国特色的网络数据安全管理的守门人监管要求,具体包括:1.【第六十二条】定义(八)大型网络平台服务提供者指“注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台”。其中注册用户和月活跃用户两个指标,在一定程度上提高了相关企业落入大型网络平台服务提供者范围的门槛。2.【第三十三条】规定处理重要数据的大型网络平台服务提供者按照第三十三条的要求每年报送风险评估报告时,除常规报送内容外,还应当充分说明关键业务和供应链网络数据安全等情况。3.【第四十四条】规定大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告的义务,同《个人信息保护法》。4.【第四十五条】规定大型网络平台服务提供者跨境提供网络数据,应当遵守国家数据跨境安全管理要求,健全相关技术和管理措施,防范网络数据跨境安全风险。本条以强调和重申为主,并未设定特殊义务。5.【第四十六条】规定大型网络平台服务提供者不得利用网络数据、算法以及平台规则等从事一些活动,此类活动的列举以侵害用户的自主决策权、数据权和无差别享有服务的权益为主,主要以禁止平台垄断为目的,但也以“法律、行政法规禁止的其他活动”为兜底,未来可能向其他类型不当行为扩展。 《网络安全法》《数据安全法》《个人信息保护法》这三部法律从不同的角度为网络数据安全奠定了基本的法律框架与制度设计。《条例》作为三部法律的配套行政法规,也汲取了近些年各部门规章制度以及国家标准与实践中有关网络安全管理的经验,是承上启下和保障制度衔接的重要法规,有不可替代的中坚地位。 除了《网络安全法》《数据安全法》《个人信息保护法》这三部法律外,《条例》在网络安全审查、关键信息基础设施保护、电子政务的网络安全、安全认证、安全漏洞管理、移动智能终端应用管理、生成式人工智能、数据出境、网信部门执法等方面与其他已颁布的行政法规、规章制度相互呼应,举例而言:1.【第九条】要求网络数据处理者“应当……加强网络数据安全防护,建立健全网络数据安全管理制度,采取加密、备份、访问控制、安全认证等技术措施和其他必要措施,呼应了 2022年6月国家市场监督管理总局、网信办联合发布了《关于开展数据安全管理认证工作的公告》及附件《数据安全管理认证实施规则》;以及2022年11月国家市场监督管理总局、网信办联合发布了《关于实施个人信息保护认证的公告》及附件《个人信息保护认证实施规则》;2.【第十条】规定了漏洞的报告制度,即当网络数据处理者发现网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告,并且当涉及危害国家安全、公共利益的,网络数据处理者应当在24小时内向有关主管部门报告。本条“按照规定”可援引至工信部等三部门2021年9月发布《网络产品安全漏洞管理规定》,其中要求要求网络产品提供者在发现或者获知所提供网络产品存在安全漏洞后应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息,报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。同时,《条例》对涉及国家安全、公共利益的漏洞等风险做了强化要求,即要求网络数据处理者在24小时内进行报送。3.【第十三条】有关国家安全审查的管理要求,在2021年的征求意见稿时还详细地罗列了需要进行国家安全审查的四种情形,随着2021年12月28日发布《网络安全审查办法》,本条直接修改为“网络数据处理者开展网络数据处理活动,影响或者可能影响国家安全的,应当按照国家有关规定进行国家安全审查。”4.【第五章】有关网络数据跨境安全管理的全部内容,总结《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等部门规章制定实施经验,也提高了最新的《促进和规范数据跨境流动规定》中跨境场景豁免的法律效力层级。 另一方面,我们也注意到《条例》从网络数据安全管理的角度,涉及一些正在征求意见的法规和规章制度,为后续数据安全治理奠定了立法基础,这些角度包括:1.【第十一条】网络数据安全事件报告:2023年12月网信办《网络安全事件报告管理办法(征求意见稿)》2.【第二十七条】个人信息合规审计:2023年8月网信办《个人信息保护合规审计管理办法(征求意见稿)》3.【第四十三条】网络身份认证公共服务:2024年7月公安部、网信办《国家网络身份认证公共服务管理办法(征求意见稿)》《条例》以其全面性和权威性将成为网络数据安全管理和法治治理的里程碑性的文件,其中还有更多的内容值得数据安全从业人员对照现有的规定和实践进行学习和梳理,希望本文抛砖引玉,与各位同行者共同探讨~