2021年11月14日,国家互联网信息办公室(“网信办”)发布《网络数据安全管理条例(征求意见稿)》(“《条例稿》”),并向社会公开征求意见。在2019年5月,网信办曾发布《数据安全管理办法(征求意见稿)》(“《办法稿》”),并公开征求意见,此次新版规定由部门规章升格至行政法规,内容性质从数据保护双法(《数据安全法》和《个人信息保护法》)出台前的填补空白到出台后的实施细则,规制维度也从安全处理扩展至公平处理。
目前,构成中国网络安全和数据保护基石的法律、法规包括:
《行政法规制定程序条例》第十三条规定:“起草行政法规,起草部门应当深入调查研究,总结实践经验,广泛听取有关机关、组织和公民的意见。涉及社会公众普遍关注的热点难点问题和经济社会发展遇到的突出矛盾,减损公民、法人和其他组织权利或者增加其义务,对社会公众有重要影响等重大利益调整事项的,应当进行论证咨询。听取意见可以采取召开座谈会、论证会、听证会等多种形式。起草行政法规,起草部门应当将行政法规草案及其说明等向社会公布,征求意见,但是经国务院决定不公布的除外。向社会公布征求意见的期限一般不少于30日。起草专业性较强的行政法规,起草部门可以吸收相关领域的专家参与起草工作,或者委托有关专家、教学科研单位、社会组织起草。”《条例稿》此次的意见反馈截止时间为2021年12月13日,严格遵循了《行政法规制定程序条例》第十三条所述的相关要求。
一
内容概览
《条例稿》一共有九章、七十五条的内容,较《个人信息保护法》(“《个保法》”)更多一条。《条例稿》的内容繁多,既包括个人信息保护,也包括重要数据安全;既规定了数据跨境传输合规义务,也引入了数据跨境安全网关的相关要求;既详细列举了一般数据处理者的义务,也特别规定了互联网平台运营者的数据合规义务。以下是《条例稿》和《办法稿》整体结构的对比:
《条例稿》 | 《办法稿》 | |
第一章 | 总 则 | 总 则 |
第二章 | 一般规定 | 数据收集 |
第三章 | 个人信息保护 | 数据处理使用 |
第四章 | 要数据安全 | 数据安全监督管理 |
第五章 | 数据跨境安全管理 | 附则 |
第六章 | 互联网平台运营者义务 | |
第七章 | 监督管理 | |
第八章 | 法律责任 | |
第九章 | 附则 |
二
适用地域范围
《个保法》已于11月1日生效,其中一大亮点为在《网络安全法》(“《网安法》”)、《数据安全法》(“《数安法》”)所规定的消极域外管辖权的基础上设置了积极域外管辖权。而《条例稿》在此基础上进一步拓展了《个保法》项下的积极域外管辖权,补充了“涉及境内重要数据处理”的情形。相关规定对比如下:
三
数据处理者的一般义务
《条例稿》在《网安法》、《数安法》和《个保法》的基础上,将前述各项法律项下对网络运营者、关键信息基础设施运营者和个人信息处理者等主体的一般性义务打通,用数据处理者[1]加以统一规定。
(一)一般性义务概述
《条例稿》要求数据处理者应当注意以下合规要求:
(二)一般性义务重点内容详述
1. 安全事件应对
《条例稿》要求数据处理者建立数据安全应急处置机制,并在发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。除应急处置外,数据处理者还应当根据安全事件是否会对个人、组织造成危害,以及是否涉及重要数据或十万人以上个人信息,履行如下通知义务:
2. 网络安全审查触发条件
2021年年中的滴滴等企业在境外上市过程中引发的数据跨境传输问题引发了监管部门和社会的广泛关注,网信办也因此即刻就2020年6月1日生效的《网络安全审查办法》发布修订稿并向社会公开征求意见。对比《网络安全审查办法》现行生效版和修订版,以及《条例稿》中有关网络安全审查启动条件的规定,可以看出,《条例稿》在《网络安全审查办法》修订版的基础上进一步做出了修订,具体如下:
《条例稿》补充了赴香港上市的情形以应对受滴滴事件影响,相关企业(例如KEEP、小鹏汽车)由赴美上市转为赴港上市的情形。不同于赴国外上市需达到处理一百万人以上个人信息的客观标准而无需企业事先判断对国家安全的影响,赴港上市的审查必要性以对国家安全影响的事前判断为依据,并无信息处理量的客观标准。
3. 并购重组的报告义务
《个保法》规定,如果个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,其应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。可以看出,《个保法》对个人信息处理者的合并、分立、解散、被宣告破产等相关事项下涉及的个人信息转移问题,更多强调的是个人的知情权和个人信息接收方继续履行义务。而《条例稿》则对此引入了向相关主管部门报告的义务:
当数据处理者的合并、重组、分立等涉及重要数据和一百万人以上个人信息时,数据处理者应当向设区的市级主管部门报告;
如数据处理者发生解散、被宣告破产等情况,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。
4. 数据安全投诉举报
与《个保法》一致,《条例稿》也要求数据处理者应当建立便捷的数据安全投诉举报渠道,及时受理、处置数据安全投诉举报。此外,数据处理者应当公布接受投诉、举报的联系方式、责任人信息,并且每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况,接受社会监督。
四
数据处理者的个人信息保护义务
《条例稿》以专章形式对数据处理者的个人信息保护义务做出了规定。在满足合法、正当、必要的原则基础之上,《条例稿》特别强调数据处理者和第三方之间的关系(包括第三方提供个人信息,在其产品服务中嵌入第三方代码、插件等)、个人同意的获取、个人的用户权利行使等相关规定。相关内容具体如下:
特别提请关注的是如数据处理者处理超过一百万人个人信息的,还应当遵守《条例稿》第四章对重要数据的处理者作出的规定。根据2021年9月发布的《信息安全技术 重要数据识别指南(征求意见稿)》,重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。由此可以看出,一百万人的个人信息将可能成为判断个人信息何时达到“海量”从而构成“重要数据”的一个重要指标。但同时应当关注的是,在一些行业规定中,该数量可能会有所不同,例如今年10月1日刚刚生效的《汽车数据安全管理若干规定(试行)》中将“涉及个人信息主体超过10万人的个人信息”规定为汽车行业的重要数据。
五
数据处理者的重要数据保护义务
为保护重要数据安全,《条例稿》要求重要数据的处理者应当构建包含组织机构(数据安全负责人和数据安全管理机构)、备案管理、安全评估、第三方管理等在内的全方位管理制度。
(一)组织机构
《条例稿》要求重要数据的处理者应当明确数据安全负责人,其资质要求和职责如下:
《条例稿》还要求,重要数据的处理者应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。
(二)备案管理
《条例稿》要求重要数据的处理者应当进行备案,具体备案详情如下:
(三)年度安全评估
《条例稿》对于数据处理者处理重要数据或赴境(国)外上市规定了年度安全评估义务;对于共享、交易、委托处理、向境外提供重要数据的行为,《条例稿》还对评估的要点内容做出了专门规定。结合评估要点内容和禁止性规定来看,国家安全、经济发展和公共利益仍是判断是否可以开展相关重要数据处理活动的关键因素。
(四)共享、交易、委托处理重要数据需批准
对于数据处理者共享、交易、委托处理重要数据,《条例稿》一方面要求,数据处理者应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。另一方面,数据处理者应当与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督,且应当留存共享、交易、委托处理重要数据的审批记录、日志记录至少五年。
六
数据跨境传输
(一)数据出境的合法路径
与《个保法》类似,《条例稿》也以专章对数据的跨境安全管理进行了规定。然而,对于数据出境的合法路径,《条例稿》和《个保法》存在着一定程度上的差异:
以上对比表明,《个保法》第三十八条的个人信息保护认证仅及于个人信息处理者,不包括数据接收方,而《条例稿》中进行认证的同时包括数据处理者和数据接收方。根据《行政法规制定程序条例》第十三条的规定:“涉及社会公众普遍关注的热点难点问题和经济社会发展遇到的突出矛盾,减损公民、法人和其他组织权利或者增加其义务,对社会公众有重要影响等重大利益调整事项的,应当进行论证咨询”,因此,《条例稿》第三十五条之规定还需进一步论证。
另外,《条例稿》在《个保法》第三十八条的基础上,规定了为订立、履行个人作为一方当事人的合同所必需,以及为保护个人生命健康和财产安全所必需两项可不具备跨境传输保护条件的例外条款,超出了上位法《个保法》的规定范围,亦可能受到进一步讨论和检视。
在上述出境路径中,《条例稿》亦对其中应当以安全评估为唯一出境路径的情形做出了规定,较之《个保法》进行了补充和明确:
根据上述对比可以看出,《条例稿》一方面将国家网信部门规定数量明确为“一百万人的个人信息”,另一方面将重要数据的出境路径也限定为国家网信部门组织的出境安全评估,这些都和2021年10月29日刚刚公开征求意见的《数据出境安全评估办法(征求意见稿)》的规定相一致。
另外,结合《条例稿》第四章也可以进一步看出,一百万人的个人信息将可能成为判断个人信息何时达到“海量”从而构成“重要数据”的一个重要指标。
(二)同意
在《个保法》规定的出境单独同意的基础上,《条例稿》补充如果个人信息处理者在收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。
(三)数据出境安全报告
《条例稿》要求,向境外提供个人信息和重要数据的数据处理者,应当进行年度数据出境安全报告。这与前述第五章第三节介绍的重要数据或者赴境外上市的数据处理者的年度安全评估报告义务有所交叉。我们将两者进行了对比:
结合以上对比可以看出,尽管报告时间和报告的部门一致,但二者在报告内容上存在一定的差异。二者在处理重要数据的层面上具有一致性,但在赴境外上市和向境外提供个人信息的问题上考量的点有所不同:赴境外上市更多的强调的是国家安全,而向境外提供个人信息,则在国家安全的考量上有所弱化,而更加关注数据本身的安全。
但是需要注意,对于报告内容的描述,二者均设置有兜底条款用以涵盖其他没有进行明确列举的事项,如若《条例稿》生效,亦不排除二者可能存在交叉援引或合并的情况。
(四)出境安全义务
除上述出境合法路径、个人单独同意和安全评估外,《条例稿》还专门列举了数据处理者向境外提供数据应当履行的其他义务,具体如下:
(五)跨境安全网关
与约束数据从境内向境外流动相对应,《条例稿》首次提出“跨境安全网关”的概念,以此来限制由境外向境内传输禁止性信息和内容的行为。“跨境安全网关”的相关定义、功能、禁止行为等具体如下:
七
互联网平台运营者义务
2020年12月,欧盟委员会发布《数字市场法》(Digital Markets Act)和《数字服务法》(Digital Service Acts)草案全文。其中,《数字市场法》主要针对“守门人(gatekeeper)”规定了经营过程中的特定义务。我国《个保法》第五十八条亦规定了“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”应当履行的义务。且在此后10月29日,国家市场监督管理总局发布《互联网平台分类分级指南(征求意见稿)》和《互联网平台落实主体责任指南(征求意见稿)》向社会公开征求意见,以期构建和完善我国的“守门人”制度。
考虑到国际和国内构建“守门人”制度的大背景,《条例稿》也以专章对互联网平台运营者的义务做出了规定。《条例稿》将“互联网平台运营者”定义为“为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者”,将“大型互联网平台运营者”定义为“用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者”。
(一)规则制定受监管
《条例稿》对互联网平台运营者制定、披露、修订平台规则进行了规定:
(二)第三方管理
《条例稿》要求,互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任:
(三)特定平台的义务
《条例稿》对于应用程序(APP)分发服务平台、即时通信服务平台、个性化推送平台分别做出了特殊性规定,具体如下:
1. 分发服务平台的APP审核义务
2. 即时通信服务平台的互联互通义务
3. 个性化推送平台的增强义务
(四)其他义务
除上述特定的义务外,互联网平台运营者还应当满足如下义务:
(五)平台禁止性行为
《条例稿》要求,互联网平台运营者不得利用数据以及平台规则等从事以下活动:
八
法律责任
《条例稿》根据数据处理者满足相关合规义务的具体内容规定了相应的法律责任。
具体内容如下:
编号 | 法律责任 | 违法违规行为 | ||
概述 | 法条 | 概述 | 法条 | |
1 | 最高可处二百万元罚款,并可吊销相关业务许可证或者吊销营业执照 直接责任人员最高可处二十万元罚款 | 第六十条 | 未采取必要保护措施 | 第九条 |
2 | 未及时补救安全缺陷、漏洞 | 第十条 | ||
3 | 未履行数据安全应急处置和报告/通知 | 第十一条 | ||
4 | 未履行个人信息和重要数据的第三方合规管理 | 第十二条 | ||
5 | 未履行网络安全申报 | 第十三条 | ||
6 | 未履行并购重组等情形下的报告义务 | 第十四条 | ||
7 | 间接获取数据未履行相关安全保护义务 | 第十五条 | ||
8 | 未履行数据安全投诉举报义务 | 第十八条 | ||
9 | 最高可并处五千万元或者上一年度营业额百分之五罚款,并可吊销相关业务许可证或者吊销营业执照 对直接责任人员最高可处一百万元罚款,并可禁止其在一定期限内担任董、监、高和个人信息保护负责人 | 第六十一条 | 处理个人信息未满足合法、正当、必要和同意的相关原则 | 第十九条 |
10 | 未制定、公开信息处理规则 | 第二十条 | ||
11 | 未满足个人信息的知情同意要求 | 第二十一条 | ||
12 | 未保障个人的删除权 | 第二十二条 | ||
13 | 未保障个人的查阅、复制、更正、补充、限制处理、删除等权利 | 第二十三条 | ||
14 | 未保障个人的个人信息可携权 | 第二十四条 | ||
15 | 未满足生物特征等信息的处理要求 | 第二十五条 | ||
16 | 最高可处五百万元罚款,并可吊销相关业务许可证或者吊销营业执照 直接责任人员最高可处一百万元罚款 | 第六十二条 | 重要数据处理者未按规定设置DPO | 第二十八条 |
17 | 重要数据处理者未履行重要数据备案要求 | 第二十九条 | ||
18 | 重要数据处理者未履行培训要求 | 第三十条 | ||
19 | 重要数据处理者未采购安全可信的网络产品和服务 | 第三十一条 | ||
20 | 重要数据处理者未开展数据安全评估 | 第三十二条 | ||
21 | 重要数据处理者共享、交易、委托处理重要数据未经批准 | 第三十三条 | ||
22 | 最高可处一千万元罚款,并可吊销相关业务许可证或者吊销营业执照 直接责任人员最高可处一百万元罚款 | 第六十四条 | 数据出境未获得合法路径 | 第三十五条 |
23 | 个人信息出境未征得个人单独同意 | 第三十六条 | ||
24 | 数据出境未按规定进行安全评估 | 第三十七条 | ||
25 | 未履行数据出境的相关要求 | 第三十九条第一款 | ||
26 | 未就个人信息和重要数据出境进行年度报告 | 第四十条 | ||
27 | 数据跨境传输未建立健全技术和管理措施 | 第四十二条 | ||
28 | 最高可处五百万元罚款,并可吊销相关业务许可证或者吊销营业执照 直接责任人员最高可处五十万元罚款 | 第六十五条 | 未经批准向外国司法或者执法机构提供数据 | 第三十九条第二款 |
29 | 最高可处违法所得十倍的罚款,可吊销相关业务许可证或者吊销营业执照 直接负责人员最高可处五十万元罚款 构成犯罪的,依照相关法律、行政法规的规定处罚 | 第六十六条 | 未履行数据跨境安全网关相关义务 | 第四十一条 |
30 | 最高可处五百万元罚款,可吊销相关业务许可证或者吊销营业执照 直接负责人员最高可处五十万元罚款 | 第六十七条 | 互联网平台运营者未履行平台规则制修订的相关要求 | 第四十三条 |
31 | 互联网平台运营者未对接入的第三方产品和服务承担数据安全管理责任 | 第四十四条 | ||
32 | 即时通信服务平台未满足个人通信和非个人通信选项的相关要求 | 第四十五条 | ||
33 | APP分发平台未建立、披露应用程序审核规则,未对APP进行安全审核 | 第四十七条 | ||
34 | 大型互联网平台运营者未进行年度审计 | 第五十三条 | ||
35 | 最高可处上一年度销售额百分之五的罚款,可吊销相关业务许可证或者吊销营业执照 构成犯罪的,依照相关法律、行政法规的规定处罚 | 第六十八条 | 互联网平台运营者利用数据以及平台规则等从事大数据杀熟、大数据倾销、大数据欺诈、大数据霸凌等违法违规活动 | 第四十六条 |
36 | 即时通信服务平台未按规定开放互联互通 | 第四十八条 | ||
37 | 互联网平台运营者违反公共运维数据专用义务 | 第五十一条 | ||
38 | 最高可处五十万元罚款,可吊销相关业务许可证或者吊销营业执照 直接责任人员最高可处十万元罚款 | 第六十九条 | 个性化推送平台未履行信息核实、用户同意和权利保护的相关义务 | 第四十九条 |
39 | 互联网平台运营者未履行新技术安全评估义务 | 第五十四条 | ||
除上述法律责任外,如果数据处理者违反《条例稿》的规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
九
结语
随着《数安法》和《个保法》的正式施行,我国网络安全和数据保护领域的三部上位法已全部就位。由此,此前因上位法缺失而未能及时发布的相关配套设施相信在不久的时间里将会相继出台。而同时作为《网安法》、《数安法》和《个保法》三部法律的配套文件,《条例稿》在内容上包含了三部法律项下的众多具体落地细则,这也为企业具体落实三大法(尤其是《数安法》和《个保法》)的合规要求吹响了号角。企业应当密切关注《条例稿》和其他相关配套文件的制修订,并相应调整和更新具体的合规工作。
#注释
[1] 《数安法》并未对“数据处理者”做出定义,而仅对“数据处理”做出了定义。而《条例稿》对“数据处理者”做出了定义,表述为“在数据处理活动中自主决定处理目的和处理方式的个人和组织”,采用了《个保法》对于“个人信息处理者”定义方式。
作者:薛颖
薛颖律师是北京己任律师事务所主管法律合规业务的高级顾问律师(合伙人级),专长于网络安全和数据保护、竞争法、反商业贿赂、中国社会信用体系等领域的合规业务,对前述法律的交叉领域有深刻的理解。薛律师在美国伊利诺伊大学法学院专门研习竞争法并取得博士学位(J.S.D.);执业之余,还担任湖北省反垄断专家库专家和深圳市公平竞争审查和竞争法专家库专家、辽宁省公平竞争审查专家,并作为中国社会科学院法学所博士后参与多项研究课题,为竞争和数据监管政策的制定踊跃建言献策。加入己任律师事务所之前,薛律师作为合规高级律师服务于两家中国律师事务所。薛律师积极撰写与法律合规相关的文章、评论,还曾担任澳新政府学院主办的The China Competition Bulletin的编辑。薛律师参与组织翻译了第一本GDPR 中文译本,该书于2018 年正式出版发行。
作者:陈扬
陈扬律师专注于网络安全和数据保护、个人信息保护以及合规监管咨询业务,参与多件疑难复杂案件。陈扬律师本科毕业于华东政法大学,硕士毕业于对外经济贸易大学。