小数据安全法出台 |《数据安全管理办法(征求意见稿)》解析
前言
国家互联网信息办公室于5月28日发布《数据安全管理办法(征求意见稿)》[1](以下简称“管理办法”),向社会公开征求意见。该管理办法在继承《中华人民共和国网络安全法》(以下简称”《网络安全法》”) 原则性规定的基础上,着重规范了网络运营者对于个人信息和重要数据的安全管理义务。在个人信息保护部分,吸收了近年来广泛适用的国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2017)中的若干规定,于法规层面上明确了网络运营者的合规要求及主管部门的监管态度,同时提出了收集个人敏感信息备案制的新要求;在重要数据保护部分,进一步明确了重要数据的性质,提出了收集重要数据的备案制以及向第三方提供重要数据的批准制的新要求。
在2018年9月公布的“十三届全国人大常委会立法规划”中,《数据安全法》被列为“条件比较成熟、任期内拟提请审议的法律草案”。在《数据安全法》颁布之前,不妨将此办法视为一个“小数据安全法”。与此同时,本次管理办法的部分规定与今年4月提交审议的《民法典人格权编(草案)》二审稿亦相辅相成。
焦点一
进一步明确“数据活动”的监管
在本次管理办法中,对利用网络开展数据收集、存储、传输、处理、使用等活动统一规范为“数据活动”。除纯粹家庭和个人事务外,在中国境内开展数据活动的行为都将受管理办法的制约。同时,除境内数据监管外,对于来源于境外的数据安全风险和威胁,国家也将采取一定监测、防御、处置措施。
在《网络安全法》确定的“国家网信部门负责统筹协调网络安全工作和相关监督管理工作[2]”的原则性规定的基础上,管理办法进一步明确了个人信息和重要数据安全保护工作在中央网络安全和信息化委员会领导下,由国家网信部门统筹协调、指导监督。地(市)及以上网信部门将负责指导监督本行政区内的个人信息和重要数据安全保护工作。
《网络安全法》要求网络运营者应当采取一定技术措施确保网络安全及数据安全[3],同时制定网络安全事件应急预案并及时处置安全事件[4]。在此基础上,管理办法进一步明确了网络运营者的数据安全保护义务,在立法层面上新增建立数据安全管理责任和评价考核制度、制定数据安全计划、开展数据安全风险评估、组织数据安全教育培训的合规义务。
焦点二
广泛吸收国家标准的成熟规定,效力上升为规章
2018年5月,全国信息安全标准化技术委员会(以下简称“信安标委”)发布的《信息安全技术个人信息安全规范》(GB/T 35273-2017)(以下简称“规范”)正式实施,该规范作为企业落地《网络安全法》中个人信息保护原则要求的实践指引,被各个行业及企业在数据合规工作中广泛采用,也成为监管部门管理和执法的重要参考依据。今年2月1日,信安标委再次发布该规范的《信息安全技术个人信息安全规范(草案)》,结合了2017年、2018年的隐私评审[5]工作成果,及2019年四部委开展的App违法违规收集使用个人信息专项治理行动[6]的监管要求,对市场上比较集中的过度收集用户个人信息,强制授权、“一揽子授权”等突出问题提出了相应的合规标准。
可以看出本次管理办法在个人信息部分,很大程度上吸收了现行规范的合规要求,同时采纳了规范修订草案中的新增要点,将国家标准层级上的部分核心措施提升到法规层面,既明确了网络运营者在法规层级上的合规义务,又减少了规范作为国家标准适用的压力。
不得捆绑授权,应当区分核心业务功能
具体而言,本次管理办法要求网络运营者不得以打包授权,捆绑授权等形式强迫、误导个人信息主体同意其收集个人信息。在继承了《网络安全法》对于个人信息收集、使用的“明示”+“同意”的原则性要求基础上[7],进一步吸收了规范修订草案对于通过区分核心业务功能和扩展业务功能来保障个人信息主体选择同意权的核心要求,从法规层面明确了网络运营者既不能以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,违背个人信息主体的自主意愿默认或捆绑授权;也不能因个人信息主体仅提供核心业务功能所必须的个人信息,便拒绝向其提供核心业务功能服务。具体业务功能区分方法及交互式界面的设计建议企业参考规范新修订草案“附录C保障个人信息主体选择同意权的方法”的相应内容。
禁止歧视行为
规范将个人信息处理是否可能对个人信息主体合法权益造成不利影响,导致歧视性待遇作为个人信息安全影响评估工作的主要内容之一。本次管理办法明确了网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围,对个人信息主体采取歧视行为,包括服务质量、价格差异等。
明示定推功能并提供退出机制
与此同时,管理办法吸收了规范修订草案对于定向推送、个性化展示的个人信息应用场景的操作规范和退出机制,从法规层面上要求网络运营者应当以明显方式标明“定推”字样,并为用户提供停止接收定向推送信息的功能,保证了个人信息主体对于定向推送的自主选择,避免形成信息孤岛。同时,将规范修订草案对于个人信息主体可以删除或匿名化处理定推活动所依赖的个人信息的操作建议直接上升至法规层面,并明确用户选择停止接收定向推送信息时,网络运营者应删除已经收集的设备识别码等用户数据和个人信息,这就从定向推送的深层基础上严格控制网络运营者对用户画像的使用界限,提出了用户可以拒绝产品或服务提供者收集其个人信息进行特定画像处理和定推服务的合规要求。管理办法在此基础上明确开展定向推送活动的规则及其内容应当满足一定的原则性要求,即遵守法律、行政法规,尊重社会公德、商业道德、公序良俗,诚实守信,严禁歧视、欺诈等行为。
上述严禁歧视行为、明示定推功能并提供退出机制的要求,与《电子商务法》对于向消费者提供个性化展示应当同时提供不针对其个人特征的选项的立法原则保持一致[8],均为保障用户在使用网络产品及服务时不受数据、算法歧视,并获得自主选择的权利。
原则性规定收集未成年人个人信息的行为规范
未成年人的个人信息一直是立法执法保护的重点。今年4月20日提交审议的《民法典人格权编(草案)》二审稿[9]对此明确了收集使用未成年人等无民事行为能力人或者限制民事行为能力人的个人信息的,应当征得其监护人同意的立法原则。
本次管理办法明确规定对于收集14周岁以下未成年人个人信息应当事先获得其监护人的同意。而对于收集、使用年满14周岁的未成年人个人信息的情况并未进行规定,对收集无民事行为能力人或者限制民事行为能力人的个人信息的情况也未有明确说明。而目前现行的《个人信息安全规范》对于收集年满14周岁的未成年人个人信息的,强调应当事先获得未成年人或其监护人的明示同意,而对于不满14周岁的,则应当事先征获得其监护人的明示同意。鉴于未成年人个人信息的敏感度,我们仍建议企业参照《个人信息安全规范》的相关推荐标准进行相应的合规工作。
规定向第三方提供个人信息须征得授权同意的例外,促进数据的有序流动
本次管理办法在继承《网络安全法》对于个人信息主体同意的原则性要求的前提下,吸收了规范对于向第三方提供个人信息无需征得授权同意的规定,统一简化为五大类例外情形,在具体内涵上与规范保持一致,具体对比如下:
《数据安全管理办法(征求意见稿)》 | 《信息安全技术个人信息安全规范》(GB/T 35273-2017) | 《信息安全技术个人信息安全规范(草案)》 |
第二十七条 网络运营者向他人提供个人信息前 ,应当评估可能带来的安全风险,并征得个人信息主体同意。下列情况除外: (一)从合法公开渠道收集且不明显违背个人信息主体意愿; (二)个人信息主体主动公开; (三)经过匿名化处理; (四)执法机关依法履行职责所必需; (五)维护国家安全、社会公共利益、个人信息主体生命安全所必需。 | 8.5 共享、转让、公开披露个人信息时事先征得授权同意的例外 以下情形中,个人信息控制者共享、转让、公开披露个人信息无需事先征得个人信息主体的授权同意: a)与国家安全、国防安全直接相关的; b)与公共安全、公共卫生、重大公共利益直接相关的; c)与犯罪侦查、起诉、审判和判决执行等直接相关的; d)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的; e)个人信息主体自行向社会公众公开的个人信息; f)从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。 | 8.5 共享、转让、公开披露个人信息时事先征得授权同意的例外 相较现行规范增加“a) 与个人信息控制者履行法律法规规定的义务相关的”的情形。 |
值得注意的是,规范对收集、使用个人信息无需征得个人信息主体的授权同意提供了几类具体情形,在规范修订草案中还删除了“履行合同必要”之例外情形。但在本次管理办法中并未明确收集、使用个人信息无需征得授权同意的例外。相反地,管理办法明确规定了仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。
由此可见,个人信息主体的授权同意仍将是收集和使用个人信息的法定前提。
从法规层面明确DPO的职责要求
规范修订草案中增加了对于个人信息保护负责人的任职条件、职责要求、汇报对象等内容。本次管理办法吸收了相应具体要求,从个人信息保护负责人上升为数据安全责任人(DPO),同时在规范意图要求所有个人信息控制者均设置个人信息保护负责人的要求上缩小了适用范围,将以非经营为目的收集数据,以及收集除个人敏感信息外其他个人信息的网络运营者明确排除在外,即仅约束以经营为目的收集重要数据或个人敏感信息的网络运营者应任命DPO的合规义务。
焦点三
将重要数据纳入监管
《网络安全法》明确了关键信息基础设施运营者的数据本地化要求[10],提出了重要数据这一新概念。 在2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》中重要数据进行了定义,指与国家安全、经济发展,以及社会公共利益密切相关的数据。随后,信安标委在《信息安全技术 数据出境安全评估指南(征求意见稿)》中提出了《重要数据识别指南》,列举了各行业各领域涉及的重要数据范围。本次管理办法进一步明确了重要数据的性质,即“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据”并例举了部分示例“如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等”,同时明确排除了企业生产经营和内部管理信息及个人信息作为重要数据的可能。
可以看出,本次管理办法仍未对重要数据的具体识别方式进行规定。尽管本次管理办法规定企业生产经营和内部管理信息将不属于重要数据的范畴,但各行业主管部门对本行业内涉及的重要数据的监管重点仍不会松懈。我们建议现阶段企业具体判断重要数据类别时,应当同时考量横纵两个维度:以风险导向及性质作为横向的宏观判断标准,以及《重要数据识别指南》中各行业内重要数据范围的纵向判断标准。如企业因生产经营涉及大量测绘数据,则仍应当考虑地理数据作为行业主管部门自然资源部(原国土资源部)的监管重点,应当作为重要数据予以管控。
焦点四
新增个人敏感信息和重要数据备案管理制度
5月8日,天津市互联网信息办公室发布《天津市数据安全管理办法(暂行)》的征求意见稿,提出建立重要数据和个人信息的备案制度。此次管理办法提出在全国范围内对以经营为目的收集重要数据和个人敏感信息网络运营者应当向所在地网信部门进行备案。同时明确该备案内容仅限收集使用规则,收集使用的目的、规模、方式、范围、类型、期限等,而不包括具体的数据内容本身。鉴于管理办法第十四条明确了网络运营者从第三方间接收集个人信息应当履行与直接收集个人信息同等的保护责任和义务,则网络运营者即便不直接向个人信息主体收集其个人敏感信息,而是从第三方处获得个人敏感信息的,也应当履行相应的备案义务。
尽管该备案制可以作为政府监管的抓手,从一定程度上加强企业完善收集使用重要数据和个人敏感信息的合规义务,并落实企业发生数据安全事件的追责管理,但从实践操作来讲,网络运营者覆盖面极广,涉及数据收集、处理的业务类型繁多,同时考虑到数据动态性和时效性的特点,企业若针对每项数据收集新需求完成逐一备案,将势必增加相应成本,同时对地方网信部门的备案管理要求也将显著增加。与此同时,如落实备案制,还须在立法层面上首先确定重要数据的具体分类标准和适用范围。
焦点五
新增向第三方提供重要数据的批准管理制度
本次管理办法明确了网络运营者向第三方提供(包括共享、交易、公开披露、出境等)重要数据前,应当进行安全评估工作,并获得行业主管监管部门同意,行业主管监管部门不明确的,应经省级网信部门批准。同时,管理办法提出“向境外提供个人信息按有关规定执行。”可以看出,网信办在《个人信息和重要数据出境安全评估办法》迟迟未出台的情况下,有意将重要数据与个人信息的出境管理进行分割,实行不同的监管原则。预计个人信息出境的具体管理办法也将陆续推出。
焦点六
首次规范“爬虫”技术等自动获取数据的行为
目前市场上利用爬虫技术大量自动获取数据的行为已屡见不鲜。本次管理办法针对此类采取自动化手段访问收集网站数据的行为进行了规制,要求其不得妨碍网站正常运行,如严重影响网站运行,网站有权要求停止自动化访问收集,该行为即应停止。
管理办法同时明确如自动化访问收集流量超过网站日均流量三分之一,则视为严重影响网站运行的情形。需注意的是,该条款仅列举了严重影响网站运行的情形之一,其他利用自动化访问收集的行为若从结果上导致网站运营受严重影响,也应当在网站要求时及时停止该行为,避免违规风险。
焦点七
首次针对AI技术自动合成信息进行规制
今年2月,电视剧《射雕英雄传》中黄蓉一角换脸某知名女星的视频引发热议。而主张人脸识别技术侵犯个人隐私和公民权利为由的英国首例警用人脸识别案也于近日开庭审理。现今大数据、人工智能等技术广泛应用,一定程度上也催发了技术滥用导致的违法违规行为,不仅涉及侵犯自然人的人格权益,严重的还可能造成恶劣的社会影响,危害国家安全和社会公共利益。对此,今年4月提交审议的《民法典人格权编(草案)》二审稿对此类AI技术所导致的社会问题亦作出了回应[11],要求任何组织或者个人不得以丑化、污损,或者利用信息技术手段伪造等方式侵害他人的肖像权。同时针对自然人声音等其他人格权的许可使用和保护也进行了规范。
据了解,近年来国内外诸多媒体机构均推出了自己的“人工智能写手”,如腾讯财经推出了“Dreamwriter”,新华社推出“快笔小新”、 “媒体大脑”等[12]。本次管理办法顺应时代要求,规定利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息不得以谋取利益或损害他人利益为目的,同时应当以明显方式标明“合成”字样。
焦点八
明确平台对于接入第三方应用的数据安全保障义务
目前,应用程序中接入/嵌入第三方产品或服务的场景十分常见,一旦发生合规漏洞,平台商和第三方往往无法明确双方的责任和义务,而数据主体往往很难去追究第三方产品或服务提供商的责任。
此前规范修订草案细化了平台商对第三方应用收集个人信息的管理机制。本次管理办法从法规层面商进一步明确了网络运营者对于第三方应用接入的管理义务,同时将对个人信息的安全保障义务扩大到了所有数据。同时明确第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。网络运营者应当在与第三方签订的合同中明确双方的数据安全责任及安全措施,同时完善企业内部数据安全管理制度,妥善留存个人信息安全影响评估报告,对第三方应用接入管理、审计记录等,并对第三方应用运营者及时督促整改,必要时停止其接入。以充足的技术措施和制度手段证明平台商充分履行了审慎义务。
焦点九
提出开展自愿性数据安全管理认证和应用程序安全认证机制
2019年1月25日中央网信办等四部委联合发布的《关于开展App违法违规收集使用个人信息专项治理的公告》提出将开展App个人信息安全认证工作,鼓励App运营者自愿通过App个人信息安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App。
本次管理办法将监管部门治理违法违规收集使用个人信息的思路,延用至所有数据的安全管理当中,旨在通过鼓励搜索引擎、应用商店等优先推荐通过认证的应用程序的市场选择机制引导消费者选用安全的应用产品,进一步规范网络运营者的数据安全治理工作,形成解决数据安全问题的长效治理机制。
管理办法同时提出具体数据安全管理认证和应用程序安全认证工作将由国家网信部门会同国务院市场监督管理部门共同指导国家网络安全审查与认证机构进行,预计相应具体认证办法也将陆续出台。
焦点十
明确监管部门约谈整改的处理机制
《网络安全法》规定了省级以上人民政府有关部门发现网络存在较大安全风险或者发生安全事件时,可以依照规定的权限和程序对网络运营者的法定代表人或主要负责人进行约谈[13]。本次管理办法在此基础上进一步明确了网信部门如发现网络运营者数据安全管理责任落实不到位,可以按照规定的权限和程序约谈网络运营者的主要负责人,并督促整改。结合近年来网络安全和数据保护相关执法行动,网信部门的约谈整改已成为监管的主要措施之一。根据本次管理办法第三十七条罚则的规定,对于违反本办法规定的网络运营者,监管部门可根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚,构成犯罪的,也将依法追究刑事责任。
焦点十一
明确主管部门对于数据负有保密责任
《网络安全法》规定网信及有关部门在履行网络安全保护职责中获取的个人信息、隐私和商业秘密应当严格保密,除用于维护网络安全的需要外,不得用于其他用途。同时,今年4月提交审议的《民法典人格权编(草案)》二审稿中亦明确了国家机关及其工作人员对履职过程中知悉的自然人隐私、个人信息等的保密义务。
在此立法原则基础上,管理办法明确了国务院有关主管部门对网络运营者提供的数据负有安全保护责任的要求。相应的,在此法律制度规范下,有关主管部门因履行维护国家安全、社会管理、经济调控等职责需要而要求提供相关数据的,网络运营者也应当予以配合。
结语
本次《数据安全管理办法(征求意见稿)》着重规范了网络运营者对于个人信息和重要数据的安全管理义务。为帮助企业更好的理解中国复杂的执法监管环境,更有效的降低法律风险,我们将结合在网络安全与数据保护领域的广泛实践经验,持续推出系列文章,对立法及政策走向及时进行解读,希望对企业的合规工作有所帮助。
【注]
[1] 《数据安全管理办法(征求意见稿)》原文请见:http://www.moj.gov.cn/news/content/2019-05/28/zlk_235861.html,2019年5月28日访问。
[2] 《中华人民共和国网络安全法》第八条,“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。”
[3] 《中华人民共和国网络安全法》第十条,“建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。”
第四十二条,“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”
[4] 《中华人民共和国网络安全法》第二十五条,“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”
[5] 2017年7月至9月,中央网信办、工信部、公安部和国家标准委针对国内互联网领先企业的10款App组织了首次App隐私政策专项评审工作。2018年12月,全国信息安全标准化技术委员会对40款网络产品和服务的隐私条款进行了2018年隐私条款专项评审工作。
[6] 2019年1月25日中央网信办、工业和信息化部、公安部、市场监管总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月起至12月,在全国范围组织开展持续时间长达一年的App违法违规收集使用个人信息专项治理行动,旨在解决目前App强制授权、过度授权、超范围收集个人信息等突出问题。具体解读请参考以往文章:《实施半年后再修订:<信息安全技术 个人信息安全规范>应时而变》。
[7] 《中华人民共和国网络安全法》第四十一条,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”
[8] 《电子商务法》第十八条,“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益”。
[9] 来源:http://www.npc.gov.cn/npc/cwhhy/13jcwh/2019-04/21/content_2085573.htm,2019年5月29日访问。
[10] 《中华人民共和国网络安全法》第三十七条,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
[11] 来源:http://www.npc.gov.cn/npc/cwhhy/13jcwh/2019-04/21/content_2085573.htm,2019年5月28日访问。
[12] 来源:https://m.mp.oeeee.com/a/BAAFRD000020190528165378.html?&layer=4&share=chat&isndappinstalled=0,2019年5月28日访问。
[13] 《中华人民共和国网络安全法》第五十六条,“省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。”
End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
韩璐 律师
北京办公室 知识产权部
作者往期文章推荐:
《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》
《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》
《实施半年后再修订:《信息安全技术个人信息安全规范》应时而变》
《致敬数据合规元年 | 表析《网络安全法》配套法律法规和规范性文件》
《致敬数据合规元年 | 2018《网络安全法》执法案件大盘点》
《他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。