速览《数据安全管理办法(征求意见稿)》
2019年5月28日,国家互联网信息办公室发布了《数据安全管理办法(征求意见稿)》(下称“《办法》”)。此前,《网络安全法》已于2017年6月1日生效。然而《网络安全法》比较原则,可操作性不强。作为《网络安全法》的配套措施,全国信息安全标准化技术委员会发布的《信息安全技术 个人信息安全规范》(下称“《规范》”)于2018年5月1日生效。《规范》在技术上可谓中国版的《欧盟通用数据保护条例》(“GDPR”),操作性很强。然而,《规范》只是国家推荐性标准,不具有法律强制力,因而没有GDPR那样强大的威慑力。在此背景下,作为《网络安全法》重要的配套法律规范,《办法》为数据安全领域的技术性规范和最佳实践提供了法律强制力。
1
《办法》提出了与“网络安全”相对的“数据安全”概念,将某些行业实践上升为法律规范。
《网络安全法》提出了“网络运行安全”与“网络信息安全”两大概念,而《办法》专门提出“数据安全”概念,强调了在“网络安全”之外“数据安全”的独立性,其目的之一在于“保障个人信息和重要数据安全”。[1] “数据安全”的含义包括了“保护数据免受泄露、窃取、篡改、毁损、非法使用等”。[2] 鉴于“数据安全”这个大概念的独立性,《办法》应处于较高效力层级,目前看来可能是部门规章。
《办法》将部分行业实践上升为法律规范,规定网络运营者不得以默认授权、功能捆绑等形式强迫、误导个人信息主体同意收集其个人信息,[3] 网络运营者进行定向推送应标明“定推”字样,[4] 网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任[5] 等。随着《办法》日后的生效,这些推荐性标准、行业实践将具有法律上的强制力。不过,《办法》对这些行业实践也有所取舍。例如,采纳了《规范》中提及的个人信息主体的访问权、更正权和删除权,[6] 但是《办法》和《电子商务法》一样没有采纳数据可携权。[7]
2
以经营为目的,收集重要数据或个人敏感信息的网络运营者应向网信部门备案。备案内容是数据的收集使用规则,不是数据内容本身。
《办法》要求以经营为目的收集重要数据或个人敏感信息的网络运营者,应向所在地网信部门备案。[8] 我们理解,应履行备案义务的收集行为需“以经营为目的”。对于“以经营为目的”应作何解释,如企业收集员工个人敏感信息的行为是否也被划入“以经营为目的”,仍有待进一步明确。鉴于《办法》没有对个人敏感信息进行定义,此处的个人敏感信息的范围如与《规范》的定义与示例保持一致,将包括个人电话号码、性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等。[9] 这样一来,需履行备案义务的网络运营者的范围会很大。
3
《办法》对公司治理结构提出明确要求:以经营为目的收集重要数据或个人敏感信息的网络运营者应设置“数据安全责任人”。
针对以经营为目的收集重要数据或个人敏感信息的网络运营者,《办法》要求企业应设置“数据安全责任人”,“参与有关数据活动的重要决策,直接向网络运营者的主要负责人报告工作”。[10]“数据安全责任人”与《网络安全法》中的“网络安全负责人”相对,[11] 与《规范》中的“个人信息保护负责人”相应。[12] 《办法》对“数据安全责任人”的任职资格进一步提出要求,即“由具有相关管理工作经历和数据安全专业知识的人员担任”。[13]
4
网络运营者在收集用户信息时应无例外地取得用户同意,强化对个人信息主体的保护。
《办法》规定网络运营者在收集使用个人信息时,应首先制定并公开收集使用规则,[14] 收集使用规则应当明确具体、简单通俗、易于访问。[15] 其次,《办法》规定仅当用户知悉这些使用规则并明确同意后,网络运营者方可收集其个人信息。[16] 《办法》不允许网络运营者在不经用户明确同意的情况下收集个人信息。而《规范》则规定,在某些情形下,允许个人信息控制者在收集个人信息时无需征得授权同意。[17] 可见,相比《规范》而言,《办法》为个人信息主体提供了更有力的保护。
5
《办法》缩小了网络运营者对外提供信息时无需征得个人信息主体同意的范围,进一步加强对个人信息主体的保护。
《办法》规定了网络运营者对外提供信息时无需征得同意的情形。[18] 与《规范》不同的是,《办法》缩小了无需征得同意情形的范围。例如,当个人信息属于“从合法公开渠道收集”的情况下,《办法》强调应同时满足“不明显违背个人信息主体意愿”的条件,无需征得个人信息主体的同意。[19] 在“维护个人信息主体生命安全所必需”的情况下,无需征得个人信息主体的同意;而《规范》中提到的“出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的”例外情形要宽很多。[20]
6
国务院有关主管部门为履行其职责需要,依法要求网络运营者提供掌握的相关数据的,网络运营者应当予以提供。[21]
7
收集14周岁以下未成年人的个人信息,应取得监护人同意。
若涉及14周岁以下未成年人个人信息的收集,《办法》规定网络运营者应征得其监护人的同意,[22] 此举与《规范》中的相关要求基本保持一致,但去掉了“明示”二字,[23] 一定程度上减轻了网络运营者的负担。
8
网络运营者跨境传输重要数据,需要进行评估并报经有关部门同意。
根据《办法》的规定,网络运营者在发布、共享、交易以及向境外提供重要数据前,都应进行安全风险评估,并报经行业主管监管部门同意,行业主管监管部门不明确的,应经省级网信部门批准。[24] 这意味着,无论数据出境所涉数量多少,所涉行业如何,只要是重要数据出境,都要报有关部门同意,加大了数据跨境传输的监管力度。
9
《办法》的执法、处罚措施威慑力有限。
《办法》规定了约谈、公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等执法措施。[25] 与《网络安全法》不同,《办法》没有提及罚款。“约谈”、“公开曝光”相较于“警告”、“纳入失信名单”而言,属于柔性执法,比较温和。相较GDPR中的巨额罚款规定,《办法》对企业的威慑力有限。
10
《办法》没有提及“关键信息基础设施运营者”。
《办法》规定了“网络运营者”的数据收集、处理使用以及数据安全保护活动,没有提及“关键信息基础设施运营者”在数据安全方面的义务。尽管“网络运营者”在概念上可涵盖“关键信息基础设施运营者”,但是“关键信息基础设施运营者”的数据安全应有别于“网络运营者”。
【注]
[1] 参见《数据安全管理办法(征求意见稿)》第1条。
[2] 参见《数据安全管理办法(征求意见稿)》第4条。
[3] 参见《数据安全管理办法(征求意见稿)》第11条第1款。
[4] 参见《数据安全管理办法(征求意见稿)》第23条。
[5] 参见《数据安全管理办法(征求意见稿)》第30条。
[6] 参见《数据安全管理办法(征求意见稿)》第21条。
[7] 参见《电子商务法》第24条。
[8] 参见《数据安全管理办法(征求意见稿)》第15条。
[9] 参见《信息安全技术 个人信息安全规范》附录B。
[10] 参见《数据安全管理办法(征求意见稿)》第17条。
[11] 参见《网络安全法》第21条第1款。
[12] 参见《信息安全技术 个人信息安全规范》第10.1条。
[13] 参见《数据安全管理办法(征求意见稿)》第17条。
[14] 参见《数据安全管理办法(征求意见稿)》第7条。
[15] 参见《数据安全管理办法(征求意见稿)》第8条。
[16] 参见《数据安全管理办法(征求意见稿)》第9条。
[17] 参见《信息安全技术 个人信息安全规范》第5.4条。
[18] 参见《数据安全管理办法(征求意见稿)》第27条,
[19] 参见《数据安全管理办法(征求意见稿)》第27条第1款。
[20] 参见《数据安全管理办法(征求意见稿)》第27条第5款,《信息安全技术个人信息安全规范》第8.5条。
[21] 参见《数据安全管理办法(征求意见稿)》第36条第1款。
[22] 参见《数据安全管理办法(征求意见稿)》第12条。
[23] 参见《信息安全技术 个人信息安全规范》第5.5条。
[24] 参见《数据安全管理办法(征求意见稿)》第28条。
[25] 参见《数据安全管理办法(征求意见稿)》第33条、第37条。
End
作者简介
周洋 律师
上海办公室 合伙人
业务领域:收购兼并, 资本市场/证券, 合规/政府监管, 科技、电信与互联网
王东蓉
上海办公室 公司部
作者往期文章推荐:
《揭开“等保”面纱 | 一文读懂<网络安全等级保护条例(征求意见稿)>》
《Regulation of internet content services in China(Ⅱ)》
《Regulation of internet content services in China(Ⅰ)》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。