关于《网络数据安全管理条例(征求意见稿)》的三十四个核心问题(下)
作者:
陈际红 吴佳蔚 焦雅婷
陈煜烺 韦龙杰
在上篇中,我们对《网络数据安全管理条例(征求意见稿)》(下称“《数安条例》”中的部分核心问题进行了解答。下篇中我们将继续对《数安条例》的相关探索,以期帮助企业进一步理清法规的重要内容。
关于数据跨境
21、哪些情况下,个人信息跨境提供无需签订标准合同、获得认证或者通过安全评估?
根据《数安条例》第三十五条第二款,以下两种情形无需履行《个人信息保护法》(下称“《个保法》”)第三十八条设定的个人信息跨境传输合法路径:
1) 为订立、履行个人作为一方当事人的合同所必需向境外提供个人信息;
2) 为了保护个人生命健康和财产安全而必须向境外提供个人信息;
其中,对于为订立、履行合同所必需而向境外提供个人信息的场景可见于跨境网购、与境外证券公司开展交易等境内个人直接与境外处理者发生个人信息传输的场景,根据《数安条例》,此等场景无需再履行《个保法》第三十八条设定的个人信息跨境传输合法路径。
我们理解,这可能由于此等场景下境外处理者将直接根据《个保法》第三条第二款构成《个保法》项下的义务主体(进而需满足个人信息处理者的一系列要求),据此无需再以跨境传输的合法路径对境外数据处理者的数据安全能力等予以重复规制。
22、哪些主体需要通过国家网信部门组织的数据出境安全评估?
主体 | 跨境传输数据类型 | 法律依据 |
数据处 理者 | 重要数据 | 《网络安全法》(下称“《网安法》”)第三十七条 《个保法》第四十条 《数据出境安全评估办法(征求意见稿)》第四条 《数安条例》第三十七条 |
累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息 | ||
关键信息基础设施运营者(“CIIO”)&处理100万人以上个人信息的数据处理者 | 个人信息 | |
国家网信部门规定的其他情形 |
23、向境外提供数据的具体义务有哪些?
序号 | 个人信息 | 重要数据 | 法律依据 |
1 | 在报送网信部门的个人信息保护影响评估报告中所明确的目的、范围、方式和数据类型、规模内向境外提供 | N/A | 《数安条例》第三十九条 *《个保法》第五十五条仅规定个人信息处理者在跨境传输前的个人信息保护影响评估义务,但此等义务内容尚未明确应向网信部门报送,故《数安条例》规定的本项义务有待进一步观察。 |
2 | 在网信部门安全评估所明确的出境目的、范围、方式和数据类型、规模等向境外提供 | 《数安条例》第三十九条 *见上第2问关于安全评估的要求。 | |
3 | 采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据 | 《数安条例》第三十九条 《个保法》第三十八条第三款 《数据出境安全评估办法(征求意见稿)》第九条 | |
4 | 接受和处理数据出境所涉及的用户投诉 | 《数安条例》第三十九条 《个保法》第六十二条 | |
5 | 依法对因数据出境对个人、组织合法权益或者公共利益造成的损害承担责任 | 《数安条例》第三十九条 《数据安全法》(“《数安法》”)第四十六条 | |
6 | 存留相关日志记录和数据出境审批记录三年以上 | 《数安条例》第三十九条 | |
7 | 主管部门核验向境外提供个人信息和重要数据的类型、范围时,以明文、可读方式予以展示 | 《数安条例》第三十九条 | |
8 | 国家网信部门认定不得出境的,应停止数据出境,并采取有效措施对已出境数据的安全予以补救 | 《数安条例》第三十九条 | |
9 | 个人信息出境后确需再转移的,应事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务 | N/A | 《数安条例》第三十九条 《个保法》第四十五条 |
10 | 非经中国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于境内的数据 | 《数安条例》第三十九条 《数安法》第三十六条 | |
11 | 每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度的数据出境情况 | 《数安条例》第四十条 | |
12 | 建立健全相关技术和管理措施 | 《数安条例》第四十二条 |
24、什么是数据跨境安全网关?
数据跨境安全网关在实践中又常称为“防火墙”,《数安条例》第四十一条系国家首次以立法形式明确了“防火墙”的法律地位。具体而言,数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施(《数安条例》第七十三条第(十一)项)。
网络安全审查
25、涉及数据处理活动的网络安全审查如何启动?
此前网信办于2021年7月10日发布了《网络安全审查办法(修订草案征求意见稿)》(以下称“《审查办法》”),其中对于数据处理活动规定了主动申报审查和依职权启动审查两种情形,《数安条例》第十三条在此基础上新增了部分场景,具体请见下表:
审查类型 | 数据处理活动 | 法律依据 |
主动申报 审查 | (1) 汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的(新增); (2) 处理一百万人以上个人信息的数据处理者赴国外上市的; (3) 数据处理者赴香港上市,影响或者可能影响国家安全的(新增); (4) 其他影响或者可能影响国家安全的数据处理活动。 | 《数安条例》第十三条; 《审查办法》第二条、第六条 |
依职权启动审查 | 网络安全审查工作机制成员单位认为影响或可能影响国家安全的数据处理活动以及国外上市行为。 | 《审查办法》第十六条 |
26、国外上市和香港上市在网络安全审查方面有区别吗?
《审查办法》规定,“掌握超过100万用户个人信息的运营者赴国外上市”应主动申报网络安全审查,相较于《中华人民共和国证券法》以及国务院的有关规定,此条款并未使用“境外”这一概念,而是使用了“国外”一词。我们之前的解读《激活网络安全审查制度 筑牢数据安全防火墙——〈网络安全审查办法(修订草案征求意见稿)〉评析》认为,这一特殊安排的用意旨在将赴香港上市排除在本条所规定的网络安全审查的适用范围。《数安条例》将“赴国外上市”和“赴香港上市”通过第十三条的第二项和第三项分置规定,显然印证了这一理解,即《审查办法》第六条的适用范围不包括香港上市。
我们理解,《数安条例》并非在《审查办法》基础上对香港上市监管加码,而是法律适用的明确。《数安法》第二十四条规定,“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”即,只要数据处理活动影响或可能影响国家安全,都会触发安全审查,赴港上市行为当然也应包括在内。《审查办法》第六条虽然不包括香港上市,但在第二条却有原则性的要求,即:“数据处理者开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。”
据此,相较于对国外上市所采取的一刀切的量化标准,赴港上市的网络安全审查采取是风险导向的标准,只有确实存在影响或可能影响国家安全的风险,才会触发网络安全审查。同时,为消除该规定对香港上市带来的不确定性,我们也建议监管部门尽快制定赴港上市的数据风险预判指南。
最后,《数安条例》第三十二条还规定赴境外上市的数据处理者应每年开展数据安全评估并向市级网信部门报送的义务。此为赴国外上市和赴香港上市均需遵循的法定义务。
关于互联网平台运营者
27、互联网平台运营者应当制定哪些重要规则?如何公示?
《数安条例》第四十三条规定,“互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度”,并对相关规则提出了具体的公示要求,结合此前网信办于2021年8月27日发布的《互联网信息服务算法推荐管理规定(征求意见稿)》,相关要求梳理如下:
重要规则 | 公示要求 | 法律依据 |
平台规则、隐私政策 | (1) 制定或者对用户权益有重大影响的修订,应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日; (2) 日活用户超过一亿的大型互联网平台运营者制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。 | 《数安条例》第四十三条第二款、第三款 |
算法策略披露制度 | 算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图、运行机制等。 | 《互联网信息服务算法推荐管理规定(征求意见稿)》第十四条 |
28、互联网平台运营者如何管理接入第三方?
《数安条例》第四十四条强调通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。同时,如因第三方产品和服务对用户造成损害,互联网平台运营者将可能直接向用户承担先行赔偿的责任。此外,对于移动通信终端预装第三方产品同样适用于上述规定,例如信安标委于2021年11月12日发布的《移动智能终端预装应用程序分类方法(征求意见稿)》所规定的不可卸载应用程序和可卸载应用程序均可视为上述规定中的“第三方”。
具体而言,结合《GB/T 35273-2020信息安全技术 个人信息安全规范》第9.7条的相关规定,互联网平台可采取如下措施管理接入的第三方:
序号 | 具体内容 |
1 | 建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件; |
2 | 应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施; |
3 | 应向个人信息主体明确标识产品或服务由第三方提供; |
4 | 应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅; |
5 | 应要求第三方根据相关要求向个人信息主体征得收集个人信息的授权同意,或要求第三方具备同意之外的其他法律基础,必要时核验其实现的方式; |
6 | 应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体行权; |
7 | 应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入; |
8 | 产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施: ﹘开展技术检测确保其个人信息收集、使用行为符合约定要求; ﹘对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。 |
29、互联网平台运营者不能利用数据及平台规则做哪些事?
互联网平台运营者作为平台数据处理者和平台规则的制定者,相较于用户和平台内经营者均具有相当的优势地位。国家市场监管管理总局亦于2021年10月29日发布《互联网平台分类分级指南(征求意见稿)》(以下称“《平台分类分级指南》”)《互联网平台落实主体责任指南(征求意见稿)》(以下称“《平台责任指南》”),对互联网平台的分类分级规则以及平台需落实的主体责任予以明确。其中《平台责任指南》中与数据及平台规则相关的义务包括平等对待平台自身和平台内经营者(第二条)、建立健全数据安全审查与内控机制(第四条)、公示服务协议与交易规则(第十四条)、禁止从事垄断或不正当竞争行为(第十六条、第十七条)、数据获取合规(第十八条)、遵循算法规制(第十九条)、规范价格行为(第二十条)、保护平台内经营者(第二十九条)。
《数安条例》第四十六条则从损害后果的角度进行划分,规定了四类互联网平台运营者利用数据以及平台规则的禁止性行为:
行为 | 具体内容 |
损害用户合法权益 | 利用平台收集掌握的用户数据,无正当理由对交易条件相同的用户实施产品和服务差异化定价等; |
损害公平竞争 | 利用平台收集掌握的经营者数据,在产品推广中实行最低价销售; |
损害用户对其数据的决定权 | 利用数据误导、欺诈、胁迫用户,违背用户意愿处理用户数据; |
限制中小企业获取平台数据 | 在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。 |
30、互联网个性化推荐仅能一键关闭还合规吗?
《个保法》第二十四条第二款规定,通过自动化决策方式向个人进行信息推送,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。由此一键关闭个性化推荐为法定的明确要求。但是,对于个性化推荐活动的法律基础如何界定一直是业界争议的焦点,如果适用同意这一基础,则会给企业带来包括opt-in在内的更重的合规负担。
然而,《数安条例》第四十九条对于利用个人信息和个性化推送算法向用户提供信息提出了一系列的合规要求,我们理解,《数安条例》正式稿生效后,此等合规要求将成为互联网平台提供个性化推荐服务的法定义务,仅提供一键关闭功能将面临较高合规风险。具体而言,互联网平台运营者需履行的合规义务包括:
序号 | 具体义务 |
1 | 收集个人信息用于个性化推荐时,应当取得个人单独同意; |
2 | 设置易于理解、便于访问和操作的一键关闭个性化推荐选项,允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数; |
3 | 允许个人删除定向推送信息服务收集产生的个人信息,法律、行政法规另有规定或者与用户另有约定的除外。 |
31、公共服务下收集、产生的数据能用于自身平台发展的目的吗?
根据《数安条例》第五十一条,“互联网平台运营者在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据不得用于其他用途。”
据此,我们理解该条与《数安法》项下政务数据的相关规定有衔接,倾向于认定公共服务下收集、产生的数据仅可用于“为国家机关提供服务”这一目的本身,同时,如该互联网平台系专为提供公共服务所搭建,则将前述数据用于此等平台发展也可能被认定属于上述目的范围。然而,如该互联网平台还存在其他非公共性质的平台服务内容,则我们理解平台运营者不得将此等基于公共服务所收集、产生的数据概括性地用于平台发展。
32、大型互联网平台运营者有哪些义务?
《数安条例》第七十三条第(十)项规定的大型互联网平台运营者是指“用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。”其中关于“用户超过五千万”的量化标准与《平台分类分级指南》第3.4条所规定的“大型平台”之“上年度在中国的年活跃用户不低于5000万”相呼应。可以预见,未来正式稿将有较大可能以5000万年活跃用户作为大型互联网平台的判断标准,同时,我们也倾向于认定将以5000万作为《个保法》第五十八条规定“用户数量巨大”的法定门槛。
具体而言,结合《个保法》《数安条例》和《平台责任指南》,根据对平台规制领域侧重的不同,此等大型互联网平台(或《个保法》下的“重要互联网平台”;《平台责任指南》下的“超大型平台”[1])运营者的义务包括:
规制领域 | 法定义务 | 法律依据 |
个人信息 保护 | (1) 按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督; (2) 遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务; (3) 对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务; (4) 定期发布个人信息保护社会责任报告,接受社会监督。 | 《个保法》第五十八条 |
数据安全 | (1) 在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告; (2) 日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意; (3) 应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。 | 《数安条例》第十三条、第四十三条、第五十三条 |
平台责任 | 应当依法依规采取相关措施,履行《平台责任指南》所规定的各项义务,落实平台主体责任。 | 《平台责任指南》第三十五条 |
关于监督管理
33、监管机构可以采取哪些监督措施?
《数安条例》第五十七条首次对于监管机构采取的监管措施进行细化,明确处理者的配合义务,可以采取以下措施对数据安全进行监督检查:
序号 | 具体内容 |
1 | 要求数据处理者相关人员就监督检查事项作出说明; |
2 | 查阅、调取与数据安全有关的文档、记录; |
3 | 按照规定程序,利用检测工具或者委托专业机构对数据安全措施运行情况进行技术检测; |
4 | 核验数据出境类型、范围等; |
5 | 法律、行政法规、规章规定的其他必要方式。 |
有关主管、监管部门开展数据安全监督检查,应当客观公正,不得向被检查单位收取费用。在数据安全监督检查中获取的信息只能用于维护数据安全的需要,不得用于其他用途。
数据处理者应当对有关主管、监管部门的数据安全监督检查予以配合,包括对组织运作、技术系统、算法原理、数据处理程序等进行解释说明,开放安全相关数据访问、提供必要技术支持等。
34、数据安全审计怎么开展?
根据《数安条例》第五十八条规定,数据安全审计工作应当包括以下内容:
1)针对国家而言,应当建立数据安全审计制度;
2)对于数据处理者而言,如果数据处理者的处理活动涉及个人信息时,应当委托专业的数据安全审计机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。上述规定与《个保法》第五十四条规定一致;
3)如果数据处理者的处理活动涉及重要数据时,相关主管监管部门应当组织开展对上述处理活动的审计工作,重点审计数据处理者履行法律法规规定的重要数据处理义务等内容。
除上述问题之外,还有一些制度或内容仍待澄清,包括并不限于公共信息、新技术安全评估具体流程、个人信息保护行业组织等。基于此,我们会持续关注法律变化和监管动态,对上述仍待澄清的制度或内容予以关注。
[注]
[1] 根据《平台责任指南》附则第(4)项,超大型平台,是指在中国的上年度年活跃用户不低于5000万、具有表现突出的主营业务、上年底市值(或估值)不低于1000亿人民币、具有较强的限制平台内经营者接触消费者(用户)能力的平台。
点击阅读
关于《网络数据安全管理条例(征求意见稿)》的三十四个核心问题(上)
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权权利保护, 网络安全和数据保护, 反垄断和竞争法
特色行业类别:金融行业, 通讯与技术
吴佳蔚 律师
北京办公室 知识产权部
焦雅婷
北京办公室 知识产权部
陈煜烺
北京办公室 知识产权部
韦龙杰
北京办公室 知识产权部
作者往期文章推荐
《关于<网络数据安全管理条例(征求意见稿)>的三十四个核心问题(上)》
《IDC产业链全解析(四):互联网数据中心的数据安全保护义务》
《<个人信息保护法>正式生效,我们聊聊合规落地中的“五六七”》
《网络空间治理升级——从数据治理迈向算法治理》
《<个人信息保护法>正式稿与二审稿对比》
《全景解构<个人信息保护法>,助力企业进入中国个人信息保护新纪元》
《明晰人脸识别案件司法裁判规则,推动AI行业规范发展——最高院人脸识别司法解释解读》
《激活网络安全审查制度 筑牢数据安全防火墙—— <网络安全审查办法(修订草案征求意见稿)>评析》
《欧盟个人数据传输的两项新工具(SCCs):历史演变、法律影响和应对策略》
《九万里风鹏正举:<数据安全法>已来,企业当如何乘风?》
《汽车数据强监管时代开启:<汽车数据安全管理若干规定>(征求意见稿)评析》
《天之未雨 绸缪牖户:企业如何实施个人信息安全影响评估?》
《简评<网络直播营销管理办法(试行)>》
《健康医疗企业IPO数据合规重点问题与应对(下)》
《健康医疗企业IPO数据合规重点问题与应对(上)》
《解读<网络交易监督管理办法>》
《网络安全与数据保护2020年度观察》
《新型电商的数据合规路径》
《EDPB<GDPR下数据控制者及数据处理者概念的指南>解读兼谈<个人信息保护法(草案)>关于处理者的定义》
《2020年APP个人信息治理工作启动,你需要关注的APP自评估指南的主要变化》
《<数据安全法(草案)>观察:构建我国基础性数据安全制度的开端》
《“抗疫”不忘数据合规:<个人金融信息保护技术规范>评析》
《疫情期间企业个人信息保护十问十答》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。