【律师视点】吴沈括、辛小天、江智茹:一文速览《网络数据处理安全规范(征求意见稿)》要点
北京德和衡律师事务所高级顾问
德衡律师集团合伙人
北京德和衡(深圳)律师事务所
律师助理
【专家洞察】数据安全是覆盖全网络、保护全流程、治理全操作的精准安全。—— 任卫红,公安部第三研究所研究员、公安部信息安全等级保护评估中心技术部主任。
2020年8月28日,全国信息安全标准化技术委员会发布《GB/T XXXXX—XXXX《信息安全技术 网络数据处理安全规范(征求意见稿)》(“《网络数据处理安全规范(征求意见稿)》”),其规则定位、适用范围及内容要点具体如下:
《网络数据处理安全规范(征求意见稿)》经过多次研讨修改,其定位也从最初的数据安全管理认证转变为围绕数据安全相关政策,承接《数据安全法(草案)》、《民法典》、《网络安全法》等相关法律法规及配套规范标准的数据安全要求和用词描述,支撑《数据安全管理办法(征求意见稿)》的实施落地,明确了网络运营者利用网络开展数据收集、存储、使用、加工、传输、提供、公开等数据处理活动应遵循的规范和安全要求,对于企业通过网络开展数据处理活动的数据安全管理实践具有重要的指导意义。
如上图所示,《网络数据处理安全规范(征求意见稿)》对网络运营者的数据处理活动实践,主管监管部门的相关监督管理和第三方评估机构的相关评估工作均适用。同时,虽然该标准为国家推荐性标准,但《国家标准<信息安全技术网络数据处理安全规范>(征求意见稿)编制说明》中对于该标准的“贯彻要求和措施建议”则指出,具有网络数据处理相关业务的企业应该应用该标准,政府、行业相关监管部门宜采用该标准对网络数据处理相关企业进行监督,认证机构应积极应用该标准作为认证依据为网络数据处理相关企业开展认证业务。
数据处理总要求
《网络数据处理安全规范(征求意见稿)》延续了我国数据安全相关立法的核心要求,从数据识别、分级分类、风险防控、审计追溯等方面对网络运营者提出数据处理的总体要求。具体如下:
数据处理
《网络数据处理安全规范(征求意见稿)》对于个人信息和重要数据等的保护要求,则主要与《网络安全法》、《民法典》、《数据安全管理办法(征求意见稿)》、GB/T 35273-2017《信息安全技术 个人信息安全规范》/ GB/T 35273-2020《信息安全技术 个人信息安全规范》等相关法律法规、标准的规定相衔接,从数据收集、传输和存储、加工、公开、定向推送及信息合成、个人信息查阅/更正/删除及用户账号注销、私人信息和可转发信息的处理方式、投诉/举报受理处置、访问控制与审计、向他人提供、数据删除和匿名化处理、数据出境、第三方应用等方面提出数据处理具体要求。
其中,对于私人信息和可转发信息的处理方式的规范可谓是本次《网络数据处理安全规范(征求意见稿)》的新增亮点。
《网络数据处理安全规范(征求意见稿)》规定,“即时通信等社交平台运营者宜为用户提供发送私人信息和可转发信息的选项,并按照以下方式处理:a)对以私人选项发送的信息予以严格保护,不提供转发功能;b) 对以可转发选项发送的信息,或者转发此类信息的,同时发送信息始发者在该平台上的账号名称,该账号名称唯一且不可更改。”
对于私人信息选项的设置,无疑可以更好的保护用户的通信秘密,为用户的隐私提供更高水平的保护;而对于信息始发者账号名称的标注,则延续了《数据安全管理办法(征求意见稿)》中关于网络运营者对用户转发他人制作的信息 “应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识”[1]的要求,其一方面有利于保护信息始发者的知识产权权利(如有),另一方面对于违法违规信息的传播源头也可以进行有效追溯,从而保障建立和/或维护更为健康的网络舆论生态环境。
尽管该条款规定有着上述知识产权保护与信息内容合规监管的优势,但是,从国家层面的立法来规制对于用户发布信息的非商业性使用是否合适,仍待商榷。从国际立法趋势来看,GDPR明确个人信息主体对其他个人主体发布信息的非商业性使用不在国家层面的法律管辖范围内。此外,数据安全与信息安全的界限厘清也一直是国际和国内数据安全相关立法的重要研究课题,未来数据安全相关立法是否会更聚焦于对于数据全生命周期的安全保护和合规规范,而摒除信息安全体系下对于信息内容的合规与管理,也是值得我们关注的一个问题。
安全管理
《网络数据处理安全规范(征求意见稿)》从数据安全责任人、人力资源保障与考核及事件应急处置三个方面再次强调了对于网络运营者的数据安全管理的要求。
其中,对于数据安全岗位及数据安全负责人的设置,不论从国内数据安全相关法律、法规、标准立法来看,还是从企业实践来看都已成为企业数据安全管理实践的必然趋势,也是企业有效保障数据安全的重要管控措施之一。而《网络数据处理安全规范(征求意见稿)》新增的“人力资源考核制度”和“数据安全管理考核指标和问责机制”的要求,将数据安全作为相关人员的考核指标之一,无疑可以更有效的推进企业数据安全保护岗位及其职责的建立健全及企业数据安全管理规范的落地实施,从而有效提高企业的数据安全和个人信息保护水平。
突发公共卫生事件个人信息保护
《网络数据处理安全规范(征求意见稿)》的另一新增亮点,就是专门规定了为应对突发公共卫生事件,由国务院卫生健康行政部门或者省级人民政府有关部门指定的机构所应遵从的“突发公共卫生事件个人信息保护”规范(详见下图),对常态化疫情防控工作中个人信息保护标准体系的完善和对疫情联防联控工作的支撑具有重要意义。
注释:[1]《数据安全管理办法(征求意见稿)》第二十五条规定,网络运营者应采取措施督促提醒用户对自己的网络行为负责、加强自律,对于用户通过社交网络转发他人制作的信息,应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识。
或许您还想看
【律师视点】辛小天:无人驾驶车辆信息和数据保护的法律监管思考
【律师视点】辛小天:数据合规的中西大餐, 能否尝出融合的味道?
【律师视点】辛小天:信息保护标准解读系列之二 | 《生物特征识别信息的保护要求》解读
【律师视点】辛小天:印度屏蔽59个中国app的“胆量” ——了解印度IT法案第69A条
【律师视点】辛小天:《民法典》展望 | 个人信息民事救济如何解困隐私权诉之惑
【律师视点】江智茹:信息保护标准解读系列之四 |《信息安全技术智能家居安全通用技术要求》解读
作者简介
吴沈括
北京德和衡律师事务所高级顾问、中国互联网协会研究中心秘书长、北京师范大学网络法治国际中心执行主任。
北京师范大学网络法治国际中心执行主任、互联网发展研究院院长助理、博士生导师。联合国网络安全与网络犯罪问题高级顾问。中国互联网协会研究中心秘书长。中国信息化百人会数据治理委员会主任。意大利维罗纳大学法学博士、博士后、助理研究员、访问教授。意大利都灵大学合同研究员。最高人民法院咨询监督专家。中共北京市委政法委法学专家库专家。QS集团世界高校学术声誉调查专家库专家、欧洲法学权威期刊《Diritto Penale XXI Secolo》编委。专长领域包括网络治理、网络法治、数据治理、网络安全、网络犯罪等。
手机:13311546373
邮箱:wushenkuo@deheng.com
辛小天
德衡律师集团合伙人,互联网与TMT业务中心总监, 网络空间安全战略与法律委员会委员,清华大学创业引导年度荣誉导师。
辛小天律师曾就职于MayerBrown JSM 律师事务所,美国美富律师事务所,通用电气及奇虎360 。擅长投融资以及并购法律、互联网法律及合规风控、反垄断法、公司法及劳动相关法律、外商投资及外资公司设立相关法律、中国房地产开发、房产租赁、融资及抵押相关法律、酒店管理相关法律经验。主要业绩:奇虎360多个对外投资项目、奇虎360内部反舞弊等风控制度设立参与、阿里全资收购瀚海源项目法律顾问、乌云公司海外融资项目法律顾问、清华大数据产业联合会法律顾问,并协助多个投资项目、三里屯房地产项目法律咨询、喜来登、万豪、凯宾斯基、悦榕庄等数个酒店管理项目法律顾问、Apollo 基金中国反垄断申报等。
手机:13911159437
邮箱:xinxiaotian@deheng.com
江智茹
北京德和衡(深圳)律师事务所互联网合规团队律师助理,西安交通大学法学硕士(信息安全法方向)。
曾就职于微软(中国)有限公司(实习)、奇虎360。擅长互联网产品法律风险分析及控制,并尤为擅长研究和解决网络与数据安全、软件研发、电子商务、网络游戏等领域内的产品合规问题。
手机:13810669648
邮箱:jiangzhiru@deheng.com
质控人简介
合伙人
互联网与TMT业务中心副总监、电商合规业务专业委员会主任
zhouyang@deheng.com
✦本文仅代表作者观点,如需转载、节选,请在后台留言