“却顾所来径,苍苍横翠微” ——短评《数据安全管理办法(征求意见稿)》
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
宁宣凤律师是合规业务部负责人,宁律师的主要执业领域为网络安全与数据合规。宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
吴涵律师的主要执业领域为网络安全与数据合规。吴律师曾多次协助客户进行自查并完善网络安全和数据合规体系,为客户提供网络安全和数据合规培训等。 项目涉及金融支付与清算、保险、网约车平台、消费电子、互联网广告、日化等行业。
李沅珊
主办律师
合规业务部
淡雪紫
律师
合规业务部
《数据安全管理办法(征求意见稿)》
2017年生效的《网络安全法》(以下简称“《网安法》”)已经为我国网络及数据安全奠定了坚实的基础,为网络运营者指明数据合规的方向。国家互联网信息办公室在酝酿已久之后,于2019年5月28日零点发布了《数据安全管理办法(征求意见稿)》(以下简称“《征求意见稿》”),一定程度上标志着我国的数据安全保护工作进入“深水区”。
暂且不谈其中的立法技术和结构等问题,《征求意见稿》承继《网安法》中网络空间主权的原则,梳理和细化个人信息和重要数据保护制度,并根据实践中多种常见的数据安全相关的问题提出规范性要求。我们在此初步梳理其中的重点内容,尝试理解数据安全的监管思路。
1
《征求意见稿》主要内容梳理
1.1
对于网络运营者的义务要求
在《网安法》的基础上,《征求意见稿》融合借鉴了诸多《信息安全技术 个人信息安全规范》(以下简称“《个人信息安全规范》”)中的规范要求,对网络运营者所负有的各项义务进行了进一步明确。
具体而言,根据《征求意见稿》总则部分,网络运营者所负有的义务包括:
参照国家网络安全标准,履行数据安全保护义务;
建立数据安全管理责任和评价考核制度;
制定数据安全计划;
实施数据安全技术防护;
开展数据安全风险评估;
制定网络安全事件应急预案,及时处置安全事件;
组织数据安全教育、培训。
《征求意见稿》中通过 “数据收集”和“数据处理使用”的不同环节分别对于网络运营者的具体义务内容进行详述(重点关注的合规义务具体可参见附录)。
1.2
监管部门及监管形式
在《网安法》第八条所确立的“国家网信部门统筹协调,各行业主管分别负责”的监督管理体系下,《征求意见稿》进一步明确了相关监管主体,即:个人信息和重要数据的安全保护工作是在中央网络安全和信息化委员会的领导下,由国家网信部门进行统筹协调和指导监督。地(市)级以上网信部门依据职权领导监督本行政区内个人信息和重要数据安全保护工作。
具体的监管形式包括:对于网络运营者数据安全管理责任落实不到位的,网信部门可按照规定的权限和程序约谈网络运营者的主要负责人,督促其整改。此外,网信部门将会同国务院市场监督管理部门,指导国家网络安全审查与认证机构,并组织数据安全管理认证和应用程序安全认证工作。
1.3
法律责任
根据《征求意见稿》第三十七条,对于违反本办法规定的网络运营者,有关部门将依据相关法律、行政法规的规定,根据情节严重程度施加不同的处罚措施,具体包括:公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等。构成犯罪的,将依法追究刑事责任。
2
仍需进一步探讨的重点问题
总体而言,《征求意见稿》综合考虑了此前《网安法》下配套法律法规或部门规范性文件(包括征求意见稿)、以及国家标准(如《个人信息安全规范》)中的要求,对于我国境内利用网络开展数据收集、存储、传输、处理、使用等活动,以及数据安全的保护进行了细致而全面的要求。
2.1
对于用户告知的要求
除了强制要求网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定隐私政策或其他形式的用户告知文本以外,《征求意见稿》还从九个方面对告知文本的内容予以明确规定,包括但不限于网络运营者、主要负责人、数据安全责任人的基本信息;个人信息收集、存储和向他人提供时的明确告知;个人信息安全保护策略以及用户主体权利等。
值得注意的是,对于个人信息的收集使用规则等,《征求意见稿》中部分参考了国家标准《个人信息安全规范》中的内容,例如:
收集使用规则应当明确具体、简单通俗和易于访问。对于过多使用专业术语解释个人信息收集和使用的目的,或者在专门针对儿童提供的产品中使用生涩话术,都可能被认定为不符合简单通俗的表述要求。此外,对于埋藏较深的隐私政策说明,或者除非用户退出注册才能访问隐私政策等的设置,都可能被认定为不符合易于访问的要求。
对于个人信息的收集、使用而言,《征求意见稿》进一步要求网络运营者说明收集使用个人信息的数量、个人信息保存地点、期限及到期后的处理方式。依据《个人信息安全规范》中有关隐私政策模板(附录D)的说明,网络运营者仅需披露对于数据保存期限的原则性要求,即“只会在达成本政策所述目的所需的期限内保留您的个人信息,除非需要延长保留期或受到法律的允许”。 但根据《征求意见稿》第十五条的要求,网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案,其中备案内容中需包括收集使用重要数据或个人敏感信息的期限。这可能意味着不仅对个人信息的保存期限要求可能要有承诺性说明,在特殊情况下可能需要进一步明确各种个人信息保存的具体年限[1]。
在用户权利响应方面,《征求意见稿》除了《网安法》规定的更正、删除个人信息权利以外,还额外确定了个人信息主体撤销同意,以及查询个人信息的权利。网络运营者在考虑满足用户权利响应的要求时,需要一并考虑个人信息主体撤销同意和查询个人信息权利的响应途径和方法。此外,依据《征求意见稿》第二十条,用户注销账号后应当及时删除其个人信息。因此,《征求意见稿》生效后,网络运营者可能需要在内部建立个人信息的标识机制、对个人信息在系统内的流转进行跟踪、以及系统中数据更新的联动机制,从而才能保证用户在注销账号后其存储在公司内部的所有相关个人信息能被统一删除。
2.2
对“以经营为目的”收集重要数据
或个人敏感信息的要求
《征求意见稿》针对网络运营者“以经营为目的”收集重要数据或个人敏感信息提出了特别要求,包括:(1)向所在地网信部门就收集的重要数据或个人敏感信息进行备案的要求(第十五条);(2)明确数据安全责任人的要求(第十七条)。
首先,《征求意见稿》中并未就对“以经营为目的”、“个人敏感信息”等概念进行阐释(详见以下第3部分分析),也未对收集信息的数量和行业进行限定,可能导致收集重要数据或个人敏感信息的网络运营者都将普遍面临备案等的义务。
其次,针对以上第(2)点数据安全责任人的要求,《征求意见稿》在《网安法》中有关网络运营者应当确定“网络安全责任人”,落实网络安全保护责任要求[2]的基础上,进一步提出了明确“数据安全责任人”的要求,并对数据安全责任人的职责予以了明确规定。对于“网络安全责任人”和“数据安全责任人”是否能由同一人担任,且各自的职责划分暂未有进一步规定。
2.3
对于定向推送的要求
《征求意见稿》第二十三条首次明确了“定向推送”的定义,以及需要遵守的相关要求。具体而言,网络运营者利用用户数据和算法推送新闻信息、商业广告等,即可被认定为定向推送。
《征求意见稿》第十一条和第二十三条规定了网络运营者定向推送需遵守的义务,具体包括:
不得以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息;
以明显方式标明“定推”字样;
为用户提供停止接收定向推送信息的功能;
用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息;以及
网络运营者开展定向推送活动应遵守法律、行政法规,尊重社会公德、商业道德、公序良俗,诚实守信,严禁歧视、欺诈等行为。
在大数据应用和算法技术迅猛发展的当下,个性化的广告推荐成为企业推广产品的重要渠道之一。《征求意见稿》中有关不得以默认授权、功能捆绑等形式强迫、误导个人信息主体同意以定向推送为目的收集个人信息的规定,可能要求网络运营者在概括性的隐私政策之外,另行以用户勾选、弹窗等形式单独说明定向推送可能需要收集的个人信息。实践中以类似的方式获取用户同意较为困难,可能会影响大量企业的商业实践,企业将可能需要以更加激励的机制,如积分、优惠等方式,鼓励用户同意有关定向推送的单独提示。
此外,公安部等三部门联合发布的《互联网个人信息安全保护指南》中曾规定:“完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用,可事先不经用户明确授权”。 如何理解并衔接《征求意见稿》中有关定向广告推送不得以默认授权形式获得个人信息主体同意的规定仍有待观察。
2.4
重要数据跨境传输的行政部门审批要求
《征求意见稿》第二十八条从以下两方面对《网安法》第三十七条规定的重要数据跨境安全评估适用规则进行了扩大化解释[3]:(1)将重要数据出境需进行跨境安全评估的主体适用范围从关键信息基础设施运营者扩大为网络运营者;(2)将此前发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《安全评估办法(草案)》”)中,网络运营者/关键信息基础设施运营者基于重要数据的敏感程度,分别适用跨境“自评估”、“自评估+行业主管部门备案”或者“自评估+行业主管部门批准”的多层次、多维度要求,统一提升为需经行业主管监管部门同意,特殊情形下经省级网信部门批准的要求。
由于网络运营者的定义宽泛,作为网络所有者、管理者或网络服务提供者的企业而言,可能都将面临重要数据出境前的行业监管部门同意或网信部门审批要求。对于将少量且对国家安全、经济安全、社会稳定、公共健康等影响较低的重要数据出境而言,网络运营者仍需事先满足跨境评估行政审批的要求,这可能导致对数据传输的实时性和成本造成的影响与数据泄露风险不相匹配的结果。
2.5
针对新型数据安全问题的监管
2.5.1. 网络爬虫
网络爬虫(又称网页蜘蛛、网络机器人),是一种按照既定的规则,自动抓取网页内容信息的程序或者脚本,通常是搜索引擎识别并抓取网页内容的一种技术手段。为了尽可能多地抓取内容,技术使用方通常倾向于在单位时间内尽可能多地发起内容请求,以提高内容抓取的效率。然后,从技术角度看,短时间内过高频次的内容请求将可能引发网站的无响应甚至瘫痪,造成网站服务商或所有者的经营损失。
《征求意见稿》第十六条将爬虫行为明确限制在不影响网站正常运行的范围内。并且,当爬虫行为严重影响网站运行、网站要求停止自动化访问收集时,应当停止爬虫行为。对于提供搜索服务、信息发布平台类网络运营者而言,可能需要考虑以适当频率发起内容请求,避免过高的请求频率引发事实上的“网络攻击”,或加强与网站服务商或所有者的协商,以阐明使用网络爬虫技术的目的,商定爬虫使用的范围、频率与方式以寻求共识。
2.5.2. 自动化洗稿
随着信息流转速度加快、互联网媒体迅速发展,企业/个人为了确保信息的及时性以赢得流量,往往对他人的原创内容进行篡改、删减,使其形式上具备独创性、无法被反抄袭软件发现,但其实最有价值部分仍存在抄袭嫌疑(即所谓的“洗稿”)。 2018年,国家版权局等四部门联合启动“剑网2018”专项行动,对自媒体通过“洗稿”抄袭剽窃、篡改删减原创作品的侵权行为重拳出击。其中,情节严重、涉嫌犯罪的,还将移送公安机关。
《征求意见稿》则是从对于新技术利用监管的角度限制了“洗稿”的手段和展示形式,即利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应以明显方式标明“合成”字样,并不得以谋取利益或损害他人利益为目的自动合成信息。
2.5.3. 算法歧视
随着人工智能技术发展,算法正规制着我们的生活,构建了打分、评级和分类的虚拟世界。数据原教旨主义相信,数字不会说谎,可以代表客观事实,甚至可以公平地为社会服务。但是,现有研究发现,建立在数据基础之上的算法系统也会犯错、带有偏见,而且比以往的数字歧视更加隐秘。《征求意见稿》中要求网络运营者开展定向推送活动应遵守法律、行政法规,尊重社会公德、商业道德、公序良俗,诚实守信,严禁歧视、欺诈等行为,明确了未来广告推送中涉及算法技术应用的原则性要求。
3
有待进一步明确的问题
我们注意到《征求意见稿》中还存在一些待进一步厘清、明确的问题,主要包括以下几个方面:
3.1
“以经营为目的”收集重要数据
或个人敏感信息的概念
《征求意见稿》第十五条中对网络运营者在特定场景下提出了备案义务。具体而言,其要求网络运营者在“以经营为目的”收集重要数据或个人敏感信息时,应向所在地网信部门备案。然而,《征求意见稿》并未明确何种场景会构成“以经营为目的”的收集,究竟是狭义理解的仅包括用于开发、挖掘数据商业化价值的收集行为,还是泛指所有在网络运营者业务经营开展过程中涉及的收集行为似乎存在疑问。而如果采用后者的广义理解,考虑到个人敏感信息的范围较广且《征求意见稿》中并未明确“个人敏感信息”定义,在实践中,绝大多数的网络运营者将可能会落入备案义务的范围中,这无疑会对网络运营者施加较为繁重的合规义务。
3.2
网络数据定义
在《征求意见稿》第五章“附则”部分,“网络数据”被定义为指通过网络收集、存储、传输、处理和产生的各种电子数据。然而,除此定义外,我们注意到《征求意见稿》正文中并未使用“网络数据”的概念,而是统称为“数据”。因此,《征求意见稿》正文所使用的“数据”与定义部分的“网络数据”的对应关系待进一步明确。
3.3
重要数据定义
在第五章“附则”部分,“重要数据”是指是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。同时,重要数据一般不包括企业生产经营和内部管理信息、个人信息等。
《征求意见稿》中“重要数据”的概念与国家互联网信息办公室此前于2017年4月11日发布的《安全评估办法(草案)》、2017年8月25日发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》及其附录A《重要数据识别指南(征求意见稿)》有关重要数据的定义存在差异。具体而言,相比于之前发布的征求意见稿中的表述,本次《征求意见稿》中进一步限定了“重要数据”的范围,一方面明确要求一旦发生泄露对于“国家安全、经济安全、社会稳定、公共健康和安全”可能造成的影响程度需构成“直接影响”;而另一方面,将“企业生产经营和内部管理信息、个人信息等”一般排除在重要数据的范围外。考虑到“重要数据”收集、发布、共享、交易和传输可能会触发备案及跨境审批等要求,进一步澄清和规范各个行业的“重要数据”范围将迫在眉睫。
4
结语
自《网安法》于2017年6月1日起实施至今,公众对于自身个人信息保护的意识日渐增强,企业的数据处理活动更为规范,监管上与国际化接轨的要求帮助我国逐步建立数据经济的发展和数据安全的平衡。“却顾所来径,苍苍横翠微”,回顾2017年以来我国数据安全各方面的进步让大家欣喜。作为扮演“入微”角色的《数据管理办法》尽管还有待完善,但已经开始系统性的构建数据安全监管的框架,在各界齐心协力之下,我们可以预期数据安全的未来之路,仍然处处如翠微般蔚然。
附录
数据处理各阶段的主要合规义务
数据收集环节 |
|
数据处理使用环节 |
|
其他义务 |
|
[1]《征求意见稿》中要求网络运营者说明个人信息保存期限的条款包括:(1)网络运营者应在收集使用规则中说明个人信息的保存期限(第八条);(2)网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案,其中备案内容中需包括收集使用重要数据或个人敏感信息的期限(第十五条)。
[2] 《网安法》第二十一条第(一)款。
[3] 《网安法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
敬请期待
我们近期将举办解读《数据安全管理办法》(征求意见稿)活动,请大家关注金杜研究院公众号通知
感谢关注金杜研究院