其他
汇业评论 | 《网络数据处理安全规范》解读:功能定位、主要内容及规范创新
结合近期立法趋势及监管实践,参考类似项目经验,汇业律师事务所黄春林律师团队详细解读《安全规范》的功能定位、主要内容及规范创新如下,仅供参考。
一、功能定位:参照与支撑 《安全规范》自2019年4月立项以来,名称几易其稿,也伴随着其功能定位的不断清晰明确。目前公开征求意见的《安全规范》的主要功能定位为:(1) 《安全规范》作为数据安全管理认证工作的参照规范,这是《安全规范》立项的“初心”;(2) 作为《管理办法》等的支撑标准,《安全规范》沿袭并细化了《管理办法》的相关合规控制,这是《安全规范》适应立法变化的重要体现;(3) 参照之前监管实践,尽管《安全规范》是推荐性标准,但还可能会成为主管监管部门对网络运营者数据处理活动进行监督管理和相关执法活动的参考标准之一。 二、主要内容:全生命周期合规控制 《安全规范》以“数据”作为规范对象,具体涵盖了重要数据、个人信息及其他业务数据,在适用范围上宽于《个人信息安全规范》等标准文件。
《安全规范》还借鉴了《民法典》、《管理办法》、《个人信息安全规范》中的“处理”、“网络数据”、“数据安全负责人”、“重要数据”、“个人信息”、“个人敏感信息”等概念,增强了《安全规范》的合规兼容性。
在主文结构上,《安全规范》详细规范了数据处理活动中的收集、传输和存储、加工、公开、定向推送及信息合成、个人信息查阅/更正/删除及用户账号注销、私人信息和可转发信息的处理方式、投诉、举报受理处置、访问控制与审计、向他人提供、数据删除和匿名化处理、数据出境、第三方应用管理等全生命周期,但其中大量合规控制点沿袭了《管理办法》、《个人信息安全规范》及等保条例和标准等相关内容,例如合成标识(《管理办法》24条)、转发跟踪(《管理办法》25条)、流量路由禁止(《管理办法》29条)等等。
此外,《安全规范》再次强调了数据安全岗位及负责人设置、职责及保障,以及数据安全事件应急处置等安全管理合规控制要求,部分合规控制点相较于其他法律法规及标准更加具有操作性。 三、规范创新:突发公共卫生事件个人信息保护 《安全规范》最大的创新,就是在细化了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》等关于突发公共卫生事件个人信息保护的合规要求,具体包括:
(1)《安全规范》首次明确,为应对突发公共卫生事件,有且仅有卫健委或者省级政府有关部门指定的机构,在获得个人信息主体同意或经全国突发公共卫生事件应急指挥部或者卫健委同意的,或者符合其他法律规定的,在符合最小化原则的基础上,有权直接收集相关个人信息,或者从关键信息基础设施运营单位(例如电信运营商)间接收集已经收集的个人信息。
(2)《安全规范》还明确,在疫情防控的验证码等场景使用以人脸识别作为身份验证方式时,原则上应提供其他身份验证方式供用户选择。此外,利用人脸识别信息进行身份验证的,参照《生物特征识别信息的保护要求(征求意见稿)》等要求,原则上不留存可提取人脸识别信息的原始图像。
(3)就社会普遍关心的个人信息使用限制及留存期限问题,《安全规范》明确,相关机构不得利用已掌握的个人信息或者提供信息服务的便利条件谋取商业利益,包括进行市场营销、定向推送广告等。且,突发公共卫生事件应对工作结束后,相关机构应停止收集、调用个人信息,并在60天内或者卫健委规定的时限内删除已收集、调用的个人信息。
此外,《安全规范》还在一些合规控制细节中略有创新突破,例如审计溯源、加工审查、内控制度、第三方应用管理及连带责任、数据安全事件报告对象等。
黄春林
汇业律师事务所高级合伙人
Ramon.huang@huiyelaw.com
黄春林律师,现为上海市律协互联网与信息技术专业委员会副主任,主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务,常年为数十家境内外企业提供前瞻性法律服务解决方案,2019年在人民法院出版社出版专著《网络与数据法律实务:法律适用及合规落地》,多次被LegalBand、知产力等评为中国顶级律师之一。
往期文章推荐: