新闻资讯 首页>新闻资讯>专业文章

《数据安全管理办法(征求意见稿)》简要解读及可能影响分析(上篇)

作者:中伦文德   丨  时间:2019.08.12   丨  浏览:69


为维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,国家互联网信息办公室(“网信办”)于2019年5月28日发布《数据安全管理办法(征求意见稿)》(“征求意见稿”),向社会公开征求意见。征求意见稿在《网络安全法》的基础上,进一步从数据的收集、处理使用和安全监督管理等方面规定了网络运营者的数据安全保护义务。



鉴于在中国境内利用网络开展数据收集、存储、传输、处理、使用等活动(“数据活动”)的企业或公司等均将适用该办法,如征求意见稿正式生效,将深刻改变所涉企业的业务安排及合规体系,我们建议从事数据活动的企业或公司的管理层、法务部门和数据安全管理部门以及相关的专业人士对相关的立法活动持续予以关注。

征求意见稿由网信办发布,如未来正式生效,则其性质应为国务院部门规章。根据十三届全国人大常委会2018年9月7日公布的立法规划,《数据安全法》已被列为第一类立法项目,即条件比较成熟、任期内拟提请审议的法律草案。我们理解,《数据安全管理办法》可以视为《数据安全法》的先驱或预演,其确立的规范、制度和体系可能被《数据安全法》吸纳而成为未来中国数据安全保护领域的基本规则。从长远来看,征求意见稿的影响可能比现阶段看到的更为深远。

现从立法思路、监管措施、实务争议点(及可能的影响)等角度分(上)(下)两篇就征求意见稿简要解读及分析如下,本文为上篇。

一、立法思路

 (一) 区分数据类型,明确重点保护对象

征求意见稿明确提出其立法目的为保障个人信息和重要数据安全。虽未明确提及普通数据,但在逻辑上我们理解征求意见稿实质上已将数据区分为个人信息、重要数据和其他数据。征求意见稿重点保护个人信息和重要数据,其他数据按照征求意见稿和其他法律法规的一般性规定保护即可。此外,征求意见稿明确将纯粹家庭和个人事务排除在其适用范围之外,但该等数据仍可以由其他相关法律法规保护,例如隐私权保护的相关规定。

(二) 吸纳国标内容,构建个人信息保护的基本制度

征求意见稿在《网络安全法》的基础上,吸收了国家推荐性标准《信息安全技术 个人信息安全规范》(GB/T 35273-2017)(“《个人信息安全规范》”,包括2019年6月发布的最新版本的征求意见稿)中的若干规定,提出了收集、处理使用个人信息的系列要求,将国家推荐性标准中较为适用的监管措施以及实践要点上升到了国务院部门规章层面。我们在此也提示网络运营者充分重视《个人信息安全规范》,个人信息保护的立法工作是一个渐进的过程,《个人信息安全规范》的内容未来大概率将更多地被纳入到相关法律法规中。

(三) 重新定义重要数据,构建重要数据保护的基本制度

2017年国家互联网信息办公室先后发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》、《信息安全技术 数据出境安全评估指南(征求意见稿)》,初次对重要数据做出了定义(指与国家安全、经济发展,以及社会公共利益密切相关的数据)并按照行业(领域)列举了各自所涉及的重要数据范围。但经征求意见后,为进一步明确重要数据保护的边界及其在实务中的可行性,征求意见稿从后果的角度进一步明确了重要数据的定义,即“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等”。征求意见稿原则上将企业生产经营和内部管理信息、个人信息等排除在重要数据之外,澄清了部分实务中的困惑。

征求意见稿初步构建了等于甚至严于个人信息保护标准的重要数据保护制度,如针对以经营为目的收集重要数据(或个人敏感信息)的备案制度;针对发布、共享、交易或向境外提供重要数据的批准制度等。

(四) 针对新技术,提出新的监管措施

征求意见稿针对采用自动技术(如网络爬虫等)爬取数据,采用用户画像技术定向推送广告,利用大数据、人工智能等技术自动合成信息等基于新技术的数据活动,分别引入了新的监管措施及合规要求。

(五) 明确网络运营者的义务,澄清国家标准的法律地位

征求意见稿规定,网络运营者的主要义务为数据安全保护义务(详见征求意见稿第6条),并应对接入其平台的第三方应用运营者的行为承担过错推定责任。

征求意见稿要求网络运营者履行数据安全保护义务时应当参照国家网络安全标准,并就个人信息和重要数据保护明确要求网络运营者参照国家有关标准采用数据分类、备份、加密等措施。



二、监管措施

(一) 监管主体及主要义务主体

1.  监管主体

《网络安全法》初步规定由国家网信部门负责统筹协调网络安全工作和相关监督管理工作。《征求意见稿》进一步明确在中央网络安全和信息化委员会领导下,国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作,地(市)及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。即数据安全管理的监管主体为中央网络安全和信息化委员会、国家网信部门、地(市)及以上网信部门。

2.  主要义务主体

网络运营者是数据安全管理的主要义务主体。征求意见稿在总则第6条中原则规定了网络运营者的主要义务,该等义务被充分体现在了征求意见稿各具体条文中。

此外,关于重要数据出境安全评估,与个人信息出境安全评估一样,征求意见稿也存在义务主体扩大(从关键信息基础设施运营者扩大为至网络运营者)问题。



(二) 监管措施

1.  数据收集

由于个人信息和重要数据在性质上的差异,征求意见稿在数据收集环节更多规定了个人信息收集的相关合规要求,对于重要数据的收集规定了相对较少但更为严格的合规要求(与适用于个人敏感信息收集的特殊要求同等)。此外,征求意见稿进一步针对网络运营者使用自动化手段(如网络爬虫)收集数据的行为提出了约束性的要求。

① 个人信息收集的合规要求

征求意见稿在总结《网络安全法》、《个人信息安全规范》实践经验的基础上,就个人信息的收集使用提出下述合规要求。

A.公开收集使用规则要求
征求意见稿规定,网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。征求意见稿明确规定了收集使用规则应包含的内容,以及收集使用规则的提供形式,例如应可以包含在隐私政策中,也可以以其他形式提供。

B. 自主明示同意要求
征求意见稿规定,仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

C. 功能设计一致要求
征求意见稿规定,网站、应用程序收集或使用个人信息的功能设计应同隐私政策保持一致,并同步调整。

D.区分核心业务功能要求
征求意见稿规定,个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后,网络运营者应当向个人信息主体提供核心业务功能服务,不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息,而拒绝提供核心业务功能服务。

E.非歧视要求
征求意见稿规定,网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围,对个人信息主体采取歧视行为,包括服务质量、价格差异等。

F.间接收集同等责任要求
 征求意见稿规定,网络运营者从其他途径获得个人信息,与直接收集个人信息负有同等的保护责任和义务。

② 重要数据或个人敏感信息收集 (以经营为目的)的合规要求

个人敏感信息的收集除应适用上述个人信息收集的一般性合规要求,还应适用征求意见稿进一步提出的制度性要求,该制度性要求同时适用于个人敏感信息和重要数据。征求意见稿规定,网络运营者以经营为目的收集重要数据或个人敏感信息的,应该遵守以下规定:

A.向所在地网信部门备案
备案内容包括收集使用规则,收集使用的目的、规模、方式、范围、类型、期限等,不包括数据内容本身。

B. 明确数据安全责任人
数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任,参与有关数据活动的重要决策,直接向网络运营者的主要负责人报告工作。

③ 自动化手段收集网站数据(如网络爬虫)的合规要求

征求意见稿规定,网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行,此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止。

我们理解,现阶段本条主要针对的是网络运营者使用网络爬虫收集网站数据的情形。现行法律对网络爬虫的相关规定主要集中于刑法中有关计算机信息系统犯罪的条文上,罪名包括非法获取计算机信息系统数据罪、非法控制计算机信息系统以及破坏计算机信息系统罪。但刑法仅在造成严重影响并具有社会危害性时方能适用,难以规制商业活动中的一般危害行为。如征求意见稿生效,则本条将在国务院部门规章层面初步解决了网络爬虫行为相关规定缺失的问题。在立法技术上,本条采用了“自动化手段”的表示,也为未来规范网络爬虫以外的自动化手段收集网站数据的行为留下了充分的空间。


关于作者