新闻资讯 首页>新闻资讯>专业文章

《数据安全管理办法(征求意见稿)》简要解读及可能影响分析(下篇)

作者:中伦文德   丨  时间:2019.08.12   丨  浏览:299


为维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,国家互联网信息办公室(“网信办”)于2019年5月28日发布《数据安全管理办法(征求意见稿)》(“征求意见稿”),向社会公开征求意见。征求意见稿在《网络安全法》的基础上,进一步从数据的收集、处理使用和安全监督管理等方面规定了网络运营者的数据安全保护义务。

现从立法思路、监管措施、实务争议点(及可能的影响)等角度分(上)(下)两篇就征求意见稿简要解读及分析如下,本文为下篇。

二、监管措施

2.  数据处理使用

与收集环节相同,征求意见稿在数据处理使用环节也更多规定了个人信息处理使用的相关合规要求,对于重要数据收集的规定相对较少但更为严格。此外,征求意见稿进一步明确了网络运营者平台上存在第三方应用以及网络运营者兼并、重组、破产等特殊情形下的归责原则和数据处理原则。

① 个人信息处理使用的合规要求

A. 安全保障要求
征求意见稿规定,网络运营者应当参照国家有关标准,采用数据分类、备份、加密等措施加强对个人信息和重要数据保护。

B. 个人信息保存期限要求
征求意见稿规定,网络运营者保存个人信息不应超出收集使用规则中的保存期限,用户注销账号后应当及时删除其个人信息。结合征求意见稿对于收集使用规则应包含个人信息保存期限和到期后处理方式、以及对于个人敏感信息应备案期限的要求,征求意见稿对于个人信息保存期限的要求实际上存在突破《个人信息安全规范》原则性要求(在目的所需的期限内)的可能性。

C. 合理、及时响应要求
征求意见稿规定,网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时,应当在合理时间和代价范围内予以查询、更正、删除或注销账号。网络运营者接到相关假冒、仿冒、盗用他人名义发布信息的举报投诉时,应当及时响应,一旦核实应立即停止传播并作删除处理。从用户权利角度,《网络安全法》仅规定了用户的更正、删除个人信息权利,征求意见稿承袭了《个人信息安全规范》的规定扩大了用户权利,引入了个人信息主体撤销同意及查询个人信息的权利。

D. 信息标注( “定推”、“合成”、自动标注ID)要求
基于保护用户知情权以及信息发布责任自负的原则,征求意见稿要求网络运营者推送广告和合成信息时以明显方式标注“定推”、“合成”等字样,在转发他人制作的信息时自动标注信息制作者ID。

>>征求意见稿规定,网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能。定向推送的数据来源为用户的个人信息,技术来源为用户画像技术。标注“定推”有助于用户了解网络运营者如何使用其个人信息,赋予拒绝权则响应了广告法项下“不得投放未经请求或明确拒绝的广告”的要求,有助于保障用户的知情权和自主选择权。本条规定对于互联网广告从业者的业务实践将产生实质性的影响。

>>征求意见稿规定,网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应以明显方式标明“合成”字样;不得以谋取利益或损害他人利益为目的自动合成信息。标注“合成”可以在一定程度上限制业界大量存在的自动化洗稿等侵权行为,有助于保护原创作品。

>>征求意见稿规定,网络运营者对于用户通过社交网络转发他人制作的信息,应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识。本条规定为网络实名制的进一步落实,目的在于确保网络发布者对其发布的内容负责,进一步规范网络发布者的行为。

E. 向第三方提供时的评估要求
征求意见稿规定,网络运营者向他人提供个人信息前,应当评估可能带来的安全风险,并征得个人信息主体同意。下列情况除外:从合法公开渠道收集且不明显违背个人信息主体意愿;个人信息主体主动公开;经过匿名化处理;执法机关依法履行职责所必需;维护国家安全、社会公共利益、个人信息主体生命安全所必需。此项规定承袭了《个人信息安全规范》的要求,但有关例外情形的规定与《个人信息安全规范》略有差异。

② 重要数据处理使用的合规要求

A. 安全保障要求
安全保障要求为基本要求,如上所述,对重要数据的安全保障要求与对个人信息的要求相同。

B. 发布、共享、交易或向境外提供前的评估及审批要求
征求意见稿规定,网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。个人信息和重要数据保护的对象不同,个人信息保护的对象主要为个人信息主体的合法权益,重要数据保护的对象主要为国家安全、社会公共利益等。个人信息的保护在方式上更倾向于以个人信息主体的授权同意为前提,而重要数据的保护在方式上则更倾向于取得代表国家安全、社会公共利益等的相关主管机关的同意或批准。因此,重要数据保护的呈现方式更为严格,其发布、共享、交易或向境外提供均须经行业主管监管部门或省级网信部门的同意或批准。此外,就网络运营者向境外提供重要数据事宜,与《网络安全法》的规定相比,征求意见稿的规定更为严格:义务主体从关键信息基础设施运营者扩大为至网络运营者;行为范围从出境扩大至包括发布、共享、交易以及出境;监管措施从安全评估升级至行业主管部门同意或省级网信部门批准。

③ 存在第三方应用时的归责原则(过错推定责任)

征求意见稿规定,网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。本条规定明确了网络运营者在前述情形下的过错推定责任,加重了网络运营者的安全管理责任,有利于推动网络运营者履行对第三方平台的监管责任。

④ 网络运营者兼并、重组、破产时的数据处理原则

征求意见稿规定,网络运营者兼并、重组、破产的,数据承接方应承接数据安全责任和义务。没有数据承接方的,应当对数据作删除处理。法律、行政法规另有规定的,从其规定。如征求意见稿正式生效,则企业如进行并购重组且作为数据承接方接收数据的,应留意相应的数据安全责任和义务的承担问题。

3.  数据安全监督管理

① 监管部门约谈机制

《网络安全法》规定,省级以上人民政府有关部门如发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。而征求意见稿进一步明确,网信部门如发现网络运营者数据安全管理责任落实不到位,应按照规定的权限和程序约谈网络运营者的主要负责人,督促整改。将约谈对象缩小为主要负责人,更具针对性。根据监管部门对数据安全问题的执法实践,约谈整改在现阶段已成为主要监管措施之一。

② 数据安全管理认证和应用程序安全认证

2019年1月25日,中央网信办、工信部、公安部、市场监管总局正式发布《关于开展App违法违规收集使用个人信息专项治理的公告》(“《公告》”),并于2019年1月至12月期间在全国范围内开展专项治理。此举对互联网企业的数据合规产生了重大影响。征求意见稿将《公告》治理违法违规收集个人信息的监管思路推广至所有数据安全管理中,鼓励网络运营者自愿通过数据安全管理认证和应用程序安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序。征求意见稿规定,国家网信部门会同国务院市场监督管理部门,指导国家网络安全审查与认证机构,组织数据安全管理认证和应用程序安全认证工作。

③ 发生数据安全事件时的通知义务

征求意见稿规定,发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。

4.  法律责任

征求意见稿规定,对于违反本办法规定的网络运营者,有关部门将依据相关法律、行政法规的规定,根据情节严重程度施加不同的处罚措施,具体包括:公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等。构成犯罪的,将依法追究刑事责任。





三、实务争议点

征求意见稿基于新的监管思路明确了数据安全管理的具体制度,但就其中的部分内容,从实务的观点,我们理解仍然存在进一步商榷的余地。

(一) “以经营为目的”等概念尚待明确

征求意见稿规定,网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案,但征求意见稿中并未明确规定何为“以经营为目的”,此项概念的缺失可能导致实务中出现适用标准的混乱或矛盾冲突,建议予以明确。

(二) 关于备案和批准的要求缺乏明确的程序性规定

关于网络运营者以经营为目的收集重要数据或个人敏感信息的备案要求,以及重要数据发布、共享、交易或向境外提供前的评估及审批要求,征求意见稿均未规定具体的程序要求,例如准予备案或同意或批准期限、具体审核内容等均不明确,实务中缺乏执行标准,建议予以明确。

(三) 信息标注可能导致合规成本增加及用户体验降低

“定推”、“合成”、自动标注ID等有关信息标注的规定,或多或少均要求网络运营者变更其网站的功能设计,如需大幅更改网站功能设计,则此项要求可能导致较大的合规成本。此外,从普通用户的角度,仅标注“定推”、“合成”等字样,普通用户往往不会关注其含义或者难以理解其含义,则将导致用户体验的降低。

(四) 重要数据外延待进一步澄清

如前所述,征求意见稿重新定义了重要数据,虽然2017年《信息安全技术 数据出境安全评估指南(征求意见稿)》曾按照行业(领域)界定过重要数据的外延,但鉴于监管思路已经发生了显著变化,我们理解前述评估指南中的外延大概率不会被原封不动地继续采用,重要数据的外延仍待进一步澄清。


关于作者