《网络数据安全管理条例》对数据合规工作的影响——九大重点内容解读
2024年9月30日,备受关注的《网络数据安全管理条例》(以下简称“《网数条例》”)正式发布。《网数条例》之所以获得广泛关注,是因为自2021年11月国家互联网信息办公室(以下简称“网信办”)发布《网络数据安全管理条例(征求意见稿)》(以下简称“征求意见稿”)以来,其就被认为是打通、整合《网络安全法》(以下简称“《网安法》”)《数据安全法》(以下简称“《数安法》”)《个人信息保护法》(以下简称“《个保法》”)三部数据保护领域基本法律的一部行政法规,包含了诸多对三部基本法律细化规定。经过近三年的等待,《网数条例》终于发布,并将于2025年1月1日生效。想必此时企业格外关注《网数条例》对于数据合规工作将带来怎样的影响,本文中我们将基于《网数条例》的行文结构,以重点“法规义务”为导向,对《网数条例》进行梳理分析。
需要说明的是,《网数条例》整体上是对三部基本法律的细化规定,但诸多规定已经在先前发布的法律法规、国家标准中体现,因此,对《网数条例》进行解读与分析,必须将相关配套法律法规、国家标准进行贯通理解。
一、关于《网数条例》的适用范围
《网数条例》立足于对“网络数据”的处理活动与安全监管进行立法规制,其对“网络数据”的定义为“通过网络处理和产生的各种电子数据”。这里难免会让人产生疑问:《个保法》与《数安法》并没有限定信息或数据以“网络”作为载体,而作为打通、整合三部基础数据法律的行政法规,《网数条例》却将规制对象限缩在“网络数据”,似乎排除了其对“线下数据”的适用,参照《网安法》的定义,“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。因此我们认为《网数条例》中的“网络”应做广义理解,不限于狭义的互联网。
尽管如此,我们建议企业不必纠结于此,如前所述,《网数条例》中诸多规定已经在先前发布的法律法规、国家标准中体现,因此我们认为《网数条例》中体现的规则与要求同时适用于“网络”与“线下”数据,无非在具体执法与司法案件中所引用的法规有所区别罢了。企业应当在其“网络”与“线下”数据处理场景均严格落实相应的合规要求,不应有所偏废。
二、关于网络与数据安全
(1)落实网络安全等级保护制度与数据安全技术措施
《网数条例》要求网络数据处理者在网络安全等级保护(以下简称“等保”)的基础上,建立健全网络数据安全管理制度,采取加密、备份、访问控制、安全认证等技术措施和其他必要措施。这一条看似原则性的一般要求,实质上加大了企业的网络安全保障义务。
首先,《网数条例》再次强调了《网安法》所确立的等保制度。根据我们对实践的观察,有相当一部分企业对于等保的落实工作并不到位,当前主管机关除了在日常例行检查过程中会关注企业是否完成了等保工作外,在发生数据安全事件时,若企业未能积极履行等保义务,也可能在遭受数据损失的同时收到主管机关的行政处罚。需要注意的是,若是在例行检查中发现企业未办理等保,主管机关应当先责令其改正,拒不改正的,企业将受到处罚;但若因未开展等保而导致危害网络安全、数据泄露等后果的,主管机关可以直接对企业进行处罚。此外,实践中一些网络部署的客观情况(例如,服务器部署在中国境外)可能导致企业无法进行并通过等保测评,尽管如此,我们还是建议此类企业对照等保要求完善内部网络安全制度,对网络安全配置进行测试与整改,尽可能贴合等保要求。
其次,《网安法》规定网络运营者应当对重要数据采取备份和加密等措施[1],而《网数条例》并未区分一般数据与重要数据,要求网络数据处理者采取加密、备份、访问控制、安全认证等技术措施和其他必要措施保护网络数据[2]。可能会有企业抱有疑问:《网数条例》并未明确规定违反上述规定的具体罚则,企业是否会因此承受消极法律后果?我们认为《网数条例》第58、60、61条规定的兜底罚则有适用的机会;此外,基于我们所代理的多起涉及云服务的网络服务合同纠纷诉讼案件的经验,云服务使用者未对网络数据进行备份而导致数据损失的,很有可能会被认定为自身存在过错,进而需要其自身承担对应的损失。有鉴于此,我们认为《网数条例》旨在督促企业更为积极地履行网络与数据安全保护义务,未来此类执法与诉讼纠纷案件数量将很有可能呈上升趋势。
(2)网络安全事件应对
《网数条例》第10条、11条规定了网络数据处理者对网络产品、服务安全缺陷、漏洞及网络数据安全事件的报告义务,在网络数据安全事件应对方面,尽管《网数条例》删除了征求意见稿中“三个工作日内通知利害关系人”和“八小时向网信和主管部门报告”的要求,也未规定具体的报告时限和对象,但这并不意味着企业对于网络安全事件的报告义务有所减轻。
《网络安全事件报告管理办法(征求意见稿)》已于2023年底发布,尽管正式版本尚未发布生效,我们仍建议企业参考《网络安全事件报告管理办法(征求意见稿)》的规定尽快提前准备相应响应及报告机制,根据我们的经验,如果企业内部没有完善的安全事件应对流程与机制、没有提前的应急演练经验,一旦发生网络安全事件,企业很难做到按照相关法规进行应对。
此外,关于网络安全事件的响应要求,除上述法规外,还有诸多地方规章与国家标准对此做出了明确的规定,如《上海市网络安全事件应急预案》、GB/T 20985《信息技术安全技术信息安全事件管理》、GB/T 38645《信息安全技术网络安全事件应急演练指南》等。企业应当综合上述规定,制作内部网络安全事件应对手册,做到未雨绸缪、防患于未然。
三、关于数据处理协议与记录
《网数条例》第12条规定网络数据处理者应当以合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,同时提供、委托处理个人信息和重要数据的处理情况记录应当至少保存3年。
尽管《个保法》针对个人信息的处理有类似规定,我们注意到实践中诸多企业仅通过签订“技术服务协议”一类的商务合同对涉及数据处理的业务进行约定,而这类合同往往更多着眼于技术方案而非数据处理相关的责任义务,当前很多企业还未能形成对于数据处理目的、方式、范围以及安全保护义务进行协商约定的习惯。而如今,《网数条例》从法规义务层面再次明确要求双方对于数据处理的目的、方式、范围以及安全保护义务等进行明确约定(相比《个保法》,《网数条例》还在对外提供个人信息的场景下增设了相关义务)。我们认为从形式上看,双方可以通过合同进行约定,数据提供方亦可以考虑制作标准的数据处理协议/规则,并根据涉及数据处理的不同业务具体补充、适配数据处理细节,并与数据接收方协商后要求其签署确认。
如果双方未能以法规要求的形式对相应内容进行约定,可能导致的后果是:(1)双方对于数据处理中的权利义务约定不明,容易产生纠纷;更重要的是(2)一旦发生涉数据纠纷或数据安全事件,双方之间无法清晰划分数据处理角色及相应责任边界,可能导致企业对外承担不必要的行政与民事责任。
关于数据处理记录,《个保法》中规定个人信息保护影响评估(PIA)报告和处理情况记录应当至少保存3年,此处《网数条例》也做出了类似的规定。我们也注意到,尽管《个保法》已实施近3年,但实践中对于PIA的落实情况并不理想,大量企业尚未建立PIA制度与流程,更未留存相应的记录,而《网数条例》再次强调网络数据处理者需要留存个人信息和重要数据的处理情况记录,需要引起企业对于数据处理情况与记录的充分重视。
四、关于人工智能训练数据合规
《网数条例》在强调人工智能训练数据安全[3]的同时,对训练数据也给予了一定程度的“松绑”,规定“因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。法律、行政法规规定的保存期限未届满,或者删除、匿名化处理个人信息从技术上难以实现的,网络数据处理者应当停止除存储和采取必要的安全保护措施之外的处理。”[4]这一规定符合当前商业与技术实际情况,值得称赞。
但不得不承认,上述规定在实际操作上还存在一定“落空”的可能:首先,不同于知识产权领域的“避风港原则”,《网数条例》并未要求在发生上述情况时对个人信息主体进行告知,因此上述规定很大程度上有赖于企业的“合规自觉”,且只要企业对个人信息进行删除或匿名化处理,即大概率可豁免相应法律责任;其次,当前关于匿名化处理的国家标准尚未出台,企业如何进行匿名化仍然缺少具体的操作指引。从个人信息保护的角度来看,该条法规未来执行情况存在着隐忧,但从鼓励人工智能产业发展角度来看,该条体现的政策支持显而易见。
五、关于个人信息保护
(1)对隐私政策与告知同意的影响
《网数条例》第21条规定“个人信息处理规则应当集中公开展示、易于访问并置于醒目位置”,根据GB/T 42574-2023《信息安全技术个人信息处理中告知和同意的实施指南》(以下简称“《告知同意指南》”)的规定[5],在APP中设置的“隐私”相关功能界面集中展示个人信息保护政策即符合“集中公开展示”的要求。
此前监管部门在实践中鼓励APP通过“双清单”(即个人信息收集清单、第三方共享个人信息清单)对于个人信息收集与共享情况进行展示,《网数条例》首次以立法的形式规定网络数据处理者应以清单等形式列明并向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息。
《网数条例》在法规层面也明确规定不得在个人明确表示不同意处理其个人信息后,频繁征求同意[6]。根据《告知同意指南》的规定,48小时内超过 1 次询问即可构成频繁询问、请求,但个人主动选择使用某业务功能而触发的同意询问,不属于打扰情形[7]。
在此前的实践中,企业经常对于如何确定数据保存期限表示迷茫,很多业务场景下,数据的保存期限难以用具体的时间进行描述,针对这一问题,《网数条例》规定如果数据保存期限难以确定的,在隐私政策中应当明确保存期限的确定方法[8]。需要强调的是,无论是具体的数据保存期限,还是保存期限的确定方法,都要以“必要性”为前提,企业需要能够解释数据保存期限的合理性。
(2)个人信息转移权的发展与影响
《个保法》借鉴欧盟GDPR中的个人数据可携带权,创立了中国的个人信息转移权[9],但至今个人信息转移权都未能有效地落地与执行。如今《网数条例》向前一步,要求网络数据处理者在符合相关条件的情况下,应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径,且在请求转移个人信息次数等明显超出合理范围时,网络数据处理者可以根据转移个人信息的成本收取必要费用。我们认为未来该条的落实可能将采取类似当年“双清单”落地的形式,从主要互联网大厂试点执行。但我们同时认为,该条执行过程中可能遭遇诸多困难:
首先,关于转移权对应的个人信息范围,《网数条例》规定为“本人同意提供的或者基于合同收集的个人信息”,但基于该等个人信息衍生的个人信息,例如UID、用户标签与画像,是否被囊括其中?从法规的文义解释及商业实践的角度分析,我们倾向认为转移权对应的个人信息范围不包括衍生个人信息,否则将不合理地增加网络数据处理者的合规成本,甚至损害其商业秘密与竞争优势。
其次,“转移个人信息具备技术可行性”如何认定?我们认为如果网络数据处理者以不满足该条件拒绝个人信息转移请求的,应当负有举证责任。但实践中如果需要产生一定的技术成本或压缩企业的商业利益,是否会被认为不具备“可行性”?该等问题还需要监管与司法机关未来在具体案例中进一步评析。未来,还可以期待相关部门规章或国家标准对转移权的处理时限、可转移数据的技术指征做出进一步规定,当前企业可以参考欧盟相关规定与指南,提前做好准备。
再次,我们认为未来可能会围绕该条产生诸多争议与投诉,因此企业应当事先做好内部合规措施,包括用户个人信息转移权的响应机制与流程、客服话术、标准化请求表单、各类潜在请求的事先评估与可行性分析、拒绝理由等。
最后,关于“根据转移个人信息的成本收取必要费用”,我们提示企业在适用该条时,还需要考虑《消费者权益保护法》等相关法律法规的规定,做到“明码标价”,保障消费者的知情权。
(3)关于个人信息保护合规审计
《网数条例》再次重申了网络数据处理者应当进行个人信息保护合规审计(以下简称“个保审计”)的义务,只是在《个保法》的基础上,明确可以“自行或者委托专业机构”进行审计,这一规定与《个人信息保护合规审计管理办法(征求意见稿)》的内容是一致的。但关于个保审计的几个关键问题,《网数条例》并未给出进一步的答案。例如,《个保法》与《网数条例》均规定审计依据为“法律、行政法规”,但在个人信息保护领域,有诸多部门规章、国家标准甚至政策意见扮演着重要作用,这些规则并非“法律、行政法规”,但是否应当作为审计依据?再者,个保审计应当是形式审计还是实质性审计?如果是实质性审计,则可能导致一次审计的工作内容十分庞杂。
对此,我们的理解是,部门规章、国家标准乃至政策意见是对“法律、行政法规”具体实施的细化,很有可能被视为法律与行政法规的外延,构成审计依据;而从国家标准《数据安全技术个人信息保护合规审计要求(征求意见稿)》来看,个保审计应当是实质性审计,而非形式性审计,因此企业应当对个保审计的工作量具备充分预估,并做好提前准备。
六、关于重要数据
(1)重要数据的识别
从2024年3月22日《促进和规范数据跨境流动规定》(以下简称“《数据出境新规》”)发布以来,“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”即深入人心,业内对于法规对重要数据的“松绑”给予了较高的评价,该规定为企业有效降低了合规成本。但《数据出境新规》同时也规定“数据处理者应当按照相关规定识别、申报重要数据”,而《网数条例》再次重申“网络数据处理者应当按照国家有关规定识别、申报重要数据”,可见企业不应仅仅被动等待地区与部门的重要数据公告,而应当主动进行数据分类分级工作,并对照GB/T 43697-2024《数据安全技术数据分类分级规则》等国家标准、各地发布的重要数据清单(如北京自由贸易试验区数据出境管理清单),以及各行业主管部门(如工业与信息化领域、电信领域、自然资源领域等)已经出台的重要数据识别规则,进行重要数据识别,并积极申报重要数据。此外,即便未来地方与部门发布了重要数据公告,大概率也是类型化描述性的公告,实际使用时企业仍然需要对具体数据类型甚至具体字段进行辨析判断。
此外,还需要提示企业的是,根据我们的经验,尽管有上述清单与目录,在重要数据在识别过程中可能遇到相关清单与目录存在不一致的问题。例如:《汽车数据安全管理若干规定(试行)》将超过10万人的个人信息作为重要数据[10],但在《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》中“汽车行业重要数据”的数据子类中,并未将上述个人信息作为重要数据对待。面对该等问题,企业应当在进行内部充分评估与研判的基础上,与监管部门保持密切沟通,对重要数据的内部识别结论做出合理地说明,以争取获得监管部门的理解与支持。
(2)重要数据安全负责人与管理机构
《网数条例》规定重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构,这一规定与《数安法》保持一致。而《网数条例》进一步规定“网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历,由网络数据处理者管理层成员担任,有权直接向有关主管部门报告网络数据安全情况。”这一规定对数据安全负责人的任职资格提出了很高的要求,同时也将影响重要数据处理者的管理层结构。该条旨在落实数据安全负责人与管理机构的责任,体现了对管理人员权(调动企业内资源履行数据安全职责)责(承担数据安全责任)一致的要求,避免出现个别企业以较低职级人员对数据安全责任“背锅”的情况。
(3)争议:1000万人以上个人信息是否属于重要数据?
征求意见稿规定“数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。”因此,彼时很多解读将“100万人个人信息”作为重要数据之一对待,而《网数条例》最终将该条修改为“网络数据处理者处理1000万人以上个人信息的,还应当遵守本条例第三十条、第三十二条对处理重要数据的网络数据处理者(以下简称重要数据的处理者)作出的规定。”该条在大大减轻相关企业合规负担的同时,再一次引起了业内的思考:1000万人以上个人信息是否属于重要数据?
我们对此问题的答案是,笼统上看,1000万人以上个人信息不属于重要数据;但具体要看特定行业规定,例如《汽车数据安全管理若干规定(试行)》就明确规定“重要数据包括涉及个人信息主体超过10万人的个人信息”。我们的理由是:首先,《网安法》《数安法》《网数条例》均未明确将一定数量的个人信息定义为重要数据,相反,在数据出境与网络安全审查领域,“100万人以上个人信息”与“重要数据”都是“并列”出现的;其次,从《网数条例》的行文结构上看,该条规定于第三章“个人信息保护”中而非第四章“重要数据安全”中;再者,从重要数据的定义出发进行分析,1000万人以上个人信息并不当然“可能直接危害国家安全、经济运行、社会稳定、公共健康和安全”。
但同时我们也需要强调,重要数据的定义也包括了“一定规模”这个要素,因此不排除未来有更多行业主管部门出台类似于《汽车数据安全管理若干规定(试行)》这样的部门规章,将一定数量的个人信息明确定义为重要数据。
上述分析的意义在于,这样就可以暂时得出一个结论,除非另有规定(如《网数条例》第28条),企业无需对1000万人以上个人信息按照重要数据进行管理,进而避免过高的企业合规成本。
七、关于数据出境
整体上看,《网数条例》第五章基本上都是现有数据出境规定的重申,值得注意的细节有二。一是《网数条例》第35条在《数据出境新规》的基础上,将“为履行法定职责或者法定义务,确需向境外提供个人信息”增设为无需申报数据出境安全评估、进行个人信息保护认证、订立个人信息出境标准合同的情形。二是《网数条例》第38条规定“通过数据出境安全评估后,网络数据处理者向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。”而《数据出境新规》与《数据出境安全评估办法》并未将数据出境“规模”变化作为重新申报评估的触发条件。
但根据我们的实践经验,网信办其实早已要求企业在数据出境规模发生变化时应当重新申报评估。《网数条例》第38条的规定,实质上是为网信办上述监管要求提供了法规依据。因此,企业未来在申报数据出境安全评估时,特别在未来业务可能出现增长时,应当对数据出境规模进行合理的预估与判断,从而避免在评估有效期内频繁申报。
八、关于网络平台责任
在平台经济发展如火如荼的背景下,《网数条例》沿袭征求意见稿的做法,通过专章对“网络平台服务提供者”的合规义务及责任进行规定。相较于征求意见稿对“互联网平台运营者”“大型互联网平台运营者”进行的明确界定,《网数条例》将规制对象的表述修订为“网络平台服务提供者”,并进一步提出“预装应用程序的智能终端等设备生产者”“提供应用程序分发服务的网络平台服务提供者”“大型网络平台服务提供者”等相关概念。除一般意义上的网络平台企业外,预装应用程序的手机、智能汽车、智能家居等行业的设备生产者以及提供应用程序分发服务的应用市场等行业企业也应当对《网数条例》的专章规定予以特别关注。
《网数条例》在规定网络平台服务提供者自身应当履行的网络数据保护义务的同时,通过强调网络平台服务提供者、预装应用程序的智能终端等设备生产者、提供应用程序分发服务的网络平台服务提供者对第三方产品和服务提供者、应用程序运营者等的数据安全管理责任,将网络数据安全保护义务传导至平台经济的“全链条”。根据《网数条例》,首先,网络平台服务提供者、预装应用程序的智能终端等设备生产者应当通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务;其次,提供应用程序分发服务的网络平台服务提供者应当建立应用程序核验规则并开展网络数据安全相关核验;第三,《网数条例》明确在第三方产品和服务提供者的网络数据处理活动损害用户合法权益时,网络平台服务提供者、预装应用程序的智能终端等设备生产者亦应当依法承担相应责任。上述规定要求相关网络平台服务提供者从规则/合同体系及动态监督管理机制两方面,对第三方产品和服务提供者、应用程序运营者的数据处理活动进行监督管理。
此外,《网数条例》引入社会监督机制,要求“大型网络平台服务提供者”每年度发布个人信息保护社会责任报告,且报告应包括个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等内容。在“大型网络平台服务提供者”的界定方面,《网数条例》相较征求意见稿增设了“月活用户数”的指标,将“大型网络平台”定义为“注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台”。虽然“5000万”和“1000万”的定量标准较为明确,但“业务类型复杂”“对国家安全、经济运行、国计民生等具有重要影响”等定性标准在实践中往往难以清晰界定,我们建议符合定量标准的网络平台企业尽快就履行个人信息保护社会责任报告发布义务做好相应准备。
《网数条例》对网络平台服务提供者的其他规定围绕自动化决策合规、国家网络身份认证、禁止对用户实施不合理的差别待遇等展开,强调在保障用户权益的同时,引导平台经济健康有序发展。
九、关于监管部门职责
在监管部门职责方面,《网数条例》的亮点有三:一是明确网络数据安全监管部门,即网信部门、公安机关、国家安全机关、国家数据管理部门、行业/领域主管部门的职责分工;二是强调“有关主管部门在网络数据安全监督检查中不得访问、收集与网络数据安全无关的业务信息,获取的信息只能用于维护网络数据安全的需要,不得用于其他用途”以及“有关主管部门在开展网络数据安全监督检查时,应当加强协同配合、信息沟通,合理确定检查频次和检查方式,避免不必要的检查和交叉重复检查”,一方面回应国际舆论关切,一方面维护企业在接受网络数据安全监督检查过程中的合法权益,同时,我们提示企业关注网信办于去年3月发布的《网信部门行政执法程序规定》,该等规定将与《网数条例》一道,为企业应对网络数据安全相关监督检查与执法提供有益参考;三是明确要求加强个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估、网络安全等级测评等数据安全评估、审计工作的衔接,避免重复评估、审计,在确保数据安全的基础上为企业履行数据合规义务“减负”。
结语
《网数条例》的落地,一方面细化了《网安法》《数安法》《个保法》的相关规定,成为补齐中国网络安全与数据合规领域立法版图的关键一步;一方面总结了近年来应用程序监管、个人信息保护、数据安全执法、数据出境合规等领域的成熟经验与监管发展,为实践中多项重点监管执法活动提供明确行政法规依据;一方面重申并发展了个人信息保护合规审计、重要数据保护、网络平台治理等关键领域规定,为企业今后的数据合规工作指明前进方向。相较于征求意见稿,《网数条例》体现了简化、总结、发展的主基调,我们乐于看到《网数条例》在平衡数据安全保护与数据经济发展方面所做的努力,也期待《网数条例》将数据合规工作引领进入更全面、更有效、更具活力的崭新篇章。
[1]《网安法》第21条第(四)项。
[2]《网数条例》第9条。
[3]《网数条例》第19条。
[4]《网数条例》第24条。
[5]《告知同意指南》附录J第J.3-a)-2)项。
[6]《网数条例》第22条第(五)项。
[7]《告知同意指南》第9.5条c)项。
[8]《网数条例》第21条第(三)项。
[9]《个保法》第45条第3款。
[10]《汽车数据安全管理若干规定(试行)》第3条第6款第(五)项。
转载自北京植德律师事务所 陈文昊,孙杨,原舒仪,李诗
需要说明的是,《网数条例》整体上是对三部基本法律的细化规定,但诸多规定已经在先前发布的法律法规、国家标准中体现,因此,对《网数条例》进行解读与分析,必须将相关配套法律法规、国家标准进行贯通理解。
《网数条例》立足于对“网络数据”的处理活动与安全监管进行立法规制,其对“网络数据”的定义为“通过网络处理和产生的各种电子数据”。这里难免会让人产生疑问:《个保法》与《数安法》并没有限定信息或数据以“网络”作为载体,而作为打通、整合三部基础数据法律的行政法规,《网数条例》却将规制对象限缩在“网络数据”,似乎排除了其对“线下数据”的适用,参照《网安法》的定义,“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。因此我们认为《网数条例》中的“网络”应做广义理解,不限于狭义的互联网。
尽管如此,我们建议企业不必纠结于此,如前所述,《网数条例》中诸多规定已经在先前发布的法律法规、国家标准中体现,因此我们认为《网数条例》中体现的规则与要求同时适用于“网络”与“线下”数据,无非在具体执法与司法案件中所引用的法规有所区别罢了。企业应当在其“网络”与“线下”数据处理场景均严格落实相应的合规要求,不应有所偏废。
(1)落实网络安全等级保护制度与数据安全技术措施
《网数条例》要求网络数据处理者在网络安全等级保护(以下简称“等保”)的基础上,建立健全网络数据安全管理制度,采取加密、备份、访问控制、安全认证等技术措施和其他必要措施。这一条看似原则性的一般要求,实质上加大了企业的网络安全保障义务。
首先,《网数条例》再次强调了《网安法》所确立的等保制度。根据我们对实践的观察,有相当一部分企业对于等保的落实工作并不到位,当前主管机关除了在日常例行检查过程中会关注企业是否完成了等保工作外,在发生数据安全事件时,若企业未能积极履行等保义务,也可能在遭受数据损失的同时收到主管机关的行政处罚。需要注意的是,若是在例行检查中发现企业未办理等保,主管机关应当先责令其改正,拒不改正的,企业将受到处罚;但若因未开展等保而导致危害网络安全、数据泄露等后果的,主管机关可以直接对企业进行处罚。此外,实践中一些网络部署的客观情况(例如,服务器部署在中国境外)可能导致企业无法进行并通过等保测评,尽管如此,我们还是建议此类企业对照等保要求完善内部网络安全制度,对网络安全配置进行测试与整改,尽可能贴合等保要求。
其次,《网安法》规定网络运营者应当对重要数据采取备份和加密等措施[1],而《网数条例》并未区分一般数据与重要数据,要求网络数据处理者采取加密、备份、访问控制、安全认证等技术措施和其他必要措施保护网络数据[2]。可能会有企业抱有疑问:《网数条例》并未明确规定违反上述规定的具体罚则,企业是否会因此承受消极法律后果?我们认为《网数条例》第58、60、61条规定的兜底罚则有适用的机会;此外,基于我们所代理的多起涉及云服务的网络服务合同纠纷诉讼案件的经验,云服务使用者未对网络数据进行备份而导致数据损失的,很有可能会被认定为自身存在过错,进而需要其自身承担对应的损失。有鉴于此,我们认为《网数条例》旨在督促企业更为积极地履行网络与数据安全保护义务,未来此类执法与诉讼纠纷案件数量将很有可能呈上升趋势。
(2)网络安全事件应对
《网数条例》第10条、11条规定了网络数据处理者对网络产品、服务安全缺陷、漏洞及网络数据安全事件的报告义务,在网络数据安全事件应对方面,尽管《网数条例》删除了征求意见稿中“三个工作日内通知利害关系人”和“八小时向网信和主管部门报告”的要求,也未规定具体的报告时限和对象,但这并不意味着企业对于网络安全事件的报告义务有所减轻。
《网络安全事件报告管理办法(征求意见稿)》已于2023年底发布,尽管正式版本尚未发布生效,我们仍建议企业参考《网络安全事件报告管理办法(征求意见稿)》的规定尽快提前准备相应响应及报告机制,根据我们的经验,如果企业内部没有完善的安全事件应对流程与机制、没有提前的应急演练经验,一旦发生网络安全事件,企业很难做到按照相关法规进行应对。
此外,关于网络安全事件的响应要求,除上述法规外,还有诸多地方规章与国家标准对此做出了明确的规定,如《上海市网络安全事件应急预案》、GB/T 20985《信息技术安全技术信息安全事件管理》、GB/T 38645《信息安全技术网络安全事件应急演练指南》等。企业应当综合上述规定,制作内部网络安全事件应对手册,做到未雨绸缪、防患于未然。
《网数条例》第12条规定网络数据处理者应当以合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,同时提供、委托处理个人信息和重要数据的处理情况记录应当至少保存3年。
尽管《个保法》针对个人信息的处理有类似规定,我们注意到实践中诸多企业仅通过签订“技术服务协议”一类的商务合同对涉及数据处理的业务进行约定,而这类合同往往更多着眼于技术方案而非数据处理相关的责任义务,当前很多企业还未能形成对于数据处理目的、方式、范围以及安全保护义务进行协商约定的习惯。而如今,《网数条例》从法规义务层面再次明确要求双方对于数据处理的目的、方式、范围以及安全保护义务等进行明确约定(相比《个保法》,《网数条例》还在对外提供个人信息的场景下增设了相关义务)。我们认为从形式上看,双方可以通过合同进行约定,数据提供方亦可以考虑制作标准的数据处理协议/规则,并根据涉及数据处理的不同业务具体补充、适配数据处理细节,并与数据接收方协商后要求其签署确认。
如果双方未能以法规要求的形式对相应内容进行约定,可能导致的后果是:(1)双方对于数据处理中的权利义务约定不明,容易产生纠纷;更重要的是(2)一旦发生涉数据纠纷或数据安全事件,双方之间无法清晰划分数据处理角色及相应责任边界,可能导致企业对外承担不必要的行政与民事责任。
关于数据处理记录,《个保法》中规定个人信息保护影响评估(PIA)报告和处理情况记录应当至少保存3年,此处《网数条例》也做出了类似的规定。我们也注意到,尽管《个保法》已实施近3年,但实践中对于PIA的落实情况并不理想,大量企业尚未建立PIA制度与流程,更未留存相应的记录,而《网数条例》再次强调网络数据处理者需要留存个人信息和重要数据的处理情况记录,需要引起企业对于数据处理情况与记录的充分重视。
《网数条例》在强调人工智能训练数据安全[3]的同时,对训练数据也给予了一定程度的“松绑”,规定“因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。法律、行政法规规定的保存期限未届满,或者删除、匿名化处理个人信息从技术上难以实现的,网络数据处理者应当停止除存储和采取必要的安全保护措施之外的处理。”[4]这一规定符合当前商业与技术实际情况,值得称赞。
但不得不承认,上述规定在实际操作上还存在一定“落空”的可能:首先,不同于知识产权领域的“避风港原则”,《网数条例》并未要求在发生上述情况时对个人信息主体进行告知,因此上述规定很大程度上有赖于企业的“合规自觉”,且只要企业对个人信息进行删除或匿名化处理,即大概率可豁免相应法律责任;其次,当前关于匿名化处理的国家标准尚未出台,企业如何进行匿名化仍然缺少具体的操作指引。从个人信息保护的角度来看,该条法规未来执行情况存在着隐忧,但从鼓励人工智能产业发展角度来看,该条体现的政策支持显而易见。
(1)对隐私政策与告知同意的影响
《网数条例》第21条规定“个人信息处理规则应当集中公开展示、易于访问并置于醒目位置”,根据GB/T 42574-2023《信息安全技术个人信息处理中告知和同意的实施指南》(以下简称“《告知同意指南》”)的规定[5],在APP中设置的“隐私”相关功能界面集中展示个人信息保护政策即符合“集中公开展示”的要求。
此前监管部门在实践中鼓励APP通过“双清单”(即个人信息收集清单、第三方共享个人信息清单)对于个人信息收集与共享情况进行展示,《网数条例》首次以立法的形式规定网络数据处理者应以清单等形式列明并向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息。
《网数条例》在法规层面也明确规定不得在个人明确表示不同意处理其个人信息后,频繁征求同意[6]。根据《告知同意指南》的规定,48小时内超过 1 次询问即可构成频繁询问、请求,但个人主动选择使用某业务功能而触发的同意询问,不属于打扰情形[7]。
在此前的实践中,企业经常对于如何确定数据保存期限表示迷茫,很多业务场景下,数据的保存期限难以用具体的时间进行描述,针对这一问题,《网数条例》规定如果数据保存期限难以确定的,在隐私政策中应当明确保存期限的确定方法[8]。需要强调的是,无论是具体的数据保存期限,还是保存期限的确定方法,都要以“必要性”为前提,企业需要能够解释数据保存期限的合理性。
(2)个人信息转移权的发展与影响
《个保法》借鉴欧盟GDPR中的个人数据可携带权,创立了中国的个人信息转移权[9],但至今个人信息转移权都未能有效地落地与执行。如今《网数条例》向前一步,要求网络数据处理者在符合相关条件的情况下,应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径,且在请求转移个人信息次数等明显超出合理范围时,网络数据处理者可以根据转移个人信息的成本收取必要费用。我们认为未来该条的落实可能将采取类似当年“双清单”落地的形式,从主要互联网大厂试点执行。但我们同时认为,该条执行过程中可能遭遇诸多困难:
首先,关于转移权对应的个人信息范围,《网数条例》规定为“本人同意提供的或者基于合同收集的个人信息”,但基于该等个人信息衍生的个人信息,例如UID、用户标签与画像,是否被囊括其中?从法规的文义解释及商业实践的角度分析,我们倾向认为转移权对应的个人信息范围不包括衍生个人信息,否则将不合理地增加网络数据处理者的合规成本,甚至损害其商业秘密与竞争优势。
其次,“转移个人信息具备技术可行性”如何认定?我们认为如果网络数据处理者以不满足该条件拒绝个人信息转移请求的,应当负有举证责任。但实践中如果需要产生一定的技术成本或压缩企业的商业利益,是否会被认为不具备“可行性”?该等问题还需要监管与司法机关未来在具体案例中进一步评析。未来,还可以期待相关部门规章或国家标准对转移权的处理时限、可转移数据的技术指征做出进一步规定,当前企业可以参考欧盟相关规定与指南,提前做好准备。
再次,我们认为未来可能会围绕该条产生诸多争议与投诉,因此企业应当事先做好内部合规措施,包括用户个人信息转移权的响应机制与流程、客服话术、标准化请求表单、各类潜在请求的事先评估与可行性分析、拒绝理由等。
最后,关于“根据转移个人信息的成本收取必要费用”,我们提示企业在适用该条时,还需要考虑《消费者权益保护法》等相关法律法规的规定,做到“明码标价”,保障消费者的知情权。
(3)关于个人信息保护合规审计
《网数条例》再次重申了网络数据处理者应当进行个人信息保护合规审计(以下简称“个保审计”)的义务,只是在《个保法》的基础上,明确可以“自行或者委托专业机构”进行审计,这一规定与《个人信息保护合规审计管理办法(征求意见稿)》的内容是一致的。但关于个保审计的几个关键问题,《网数条例》并未给出进一步的答案。例如,《个保法》与《网数条例》均规定审计依据为“法律、行政法规”,但在个人信息保护领域,有诸多部门规章、国家标准甚至政策意见扮演着重要作用,这些规则并非“法律、行政法规”,但是否应当作为审计依据?再者,个保审计应当是形式审计还是实质性审计?如果是实质性审计,则可能导致一次审计的工作内容十分庞杂。
对此,我们的理解是,部门规章、国家标准乃至政策意见是对“法律、行政法规”具体实施的细化,很有可能被视为法律与行政法规的外延,构成审计依据;而从国家标准《数据安全技术个人信息保护合规审计要求(征求意见稿)》来看,个保审计应当是实质性审计,而非形式性审计,因此企业应当对个保审计的工作量具备充分预估,并做好提前准备。
(1)重要数据的识别
从2024年3月22日《促进和规范数据跨境流动规定》(以下简称“《数据出境新规》”)发布以来,“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”即深入人心,业内对于法规对重要数据的“松绑”给予了较高的评价,该规定为企业有效降低了合规成本。但《数据出境新规》同时也规定“数据处理者应当按照相关规定识别、申报重要数据”,而《网数条例》再次重申“网络数据处理者应当按照国家有关规定识别、申报重要数据”,可见企业不应仅仅被动等待地区与部门的重要数据公告,而应当主动进行数据分类分级工作,并对照GB/T 43697-2024《数据安全技术数据分类分级规则》等国家标准、各地发布的重要数据清单(如北京自由贸易试验区数据出境管理清单),以及各行业主管部门(如工业与信息化领域、电信领域、自然资源领域等)已经出台的重要数据识别规则,进行重要数据识别,并积极申报重要数据。此外,即便未来地方与部门发布了重要数据公告,大概率也是类型化描述性的公告,实际使用时企业仍然需要对具体数据类型甚至具体字段进行辨析判断。
此外,还需要提示企业的是,根据我们的经验,尽管有上述清单与目录,在重要数据在识别过程中可能遇到相关清单与目录存在不一致的问题。例如:《汽车数据安全管理若干规定(试行)》将超过10万人的个人信息作为重要数据[10],但在《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》中“汽车行业重要数据”的数据子类中,并未将上述个人信息作为重要数据对待。面对该等问题,企业应当在进行内部充分评估与研判的基础上,与监管部门保持密切沟通,对重要数据的内部识别结论做出合理地说明,以争取获得监管部门的理解与支持。
(2)重要数据安全负责人与管理机构
《网数条例》规定重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构,这一规定与《数安法》保持一致。而《网数条例》进一步规定“网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历,由网络数据处理者管理层成员担任,有权直接向有关主管部门报告网络数据安全情况。”这一规定对数据安全负责人的任职资格提出了很高的要求,同时也将影响重要数据处理者的管理层结构。该条旨在落实数据安全负责人与管理机构的责任,体现了对管理人员权(调动企业内资源履行数据安全职责)责(承担数据安全责任)一致的要求,避免出现个别企业以较低职级人员对数据安全责任“背锅”的情况。
(3)争议:1000万人以上个人信息是否属于重要数据?
征求意见稿规定“数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。”因此,彼时很多解读将“100万人个人信息”作为重要数据之一对待,而《网数条例》最终将该条修改为“网络数据处理者处理1000万人以上个人信息的,还应当遵守本条例第三十条、第三十二条对处理重要数据的网络数据处理者(以下简称重要数据的处理者)作出的规定。”该条在大大减轻相关企业合规负担的同时,再一次引起了业内的思考:1000万人以上个人信息是否属于重要数据?
我们对此问题的答案是,笼统上看,1000万人以上个人信息不属于重要数据;但具体要看特定行业规定,例如《汽车数据安全管理若干规定(试行)》就明确规定“重要数据包括涉及个人信息主体超过10万人的个人信息”。我们的理由是:首先,《网安法》《数安法》《网数条例》均未明确将一定数量的个人信息定义为重要数据,相反,在数据出境与网络安全审查领域,“100万人以上个人信息”与“重要数据”都是“并列”出现的;其次,从《网数条例》的行文结构上看,该条规定于第三章“个人信息保护”中而非第四章“重要数据安全”中;再者,从重要数据的定义出发进行分析,1000万人以上个人信息并不当然“可能直接危害国家安全、经济运行、社会稳定、公共健康和安全”。
但同时我们也需要强调,重要数据的定义也包括了“一定规模”这个要素,因此不排除未来有更多行业主管部门出台类似于《汽车数据安全管理若干规定(试行)》这样的部门规章,将一定数量的个人信息明确定义为重要数据。
上述分析的意义在于,这样就可以暂时得出一个结论,除非另有规定(如《网数条例》第28条),企业无需对1000万人以上个人信息按照重要数据进行管理,进而避免过高的企业合规成本。
整体上看,《网数条例》第五章基本上都是现有数据出境规定的重申,值得注意的细节有二。一是《网数条例》第35条在《数据出境新规》的基础上,将“为履行法定职责或者法定义务,确需向境外提供个人信息”增设为无需申报数据出境安全评估、进行个人信息保护认证、订立个人信息出境标准合同的情形。二是《网数条例》第38条规定“通过数据出境安全评估后,网络数据处理者向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。”而《数据出境新规》与《数据出境安全评估办法》并未将数据出境“规模”变化作为重新申报评估的触发条件。
但根据我们的实践经验,网信办其实早已要求企业在数据出境规模发生变化时应当重新申报评估。《网数条例》第38条的规定,实质上是为网信办上述监管要求提供了法规依据。因此,企业未来在申报数据出境安全评估时,特别在未来业务可能出现增长时,应当对数据出境规模进行合理的预估与判断,从而避免在评估有效期内频繁申报。
在平台经济发展如火如荼的背景下,《网数条例》沿袭征求意见稿的做法,通过专章对“网络平台服务提供者”的合规义务及责任进行规定。相较于征求意见稿对“互联网平台运营者”“大型互联网平台运营者”进行的明确界定,《网数条例》将规制对象的表述修订为“网络平台服务提供者”,并进一步提出“预装应用程序的智能终端等设备生产者”“提供应用程序分发服务的网络平台服务提供者”“大型网络平台服务提供者”等相关概念。除一般意义上的网络平台企业外,预装应用程序的手机、智能汽车、智能家居等行业的设备生产者以及提供应用程序分发服务的应用市场等行业企业也应当对《网数条例》的专章规定予以特别关注。
《网数条例》在规定网络平台服务提供者自身应当履行的网络数据保护义务的同时,通过强调网络平台服务提供者、预装应用程序的智能终端等设备生产者、提供应用程序分发服务的网络平台服务提供者对第三方产品和服务提供者、应用程序运营者等的数据安全管理责任,将网络数据安全保护义务传导至平台经济的“全链条”。根据《网数条例》,首先,网络平台服务提供者、预装应用程序的智能终端等设备生产者应当通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务;其次,提供应用程序分发服务的网络平台服务提供者应当建立应用程序核验规则并开展网络数据安全相关核验;第三,《网数条例》明确在第三方产品和服务提供者的网络数据处理活动损害用户合法权益时,网络平台服务提供者、预装应用程序的智能终端等设备生产者亦应当依法承担相应责任。上述规定要求相关网络平台服务提供者从规则/合同体系及动态监督管理机制两方面,对第三方产品和服务提供者、应用程序运营者的数据处理活动进行监督管理。
此外,《网数条例》引入社会监督机制,要求“大型网络平台服务提供者”每年度发布个人信息保护社会责任报告,且报告应包括个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等内容。在“大型网络平台服务提供者”的界定方面,《网数条例》相较征求意见稿增设了“月活用户数”的指标,将“大型网络平台”定义为“注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台”。虽然“5000万”和“1000万”的定量标准较为明确,但“业务类型复杂”“对国家安全、经济运行、国计民生等具有重要影响”等定性标准在实践中往往难以清晰界定,我们建议符合定量标准的网络平台企业尽快就履行个人信息保护社会责任报告发布义务做好相应准备。
《网数条例》对网络平台服务提供者的其他规定围绕自动化决策合规、国家网络身份认证、禁止对用户实施不合理的差别待遇等展开,强调在保障用户权益的同时,引导平台经济健康有序发展。
在监管部门职责方面,《网数条例》的亮点有三:一是明确网络数据安全监管部门,即网信部门、公安机关、国家安全机关、国家数据管理部门、行业/领域主管部门的职责分工;二是强调“有关主管部门在网络数据安全监督检查中不得访问、收集与网络数据安全无关的业务信息,获取的信息只能用于维护网络数据安全的需要,不得用于其他用途”以及“有关主管部门在开展网络数据安全监督检查时,应当加强协同配合、信息沟通,合理确定检查频次和检查方式,避免不必要的检查和交叉重复检查”,一方面回应国际舆论关切,一方面维护企业在接受网络数据安全监督检查过程中的合法权益,同时,我们提示企业关注网信办于去年3月发布的《网信部门行政执法程序规定》,该等规定将与《网数条例》一道,为企业应对网络数据安全相关监督检查与执法提供有益参考;三是明确要求加强个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估、网络安全等级测评等数据安全评估、审计工作的衔接,避免重复评估、审计,在确保数据安全的基础上为企业履行数据合规义务“减负”。
《网数条例》的落地,一方面细化了《网安法》《数安法》《个保法》的相关规定,成为补齐中国网络安全与数据合规领域立法版图的关键一步;一方面总结了近年来应用程序监管、个人信息保护、数据安全执法、数据出境合规等领域的成熟经验与监管发展,为实践中多项重点监管执法活动提供明确行政法规依据;一方面重申并发展了个人信息保护合规审计、重要数据保护、网络平台治理等关键领域规定,为企业今后的数据合规工作指明前进方向。相较于征求意见稿,《网数条例》体现了简化、总结、发展的主基调,我们乐于看到《网数条例》在平衡数据安全保护与数据经济发展方面所做的努力,也期待《网数条例》将数据合规工作引领进入更全面、更有效、更具活力的崭新篇章。
[1]《网安法》第21条第(四)项。
[2]《网数条例》第9条。
[3]《网数条例》第19条。
[4]《网数条例》第24条。
[5]《告知同意指南》附录J第J.3-a)-2)项。
[6]《网数条例》第22条第(五)项。
[7]《告知同意指南》第9.5条c)项。
[8]《网数条例》第21条第(三)项。
[9]《个保法》第45条第3款。
[10]《汽车数据安全管理若干规定(试行)》第3条第6款第(五)项。
转载自北京植德律师事务所 陈文昊,孙杨,原舒仪,李诗
上一篇:已经是第一篇下一篇:管理人在破产案件中的履职智慧
本文2024-10-11 19:35:00发表“律法实务”栏目。
本文链接:https://www.cmprt.cn/article/e50ec0de71a51d7f.html
您需要登录后才可以发表评论, 登录 或者 注册
最新文档
最新实务
