重磅解读《数据安全管理办法(征求意见稿)》:网络运营者安全管理义务三维度
2019年5月28日,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》(以下简称《征求意见稿》),向社会公开征求意见,意见反馈截止时间为2019年6月28日。
国家互联网信息办公室与中央网络安全和信息化委员会办公室为一个机构两块牌子,被列入中共中央直属机构序列,拥有规章制定权。因此,若该《征求意见稿》正式生效,其将成为我国数据安全管理领域首个综合性部门规章。
《征求意见稿》适用于在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动(以下简称数据活动),以及数据安全的保护和监督管理活动,但排除了纯粹家庭和个人事务的适用。
对比《征求意见稿》与此前相关数据安全管理各类法律文件,可以发现该稿在继承《网络安全法》(以下简称“《网安法》”)基础上,充分吸收了《信息安全技术 个人信息安全规范》(GB/T 35273-2017)(以下简称《规范》)、《信息安全技术个人信息安全规范(草案)》(以下简称《草案》)、《App违法违规收集使用个人信息自评估指南》(以下简称《自评估指南》)以及《App违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称《认定方法》)的部分规定,将个人信息和重要数据的具体安全管理制度提高到了法规层面,强化网络运营者的安全管理义务,体现了国家对于保障数据安全的坚定决心。
本次解读将从“网络运营者的内部管理制度构建”、“网络运营者与网络数据”、“网络运营者与监管部门”三个维度,对网络运营者的具体安全管理义务进行剖析。
第一维度:网络运营者的内部管理制度构建
(一)总体要求
《征求意见稿》第六条对网络运营者的内部安全管理制度构建提出要求。该条规定,网络运营者应当按照有关法律、行政法规的规定,参照国家网络安全标准,履行数据安全保护义务,建立数据安全管理责任和评价考核制度,制定数据安全计划,实施数据安全技术防护,开展数据安全风险评估,制定网络安全事件应急预案,及时处置安全事件,组织数据安全教育、培训。
根据该稿第十九条,网络运营者还应当参照国家有关标准,采用数据分类、备份、加密等措施加强对个人信息和重要数据保护。
当网络运营者发生兼并、重组、破产等情况的,依据《征求意见稿》第三十一条,数据承接方应承接数据安全责任和义务。没有数据承接方的,应当对数据作删除处理。该条规定不同于《草案》第8.3款,未对是否需要向个人信息主体告知有关情况或是否应重新取得个人信息主体的明示同意作出规定,但建议网络运营者或数据承接方在发生兼并、重组、破产等情况后,及时告知个人信息主体有关情况,并依据是否变更使用目的重新取得明示同意,以降低合规风险。
(二)具体行为要求
1.数据收集
首先,网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。备案内容包括收集使用规则,收集使用的目的、规模、方式、范围、类型、期限等,不包括数据内容本身。若这一规定正式生效,可能会加重大多数网络运营者的合规义务,而且由于该稿没有明确“以经营为目的”与“个人敏感信息”的具体内涵,建议结合《规范》的附录B进行判定,并与网络运营者所在地网信部门进行沟通,按照自身情况进行备案工作。
同时该稿第十四条规定,网络运营者从其他途径获得个人信息,与直接收集个人信息负有同等的保护责任和义务。因此,当网络经营者以经营为目的从其他途径获得个人敏感信息的,也应当履行相应的备案义务。
其次,当网络运营者以经营为目的收集重要数据或个人敏感信息时,还应当明确数据安全责任人,《征求意见稿》亦对其任职条件、职责要求、汇报对象作出规定。数据安全责任人不同于《规范》第10.1款中所指的所有个人信息控制者均需任命的“个人信息保护负责人”,其将强制设立的主体范围限制在以经营为目的收集重要数据和个人敏感信息的网络运营者之内。网络运营者需评估业务活动是否存在以经营为目的收集重要数据或个人敏感信息的情况,并依据评估结果决定是否任命数据安全责任人。
此外,《征求意见稿》第十六条规定网络运营者采取自动化手段访问收集网站数据的,不得妨碍网站正常运行。若此类行为严重影响网站运行,网站要求停止自动化访问收集的,网络运营者应当停止。网络运营者可以将该稿列明的“自动化访问收集流量超过网站日均流量三分之一”作为参考标准调整或停止自动化手段。
2.利用新兴技术
当网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应当以明显方式标明“合成”字样,并且不得以谋取利益或损害他人利益为目的自动合成信息。
若网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。开展定向推送活动严禁歧视、欺诈等行为。另外,该稿第十一条要求,不得以定向推送信息为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。
但公安部等三部门联合发布的《互联网个人信息安全保护指南》中第6.3款规定,完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用,可事先不经用户明确授权。而《规范》第7.10款则规定当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时,个人信息控制者应向个人信息主体提供申诉方法。
综合上述规定,建议网络运营者无论是否采取自动化处理技术,均应尽可能取得个人信息主体的同意(比如将其纳入隐私政策以获取同意),并为其提供停止接收选项与申诉方法以最大限度地降低合规风险。
此外,网络运营者分析利用所掌握的数据资源,发布市场预测、统计信息、个人和企业信用等信息,亦不得影响国家安全、经济运行、社会稳定,不得损害他人合法权益。
3.第三方应用接入
《草案》在8.7款增加了“第三方接入管理”的具体规定,《征求意见稿》则将对第三方接入行为的要求上升到了法规层面。该稿第三十条规定,网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。同时该条明确了平台运营者的过错推定责任:当第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。
因此,建议网络运营者参考《草案》8.7款有关“第三方接入管理”的具体要求督促监督第三方应用运营者加强数据安全管理并做好痕迹化管理工作,以应对日后可能发生的纠纷风险。
4.督促用户
网络用户需要对自己的网络行为负责,而《征求意见稿》亦对网络运营者的督促行为提出了要求:①对于用户通过社交网络转发他人制作的信息,应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识;②接到相关假冒、仿冒、盗用他人名义发布信息的举报投诉时,应当及时响应,一旦核实立即停止传播并作删除处理。
第二维度:网络运营者与网络数据
《征求意见稿》第三十九条指出,涉及国家秘密信息、密码使用的数据活动,按照国家有关规定执行。因此,该稿排除了涉密信息活动的适用,其主要管理对象是个人信息与重要数据。
(一)个人信息保护要求
1.原有规定的体现
“告知-同意”仍然是《征求意见稿》构建个人信息保护制度的核心,而且《规范》、《草案》)《自评估指南》以及《认定方法》等文件中的部分规定也《征求意见稿》中得到了体现。
《征求意见稿》对网络运营者告知义务的规定主要体现在两个方面。
第一,《征求意见稿》明确规定了网络运营者需告知用户收集规则,且不得在用户尚未知悉收集使用规则并明确同意之时即开始收集个人信息。
该稿在吸收了《规范》第5.6款以及《自评估指南》中关于隐私政策文本的制定指引要求的基础上,强调了网络运营者需要制定并公开明确具体、简单通俗且易于访问的收集使用规则。该规则可以是隐私政策的一部分,也可以由其他形式提供给用户。如果收集使用规则包含在隐私政策中,应相对集中,明显提示,以方便阅读。
在收集使用规则中,网络运营者需要突出以下内容:
“(一)网络运营者基本信息;
(二)网络运营者主要负责人、数据安全责任人的姓名及联系方式;
(三)收集使用个人信息的目的、种类、数量、频度、方式、范围等;
(四)个人信息保存地点、期限及到期后的处理方式;
(五)向他人提供个人信息的规则,如果向他人提供的;
(六)个人信息安全保护策略等相关信息;
(七)个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法;
(八)投诉、举报渠道和方法等;
(九)法律、行政法规规定的其他内容。”
第二,在发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者除应当立即采取补救措施,并按要求向行业主管监管部门和网信部门报告外,还需及时以电话、短信、邮件或信函等方式告知个人信息主体。这一规定是《网安法》第四十二条在数据安全管理领域的具体体现。
在同意方面,《征求意见稿》的部分规定亦与《规范》《自评估指南》《认定方法》相应规定一脉相承。例如网络运营者不得强迫或误导个人信息主体同意(第十一条);收集14周岁以下未成年人个人信息的,应当征得其监护人同意(第十二条);超出个人信息保存期限的,应对个人信息进行删除或匿名化处理(第二十条);应提供查询、更正、删除或注销账号等改变或撤回同意的服务(第二十一条);确需扩大个人信息使用范围的,应当征得个人信息主体同意(第二十二条)。
2.现有条文的发展
(1)歧视行为的禁止
《电子商务法》第十八条规定,电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。
《征求意见稿》的第十三条系对《电子商务法》第十八条的进一步规定,将禁止歧视行为的主体从电子商务经营者扩大到网络运营者,不仅赋予了个人信息主体拒绝网络运营者收集个人信息的权利,亦对网络运营者明确施加了不得歧视的义务,从而更全面地保护了个人信息主体的利益。
(2)向第三方提供个人信息须征得同意的例外
《规范》第8.5款规定了共享、转让、公开披露个人信息时事先征得授权同意的例外,《草案》则在该基础上增加了“与个人信息控制者履行法律法规规定的义务相关”的例外情形。《征求意见稿》第二十七条则在吸收上述规定的基础上,统一明确了五种例外情形:
“网络运营者向他人提供个人信息前 ,应当评估可能带来的安全风险,并征得个人信息主体同意。下列情况除外:
(一)从合法公开渠道收集且不明显违背个人信息主体意愿;
(二)个人信息主体主动公开;
(三)经过匿名化处理;
(四)执法机关依法履行职责所必需;
(五)维护国家安全、社会公共利益、个人信息主体生命安全所必需。”
需要注意的是,目前《征求意见稿》只明确规定了向第三方提供个人信息须征得同意的例外情形,因此在收集和使用个人信息过程中,个人信息主体的同意仍是不可或缺的法定前提。
(二)重要数据保护要求
1.重要数据的定义
在《征求意见稿》中,重要数据是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。但重要数据一般不包括企业生产经营和内部管理信息、个人信息等。
但《征求意见稿》未对重要数据的具体识别方式进行规定,《个人信息和重要数据出境安全评估办法(征求意见稿)》第十七条规定重要数据的具体范围参照国家有关标准和重要数据识别指南。目前我国尚未出台正式的《重要数据识别指南》,仅在《信息安全技术 数据出境安全评估指南(征求意见稿)》中有所体现。
因此,建议网络运营者参考《信息安全技术 数据出境安全评估指南(征求意见稿)》附录A中的《重要数据识别指南》对其控制或希望控制的数据进行识别与认定,依据其是否为重要数据从而履行相应的安全管理义务。
2. 发布、共享、交易或向境外提供重要数据的要求
《征求意见稿》第二十八条规定,网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。
此外,《征求意见稿》还规定,境内用户访问境内互联网的,其流量不得被路由到境外。此条规定应指包括重要数据在内的所有流量一概不得被路由到境外。
第三维度:网络运营者与监管部门
(一)监管主体
《网安法》第八条原则性地规定了“国家网信部门负责统筹协调网络安全工作和相关监督管理工作”,《征求意见稿》则在此基础上进一步进行规定:
具体监管情形 | 监管部门 | 具体条文 |
统筹协调、指导监督个人信息和重要数据安全保护工作 | 国家网信部门 | 第五条 |
指导监督本行政区内个人信息和重要数据安全保护工作 | 地(市)及以上网信部门 | 第五条 |
网络运营者以经营为目的收集重要数据或个人敏感信息需要备案 | 网络运营者所在地网信部门 | 第十五条 |
网络运营者自愿申请通过数据安全管理认证和应用程序安全认证 | 国家网络安全审查与认证机构 (国家网信部门会同国务院市场监督管理部门指导) | 第三十四条 |
发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大 | 行业主管监管部门和网信部门 | 第三十五条 |
(二)监管方式
当网络运营者数据安全管理责任未能落实数据安全管理责任时,《征求意见稿》第三十三条明确了网信部门约谈整改的处理机制:网信部门在履行职责中,发现网络运营者数据安全管理责任落实不到位,应按照规定的权限和程序约谈网络运营者的主要负责人,督促整改。
当网络运营者的行为违反《征求意见稿》的相关规定时,将会由有关部门依照相关法律、行政法规的规定,根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。
此外,当国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要,依照法律、行政法规的规定,要求网络运营者提供掌握的相关数据的,网络运营者应当予以提供。
结语
《征求意见稿》在内部管理制度、网络数据、监管部门三个维度为网络运营者设定了不同的义务,网络运营者只有严格地履行各项义务,切实地保护个人信息与重要数据的安全,方有可能在市场竞争中持续占据有利地位。《征求意见稿》体现了诸多现有法律文件或征求意见稿中的相应规定,读者亦可参考本团队往期解读以对《征求意见稿》形成进一步的理解。
【参考资料】
[1] 蒋琳, 尤一炜. 详解《数据安全管理办法(征求意见稿)》:备案时代即将到来?. (2019-5-28)[2019-5-29]. https://mp.weixin.qq.com/s/B2AS9n3gYhTB2zRx-cKRHA.
[2] 杨迅.《数据安全管理办法(征求意见稿)》重磅发布——七大要点解读. (2019-05-28)[2019-05-29]. https://mp.weixin.qq.com/s/6s3eHueuMWu5VcpOQjSXWg.
[3] 宁宣凤, 吴涵.“却顾所来径,苍苍横翠微”——短评《数据安全管理办法(征求意见稿)》. (2019-5-28)[2019-05-29]. https://mp.weixin.qq.com/s/UHemvY904XYZj0_YxFIVzA.
[4] 陈际红, 韩璐. 小数据安全法出台|《数据安全管理办法(征求意见稿)》解析(2019-05-29)[2019-05-29]. https://mp.weixin.qq.com/s/GvVxh0q22HJmNWnZjcpkBg(2019-5-29).
本文仅为我们对相关法律、法规及政策的一般解读,不能作为正式的法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。