咨询热线:010-85199916
2021年11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》(以下简称《条例》),并向社会公开征求意见。
《条例》作为一部行政法规,开篇就明确说明其上位法包括《网络安全法》《数据安全法》《个人信息保护法》等法律,其内容是对这些上位法规定的执行、细化和补充,而且进一步增强数据安全法律体系的完备性和可操作性。因此,在一定程度上《条例》可视为《网络安全法》《数据安全法》《个人信息保护法》的实施细则。
本文将从“一般规定”“个人信息安全管理”“重要数据安全管理”“互联网平台管理”几个方面简析《条例》的要点,以飨读者。
一、一般规定
1. 基本概念
《网络安全法》对“网络数据”的定义是“通过网络收集、存储、传输、处理和产生的各种电子数据”,《数据安全法》对“数据”的定义是“任何以电子或者其他方式对信息的记录”,《个人信息保护法》对“个人信息”的定义是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”。
作为上述法律的“实施细则”,《条例》将“网络数据”(简称“数据”)定义为“任何以电子方式对信息的记录”,即上述法律中的“网络数据”“数据”“个人信息”均受到《条例》的规制。
2. 数据保护制度
《条例》秉承《数据安全法》《个人信息保护法》的制度设计,明确国家建立数据分类分级保护制度,按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,对于个人信息和重要数据进行重点保护,对核心数据实行严格保护。
各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。
3. 网络安全审查制度
网络安全审查制度始创于《网络安全法》,一般情况下,对关键信息基础设施的运营者应开展网络安全审查。《数据安全法》出台后,将数据安全审查的范围规定为“影响或者可能影响国家安全的数据处理活动”,被审查主体囊括所有数据处理者。“滴滴事件”后,国家网信办公布《网络安全审查办法(修订草案征求意见稿)》,将数据安全审查纳入《网络安全法》建立的网络安全审查制度之中。《条例》则对网络安全审查制度做出更明确的规定。
《条例》第十三条规定,数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:
(一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;
(二)处理一百万人以上个人信息的数据处理者赴国外上市的;
(三)数据处理者赴香港上市,影响或者可能影响国家安全的;
(四)其他影响或者可能影响国家安全的数据处理活动。
大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。
(1)明确“处理一百万人以上个人信息的数据处理者赴国外上市”时必须申报网络安全审查。不论是国家网信办之前公布的《网络安全审查办法(修订草案征求意见稿)》,还是此次公布的《条例》,对赴国外上市的数据处理者申报网络安全审查的“门槛”均设定为“一百万人”。
(2)上述规定要求赴“国外”上市必须申报,而非“境外”,即赴香港上市的数据处理者是否必须申报网络安全审查并不受“一百万人”的限制,但需要承担提前判断是否“影响或者可能影响国家安全”的法定义务。这也是“滴滴事件”后众多互联网平台公司取消国外上市计划,转而登录港股的重要原因。
(3)对于在境外设立总部或者运营中心、研发中心的大型互联网平台运营者,必须向国家网信部门和主管部门报告,这应当也是特斯拉、苹果等公司在境内设立数据中心的重要原因之一。
4. 数据处理者的安全保护义务
此次公布的《条例》对数据处理者的安全保护义务提出了非常明确的时限要求。
(1)十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者应当在发生安全事件的八小时内向市级网信部门和有关主管部门报告,并在事件处置完毕后五个工作日内报告调查评估报告。
(2)数据安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内通知利害关系人。
(3)向第三方提供个人信息,或者共享、交易、委托处理重要数据的,留存个人同意记录其他相关记录至少五年。
(4)数据处理者发生合并、重组、分立等情况的,应当向设区的市级主管部门报告。
(5)所有数据处理者应当每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况。
(本文为原创文章,作者为王俊林律师、石陇辉律师助理。欢迎转载,转发请注明出处,侵权必究)