重要数据及其特别安全保护
1、重要数据的含义
对重要数据的重点保护是《条例征求意见稿》的重点。《条例征求意见稿》对“重要数据”进行了定义,定义以及所包括的具体重要数据类型如下:
重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括右侧所列数据: | 未公开的政务数据、工作秘密、情报数据和执法司法数据 |
出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据 | |
国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等 | |
工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据 | |
达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据 | |
国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据 | |
其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据 |
《数据安全法》要求制定重要数据目录,并且各地区、各部门应确定本地区、本部门以及相关行业、领域的重要数据具体目录。《条例征求意见稿》对于重要数据的定义和列举为制定重要数据目录奠定了基础。但重要数据定义中的兜底条款涵盖范围甚广,在实践中可能造成重要数据的扩大化。另外,因为同时存在重要数据定义和列举以及重要数据目录,数据处理者必须根据两者要求来确定其处理的数据是否属于重要数据。
但从逻辑上理解,在《条例征求意见稿》下,“重要数据”的定义乃是基于“网络数据”。从这一点来讲,重要数据所涉及的各类数据似乎仅仅限于网络数据,较《数据安全法》下的“重要数据”范围要窄。但这一理解是否准确,还有待后续澄清。
2、共享、交易、委托处理重要数据
《数据安全法》定义的“数据处理”包括数据的收集、存储、使用、加工、传输、提供、公开等。其中并不包括共享、交易和委托处理。《条例征求意见稿》提出对重要数据的“共享、交易和委托处理”作出特别规定,但仅对“委托处理”作出明确定义,而对何为“共享”和“交易”未做说明。似乎可以参考《信息安全技术个人信息安全规范》对“共享”的定义,即个人信息控制者向其他信息控制者提供个人信息,且双方分别对个人信息拥有控制权的过程。同时,也似乎可以参考《信息安全技术个人信息安全规范》对“转让”的定义来理解“交易”,即将个人信息控制权由一个控制者向另一个控制者转移的过程。
《条例征求意见稿》要求共享、交易、委托处理重要数据须遵守告知同意、数据安全以及留存记录等规定,具体而言:
数据处理者 | 告知 | 向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外 |
约定责任义务 | 与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督 | |
留存记录 | 留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年 | |
安全评估 | 进行数据安全评估(《条例征求意见稿》第32条) | |
主管部门同意 | 征得设区的市级及以上主管部门同意,如主管部门不明确,应征得设区的市级及以上网信部门同意(《条例征求意见稿》第33条) | |
数据接收方 | 履行约定义务 | 数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据 |
《条例征求意见稿》第12条涉及到向第三方提供个人信息和共享、交易、委托处理重要数据。从条文上下文来看,无论是向第三方提供个人信息,还是共享、交易、委托处理重要数据,均应同时满足该第12条所述规定。但有意思的是,第12条未在第(1)项中提及重要数据,似乎第(1)项应仅仅适用于个人信息。而且,从重要数据的定义和所列举类型来看,重要数据可能更多是宏观数据,是否需要取得或能否取得个人同意存疑。上述矛盾不清之处还有待澄清。
3、重点保护重要数据
为重点保护重要数据,数据处理者须履行诸多特别安全保护义务:
1 | 网络安全等级保护 | 处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求 |
2 | 密码保护 | 使用密码对重要数据进行保护 |
3 | 数据安全责任人与数据安全管理机构 | 指定数据安全负责人(由决策层成员担任),成立数据安全管理机构,其职责包括: 研究提出数据安全相关重大决策建议; 制定实施数据安全保护计划和数据安全事件应急预案; 开展数据安全风险监测,及时处置数据安全风险和事件; 定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动; 受理、处置数据安全投诉、举报; 按照要求及时向网信部门和主管、监管部门报告数据安全情况。 数据安全负责人有权直接向政府部门反映数据安全情况 |
4 | 向网信部门备案 | 在识别其重要数据后的十五个工作日内向设区的市级网信部门备案 数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等; 处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身; 国家网信部门和主管、监管部门规定的其他备案内容。 处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。 |
5 | 安全培训 | 每年组织开展全员数据安全教育培训 数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时 |
6 | 数据安全评估 | 处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门 共享、交易、委托处理重要数据和向境外提供重要数据的安全评估 数据处理者应当保留风险评估报告至少三年 |
7 | 向政府部门报告合并、重组、分立、解散、破产 | 涉及重要数据和一百万人以上个人信息的数据处理者发生合并、重组、分立等情况的,向设区的市级主管部门报告 数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。 |
8 | 共享、交易、委托处理重要数据 | 征得设区的市级及以上主管部门同意,如主管部门不明确,应征得设区的市级及以上网信部门同意 |
4、重要数据出境的特别管理措施
《条例征求意见稿》对于重要数据出境有着严格的保护。数据处理者向境外提供重要数据时,除需履行数据出境的一般义务外,还需要进行出境安全评估和履行年度报告义务。
出境安全评估在国家网信办于2021年10月29日发布的《数据出境安全评估办法(征求意见稿)》有更详细规定。
而年度报告义务则是指向境外提供重要数据的数据处理者,应在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度数据出境情况。报告内容包括:
(1)全部数据接收方名称、联系方式;
(2)出境数据的类型、数量及目的;
(3)数据在境外的存放地点、存储期限、使用范围和方式;
(4)涉及向境外提供数据的用户投诉及处理情况;
(5)发生的数据安全事件及其处置情况;
(6)数据出境后再转移的情况;
(7)国家网信部门明确向境外提供数据需要报告的其他事项。
数据跨境管理的特别规定
1、数据出境的基本条件
《条例征求意见稿》第35条列明了数据出境的条件。数据处理者确需向境外提供数据的,应当具备下列条件之一:
(1)通过国家网信部门组织的数据出境安全评估;
(2)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;
(3)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;
(4)法律、行政法规或者国家网信部门规定的其他条件。
与《个人信息保护法》有关个人信息出境条件不同的是,第(2)项条件所述的个人信息保护认证不仅适用于数据处理者(数据出口方),还适用于数据接收方(数据进口方)。
而无需满足上述任一条件的例外情形包括:
数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息;
为了保护个人生命健康和财产安全而必须向境外提供个人信息。
2、出境安全评估
国家网信办于2021年10月29日发布的《数据出境安全评估办法(征求意见稿)》第4条规定了需要向国家网信办申报出境评估安全的五种情形。但《条例征求意见稿》却仅规定了三种情形,分别是:
(1)出境数据中包含重要数据;
(2)关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息;
(3)国家网信部门规定的其它情形。
或许《数据出境安全评估办法(征求意见稿)》第4条规定的其余两种情形,即关键信息基础设施运营者收集和产生的个人信息和重要数据,累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息,就属于《条例征求意见稿》中所述的“国家网信部门规定的其它情形”。
3、数据处理者有关向境外提供数据的其它义务
数据处理者向境外提供数据应当履行如下义务:
(1)不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息;
(2)不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据;
(3)采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全;
(4)接受和处理数据出境所涉及的用户投诉;
(5)数据出境对个人、组织合法权益或者公共利益造成损害的,数据处理者应当依法承担责任;
(6)存留相关日志记录和数据出境审批记录三年以上;
(7)国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示;
(8)国家网信部门认定不得出境的,数据处理者应当停止数据出境,并采取有效措施对已出境数据的安全予以补救;
(9)个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务;
(10)非经主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据;
(11)向境外提供个人信息和重要数据的数据处理者应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度数据出境情况;
(12)按照国家数据跨境安全监管要求,建立健全相关技术和管理措施。
4、数据跨境安全网关
数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。国家建立数据跨境安全网关,对来源于中国境外、法律法规禁止发布或传输的信息予以阻断传播。
互联网平台
1、互联网平台运营者义务
《个人信息保护法》第58条对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者规定了诸多额外义务,但并未对何为“提供重要互联网平台服务”作出说明。《条例征求意见稿》引入了“互联网平台运营者”与“大型互联网平台运营者”,并分别规定了相应的加重义务。
披露制度 | 披露平台规则、隐私政策和算法策略的制定程序、裁决程序 |
平台规则、隐私政策制定或者对用户权益有重大影响的修订应面向社会公开征求意见,征求意见时长不得少于三十个工作日 以易于用户访问的方式公布意见采纳情况,说明未采纳的理由,接受社会监督 | |
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意 | |
管理第三方产品与服务并承担先行赔偿义务 | 对接入其平台的第三方产品和服务承担数据安全管理责任 |
通过合同等形式明确第三方的数据安全责任义务 | |
先行赔偿第三方产品和服务对用户造成的损害 | |
即时通信服务的互联网平台运营者 | 可为用户提供个人通信(按个人信息予以保护)和非个人通信(按公共信息予以管理) |
为其他即时通信服务提供数据接口,支持用户数据互通 | |
向用户推送信息 | 对推送信息的真实性、准确性以及来源合法性负责 |
收集个人信息用于个性化推荐时,应当取得个人单独同意 | |
设置易于理解、便于访问和操作的一键关闭个性化推荐选项,允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数 | |
允许个人删除定向推送信息服务收集产生的个人信息,法律、行政法规另有规定或者与用户另有约定的除外 | |
禁止行为 | 利用平台收集掌握的用户数据,无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为 |
利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为 | |
利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据 | |
在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新 | |
大型互联网平台年度审计 | 委托第三方对平台进行年度审计,并披露审计结果 |
从《条例征求意见稿》对于互联网平台运营者与大型互联网平台运营者义务的规定来看,我们无法判定这些就是对《个人信息保护法》第58条规定的细化,因为提供重要互联网平台服务的个人信息处理者与互联网平台运营者/大型互联网平台运营者在《个人信息保护法》和《条例征求意见稿》下的有着不同的合规义务。这一点还有待后续观察和澄清。
