《网络数据安全管理条例》(“《网数条例》”)经过三年周期,结合了这期间网络安全与数据保护领域的上位法以及APP合规治理、数据出境等规则和实践,删除了诸多颇有争议的条款,最终融合定稿。《网数条例》在整体规则上强调政府内部协调,明确在重要数据的目录以及范围上的监管先行,规定大型网络平台的范围以及合规义务增项等,同时也衔接了后续的部门规章填补实施细则。
2024年9月30日,自2021年11月公开征求意见至今历时三年,《网络数据安全管理条例》(“《网数条例》”)正式公布,将自2025年1月1日起正式施行。
《网数条例》在一般规定中整合了《网络安全法》《数据安全法》与《个人信息保护法》三部数据保护基础法律项下关于网络与数据安全保护、漏洞与应急处置、数据提供与委托处理等方面的共性合规义务,并要求各主管部门协调和衔接不同数据合规机制和检查项下的要求,力求在重合范围内“加强衔接”与“互相采信”。
相较于2021年征求意见稿100万人的门槛标准,《网数条例》要求1000万人以上个人信息的处理者才需遵守重要数据处理的相关要求。此外,《网数条例》也明确了“为订立和履行合同之必要”跨境传输个人信息的“合同”不局限于《促进和规范数据跨境流动规定》第5条所列示的八种类型。
以三法为基础构造合规义务体系
《网数条例》没有设立全新的网络安全与数据保护合规义务,在“一般规定”章节中更多是借鉴、整合《网络安全法》《数据安全法》与《个人信息保护法》及其既存配套措施项下具有共通性的合规要求,并将其普及至“网络数据处理活动”中,以此明确网络数据处理者的一般合规义务体系。
《网数条例》最后删除了2021年征求意见稿关于“三个工作日内通知利害关系人”和“八小时向网信和主管部门报告”的要求,但是本次正式稿中也并未设定具体的时限和对象要求。实践中,企业如遇网络安全事件或者个人信息安全事件,将仍需要参照既存的行业和地方规则和要求(比如《上海市公共互联网网络安全突发事件应急预案》)进行报告和通知。
与《个人信息保护法》的要求略有不同,《网数条例》规定“提供个人信息”也应以合同方式与接收方具体约定权利义务关系,并要求监督接收方履行相关义务的情况。视实际处理数据的类型和情形的不同,企业最多可能需要准备4套数据处理协议,分别对应提供、委托处理个人信息和重要数据的不同场景。
为个人信息与重要数据保护提供更多实操指导
1. 个人信息
在个人信息保护问题上,《网数条例》充分考虑和纳入了监管部门在APP个人信息保护治理工作中积累的成熟规定,比如个人信息处理规则的展示和撰写要求(第21条第1款)、信息收集/共享“双清单”的制作(第21条第2款),以及个人信息主体权利请求的响应要求(第23至25条)。
其中,《网数条例》具体规定了《个人信息保护法》第45条第3款“个人信息转移权”的四项前提条件,要求之一是“请求转移的是本人同意提供的或者基于合同收集的个人信息”。基于此,针对基于其他合法性基础收集的个人信息,企业有权拒绝响应。根据条款文本的规定,倘若某些信息是基于本人同意提供的数据所产生的(比如说基于账号注册的手机号码产生的UID),该等数据可能也不在转移范围之内。
针对落入《个人信息保护法》域外适用管辖的境外个人信息处理者,《网数条例》第26条明确了其在境内设立专门机构或者指定代表的名称/姓名和联系方式信息应报送至所在地设区的市级网信部门。随着信息报送工作的落地,属地监管部门将有可能会向相关机构或者代表问询关于境外个人信息处理者个人信息保护的相关情况。
值得关注的是,与2021年“处理100万人以上个人信息就需遵守重要数据处理者合规义务”的要求不同,《网数条例》将数量门槛提高至了1000万人(这一标准在天津自贸区和北京自贸区的数据分类分级规范中亦有体现[1]),且该等处理者仅需额外落实两项义务,即明确网络数据安全负责人和管理机构的义务(第30条)[2],以及可能影响该等个人信息安全的企业变动(如合并、分立、解散和破产)的数据处置方案报告义务(第32条)。
在个人信息删除以及使用爬虫爬取网络数据等场景,《网数条例》第24条也明确了,因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。
2. 重要数据
《网数条例》第29条重申了重要数据的三步认定机制,即“有关部门制定目录”+“网络数据处理者依规定识别和申报”+“相关地区、部门确认后告知或公开发布”;《网数条例》第37条对此进行了二次确认,即“未被告知或者公开发布为重要数据”的无需作为重要数据申报数据出境安全评估。
《网数条例》第30条要求重要数据处理者的网络数据安全负责人由管理层成员担任,体现了监管对网络数据安全保护事宜的重视。实践中,如此前根据《数据安全法》第27条设置的数据安全负责人并非管理层成员,为避免人员设置上的冗余,企业可以考虑根据《网数条例》的要求、由特定管理层成员兼任两个职位。
《网数条例》也对重要数据处理者不同情况下的风险评估内容分别进行规定(具体请见下表)。
3. 个人信息跨境传输
《网数条例》新增了“为履行法定职责或者法定义务,确需向境外提供个人信息”作为豁免跨境合规机制的情形之一。例如,根据相关法律法规要求,境外药品上市许可持有人需要自行或者在境内关联方的协助下,在中国境内持续监测和收集药品不良反应信息或者药物警戒信息,因而涉及《个人信息保护法》项下的数据出境。根据《网数条例》第35条的规定,前述药物警戒场景项下的数据出境将无需通过安全评估、进行个人信息保护认证或者签订标准合同。
此外,《网数条例》在重申《促进和规范数据跨境流动规定》关于“订立或履行合同”的豁免情况时,并未对合同类型进行列举。据此理解,该等“合同”将不局限于《促进和规范数据跨境流动规定》第5条所列示的八种类型,这一澄清将进一步利于企业适用相关豁免、降低数据出境活动的合规成本。
关于大型网络平台服务提供者的若干澄清
《网数条例》明确了“大型网络平台”的用户量标准(即注册用户5000万以上或者月活跃用户1000万以上),但是实践中如何理解“业务类型复杂”和“网络数据处理活动对国家安全、经济运营、国计民生等具有重要影响”,仍有待监管部门澄清。
此外,《网数条例》第44条借鉴了《个人信息保护法》第58条的个人信息保护社会责任报告义务,并对报告内容进行了明确,要求大型网络平台说明“包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等”内容。
强调监管协作
针对国际上的一些针对政府调取数据问题的争议,《网数条例》第51条也重申了相应的规则,即有关主管部门在网络数据安全监督检查中不得访问、收集与网络数据安全无关的业务信息,获取的信息只能用于维护网络数据安全的需要,不得用于其他用途。
对于过去几年出现的多头执法问题,《网数条例》第52条也专门强调,有关主管部门在开展网络数据安全监督检查时,应当加强协同配合、信息沟通,合理确定检查频次和检查方式,避免不必要的检查和交叉重复检查。个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接,避免重复评估、审计。
总结与建议
《网数条例》总体来看更多是对前一个阶段、已经定调的规则的协调和总结。个人信息出境部分的规则已经非常明确,因此企业应按照现有的规则完成个人信息出境的安全评估、标准合同备案或者内部报告的撰写和存档,以及如果是基于同意开展的数据出境应取得相关个人的单独同意。针对个人信息保护合规审计,《网数条例》也确定了这项监管手段,建议企业尽快准备内部的合规审计分工、人员和资源的预留以及审计方法论等讨论,以便能够在《个人信息保护合规审计管理办法》出台后尽快完成审计以及相关合规要求。