×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

打开手机,扫一扫二维码
即可通过手机访问网站并分享给朋友

EN

《网络数据安全管理条例》(征求意见稿)解读(二)|MHP君悦评论

2021-11-26385

摄图网_400249341_wx_数字数据场景(企业商用).png


重要数据、数据跨境传输、互联网平台的特别规定部分


重要数据及其特别安全保护


一、重要数据的含义


对重要数据的重点保护是《条例征求意见稿》的重点。《条例征求意见稿》对“重要数据”进行了定义,定义以及所包括的具体重要数据类型如下:


微信截图_20211126095246.png


《数据安全法》要求制定重要数据目录,并且各地区、各部门应确定本地区、本部门以及相关行业、领域的重要数据具体目录。《条例征求意见稿》对于重要数据的定义和列举为制定重要数据目录奠定了基础。但重要数据定义中的兜底条款涵盖范围甚广,在实践中可能造成重要数据的扩大化。另外,因为同时存在重要数据定义和列举以及重要数据目录,数据处理者必须根据两者要求来确定其处理的数据是否属于重要数据。


但从逻辑上理解,在《条例征求意见稿》下,“重要数据”的定义乃是基于“网络数据”。从这一点来讲,重要数据所涉及的各类数据似乎仅仅限于网络数据,较《数据安全法》下的“重要数据”范围要窄。但这一理解是否准确,还有待后续澄清。


二、共享、交易、委托处理重要数据


《数据安全法》定义的“数据处理”包括数据的收集、存储、使用、加工、传输、提供、公开等。其中并不包括共享、交易和委托处理。《条例征求意见稿》提出对重要数据的“共享、交易和委托处理”作出特别规定,但仅对“委托处理”作出明确定义,而对何为“共享”和“交易”未做说明。似乎可以参考《信息安全技术 个人信息安全规范》对“共享”的定义,即个人信息控制者向其他信息控制者提供个人信息,且双方分别对个人信息拥有控制权的过程。同时,也似乎可以参考《信息安全技术 个人信息安全规范》对“转让”的定义来理解“交易”,即将个人信息控制权由一个控制者向另一个控制者转移的过程。


《条例征求意见稿》要求共享、交易、委托处理重要数据须遵守告知同意、数据安全以及留存记录等规定,具体而言:


微信截图_20211126095246.png


《条例征求意见稿》第12条涉及到向第三方提供个人信息和共享、交易、委托处理重要数据。从条文上下文来看,无论是向第三方提供个人信息,还是共享、交易、委托处理重要数据,均应同时满足该第12条所述规定。但有意思的是,第12条未在第(1)项中提及重要数据,似乎第(1)项应仅仅适用于个人信息。而且,从重要数据的定义和所列举类型来看,重要数据可能更多是宏观数据,是否需要取得或能否取得个人同意存疑。上述矛盾不清之处还有待澄清。


三、重点保护重要数据


为重点保护重要数据,数据处理者须履行诸多特别安全保护义务:


微信图片_20211126095552.jpg


四、重要数据出境的特别管理措施


《条例征求意见稿》对于重要数据出境有着严格的保护。数据处理者向境外提供重要数据时,除需履行数据出境的一般义务外,还需要进行出境安全评估和履行年度报告义务。


出境安全评估在国家网信办于2021年10月29日发布的《数据出境安全评估办法(征求意见稿)》有更详细规定。


而年度报告义务则是指向境外提供重要数据的数据处理者,应在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度数据出境情况。报告内容包括:

(1)全部数据接收方名称、联系方式;

(2)出境数据的类型、数量及目的;

(3)数据在境外的存放地点、存储期限、使用范围和方式;

(4)涉及向境外提供数据的用户投诉及处理情况;

(5)发生的数据安全事件及其处置情况;

(6)数据出境后再转移的情况;

(7)国家网信部门明确向境外提供数据需要报告的其他事项。



数据跨境管理的特别规定


一、数据出境的基本条件


《条例征求意见稿》第35条列明了数据出境的条件。数据处理者确需向境外提供数据的,应当具备下列条件之一:

(1)通过国家网信部门组织的数据出境安全评估;

(2)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;

(3)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;

(4)法律、行政法规或者国家网信部门规定的其他条件。


与《个人信息保护法》有关个人信息出境条件不同的是,第(2)项条件所述的个人信息保护认证不仅适用于数据处理者(数据出口方),还适用于数据接收方(数据进口方)。


而无需满足上述任一条件的例外情形包括:

  • 数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息;

  • 为了保护个人生命健康和财产安全而必须向境外提供个人信息。


二、出境安全评估


国家网信办于2021年10月29日发布的《数据出境安全评估办法(征求意见稿)》第4条规定了需要向国家网信办申报出境评估安全的五种情形。但《条例征求意见稿》却仅规定了三种情形,分别是:

(1)出境数据中包含重要数据;

(2)关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息;

(3)国家网信部门规定的其它情形。


或许《数据出境安全评估办法(征求意见稿)》第4条规定的其余两种情形,即关键信息基础设施运营者收集和产生的个人信息和重要数据,累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息,就属于《条例征求意见稿》中所述的“国家网信部门规定的其它情形”。


三、数据处理者有关向境外提供数据的其它义务


数据处理者向境外提供数据应当履行如下义务:

(1)不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息;

(2)不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据;

(3)采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全;

(4)接受和处理数据出境所涉及的用户投诉;

(5)数据出境对个人、组织合法权益或者公共利益造成损害的,数据处理者应当依法承担责任;

(6)存留相关日志记录和数据出境审批记录三年以上;

(7)国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示;

(8)国家网信部门认定不得出境的,数据处理者应当停止数据出境,并采取有效措施对已出境数据的安全予以补救;

(9)个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务;

(10)非经主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据;

(11)向境外提供个人信息和重要数据的数据处理者应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度数据出境情况;

(12)按照国家数据跨境安全监管要求,建立健全相关技术和管理措施。


四、数据跨境安全网关


数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。国家建立数据跨境安全网关,对来源于中国境外、法律法规禁止发布或传输的信息予以阻断传播。



互联网平台


一、互联网平台运营者义务


《个人信息保护法》第58条对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者规定了诸多额外义务,但并未对何为“提供重要互联网平台服务”作出说明。《条例征求意见稿》引入了“互联网平台运营者”与“大型互联网平台运营者”,并分别规定了相应的加重义务。

微信图片_20211126095536.jpg


从《条例征求意见稿》对于互联网平台运营者与大型互联网平台运营者义务的规定来看,我们无法判定这些就是对《个人信息保护法》第58条规定的细化,因为提供重要互联网平台服务的个人信息处理者与互联网平台运营者/大型互联网平台运营者在《个人信息保护法》和《条例征求意见稿》下的有着不同的合规义务。这一点还有待后续观察和澄清。

联系我们

中国上海市南京西路1717号会德丰国际广场7楼
邮编:200040
电话:(总机)61132988
传真:61132913
Email:info@mhplawyer.com