落实网络数据安全执行细则,聚焦《网络数据安全管理条例》(征求意见稿)

2021年11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》(以下简称“《网安条例》”),并向社会公开征求意见。《网安条例》共九章七十五条,涵盖了个人信息保护、互联网平台运营者义务等多方面。

《网安条例》的定位与适用范围

补充细化上位法
《网安条例》是根据《中华人民共和国网络安全法》(以下简称“《网安法》”)《中华人民共和国数据安全法》(以下简称“《数安法》”)《中华人民共和国个人信息保护法》(以下简称“《个保法》”)等法律制定,是对其上位法的细化和补充,也可以被看作是《数安法》和《个保法》的实施细则。

适用范围
根据《网安条例》,在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理和部分境外处理我国境内公民和组织数据的活动,适用《网安条例》。

此外,《网安条例》明确规定,自然人因个人或者家庭事务开展数据处理活动的不在适用范围内。

明确何为“合法、正当、必要”的原则
《个保法》第五条规定,处理个人信息应当遵循合法、正当、必要和诚信原则。《网安条例》第十九条则逐条解释了何为合法、正当、必要和诚信原则。具体解释为:

  • 处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的;
  • 限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;
  • 不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。

明确大型互联网平台运行者的定义
根据《网安条例》,数据处理者、互联网平台运营者和大型互联网平台运营者在处理数据活动时应当遵循《网安条例》,其中,大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。

《网安条例》在第七十三条第十款中对于大型互联网平台运营者的定义是对《个保法》第五十八条“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的解释说明。因此,五千万用户数量成为了判断该运营者是否被认定为“大型互联网平台运行者”的重要指标。

首次提出制定隐私政策需要公开征求意见

根据《网安条例》第四十三条,“平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日。”

我们认为,此条内容的提出将直接改变现有的隐私政策及平台规则的运行模式,将从一定程度上限制了平台运营者对于信息收集和处理的使用,使企业自身在满足相关法律合规的同时,接受民众和用户的监督并听取意见。

重要数据处理者的法定责任
《网安条例》的第四章为针对重要数据处理者单独设立的章节,是对《数安法》第四章的重要补充。其第二十九到第三十三条规定了重要数据处理者的法定责任,其责任主要包含备案、培训、采购、安全评估和流转批准。其中备案是指在识别重要数据十五个工作日内向设区的市级网信部门备案;培训是指应每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时;流转批准是指数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。

数据评估是指每年对数据的定期评估和进行场景评估。定期评估内容包括了数据处理情况、风险应对及处置方式、安全管理及备份制度、合规情况、数据出境安全评估情况、数据安全的投诉及处理情况和国家网信及有关部门明确的其他数据安全情况。

场景评估是指对于共享、交易、委托处理、向境外提供重要数据的场景进行评估,如评估结果为可能危害国家安全、经济发展和公共利益,则不得共享、交易、委托处理、向境外提供数据。

我们的观察
《网安条例》作为一部行政法规,以《个保法》《数安法》《网安法》为上位法,落实和执行了上位法关于数据安全所设立的制度,给出了这些制度可实施的路径。但是值得我们关注的是,在细节问题的衔接上和综合结构的考虑上《网安条例》还需要进一步完善,真正做到成为上位法的有效补充和细化。对此我们将保持关注。

律所地址

北京市朝阳区曙光西里甲六号院时间国际H座(8号楼)北区18层

邮箱地址

tigood@tigood.com.cn

联系电话

010-57165265