【小贝说安全】数安条例百问99、100:关于个人信息保护行业组织和附则
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第五十九条 国家支持相关行业组织按照章程,制定数据安全行为规范,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
国家支持成立个人信息保护行业组织,开展以下活动:
(一)接受个人信息保护投诉举报并进行调查、调解;
(二)向个人提供信息和咨询服务,支持个人依法对损害个人信息权益的行为提起诉讼;
(三)曝光损害个人信息权益的行为,对个人信息保护开展社会监督;
(四)向有关部门反映个人信息保护情况、提供咨询、建议;
(五)违法处理个人信息、侵害众多个人的权益的行为,依法向人民法院提起诉讼。
解读
我国互联网治理体系的特点是法律规范、行政监管、行业自律、技术保障、公众监督和社会教育相结合。其中,行业自律是重要一环。因此,我国网络安全、数据安全立法中,都强调了行业自律。例如:
《网络安全法》第十一条规定:“网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。”
《数据安全法》第十条规定:“相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。”
《条例》第五十九条继承了上位法的上述规定,即加强行业自律,指导会员加强数据安全保护,提高各行业数据安全保护水平。但其相对于已有法律规定的重大区别是,首次提出了成立专门个人信息保护行业组织的要求。
为了保护个人信息安全,法律法规必然要设立一系列重大制度,政府部门也要针对性部署一系列工作,但仅有这些是不够的。当前个人信息保护已经成为一个普遍性的日常问题,政府不可能大包大揽,也没有足够的精力和资源防范、处置违规事件。为此,需要研究新的机制,作为对政府监管机制的重要补充,这是《条例》第五十九条的立法目的。
出于这样的考虑,第五十九条赋予了个人信息保护行业组织五个方面的重要职能。
一是接受个人信息保护投诉举报并进行调查、调解。即,发生个人信息安全事件后,个人信息保护行业组织可以提前介入,协助用户维权,这将极大减轻用户维权成本。
二是向个人提供信息和咨询服务,支持个人依法对损害个人信息权益的行为提起诉讼。即,个人信息保护行业组织将做好公益服务,在宣传贯彻法律法规、提升全社会意识等方面发挥重要作用。
三是曝光损害个人信息权益的行为,对个人信息保护开展社会监督。这相当于借助社会监督,赋予了个人信息保护行业组织重要抓手,确立了其权威性,使《条例》的这一制度得以有效落地。
四是向有关部门反映个人信息保护情况、提供咨询、建议。即,个人信息保护行业组织将成为政府的参谋和助手,为政府相关工作提供支撑。
五是违法处理个人信息、侵害众多个人的权益的行为,依法向人民法院提起诉讼。《个人信息保护法》第七十条规定,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。即,《条例》落实《个人信息保护法》的规定,明确了个人信息保护行业组织可以发起集体诉讼。
个人信息保护行业组织的制度设计借鉴了中国消费者协会,制度实施中也将充分学习消协的经验,故成立个人信息保护行业组织的有充分的可操作性。
对应条款
第七十三条 本条例下列用语的含义:
(一)网络数据(简称数据)是指任何以电子方式对信息的记录。
(二)数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。
(三)重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:
1.未公开的政务数据、工作秘密、情报数据和执法司法数据;
2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;
3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;
4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;
5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;
6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;
7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
(四)核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。
(五)数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。
(六)公共数据是指国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据,以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。
(七)委托处理是指数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。
(八)单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。
(九)互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。
(十)大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
(十一)数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。
(十二)公共信息是指数据处理者在提供公共服务过程中收集、产生的具有公共传播特性的信息。包括公开发布信息、可转发信息、无明确接收人信息等。
第七十四条涉及国家秘密信息、核心数据、密码使用的数据处理活动,按照国家有关规定执行。
解读
《条例》的“附则”有3条,这里重点分析第七十三条给出的定义。
(一)关于网络数据(简称数据)
《条例》定义的“网络数据”来自《数据安全法》。后者规定了“数据”的定义:任何以电子或者其他方式对信息的记录。故《条例》将“网络数据”解释为“数据”的子集,即任何以电子方式对信息的记录。
需要指出,《网络安全法》第七十六条也曾对“网络数据”作了定义:通过网络收集、存储、传输、处理和产生的各种电子数据。
一些人认为,《条例》与《网络安全法》对“网络数据”所作定义不一致,因为后者还强调了“通过网络”。实际上,刻意放大两个定义的区别是没有意义的。不能从狭义角度理解《网络安全法》中的“网络”,而应当从网络空间的层面去认识。故而,网络空间中的数据本来就是以“电子”形式存在的,当然可以不突出“网络”。
(二)关于数据处理活动
《数据安全法》和《个人信息保护法》均定义了“处理”,区别是后者增加了“删除”环节。经综合考虑,《条例》采纳了《个人信息保护法》的方式,故“数据处理活动”的各环节与“个人信息处理”一致。
(三)关于重要数据
《条例》不但定义了“重要数据”,还给出了列举,一共7个方面。为什么除定义外还要进行列举呢?主要是为了尽可能为各类组织识别重要数据提供指导。但即使如此,这些列举也依然是示意性的,仍属定性。目前,全国信息安全标准化技术委员会正在组织制定国家标准《重要数据识别指南》,实际工作中可重点参考。
(四)关于核心数据
《条例》定义的“核心数据”与《数据安全法》完全一致。总的看,《条例》本身没有提出核心数据保护制度,这不是《条例》要解决的问题,故其随后在第七十四条指出,“核心数据”的保护另行规定。
(五)关于数据处理者
《条例》定义的“数据处理者”是对“个人信息处理者”的自然展开。即,将后者定义中的“个人信息处理活动”修改为“数据处理活动”。两者对处理活动的基本特征的描述是一致的:自主决定处理目的和方式。
(六)关于公共数据
《条例》第七条首次出现了“公共数据”,但相关的具体要求则是在第五十二条提出的,目的是对国家机关调用互联网平台运营者掌握的公共数据作出规范。
有必要指出,《条例》定义的“公共数据”范围较广,既包括国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据,也包括其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。在目前多个地方的立法实践中,对“公共数据”的定义一般都不涉及“其他组织”。《条例》为什么要扩大定义呢?主要原因是,“公共数据”体现的是公共利益,至少在某些场合,不宜仅从收集、产生的主体对其进行定义。
(七)关于委托处理
《个人信息保护法》定义了“个人信息处理者”,但没有定义“委托处理者”。考虑到实践中一些人对“委托处理”行为的理解有歧义,例如向第三方转移个人信息也被人称作“委托处理”,故《条例》专门对“委托处理”作了定义。该定义明确指出,这是指数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。即,受委托处理数据者不能自主决定处理目的和处理方式。
(八)关于单独同意
“单独同意”是《个人信息保护法》提出的重要要求。这对个人信息处理者而言是一项重大义务,故引起了各方的高度关注。但《个人信息保护法》本身并未明确“单独同意”的具体形式,故只能由《条例》来解决。《条例》在给出该定义时,强调了“单独同意”的两个特点。一是在事发时刻(开展具体数据处理活动时);二是针对每项信息。
一些人疑问,针对“每项信息”取得同意,是否意味着只能逐次弹出对每一项信息的同意窗口?这倒不必,完全可以在一个界面上同时展现对各项信息的同意按键。
考虑到个性化推荐等需要收集大量个人信息,且收集行为持续进行,难以确定收集个人信息的“事发时刻”,故可以在实施个性化等推荐行为时进行同意。亦即,“单独同意”也可以针对单次数据处理活动,不一定只针对单项信息。
(九)关于互联网平台运营者
之说以提出“互联网平台运营者”的定义,主要是为了将其与小型数据处理者相区别。由于互联网平台运营者要为用户提供信息发布、社交、交易、支付、视听等互联网平台服务,法律关系比较复杂,且其相对用户和平台上经营者处于强势地位,特别是其服务可能影响较大范围用户,有必要对其提出更严格的数据安全要求。
(十)关于大型互联网平台运营者
《条例》有两个条款涉及到“大型互联网平台运营者”。一个是第四十三条的规定:日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。另一个是第五十三条的规定:大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。
之所以会对大型互联网平台运营者提出上述要求,主要是考虑到了有些平台的社会影响力大,如果出现安全事件会损害批量个人信息或重要数据,以及数据处理算法可能影响政治安全。为此,《条例》梳理了大型互联网平台的三个特点:用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位。这三个特点是“或”的关系。
(十一)关于数据跨境安全网关
《条例》规定“数据跨境安全网关”是为了第四十一条的需要。但实际上,该条属于互联网信息内容安全方面的要求,不直接涉及数据安全保护。
(十二)关于公共信息
为什么在定义了“公共数据”后,《条例》还要再定义“公共信息”呢?后者的提出有特殊背景,主要强调其公共传播特性,如公开发布信息、可转发信息、无明确接收人信息等。例如,点对点个人通信场景下的通信自由、通信秘密受《宪法》保护。但通信过程完毕后,留存的信息经常不再被视为通信自由、通信秘密,而被人任意转发。故有必要对一些场景下信息的公共传播特性进行规定,以更好地保护通信自由、通信秘密。
小贝结语
开设《条例》百问百答专栏,对小贝说安全而言并不是个容易的决定。毕竟《条例》的征求意见期只有一个月,我们惶恐。我们担心做不到每个工作日都能连载。而当我们终于坚持了下来,当第一百问如期而至,我们又充满了不舍。不舍我们在这一个月中形成的工作节奏,不舍读者每天给我们的前行的力量。
我们看到,有无数的老朋友或因“小贝说安全”而相识相知的新朋友,一期不落地研读、点赞、转发。对专业文章而言,这种坚持其实比写作更难。一位读者在留言说,在这一个月中,每天阅读“小贝说安全”成为了生活的一部分。而我们想说,你对“小贝说安全”的支持也成为了我们生活的一部分。
感恩你们的每一次点赞,我们做到了!我们值得!
往期链接
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么?
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系?
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求?
19、如何理解重要数据或者十万人以上个人信息事件的处置义务?
20、如何理解向第三方提供个人信息或发送重要数据的安全要求?
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系?
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求?
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求?
27、为什么对合并、重组、分立或解散、破产提出数据安全要求?
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求?
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息?
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者?
55、如何理解对重要数据处理者和赴境外上市数据处理者的年度数据安全评估要求?
59、《条例》提出的数据安全风险评估与以前的风险评估有什么区别?
62、为什么要单设“数据跨境安全管理”一章?
63、如何理解数据出境?
64、为什么在数据出境的“认证”条件中,要求数据接收方也要经过个人信息保护认证?
72、为什么要求境内用户访问境内网络时,流量不得被路由至境外?
73、为什么要求数据处理者按照国家数据跨境安全监管要求,建立健全相关技术和管理措施?
74、所有网络平台运营者的平台规则、隐私政策、算法都需要进行披露吗?
75、网络平台运营者的规则、隐私政策往往改动频繁,均需公开征求意见吗?
76、官方网站、个人信息保护相关行业协会网站是选择关系还是并列关系?
77、为什么对日活用户超过1亿的大型互联网平台运营者的平台规则、隐私政策提出特殊要求?
78、大型互联网平台与《个人信息保护法》第58条提出的提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者是什么关系?
79、如何理解网络平台运营者在第三方造成损害时的先行赔偿责任?
87、为什么要对互联网平台运营者收集、产生的数据的使用进行限制?
89、《条例》对大型互联网平台提出的审计与《个人信息保护法》是什么关系?
95、国家数据安全应急处置机制与国家网络安全应急处置机制是什么关系?
97、为什么提出数据安全审计制度?
98、为什么由国家网信部门组织对重要数据处理活动的审计?
(文章来源:小贝说安全)