为落实《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据国务院2021年立法计划,国家互联网信息办公室于2021年11月14日发布了关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知,向社会公开征求意见。
《网络数据安全管理条例》是《网络安全法》、《数据安全法》、《个人信息保护法》中关于数据安全管理内容的实际落地,相较于三大法律,它具备较强的操作性,对于推动数据安全产业的快速发展有着重要的意义。《网络数据安全管理条例(征求意见稿)》包含总则、一般规定、个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务、监督管理、法律责任、附则共九章七十五条,不仅针对数据收集处置、存储、流转等方面的内容做了相应的规定,同时也明确了相应的法律责任。《征求意见稿》明确提出:
首先,《征求意见稿》提出,国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。
《征求意见稿》提出,数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。
《征求意见稿》要求,数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。
《征求意见稿》指出,数据处理者开展以下活动,应按国家有关规定,申报网络安全审查:
汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;
处理一百万人以上个人信息的数据处理者赴国外上市的;
数据处理者赴香港上市,影响或者可能影响国家安全的;
大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。
《征求意见稿》第四十三条规定,互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
《征求意见稿》同时要求,互联网平台运营者不得利用数据以及平台规则等从事以下活动:
不得从事无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为;
不得在产品推广中实行最低价销售等损害公平竞争的行为;
不得利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据;
不得在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。
《征求意见稿》对个人信息保护进行了具体规范,明确数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则,基于个人同意处理个人信息的,应当满足相关要求和规则。不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;不得通过误导、欺诈、胁迫等方式获得个人的同意;不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。
值得注意的是,此前有APP或小区物业强制用户人脸识别,此次《征求意见稿》指出,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式。
另外,《征求意见稿》首次明确了删除个人信息或予以匿名化的期限。第二十二条,当用户提出终止服务或者个人注销账号时,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理。
国家网信部门负责统筹协调数据安全和相关监督管理工作《征求意见稿》明确,国家网信部门负责统筹协调数据安全和相关监督管理工作。公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。同时,国家建立健全数据安全应急处置机制,完善网络安全事件应急预案和网络安全信息共享平台,将数据安全事件纳入国家网络安全事件应急响应机制,加强数据安全信息共享、数据安全风险和威胁监测预警以及数据安全事件应急处置工作等。
《征求意见稿》要求,跨境数据处理者应通过国家网信部门组织的数据出境安全评估。数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证,同时,按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务等。如果出境数据中包含重要数据,关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息,须通过国家网信部门组织的数据出境安全评估。
