2019.05.29 董潇 袁琼
2019年5月28日,国家互联网信息办公室发布了《数据安全管理办法》(征求意见稿)(“《办法》”),向全社会征求意见至2019年6月28日。以下是《办法》的重点内容:
一、适用范围
《办法》在第2条中明确规定,“在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动(以下简称数据活动),以及数据安全的保护和监督管理,适用本办法。纯粹家庭和个人事务除外”。
由于“网络”在《网络安全法》项下的定义宽泛,因此,我们理解,《办法》适用的场景非常广阔,中国境内的各类组织、个人都有可能是《办法》的适用对象,例如生产型企业自工控系统上收集生产相关数据、一般公司通过局域网或互联网收集相关信息,均受到《办法》管辖。
从《办法》全文来看,虽然第2条宽泛的规定了数据活动,但《办法》规制的重点依然为《网络安全法》项下强调的“个人信息”和“重要数据”。《办法》第38条将“重要数据”定义为“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”重要数据的定义依然很概括,但除外条款有利于企业判断重要数据的范围,可以确定自有生产经营和内部管理信息不再落入该范畴。
二、个人信息和重要数据保护的严格规定
说明责任人、提供撤销同意的方式。《办法》继此前出台的《个人信息安全规范》、《互联网个人信息安全保护指南》、《App违法违规收集使用个人信息自评估指南》等文件后,又一次重复、加强了个人信息保护的相关规定。例如,第8条明确要求在收集使用规则中明确突出“数据安全责任人的姓名及联系方式”、“个人信息主体撤销同意的方法”。
收集信息的目的限制。《办法》第11条规定,“网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息”。如何理解“不得以默认授权、功能捆绑等形式强迫、误导个人信息主体同意”,将直接影响目前企业的隐私实践。
另外,《办法》也引用了个人信息安全规范之中关于核心与核心业务的区分要求,规定个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后,网络运营者应当向个人信息主体提供核心业务功能服务,不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息,而拒绝提供核心业务功能服务。
未成年人信息分界线。《办法》第12条明确规定,收集14周岁以下未成年人个人信息的,应当征得其监护人同意。
网络安全责任人的聘任与职责。《办法》第17规定了网络运营者以经营为目的收集重要数据或个人敏感信息的,应当明确数据安全责任人。 数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任,参与有关数据活动的重要决策,直接向网络运营者的主要负责人报告工作并规定了其工作职责范围。
重要数据、个人敏感信息收集备案。《办法》第15条首次提出,“网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。备案内容包括收集使用规则,收集使用的目的、规模、方式、范围、类型、期限等,不包括数据内容本身。”由于目前“个人敏感信息”在《个人信息安全规范》中范围相当宽泛,手机号码、邮箱地址、系统账号、网页浏览记录、精准定位信息等均属于个人敏感信息,若采用该等定义则可能有广泛的备案要求。
提供个人信息前评估及除外情形。《办法》第27条规定,向他人提供个人信息前,应当评估可能带来的安全风险,并征得个人信息主体同意。目前暂不明确如何进行相关评估。
处理重要数据前评估及审批。《办法》第28条规定,“网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。”该安全评估要求高于原2017年网信办发布的《个人信息和重要数据出境安全评估管理办法》(征求意见稿)的规定,不仅对于“发布、共享、交易”重要数据要求也进行安全评估,而且直接要求评估后要报行业主管部门或网信部门审批。
个人信息安全事件的通知义务。《办法》第35条首次明确要求发生个人信息泄露、毁损、丢失等数据安全事件,或风险明显加大时,网络运营者应以电话、短信、邮件或信函等方式告知个人信息主体。
三、数据使用中的各项新规定
定向推送标注。《办法》第23条首次提出,网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。这条规定,对于现有的互联网广告行业实践有重大实质性的影响。
合成标注。《办法》第24条首次提出,“网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应以明显方式标明“合成”字样;不得以谋取利益或损害他人利益为目的自动合成信息”。如何理解“不得以谋取利益为目的自动合成信息”,有待于监管部门进一步解释。
四、严苛的责任承担
间接收集个人信息者的义务。《办法》第14条首次提出,“网络运营者从其他途径获得个人信息,与直接收集个人信息负有同等的保护责任和义务”。
数据安全事件中的过错推定。《办法》第30条规定,“网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。”对拥有平台的网络运营者提出了极高的要求,其对接入的第三方应用造成的数据安全事件“应当承担部分或全部责任”,除非能够证明无过错。
并购中的数据责任。《办法》第31条首次规定,“网络运营者兼并、重组、破产的,数据承接方应承接数据安全责任和义务。没有数据承接方的,应当对数据作删除处理。法律、行政法规另有规定的,从其规定”。因此,将来的并购、重组项目中,收购方如承接被收购方数据的,均应考虑相应的数据安全责任和义务的承担。
五、我们的观察
如上所述,《办法》提出了很多新的要求、责任和义务,对于互联网企业、普通企业等网络运营者均有很大影响。现阶段《办法》仍在征求意见,我们将密切关注其立法动向。