11月14日,国家互联网信息办公室公布《网络数据安全管理条例(征求意见稿)》(以下简称《条例》)。《条例》明确国家建立数据分类分级保护制度,对赴港上市和在国外上市的公司的数据安全保护层面做出了规定,并在书面上确定了发生重要数据泄露等安全事件的应急机制。

 

“以网络数据处理行为规范的维度对《网络安全法》、《数据安全法》和《个人信息保护法》的原则性规定进一步的细化和具有可操作性的规定,使《网络安全法》、《数据安全法》和《个人信息保护法》立法目标在规范网络数据处理行为中得到法律功能的最大实现。”中国政法大学互联网金融法律研究院院长李爱君对新京报贝壳财经记者表示。

 

十万人以上信息泄露需在八小时内报备

 

李爱君表示,《条例》规范的是“网络数据处理活动”。根据《中华人民共和国网络安全法》,网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据。因此该《条例》调整的数据客体范围小于《数据安全法》,《数据安全法》中的数据是指任何以电子或者其他方式对信息的记录。

 

对此,国家标准《个人信息安全规范》编制组组长洪延青在公号网安寻路人中发文称,《条例》对数据安全审查的上位法依据在于《数据安全法》第二十四条——国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。“《条例》进一步完善了《网络安全审查办法(修订草案征求意见稿)》中对“影响或者可能影响国家安全的数据处理活动”的界定。待《条例》正式通过,就预示着《数据安全法》中规定的数据安全审查制定正式确立。”

 

李爱君认为,数据安全保护制度更为细化,规定了数据分类的依据,如按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度进行分类,并在《数据安全法》的基础上对数据进行了一般数据、重要数据、核心数据的分类。

 

贝壳财经记者注意到,《条例》还在数据安全应急处置机制方面进行了细化。其第十一条有:“如发生重要数据或者十万人以上个人信息泄露,在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息”的表述。对此,北京师范大学网络法治国际中心执行主任吴沈括告诉贝壳财经记者,之前没有过类似的规定,“这是第一次在书面上确定”。李爱君表示,这能够有效地防范重要数据安全风险发生,并在发生时有效控制风险的扩大化。

 

赴港上市若“可能影响国家安全”需要申报

 

《条例》的一大亮点还包括其对影响或者可能影响国家安全的数据处理活动进行了进一步的要求。

 

如《数据安全法》第二十四条规定,“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”但其并未详细说明什么是“影响国家安全的数据处理活动”。在前不久发布的《网络安全审查办法(修订草案征求意见稿)》中则提出“掌握超过100万用户个人信息运营者赴国外上市,必须向网安审查办公室申报”的规定,引发了广泛关注。在洪延青看来,《数据安全法》中,“影响或者可能影响国家安全”的内容有待展开,网络安全审查办法草案做出了初步的界定,而此次的《条例》则提出了更丰富的内涵。

 

具体来看,《条例》第十三条要求,数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:(一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;(二)处理一百万人以上个人信息的数据处理者赴国外上市的;(三)数据处理者赴香港上市,影响或者可能影响国家安全的;(四)其他影响或者可能影响国家安全的数据处理活动。同时,大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。

 

洪延青进一步分析称,“影响或者可能影响国家安全”出现在第一项、第三项、第四项,但是没有出现在第二项,这样的差异值得高度重视。换句话说:“处理一百万人以上个人信息的数据处理者赴国外上市的”是个客观条件;但第一项、第三项、第四项,还需要数据处理者在申报之前主动做一次判断——“影响或者可能影响国家安全”。只有评估后发现“影响或者可能影响国家安全”,才需要申报。如果评估后发现不影响国家安全的,是不需要申报的。

 

洪延青认为,“处理一百万人以上个人信息的数据处理者赴国外上市”,直接被认定为“影响或者可能影响国家安全”。其他情形,还需要做个案分析。此外,从文本分析来看,“在境外设立总部或者运营中心、研发中心”的行为在立法者认知中具有更高程度的风险等级。

 

吴沈括告诉贝壳财经记者,“第十三条有关内容是针对目前社会上有关赴港上市时一些法制管理的误解做出的一个澄清式的规定,同时也是在安全保护层面补足明确的规定,通过这个方式避免数据安全出境领域的制度漏洞。此外,《条例》第三十二条规定,赴境外上市的企业要每年进行一次数据安全报告评估,这主要是为了事后的持续监管。平台的安全评估也是持续监管的工作思路的体现,对业务来说也意味着业务相关规则的修改变化,企业需要有安全意识,对风险能做出事前、事中的及时排查和解决。”

 

具体化《个保法》规定 增强操作性

 

李爱君告诉贝壳财经记者,《条例》第十三条对数据处理者需要申报安全审查的数据处理行为进行了列举式的规定,增强了操作性。如汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的等。她认为,此种规定使需要安全审查的数据处理者明确(工作内容),降低了执法成本,同时也能够实现执法的公平性和公正性。

 

除国家安全、数据出境等相关规定,《条例》对个人信息保护也做出了相关规定。如《条例》第二十四条拟规定,数据处理者应当为符合条件的个人指定的其他数据处理者访问、获取其个人信息提供转移服务。李爱君认为,该规定使《个人信息保护法》第四十五条 “个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”这一规则中的“符合国家网信部门规定条件”具体化,使“个人信息转移”能够真正实现。

 

在她看来,《条例》对“个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法”的规定也能够使《个人信息保护法》对个人信息保护和个人信息主体权益保护落到实处,有力地增强了个人信息主体在维护自身合法权益能力。另外,《条例》对“公共数据”进行了界定,解决了目前各地方立法在“公共数据”的定义的不统一而带来的“公共数据”范围不明确的问题。还有数据处理者、 单独同意、大型互联网平台运营者和公共信息的定义都对本《条例》的实施和对《网络安全法》、《数据安全法》和《个人信息保护法》的实施起到了明确化、具体化和可操作化的作用。

 

“《条例》如果按照目前征求意见稿中的内容正式实施,将会给目前的信息保护形势带来很大的影响。一是在技术保护层面,需要投入更多保护措施;在组织管理层面,围绕个人信息全生命周期各个环节要进一步加强,特别是相关的评估、审计各方面要求,尤其是审计方面影响会非常大;在业务生态方面,个人信息相关的流转、利用规则的设计和合规落地也有了更细的要求。”吴沈括对贝壳财经记者表示。


新京报贝壳财经记者 罗亦丹 编辑 宋钰婷 校对 柳宝庆