《网数条例》立足于对“网络数据”的处理活动与安全监管进行立法规制,其对“网络数据”的定义为“通过网络处理和产生的各种电子数据”。这里难免会让人产生疑问:《个保法》与《数安法》并没有限定信息或数据以“网络”作为载体,而作为打通、整合三部基础数据法律的行政法规,《网数条例》却将规制对象限缩在“网络数据”,似乎排除了其对“线下数据”的适用,参照《网安法》的定义,“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。因此我们认为《网数条例》中的“网络”应做广义理解,不限于狭义的互联网。
尽管如此,我们建议企业不必纠结于此,如前所述,《网数条例》中诸多规定已经在先前发布的法律法规、国家标准中体现,因此我们认为《网数条例》中体现的规则与要求同时适用于“网络”与“线下”数据,无非在具体执法与司法案件中所引用的法规有所区别罢了。企业应当在其“网络”与“线下”数据处理场景均严格落实相应的合规要求,不应有所偏废。
(1)落实网络安全等级保护制度与数据安全技术措施
《网数条例》要求网络数据处理者在网络安全等级保护(以下简称“等保”)的基础上,建立健全网络数据安全管理制度,采取加密、备份、访问控制、安全认证等技术措施和其他必要措施。这一条看似原则性的一般要求,实质上加大了企业的网络安全保障义务。
首先,《网数条例》再次强调了《网安法》所确立的等保制度。根据我们对实践的观察,有相当一部分企业对于等保的落实工作并不到位,当前主管机关除了在日常例行检查过程中会关注企业是否完成了等保工作外,在发生数据安全事件时,若企业未能积极履行等保义务,也可能在遭受数据损失的同时收到主管机关的行政处罚。需要注意的是,若是在例行检查中发现企业未办理等保,主管机关应当先责令其改正,拒不改正的,企业将受到处罚;但若因未开展等保而导致危害网络安全、数据泄露等后果的,主管机关可以直接对企业进行处罚。此外,实践中一些网络部署的客观情况(例如,服务器部署在中国境外)可能导致企业无法进行并通过等保测评,尽管如此,我们还是建议此类企业对照等保要求完善内部网络安全制度,对网络安全配置进行测试与整改,尽可能贴合等保要求。
其次,《网安法》规定网络运营者应当对重要数据采取备份和加密等措施[1],而《网数条例》并未区分一般数据与重要数据,要求网络数据处理者采取加密、备份、访问控制、安全认证等技术措施和其他必要措施保护网络数据[2]。可能会有企业抱有疑问:《网数条例》并未明确规定违反上述规定的具体罚则,企业是否会因此承受消极法律后果?我们认为《网数条例》第58、60、61条规定的兜底罚则有适用的机会;此外,基于我们所代理的多起涉及云服务的网络服务合同纠纷诉讼案件的经验,云服务使用者未对网络数据进行备份而导致数据损失的,很有可能会被认定为自身存在过错,进而需要其自身承担对应的损失。有鉴于此,我们认为《网数条例》旨在督促企业更为积极地履行网络与数据安全保护义务,未来此类执法与诉讼纠纷案件数量将很有可能呈上升趋势。
(2)网络安全事件应对
《网数条例》第10条、11条规定了网络数据处理者对网络产品、服务安全缺陷、漏洞及网络数据安全事件的报告义务,在网络数据安全事件应对方面,尽管《网数条例》删除了征求意见稿中“三个工作日内通知利害关系人”和“八小时向网信和主管部门报告”的要求,也未规定具体的报告时限和对象,但这并不意味着企业对于网络安全事件的报告义务有所减轻。
《网络安全事件报告管理办法(征求意见稿)》已于2023年底发布,尽管正式版本尚未发布生效,我们仍建议企业参考《网络安全事件报告管理办法(征求意见稿)》的规定尽快提前准备相应响应及报告机制,根据我们的经验,如果企业内部没有完善的安全事件应对流程与机制、没有提前的应急演练经验,一旦发生网络安全事件,企业很难做到按照相关法规进行应对。
此外,关于网络安全事件的响应要求,除上述法规外,还有诸多地方规章与国家标准对此做出了明确的规定,如《上海市网络安全事件应急预案》、GB/T 20985《信息技术 安全技术 信息安全事件管理》、GB/T 38645《信息安全技术 网络安全事件应急演练指南》等。企业应当综合上述规定,制作内部网络安全事件应对手册,做到未雨绸缪、防患于未然。
《网数条例》第12条规定网络数据处理者应当以合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,同时提供、委托处理个人信息和重要数据的处理情况记录应当至少保存3年。
尽管《个保法》针对个人信息的处理有类似规定,我们注意到实践中诸多企业仅通过签订“技术服务协议”一类的商务合同对涉及数据处理的业务进行约定,而这类合同往往更多着眼于技术方案而非数据处理相关的责任义务,当前很多企业还未能形成对于数据处理目的、方式、范围以及安全保护义务进行协商约定的习惯。而如今,《网数条例》从法规义务层面再次明确要求双方对于数据处理的目的、方式、范围以及安全保护义务等进行明确约定(相比《个保法》,《网数条例》还在对外提供个人信息的场景下增设了相关义务)。我们认为从形式上看,双方可以通过合同进行约定,数据提供方亦可以考虑制作标准的数据处理协议/规则,并根据涉及数据处理的不同业务具体补充、适配数据处理细节,并与数据接收方协商后要求其签署确认。
如果双方未能以法规要求的形式对相应内容进行约定,可能导致的后果是:(1)双方对于数据处理中的权利义务约定不明,容易产生纠纷;更重要的是(2)一旦发生涉数据纠纷或数据安全事件,双方之间无法清晰划分数据处理角色及相应责任边界,可能导致企业对外承担不必要的行政与民事责任。
关于数据处理记录,《个保法》中规定个人信息保护影响评估(PIA)报告和处理情况记录应当至少保存3年,此处《网数条例》也做出了类似的规定。我们也注意到,尽管《个保法》已实施近3年,但实践中对于PIA的落实情况并不理想,大量企业尚未建立PIA制度与流程,更未留存相应的记录,而《网数条例》再次强调网络数据处理者需要留存个人信息和重要数据的处理情况记录,需要引起企业对于数据处理情况与记录的充分重视。
《网数条例》在强调人工智能训练数据安全[3]的同时,对训练数据也给予了一定程度的“松绑”,规定“因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。法律、行政法规规定的保存期限未届满,或者删除、匿名化处理个人信息从技术上难以实现的,网络数据处理者应当停止除存储和采取必要的安全保护措施之外的处理。”[4]这一规定符合当前商业与技术实际情况,值得称赞。
但不得不承认,上述规定在实际操作上还存在一定“落空”的可能:首先,不同于知识产权领域的“避风港原则”,《网数条例》并未要求在发生上述情况时对个人信息主体进行告知,因此上述规定很大程度上有赖于企业的“合规自觉”,且只要企业对个人信息进行删除或匿名化处理,即大概率可豁免相应法律责任;其次,当前关于匿名化处理的国家标准尚未出台,企业如何进行匿名化仍然缺少具体的操作指引。从个人信息保护的角度来看,该条法规未来执行情况存在着隐忧,但从鼓励人工智能产业发展角度来看,该条体现的政策支持显而易见。
(1)对隐私政策与告知同意的影响
《网数条例》第21条规定“个人信息处理规则应当集中公开展示、易于访问并置于醒目位置”,根据GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》(以下简称“《告知同意指南》”)的规定[5],在APP中设置的“隐私”相关功能界面集中展示个人信息保护政策即符合“集中公开展示”的要求。
此前监管部门在实践中鼓励APP通过“双清单”(即个人信息收集清单、第三方共享个人信息清单)对于个人信息收集与共享情况进行展示,《网数条例》首次以立法的形式规定网络数据处理者应以清单等形式列明并向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息。
《网数条例》在法规层面也明确规定不得在个人明确表示不同意处理其个人信息后,频繁征求同意[6]。根据《告知同意指南》的规定,48小时内超过 1 次询问即可构成频繁询问、请求,但个人主动选择使用某业务功能而触发的同意询问,不属于打扰情形[7]。
在此前的实践中,企业经常对于如何确定数据保存期限表示迷茫,很多业务场景下,数据的保存期限难以用具体的时间进行描述,针对这一问题,《网数条例》规定如果数据保存期限难以确定的,在隐私政策中应当明确保存期限的确定方法[8]。需要强调的是,无论是具体的数据保存期限,还是保存期限的确定方法,都要以“必要性”为前提,企业需要能够解释数据保存期限的合理性。
(2)个人信息转移权的发展与影响
《个保法》借鉴欧盟GDPR中的个人数据可携带权,创立了中国的个人信息转移权[9],但至今个人信息转移权都未能有效地落地与执行。如今《网数条例》向前一步,要求网络数据处理者在符合相关条件的情况下,应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径,且在请求转移个人信息次数等明显超出合理范围时,网络数据处理者可以根据转移个人信息的成本收取必要费用。我们认为未来该条的落实可能将采取类似当年“双清单”落地的形式,从主要互联网大厂试点执行。但我们同时认为,该条执行过程中可能遭遇诸多困难:
首先,关于转移权对应的个人信息范围,《网数条例》规定为“本人同意提供的或者基于合同收集的个人信息”,但基于该等个人信息衍生的个人信息,例如UID、用户标签与画像,是否被囊括其中?从法规的文义解释及商业实践的角度分析,我们倾向认为转移权对应的个人信息范围不包括衍生个人信息,否则将不合理地增加网络数据处理者的合规成本,甚至损害其商业秘密与竞争优势。
其次,“转移个人信息具备技术可行性”如何认定?我们认为如果网络数据处理者以不满足该条件拒绝个人信息转移请求的,应当负有举证责任。但实践中如果需要产生一定的技术成本或压缩企业的商业利益,是否会被认为不具备“可行性”?该等问题还需要监管与司法机关未来在具体案例中进一步评析。未来,还可以期待相关部门规章或国家标准对转移权的处理时限、可转移数据的技术指征做出进一步规定,当前企业可以参考欧盟相关规定与指南,提前做好准备。
再次,我们认为未来可能会围绕该条产生诸多争议与投诉,因此企业应当事先做好内部合规措施,包括用户个人信息转移权的响应机制与流程、客服话术、标准化请求表单、各类潜在请求的事先评估与可行性分析、拒绝理由等。
最后,关于“根据转移个人信息的成本收取必要费用”,我们提示企业在适用该条时,还需要考虑《消费者权益保护法》等相关法律法规的规定,做到“明码标价”,保障消费者的知情权。
(3)关于个人信息保护合规审计
《网数条例》再次重申了网络数据处理者应当进行个人信息保护合规审计(以下简称“个保审计”)的义务,只是在《个保法》的基础上,明确可以“自行或者委托专业机构”进行审计,这一规定与《个人信息保护合规审计管理办法(征求意见稿)》的内容是一致的。但关于个保审计的几个关键问题,《网数条例》并未给出进一步的答案。例如,《个保法》与《网数条例》均规定审计依据为“法律、行政法规”,但在个人信息保护领域,有诸多部门规章、国家标准甚至政策意见扮演着重要作用,这些规则并非“法律、行政法规”,但是否应当作为审计依据?再者,个保审计应当是形式审计还是实质性审计?如果是实质性审计,则可能导致一次审计的工作内容十分庞杂。
对此,我们的理解是,部门规章、国家标准乃至政策意见是对“法律、行政法规”具体实施的细化,很有可能被视为法律与行政法规的外延,构成审计依据;而从国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》来看,个保审计应当是实质性审计,而非形式性审计,因此企业应当对个保审计的工作量具备充分预估,并做好提前准备。
在平台经济发展如火如荼的背景下,《网数条例》沿袭征求意见稿的做法,通过专章对“网络平台服务提供者”的合规义务及责任进行规定。相较于征求意见稿对“互联网平台运营者”“大型互联网平台运营者”进行的明确界定,《网数条例》将规制对象的表述修订为“网络平台服务提供者”,并进一步提出“预装应用程序的智能终端等设备生产者”“提供应用程序分发服务的网络平台服务提供者”“大型网络平台服务提供者”等相关概念。除一般意义上的网络平台企业外,预装应用程序的手机、智能汽车、智能家居等行业的设备生产者以及提供应用程序分发服务的应用市场等行业企业也应当对《网数条例》的专章规定予以特别关注。
《网数条例》在规定网络平台服务提供者自身应当履行的网络数据保护义务的同时,通过强调网络平台服务提供者、预装应用程序的智能终端等设备生产者、提供应用程序分发服务的网络平台服务提供者对第三方产品和服务提供者、应用程序运营者等的数据安全管理责任,将网络数据安全保护义务传导至平台经济的“全链条”。根据《网数条例》,首先,网络平台服务提供者、预装应用程序的智能终端等设备生产者应当通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务;其次,提供应用程序分发服务的网络平台服务提供者应当建立应用程序核验规则并开展网络数据安全相关核验;第三,《网数条例》明确在第三方产品和服务提供者的网络数据处理活动损害用户合法权益时,网络平台服务提供者、预装应用程序的智能终端等设备生产者亦应当依法承担相应责任。上述规定要求相关网络平台服务提供者从规则/合同体系及动态监督管理机制两方面,对第三方产品和服务提供者、应用程序运营者的数据处理活动进行监督管理。
此外,《网数条例》引入社会监督机制,要求“大型网络平台服务提供者”每年度发布个人信息保护社会责任报告,且报告应包括个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等内容。在“大型网络平台服务提供者”的界定方面,《网数条例》相较征求意见稿增设了“月活用户数”的指标,将“大型网络平台”定义为“注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台”。虽然“5000万”和“1000万”的定量标准较为明确,但“业务类型复杂”“对国家安全、经济运行、国计民生等具有重要影响”等定性标准在实践中往往难以清晰界定,我们建议符合定量标准的网络平台企业尽快就履行个人信息保护社会责任报告发布义务做好相应准备。
《网数条例》对网络平台服务提供者的其他规定围绕自动化决策合规、国家网络身份认证、禁止对用户实施不合理的差别待遇等展开,强调在保障用户权益的同时,引导平台经济健康有序发展。
在监管部门职责方面,《网数条例》的亮点有三:一是明确网络数据安全监管部门,即网信部门、公安机关、国家安全机关、国家数据管理部门、行业/领域主管部门的职责分工;二是强调“有关主管部门在网络数据安全监督检查中不得访问、收集与网络数据安全无关的业务信息,获取的信息只能用于维护网络数据安全的需要,不得用于其他用途”以及“有关主管部门在开展网络数据安全监督检查时,应当加强协同配合、信息沟通,合理确定检查频次和检查方式,避免不必要的检查和交叉重复检查”,一方面回应国际舆论关切,一方面维护企业在接受网络数据安全监督检查过程中的合法权益,同时,我们提示企业关注网信办于去年3月发布的《网信部门行政执法程序规定》,该等规定将与《网数条例》一道,为企业应对网络数据安全相关监督检查与执法提供有益参考;三是明确要求加强个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估、网络安全等级测评等数据安全评估、审计工作的衔接,避免重复评估、审计,在确保数据安全的基础上为企业履行数据合规义务“减负”。
《网数条例》的落地,一方面细化了《网安法》《数安法》《个保法》的相关规定,成为补齐中国网络安全与数据合规领域立法版图的关键一步;一方面总结了近年来应用程序监管、个人信息保护、数据安全执法、数据出境合规等领域的成熟经验与监管发展,为实践中多项重点监管执法活动提供明确行政法规依据;一方面重申并发展了个人信息保护合规审计、重要数据保护、网络平台治理等关键领域规定,为企业今后的数据合规工作指明前进方向。相较于征求意见稿,《网数条例》体现了简化、总结、发展的主基调,我们乐于看到《网数条例》在平衡数据安全保护与数据经济发展方面所做的努力,也期待《网数条例》将数据合规工作引领进入更全面、更有效、更具活力的崭新篇章。
[1]《网安法》第21条第(四)项。
[2]《网数条例》第9条。
[3]《网数条例》第19条。
[4]《网数条例》第24条。
[5]《告知同意指南》附录J第J.3-a)-2)项。
[6]《网数条例》第22条第(五)项。
[7]《告知同意指南》第9.5条c)项。
[8]《网数条例》第21条第(三)项。
[9]《个保法》第45条第3款。
[10]《汽车数据安全管理若干规定(试行)》第3条第6款第(五)项。
调配全所资源、长期陪伴客户的一站式法律服务