李瑞、贾申等:面临新一轮数据监管浪潮,如何做好个保法、数安法与网安法三法合规联动?
发布日期:2021-09-16
走出去智库观察  

8月20日,第十三届全国人大常委会第三十次会议第三次审议通过了《中华人民共和国个人信息保护法》(以下简称“个保法”),为数据产业的市场参与者提供了更为具体的合规指引。

走出去智库(CGGT)特约法律专家、中伦律师事务所顾问贾申认为,个保法正式发布后,与《数据安全法》、《网络安全法》共同构成我国网络安全与数据合规领域的三部基础性法律。但由于三法各有侧重又相互交叉,企业在合规工作中对三部基础性法律所构建的合规体系均需给予重视,应当将三者进行一体化数据合规管理,从而在促进全面合规、防止合规漏洞的前提下进一步节约合规成本。

企业如何做好三法的合规管理?今天,走出去智库(CGGT)刊发中伦律师事务所李瑞、贾申、钟俊鹏、李梦涵的文章,供关注数据合规管理的读者参考。

要 点   CGGT,CHINA GOING GLOBAL THINKTANK

1、个保法适用于个人信息保护,数安法适用于所有主体处理网络数据和非网络数据的行为,网安法适用于境内所有网络运营者的包括处理个人信息及数据在内的行为,属于网络空间治理的基本法。

2、除对境内数据的提供者提出上述要求,个保法还指出,处理者应当采取必要措施,保障境外接收方处理个人信息的活动也应达到个保法的保护标准,加重了境内数据的提供者的后续监督义务。

3、企业应当建立个人信息保护合规体系,对企业全局、全域、全时段和全流程的业务进行穿透式管理,不忽视任何一个环节、不放过任何一个领域。

正 文  CGGT,CHINA GOING GLOBAL THINKTANK

个保法与数安法、网安法的联系与衔接

《中华人民共和国个人信息保护法》(以下简称个保法)一经出台,即与《中华人民共和国数据安全法》(以下简称数安法)、《中华人民共和国网络安全法》(以下简称网安法)作为“三驾马车”并驾齐驱,互相衔接,共同构成我国网络安全与数据合规领域的三部最重要的基础性法律。

在适用范围上,个保法适用于个人信息保护,数安法适用于所有主体处理网络数据和非网络数据的行为,网安法适用于境内所有网络运营者的包括处理个人信息及数据在内的行为,属于网络空间治理的基本法。

数安法与网安法相互交叉又各有侧重,共同建构数据安全与网络空间的“保护伞”;个保法又重点细化完善了关于个人信息的处理准则与保护界限。

三部法律从不同的角度与维度,护航我国网络空间的有序发展,对数据安全和个人信息予以保护。具体而言:

· 个保法聚焦个人信息保护:个人信息是指以电子或者其他方式能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等,不包括匿名化处理后的信息。个保法对个人信息保护全链条进行了细致全面的规定。

· 数安法以数据安全为核心,重点保护重要数据和国家核心数据:重要数据是指经相关认定主体认定,与国家安全、经济发展,以及社会公共利益密切相关的数据,国家核心数据属于重要数据中涉及利益更重大、保护要求更严格的核心数据。作为数安法管辖客体的数据并不仅限于网络数据。

· 网安法保护网络安全:网安法就网络空间的整体安全、合规、有序发展制定了总纲领,其中也涵盖了关于个人信息保护和网络数据安全的基础性原则,与配套实施条例、部门规章和规范性文件共同构建了网络空间的合规框架。

由于三法各有侧重又相互交叉,企业在合规工作中对三部基础性法律所构建的合规体系均需给予重视。为此,我们简单归纳了一些三法之间的共性及个性,企业可在合规工作的不同环节中予以关注:

(1)个人信息处理原则:个保法确立的“最小必要+知情同意”原则比网安法和数安法中的有关原则更加明确、具体,且规范了个人信息管理全流程

在个人信息处理的环节中,企业应当遵守个保法确立的“最小必要+知情同意”原则,相较于网安法中“收集和使用信息应当合法、正当、必要、公开并经被收集者同意”的规定、以及数安法中收集数据应“采取合法、正当的方式”的要求,这一原则更加明确、具体。

“最小必要+知情同意”原则要求企业在处理个人信息时,应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,并要求个人在充分知情的前提下自愿、明确作出同意,处理者方可处理个人信息的决定。与网安法和数安法的规定相比,个保法明确规定这一原则要覆盖个人信息处理的全流程,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,这对企业设置了更高的要求。

(2)个人信息泄露报告制度:个保法沿袭和补充了网安法规定的个人信息泄露报告制度

在个人信息泄露报告制度方面,个保法沿袭和补充了网安法的规定。网安法规定,个人信息泄露、毁损、丢失时,应立即采取补救措施,及时通知用户并向有关主管部门报告;个保法沿袭这一制度,并对个人信息发生“泄露、篡改、丢失”情形的处理措施进行了细化,规定处理者能够采取措施有效避免信息泄露造成损害的可以不通知个人,以减轻处理者的负担。

(3)国家安全保护:个保法、数安法和网安法均关注网络安全与数据合规领域的国家安全保护

个保法、数安法和网安法对于网络安全与数据合规领域的国家安全保护问题均有所涉及和关注。

· 个保法规定,从事损害公民个人信息权益或国家安全、公共利益的个人信息处理活动的境外组织或个人,国家网信部门可以将其列入限制或者禁止个人信息提供清单并予以公告,对于境内从事危害国家安全、公共利益的个人信息处理活动的组织和个人可以进行处罚。

· 网安法和数安法则分别建立了国家安全审查制度框架下的网络安全审查制度和数据安全审查制度。网安法明确规定,相关部门对CIIO采购网络产品和服务的行为有权进行网络安全审查;而数安法明确规定,相关部门对影响或者可能影响国家安全的数据处理活动有权进行数据安全审查。这两方面制度也体现在近期出台的《网络安全审查制度(修订草案征求意见稿)》中。

(4)数据境内存储义务

三法均规定,由于CIIO的特殊性和重要性,CIIO应将在中国境内收集和产生的个人信息和重要数据存储在境内,确需对外提供的应进行安全评估。同时,个保法将“处理个人信息达到国家网信部门规定数量”的处理者也纳为数据境内存储义务主体;并要求国家机关处理的个人信息原则上应在境内存储,确需对外提供的应进行安全评估。

(5)数据跨境流动:三法针对不同主体提出不同要求

三法就CIIO、处理个人信息达到国家网信部门规定数量的处理者和其他数据处理者三类主体提出了不同要求;数安法还强调了对于属于管制物项的数据依法实施出口管制(如商务部海关总署发布的《两用物项和技术进出口许可证管理目录》中的商用密码、部分软件或加密密钥代码等)。具体如下:

除对境内数据的提供者提出上述要求,个保法还指出,处理者应当采取必要措施,保障境外接收方处理个人信息的活动也应达到个保法的保护标准,加重了境内数据的提供者的后续监督义务。

(6)司法协助方面:非经批准不得为外国司法或执法机构提供境内数据

个保法第四十一条和数安法第三十六条均为我国提供了应对外国机构长臂管辖的封阻法令,所有向外国司法或者执法机构提供境内存储的包括个人信息在内的数据的行为,应当经国内主管机关批准。

(7)评估制度:评估机制在三法中都具有重要地位,针对不同场景设置不同评估要求

个保法提出,处理者在特定活动中需自行进行事前个人信息保护影响评估,特定活动包括处理敏感个人信息,利用个人信息进行自动化决策,委托处理个人信息、向他人提供个人信息、公开个人信息,向境外提供个人信息和其他对个人权益有重大影响的处理活动,个人信息保护影响评估报告和处理情况记录应当至少保存三年;数安法规定,重要数据的处理者应自行对数据处理活动定期开展风险评估,并报送主管部门;网安法要求CIIO应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并报送主管部门。

(8)负责人制度:明确网络安全/数据安全/个人信息保护的负责人

个保法要求,处理个人信息达到国家网信部门规定数量的处理者应明确信息保护负责人,负责监督对个人信息处理活动以及采取的保护措施等,并公开其姓名与联系方式;网安法要求,网络运营者应确定网络安全负责人,对CIIO的安全负责人及管理机构还应进行安全背景审查和定期能力考核;数安法则要求,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。

(9)统一的工作协调与统筹机制:包括个人信息保护在内的数据安全领域均采“三阶层”监管架构

三法明确,国家网信部门负责统筹协调信息数据安全的保护工作和监管工作,国务院有关部门在各自职责范围内负责信息数据安全保护和监督管理工作,县级以上地方人民政府有关部门将按照国家有关规定履行信息数据安全保护和监督管理职责。

企业数据保护的合规指引

新法出台后,企业将面临新一轮数据保护监管浪潮。在个保法、网安法和数安法三法联动的背景下,我们在此提供数据保护的相关合规指引,以期帮助相关企业完善合规应对。

(1)明确企业数据合规整体义务,通过合规表单(checklist)进行业务合规分类筛查

合规表单的起草应以风险为导向并列明各项合规义务的优先级,更应结合最新立法进展和合规实践中发现的盲点及时更新合规表单。

(2)与第三方合同中增加数据合规条款

一方面直接概括性地约定遵守个人信息保护领域的相关法律规定并在附件中单独明确列举;另一方面明确加入保证条款、信息安全义务条款、免责条款、责任限制条款以及监督条款等,并使用附件或说明书对协议涉及的信息安全问题进行规范和指导。

(3)增设数据合规的岗位和人员,制订业务版个人信息保护指引,并做好对相关人员的宣传培训

根据个保法的要求,企业在个人信息达到规定数量时,应当明确内部个人信息保护安全负责人,公开其信息并报送主管机构;大型互联网平台企业在处理个人信息时,还应设置相对独立的监督机构。类似地,数安法和网安法也有设置数据安全负责人或管理机构与网络安全负责人的要求。因此,我们建议,企业适当增设网络安全委员会和数据合规官(DigitalProtectionOfficer,“DPO”)或首席数据官(ChiefDataOfficer,“CDO”),负责人建议由副总裁以上的高管人员担任,下设网络数据安全和个人信息保护专员根据三法及其配套规则各司其职,分工合作,依法守护企业数据合规红线。

此外,企业可以与专业的数据合规团队合作,制定业务版个人信息保护指引,对内部数据合规工作进行全面梳理,并对相关工作人员及时开展个人信息保护和数据合规方面的培训,增强合规负责人员与各业务和行政职能部门的协同。

(4)将个人信息保护合规要求嵌入产品全生命周期管理,包括产品开发、数据导入、数据存储、数据传输以及第三方合规审计等

企业应当建立个人信息保护合规体系,对企业全局、全域、全时段和全流程的业务进行穿透式管理,不忽视任何一个环节、不放过任何一个领域。此外,企业也应对数据存储、数据跨境传输以及敏感个人信息等重大合规问题进行专项管理,以防范化解重大合规风险。

(5)协调网络安全、数据安全和个人信息保护管理,形成一体化数据管理体系

面对个保法、网安法和数安法三者的联动管理和共同规制,企业应当将三者进行一体化数据合规管理,从而在促进全面合规、防止合规漏洞的前提下进一步节约合规成本,而非单纯开展单一领域下割裂零散的、运动式的合规项目。

来源:走出去智库(CGGT)

作者:李瑞、贾申、钟俊鹏、李梦涵,中伦律师事务所

贾申:主要执业领域为大合规管理(合规体系建设、反垄断和竞争法、贸易合规、数据保护、商业秘密保护、反商业贿赂、国家安全审查)、境外投资和诉讼仲裁。具有15年以上法律行业经验,曾处理过不同领域的众多复杂案件和重要项目,尤其是在公司合规管理、跨境合规和监管方面表现卓越,荣获《商法》2020年度跨境合规、科技与电信优秀法务奖和《法治日报》2020年度“最具法治影响力个人”奖。长期负责企业合规体系建设,包括为企业制订合规方案、合规管理制度、合规行为准则等;为企业跨境合规风险管理和海外投资项目提供专业服务,包括合资并购项目反垄断申报、商业秘密和竞业限制应诉、贸易调查应对、出口管制&经济制裁风控体系建设、欧盟GDPR等数据合规风险排查、美国CFIUS审查分析、海外直接投资(ODI)架构设计等,并擅于通过合规规范、指引和审查流程进行合规的日常化管控,为客户提供多元化合规培训和宣贯。曾参与北京国资委第一批合规试点项目,制订《北京市管企业合规管理工作实施方案》,兼任中国贸促会全国企业合规委员会专家,并就反垄断、出口管制制裁、企业合规实践等多次受邀在北京市律协、国内外著名律师事务所、世界500强央企、民企、外企和咨询公司等授课。加入中伦之前,曾于京东方科技集团担任合规中心中心长,曾任国家商务部反垄断局副调研员、驻欧盟和东盟使领馆领事。

免责声明及版权等信息,请查看此处

电话咨询

在线咨询

留言咨询