前言
2024年9月24日,国务院公布《网络数据安全管理条例》(以下简称《条例》),自2025年1月1日起施行。该条例对处理者、个人信息保护、重要数据安全、网络数据跨境流动、网络平台服务提供者等方面作出详细规定,进一步明确了企业在网络数据安全管理方面的义务和责任。这一条例的出台,标志着我国在网络数据安全管理方面迈出重要一步,也为企业的数据安全合规提出了新的要求。
本文围绕《网络数据安全管理条例》的相关重点合规事项,探讨企业在当前网络数据安全管理法律框架下的合规策略。
一 、《条例》的定位与作用
我国已初步建立起一套以《网络安全法》、《数据安全法》及《个人信息保护法》为核心的数据安全法律框架,为数字时代的国家安全、公共利益和个人权益提供了坚实的法律保障。在此基础上,《条例》作为一项重要的行政法规,不仅是对上述三部高位阶法律的细化,更是对网络数据安全管理领域的一次系统性整合与升级。
同时《条例》还增强了不同法律之间的制度衔接与协同,使得整个数据安全法律体系更加系统、完整,为执法部门提供了更为明确、具体的执法依据,也为相关企业提供了更为清晰、可预期的行为规范。
二、哪些企业需要重点关注?
《条例》规范网络数据处理活动及其安全监督管理。网络数据是通过网络处理和产生的各种电子数据。网络数据处理活动则是网络数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。
企业在中国境内开展上述相关活动和管理,或者在中国境外处理境内个人信息的活动,或者在境外向境内个人提供产品或者服务、分析和评估境内个人的行为,需要重点关注《条例》及已经出台的和未来可能将出台的关联法律、法规、国家强制性规定等。
《条例》还专门规定了网络数据处理者,即在网络数据处理活动中自主决定处理目的和处理方式的个人、组织。考虑到目前绝大部分数据均以电子形式存在,只要企业涉及网络数据处理活动,无论其规模大小、行业属性如何,都需要重点关注《条例》的相关规定。
三、网络数据安全管理重点合规事项
《条例》明确了网络数据处理者(以下简称处理者)的管理责任、技术措施、权利保障、告知义务、监督责任、权限边界、风险评估、合规审计等方面的合规内容。其中,重点合规事项具体包括:
(一)管理制度及技术措施
处理者建立有效的网络数据安全管理制度,采取加密、备份、访问控制、安全认证等技术措施以及其他必要措施。目的是为了保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用。这也是网络数据处理活动的基本的安全保障和要求。
(二)网络数据安全事件处置
处理者对网络数据的安全承担主体责任。针对网络数据安全事件,处理者应当建立有效的应急预案。在发生相关安全事件时,应当采取措施防止危害扩大。同时,应当及时将安全事件和风险情况、危害后果、已经采取的补救措施等,以电话、短信、即时通信工具、电子邮件或者公告等方式通知利害关系人。再一次加强了处理者的告知义务。
(三)第三方网络数据处理
处理者向其他处理者提供、委托处理个人信息和重要数据的,应当通过合同等与接收方约定处理目的、方式、范围以及安全保护义务等,并对接收方履行义务的情况进行监督。同时,处理情况记录至少保存3年。
处理者必须与第三方通过明确的合同条款约束双方(特别是接收方)按照《条例》等法律法规的规定进行网络数据处理活动,并具有监督责任、处理记录保存责任。
(四)使用自动化工具
处理者可以使用自动化工具访问、收集网络数据,但是不得以非法侵入他人网络的方式进行网络数据收集,也不得干扰网络服务正常运行。
(五)生成式人工智能服务
提供生成式人工智能服务的处理者应当加强对训练数据、训练数据处理活动的安全管理,并采取有效措施防范和处置网络数据安全风险。强调了对训练数据的合法合规使用和处理应重点关注。
(六)个人信息保护合规要求
1、制定个人信息处理规则并公开展示
在处理个人信息前,处理者应当制定清晰易懂的个人信息处理规则,并在醒目位置公开展示。个人信息处理规则的内容包括处理个人信息的目的、方式、种类;处理敏感个人信息的必要性以及对个人权益的影响;个人信息保存期限和到期后的处理方式;个人查阅、复制、转移、删除处理个人信息以及注销账号、撤回同意的方法和途径等。
2、遵守个人信息处理的同意范围
处理者基于个人同意处理个人信息的,应当遵守提供产品或服务的必须原则,不得超范围收集、使用、保存等,也不得以误导、欺诈、胁迫等方式取得个人同意,不得频繁征求。处理敏感个人信息的,如生物识别、医疗健康、金融账户、行踪轨迹等,应当取得个人的单独同意。
此外,如果使用自动化采集技术等采集到非必要个人信息或者未依法取得个人同意的个人信息,处理者应当删除或者匿名化处理。
3、个人信息权利的充分保障
处理者对个人行使权利不得设置任何不合理的条件,且应当提供便捷的方法和途径。具体权利包括查阅、复制、更正、补充、删除、限制处理个人信息;个人注销账号、撤回同意。
4、个人信息转移的安全保障
处理者应当为个人指定的其他处理者访问、获取个人信息提供途径,并应当经过合规性验证:验证请求人的真实身份、具有转移依据(即本人同意提供的或者基于合同)、具备技术可行性、不损害他人合法权益。此外,对于请求转移个人信息次数等明显超出合理范围的,处理者还可以收取必要费用。
(七)重要数据安全合规要求
1、落实重要网络数据安全保护机制
处理者具有对重要数据的识别、申报责任。对确认为重要数据的,相关部门将及时告知或者公开发布。对于重要数据的处理者,应当制定网络数据安全管理制度、操作规程、应急预案,定期开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动。
同时,应当明确企业的网络数据安全管理机构和负责人(要求具备网络数据安全专业知识和管理经验,由管理层成员担任),并应当对网络数据安全负责人和关键岗位的人员进行安全背景审查,并加强人员培训。
2、委托处理、共同处理的风险评估
除履行法定职责或者法定义务外,处理者提供、委托处理、共同处理重要数据前,应当进行风险评估。包括:网络数据处理的目的、方式、范围等是否合法、正当、必要;是否具有篡改、破坏、泄露或者非法获取、非法利用的风险以及采取的技术和管理措施等能否能有效防范;接收方的诚信、守法等情况以及与其签订的合同是否足以有效约束其履行网络数据安全保护义务等。
3、年度风险评估责任
处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告。包括:网络数据安全管理机构、负责人信息;处理重要数据的目的、种类、数量、方式、范围、存储期限、存储地点等,开展网络数据处理活动的情况;网络数据安全管理制度及实施情况,加密、安全认证等技术措施和其他必要措施及其有效性;发现的网络数据安全风险、事件和处置情况等。
(八)网络数据跨境合规要求
处理者在向境外提供个人信息时,需满足包括通过国家网信部门的数据出境安全评估、专业机构个人信息保护认证、符合标准合同规定等八项条件。对于境内运营中收集和产生的重要数据向境外提供,则必须通过国家网信部门的数据出境安全评估,且评估后提供的数据不得超出明确的目的、方式、范围和种类、规模。若网络数据未被识别为重要数据,则无需进行此类评估。
(九)网络平台服务提供者合规要求
1、网络平台的监管责任
网络平台服务提供者(简称网络平台)对第三方产品和服务提供者的网络数据安全保护义务具有督促责任,应当通过平台规则或者合同等进行明确。预装应用程序的智能终端等设备生产者(如智能手机生产商)具有该等责任。
网络平台提供APP应用程序分发服务的,应当建立应用程序核验规则并开展网络数据安全相关核验。如果发现应用程序不符合法律、行政法规的规定或者国家标准的强制性要求的,应当采取警示、不予分发、暂停分发或者终止分发等措施。
2、大型网络平台的社会责任
大型网络平台应当每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。
大型网络平台是注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。
四、企业网络数据安全合规策略
网络数据已经成为企业的核心资产之一,对网络数据的管理能力以及利用能力显然将促使企业更加具有竞争力。结合前述对《条例》重点合规事项的梳理,本文为企业网络数据安全管理提出以下合规策略:
1、薄弱环节识别和评估
结合《条例》及相关法律法规,企业可以分析和确定自身在网络数据处理链条中的具体角色,识别并评估网络数据安全管理的薄弱环节,包括但不限于数据收集的合理性、存储的安全性、处理的合规性以及传输的加密性等关键方面。
针对这些潜在风险点,基于现实需求,采取分阶段、分层次的合规策略制定与调整。初期可以聚焦于构建或优化数据安全管理体系,确保所有数据处理活动均有章可循,有法可依。
2、完善网络数据安全管理制度
结合企业实际运营中的迫切需求,制定并持续完善网络数据安全管理制度。这一制度框架可以涵盖个人信息保护、重要数据保护、网络数据出境管理以及网络数据安全事件应急预案等多项重点内容,确保企业在网络数据处理的全生命周期中都能遵循合规原则,有效应对各种潜在风险。
3、技术保障状况评估
企业可以明确并评估自身的网络数据安全技术保障状况,并进一步加强与企业网络数据安全需求相适应的技术保障,如数据加密技术、访问控制机制、身份认证系统、数据备份体系等。
企业可以审视自身现有的网络安全架构、技术部署及运维管理情况,以把握企业在网络数据保护方面的技术实力与防护水平。
4、第三方权责划分
企业可以明确其与各第三方在网络数据共享、处理及利用等方面的合作关系、合作模式,并制定一套标准化、模块化的合同模板,包括数据处理的范围、目的、期限、安全措施、以及双方的权利与义务等关键条款,确保合同内容既符合法律法规要求,又能有效应对数据安全与隐私保护方面的挑战。
在此基础上,可以进一步细化与第三方的权责划分,明确各自在网络数据生命周期管理中的角色与责任。包括但不限于网络数据收集、存储、使用、加工、传输及销毁等各个环节的权责界定,以建立清晰的责任追溯机制,提升数据处理的透明度与可控性。
同时,企业可以构建一套监督管理机制,以持续监控与评估第三方在网络数据处理活动中的合规性与安全性。包括定期审查第三方的数据处理实践、开展数据安全审计、设立数据泄露预警与应急响应机制以及建立有效的沟通渠道等内容,通过这些措施提升与第三方合作的效率与安全性。
5、合规水平评估和改善
针对《条例》中提出的重点合规事项,企业可以分阶段开展合规性评估,比如是否满足网络数据收集的最小化原则、数据处理的合法性基础是否充分、数据主体的权利保障(如访问权、更正权、删除权等)是否受到不合理限制或充分保障、是否满足数据跨境传输的合规性要求、数据安全保护措施是否有效、数据泄露应急响应机制是否有效等。
依据评估结果,企业可以根据急迫程度采取针对性的完善措施。对于不符合《条例》规定之处,建议尽快着手修订相关流程与政策,确保所有数据处理活动均能在法律框架内合规进行。
6、增强针对性培训
企业可以持续强化其网络数据安全组织架构,优化配置全职及兼职的专业人员,以构建更为坚实的数据安全保障体系。此外,可以继续加强对网络数据安全管理的培训力度,确保每位相关负责人、员工都能实际理解并践行。
根据员工在数据安全管理体系中的不同角色与职责,定制专属的培训内容,提升识别、防范及应对数据安全风险的能力。培训内容不仅可以包括对基础网络数据安全知识的普及,还可以涵盖网络数据安全管理策略的理解以及应急响应流程等。
来源:微信公众号”子象“
作者:梁枫、王译舸