從《網路安全法》看企業數據合規框架

我國《網路安全法》作為規範網路安全包括信息安全的基本法律,針對包括個人信息在內的數據合規要求的主要問題有哪些?我們以《網路安全法》為基本框架,並結合其他法律法規相

我國《網路安全法》作為規範網路安全包括信息安全的基本法律,針對包括個人信息在內的數據合規要求的主要問題有哪些?我們以《網路安全法》為基本框架,並結合其他法律法規相關規定來簡要分析一下。

  一、數據信息的定義  

我國《網路安全法》第七十六條規定,「網路數據,是指通過網路收集、存儲、傳輸、處理和產生的各種電子數據。」對企業而言,很多數據可能並非通過網路收集或存儲、利用,很多數據從內容或性質角度看可能屬於商業秘密或知識產權,可以通過反不正當競爭法或知識產權相關法律進行保護。

《網路安全法》第七十六條規定,個人信息「是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。」

根據國家網信辦於2017年發布的《個人信息和重要數據出境評估安全辦法(徵求意見稿)》,重要數據是指與國家安全、經濟發展,以及社會公共利益密切相關的數據,具體範圍參照國家有關標準和重要數據識別指南,在《網路安全法》中指關鍵信息基礎設施運營者所控制掌握的數據。對於重要數據,按規定需要採取更高要求的數據安全保護措施,重要數據的存儲、出境均需依法依規。

2020年全國人大公布的《數據安全法(徵求意見稿)》第三條規定,本法所稱數據,是指任何以電子或者非電子形式對信息的記錄。

  二、數據信息安全目標  

《網路安全法》第十條規定網路安全內容時明確,「建設、運營網路或者通過網路提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,採取技術措施和其他必要措施,保障網路安全、穩定運行,有效應對網路安全事件,防範網路違法犯罪活動,維護網路數據的完整性、保密性和可用性。」

也就是說,任何行為影響到網路數據的完整性、保密性和可用性,都屬於使數據安全受到了威脅。

所謂完整性,即數據未被未授權的更改/篡改。數據的完整性,要求數據保持準確而且正確、未篡改、有意義且能用的,僅能以被認可的方法更改、僅能被授權人員或過程更改。

所謂保密性,即數據未被未授權者訪問。未授權者可能包括自然人、非自然人實體或者是程序/應用;泄露途徑包括口頭泄露、通過網路,或通過其他設備印表機、複印機、USB存儲設備等泄露。保密性意味著,只有經過授權才能訪問受保護的數據。

所謂可用性,即數據處於合法用戶隨時可按照要求使用的狀態。數據被認為是可用的,應該以能用的方式呈現;有滿足服務要求的能力;有清晰的流程,如果合理的等待時間,服務在可接受的時間段內可以完成。如出現拒絕訪問和系統中斷等是屬於不可用的重要體現。

《數據安全法(徵求意見稿)》第三條規定,「數據活動,是指數據的收

集、存儲、加工、使用、提供、交易、公開等行為。數據安全,是指通過採取必要措施,保障數據得到有效保護和合法利用,並持續處於安全狀態的能力。」

  三、公共數據開放與信息數據共享利用  

《網路安全法》第十七條在規定國家網路安全的產業政策時明確,「國家鼓勵開發網路數據安全保護和利用技術,促進公共數據資源開放。」

我國一直重視數據資源的開放和利用。2015年9月國務院印發的《促進大數據發展行動綱要》指出,「數據已成為國家基礎性戰略資源,大數據正日益對全球生產、流通、分配、消費活動以及經濟運行機制、社會生活方式和國家治理能力產生重要影響。」2016年3月發布的「十三五規劃綱要」提出「實施國家大數據戰略」,明確我國將「把大數據作為基礎性戰略資源,全面實施促進大數據發展行動,加快推動數據資源共享開放和開發應用,助力產業轉型升級和社會治理創新。」

《促進大數據發展行動綱要》還要求「2018年底前建成國家政府數據統一開放平台,率先在信用、交通、醫療、衛生、就業、社保、地理、文化、教育、科技、資源、農業、環境、安監、金融、質量、統計、氣象、海洋、企業登記監管等重要領域實現公共數據資源合理適度向社會開放」,截止2019年,已經有50多個地市建設了公共數據開放平台,開放了約15個領域數據,包括教育科技、民生服務、道路交通、健康衛生、資源環境、文化休閑、機構團體、公共安全、經濟發展、農業農村、社會保障、勞動就業、企業服務、城市建設、地圖服務。

《數據安全法(徵求意見稿)》規定了國家堅持維護數據安全和數據開放並重的原則,實施大數據戰略,加強數據開發利用基礎技術研究,推進數據開發利用技術和數據標準體系建設,促進數據安全檢測評估和認證服務,建立健全數據交易管理制度,並支持學校和企業開展數據開發利用技術和數據安全培訓。

《數據安全法(徵求意見稿)》還規定了國家大力推進電子政務建設,國家機關在數據收集、使用數據的原則和程序,國家機關應建立健全數據安全管理制度,國家機關對政務數據的處理要求,對政務數據的公開要求等。

在數據共享、轉讓方面,根據《網路安全法》、《個人信息安全規範》等法律法規、國家標準等規定,個人信息經過數據脫敏即匿名化處理后可以進行共享、傳輸,但是對於未經脫敏處理的個人信息需滿足下述合規要求,一是徵得個人同意原則,即向個人信息主體告知共享、轉讓個人信息的目的、數據接收方的類型,並事先徵得個人信息主體的授權同意。涉及個人敏感信息的,還應告知個人敏感信息的類型、數據接收方的身份和數據安全能力;二是安全影響評估原則,即轉讓前開展個人信息安全影響評估,並依評估結果採取有效的保護個人信息主體的措施;三是準確記錄原則,準確記錄和保存個人信息的共享、轉讓的情況,包括共享、轉讓的日期、規模、目的,以及數據接收方基本情況等;四是保護義務延伸原則,即幫助個人信息主體了解數據接收方對個人信息的保護義務及其履行情況,和及時反饋個人信息主體相關權利包括訪問、更正、刪除、註銷賬戶等。

  四、數據信息安全保護義務  

《網路安全法》第二十一條在規定網路安全等級保護制度時明確,「國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:(四)採取數據分類、重要數據備份和加密等措施;...」

《網路安全法》第二十七條在規定維護網路安全的義務時明確,「任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動;不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路數據等危害網路安全活動的程序、工具;明知他人從事危害網路安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。」

《網路安全法》對個人信息的保護主要體現於第四十條至第四十四條,規定通過網路收集、存儲、傳輸、處理和產生的個人信息,需要尊重個人的同意權、知情權、選擇權、更正權、刪除權等權利,其整合併發展了我國現有法律中關於個人信息保護的主要內容,如第四十條明確將收集和使用個人信息的網路運營者是個人信息保護的責任主體;第四十一條規定了個人信息收集的最少夠用原則;第四十二條規定了個人信息共享的條件;第四十三條規定了個人在一定情形下刪除、更正其個人數據的權利;第四十四條在法律層面給予個人信息交易一定的合法空間。《網路安全法》這些關於個人數據的規定,在維護網路安全的框架下,把保障個人作為數據主體對個人信息的自主權和支配權與現行國際規則及美歐個人信息保護方面的立法,雖然具體規定上有差異,但總體上理念是相通的。

根據《網路安全法》規定,另外《消費者權益保護法》第二十九條、《個人信息安全規範》3.2、5.5條等均規定,企業在收集個人信息時,應當制定並對外公開個人信息收集處理規則即隱私政策並獲得客戶的同意(個人敏感信息還需獲得明示同意)。隱私政策的內容應當包含對個人信息包括收集、使用、存儲、處理、共享、交換、刪除、自主管理等環節的規定,遵守合法、正當、必要、保密、通俗的原則。專家們普遍認,個人信息的概括授權和一攬子授權屬於不符合《個人信息保護規範》的要求,未來的隱私政策將更加貼近應用場景、更具體,更能尊重用戶選擇權、操作更方便。另外根據《兒童信息保護規定》如涉及兒童個人信息保護還需要企業單獨制定保護政策並確定負責人。

個人信息的使用應遵循合法性、必要性、授權同意的原則,並需要按照法律行政法規以及與用戶之間的約定收集、保存、使用用戶個人信息,這是個人信息保護的核心要求,也是監管機關重點關注的合規內容。合法性原則要求運營者使用個人信息不得違反法律、行政法規規範性文件的規定;必要性原則要求網路運營者不得使用與其提供的服務無關的個人信息;授權同意原則則要求使用個人信息需要獲得被收集者的同意,如果因業務需要,確需超出範圍使用個人信息的,應再次徵得被收集者的明示同意。如果企業違反上述個人信息的使用要求,將可能面臨警告、罰款、吊銷相關業務許可證等的行政處罰。

《網路安全法》第四十二條提出網路運營者採取技術措施和其他必要措施以確保其收集的個人信息安全的原則性規定。包括員工接觸用戶信息、使用、處理用戶信息的內部管理規程等。若運營者要保證用戶數據安全,需要在組織制度、技術措施上同時保障。企業除需要制定完備的個人信息保護制度作為內控制度,還需要確保制度有效執行並且做好個人信息安全事件的應對。

另外值得注意的是,我國將於2021年1月1日實施的《民法典》第一千零三十二至一千零三十八條,分別對具體侵害個人隱私、個人信息以及收集處理個人信息等作出了詳細的規定。

《網路安全法》第四十五條在規定監管部門及其工作人員的信息保護義務時明確,「依法負有網路安全監督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密,不得泄露、出售或者非法向他人提供。」

《網路安全法》第五十條在規定相關監管部門相關職責時明確,「國家網信部門和有關部門依法履行網路信息安全監督管理職責,發現法律、行政法規禁止發布或者傳輸的信息的,應當要求網路運營者停止傳輸,採取消除等處置措施,保存有關記錄;對來源於中華人民共和國境外的上述信息,應當通知有關機構採取技術措施和其他必要措施阻斷傳播。」

為了維護網路安全也包括數據安全,《網路安全法》第五十一條規定國家建立網路安全監測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網路安全信息收集、分析和通報工作,按照規定統一發布網路安全監測預警信息。《網路安全法》第五十二條規定各行業各領域的網路安全預警和信息通報制度。負責關鍵信息基礎設施安全保護工作的部門,應當建立健全本行業、本領域的網路安全監測預警和信息通報制度,並按照規定報送網路安全監測預警信息。

《數據安全法(徵求意見稿)》關於數據安全制度,規定了數據分級分類保護制度,建立統一、高效、權威的數據安全評估、報告、信息共享和監測預警機制,建立數據安全應急處置機制,建立數據安全審查制度,對與履行國際義務和維護國家安全相關的數據實施出口管制,以及對數據和數據開發相關的投資、貿易活動採取對等措施等。

  五、關鍵信息基礎設施、數據境內存儲和數據跨境傳輸  

《網路安全法》第三十一條在規定關鍵信息基礎設施時明確,「國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。」

《網路安全法》第三十四條規定關鍵信息基礎設施的安全保護義務時明確,「除本法第二十一條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:(三)對重要系統和資料庫進行容災備份;...」

《網路安全法》第三十七條規定關鍵信息基礎設施的數據存儲義務時明確,「關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。」

值得注意的是,關於個人信息的出境,《個人信息和重要數據出境評估安全辦法(徵求意見稿)》並未將義務主體僅限制於關鍵信息基礎設施,其第四條規定,個人信息出境,應向個人信息主體說明數據出境的目的、範圍、內容、接收方及接收方所在的國家或地區,並經其同意。未成年人個人信息出境須經其監護人同意。同時企業數據的跨境傳輸不僅需要遵守我國數據傳輸的法律要求,同時也需要遵守有關國家和地區對於數據跨境要求,例如歐盟的《一般數據保護條例》(「GDPR」)、美國的加州消費者隱私法(「CCPA」)等。

目前國內按照網信部門要求,原則上允許數據因業務需要在經安全評估后可以出境。2019年出台的《個人信息出境安全評估辦法(徵求意見稿)》要求網路運營者向境外提供在中國境內運營中收集的個人信息應當按照該辦法進行安全評估。雖然該辦法尚未生效,但企業還是應參照其規定做好安全評估,並參照《信息安全技術數據出境安全評估指南》(徵求意見稿)的規定根據類別、傳輸數量、目的範圍、技術處理情況四大要素,向監管部門報備、通知等,並評估接收方網路安全保障能力和政治法律環境。

《數據安全法(徵求意見稿)》關於數據保護義務,規定數據活動應當建立健全全流程數據安全管理制度,數據活動以及開發新數據技術應遵循的基本原則,加強數據風險監測,重要數據活動的定期風險評估,收集數據的要求,數據交易中介服務的安全義務,專門在線數據服務提供者應備案,以及配合有權機關對數據的調取和數據出境的報批義務。

本文鏈接:https://www.8btc.com/article/654989轉載請註明文章出處

—-

編譯者/作者:張烽

玩幣族申明:玩幣族作為開放的資訊翻譯/分享平台,所提供的所有資訊僅代表作者個人觀點,與玩幣族平台立場無關,且不構成任何投資理財建議。文章版權歸原作者所有。

0

發表迴響