从《网络安全法》看企业数据合规框架
我国《网络安全法》作为规范网络安全包括信息安全的基本法律,针对包括个人信息在内的数据合规要求的主要问题有哪些?我们以《网络安全法》为基本框架,并结合其他法律法规相关规定来简要分析一下。
一、数据信息的定义
我国《网络安全法》第七十六条规定,“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。”对企业而言,很多数据可能并非通过网络收集或存储、利用,很多数据从内容或性质角度看可能属于商业秘密或知识产权,可以通过反不正当竞争法或知识产权相关法律进行保护。
《网络安全法》第七十六条规定,个人信息“是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
根据国家网信办于2017年发布的《个人信息和重要数据出境评估安全办法(征求意见稿)》,重要数据是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南,在《网络安全法》中指关键信息基础设施运营者所控制掌握的数据。对于重要数据,按规定需要采取更高要求的数据安全保护措施,重要数据的存储、出境均需依法依规。
2020年全国人大公布的《数据安全法(征求意见稿)》第三条规定,本法所称数据,是指任何以电子或者非电子形式对信息的记录。
二、数据信息安全目标
《网络安全法》第十条规定网络安全内容时明确,“建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。”
也就是说,任何行为影响到网络数据的完整性、保密性和可用性,都属于使数据安全受到了威胁。
所谓完整性,即数据未被未授权的更改/篡改。数据的完整性,要求数据保持准确而且正确、未篡改、有意义且能用的,仅能以被认可的方法更改、仅能被授权人员或过程更改。
所谓保密性,即数据未被未授权者访问。未授权者可能包括自然人、非自然人实体或者是程序/应用;泄露途径包括口头泄露、通过网络,或通过其他设备打印机、复印机、USB存储设备等泄露。保密性意味着,只有经过授权才能访问受保护的数据。
所谓可用性,即数据处于合法用户随时可按照要求使用的状态。数据被认为是可用的,应该以能用的方式呈现;有满足服务要求的能力;有清晰的流程,如果合理的等待时间,服务在可接受的时间段内可以完成。如出现拒绝访问和系统中断等是属于不可用的重要体现。
《数据安全法(征求意见稿)》第三条规定,“数据活动,是指数据的收
集、存储、加工、使用、提供、交易、公开等行为。数据安全,是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。”
三、公共数据开放与信息数据共享利用
《网络安全法》第十七条在规定国家网络安全的产业政策时明确,“国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放。”
我国一直重视数据资源的开放和利用。2015年9月国务院印发的《促进大数据发展行动纲要》指出,“数据已成为国家基础性战略资源,大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。”2016年3月发布的“十三五规划纲要”提出“实施国家大数据战略”,明确我国将“把大数据作为基础性战略资源,全面实施促进大数据发展行动,加快推动数据资源共享开放和开发应用,助力产业转型升级和社会治理创新。”
《促进大数据发展行动纲要》还要求“2018年底前建成国家政府数据统一开放平台,率先在信用、交通、医疗、卫生、就业、社保、地理、文化、教育、科技、资源、农业、环境、安监、金融、质量、统计、气象、海洋、企业登记监管等重要领域实现公共数据资源合理适度向社会开放”,截止2019年,已经有50多个地市建设了公共数据开放平台,开放了约15个领域数据,包括教育科技、民生服务、道路交通、健康卫生、资源环境、文化休闲、机构团体、公共安全、经济发展、农业农村、社会保障、劳动就业、企业服务、城市建设、地图服务。
《数据安全法(征求意见稿)》规定了国家坚持维护数据安全和数据开放并重的原则,实施大数据战略,加强数据开发利用基础技术研究,推进数据开发利用技术和数据标准体系建设,促进数据安全检测评估和认证服务,建立健全数据交易管理制度,并支持学校和企业开展数据开发利用技术和数据安全培训。
《数据安全法(征求意见稿)》还规定了国家大力推进电子政务建设,国家机关在数据收集、使用数据的原则和程序,国家机关应建立健全数据安全管理制度,国家机关对政务数据的处理要求,对政务数据的公开要求等。
在数据共享、转让方面,根据《网络安全法》、《个人信息安全规范》等法律法规、国家标准等规定,个人信息经过数据脱敏即匿名化处理后可以进行共享、传输,但是对于未经脱敏处理的个人信息需满足下述合规要求,一是征得个人同意原则,即向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意。涉及个人敏感信息的,还应告知个人敏感信息的类型、数据接收方的身份和数据安全能力;二是安全影响评估原则,即转让前开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;三是准确记录原则,准确记录和保存个人信息的共享、转让的情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;四是保护义务延伸原则,即帮助个人信息主体了解数据接收方对个人信息的保护义务及其履行情况,和及时反馈个人信息主体相关权利包括访问、更正、删除、注销账户等。
四、数据信息安全保护义务
《网络安全法》第二十一条在规定网络安全等级保护制度时明确,“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(四)采取数据分类、重要数据备份和加密等措施;...”
《网络安全法》第二十七条在规定维护网络安全的义务时明确,“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。”
《网络安全法》对个人信息的保护主要体现于第四十条至第四十四条,规定通过网络收集、存储、传输、处理和产生的个人信息,需要尊重个人的同意权、知情权、选择权、更正权、删除权等权利,其整合并发展了我国现有法律中关于个人信息保护的主要内容,如第四十条明确将收集和使用个人信息的网络运营者是个人信息保护的责任主体;第四十一条规定了个人信息收集的最少够用原则;第四十二条规定了个人信息共享的条件;第四十三条规定了个人在一定情形下删除、更正其个人数据的权利;第四十四条在法律层面给予个人信息交易一定的合法空间。《网络安全法》这些关于个人数据的规定,在维护网络安全的框架下,把保障个人作为数据主体对个人信息的自主权和支配权与现行国际规则及美欧个人信息保护方面的立法,虽然具体规定上有差异,但总体上理念是相通的。
根据《网络安全法》规定,另外《消费者权益保护法》第二十九条、《个人信息安全规范》3.2、5.5条等均规定,企业在收集个人信息时,应当制定并对外公开个人信息收集处理规则即隐私政策并获得客户的同意(个人敏感信息还需获得明示同意)。隐私政策的内容应当包含对个人信息包括收集、使用、存储、处理、共享、交换、删除、自主管理等环节的规定,遵守合法、正当、必要、保密、通俗的原则。专家们普遍认,个人信息的概括授权和一揽子授权属于不符合《个人信息保护规范》的要求,未来的隐私政策将更加贴近应用场景、更具体,更能尊重用户选择权、操作更方便。另外根据《儿童信息保护规定》如涉及儿童个人信息保护还需要企业单独制定保护政策并确定负责人。
个人信息的使用应遵循合法性、必要性、授权同意的原则,并需要按照法律行政法规以及与用户之间的约定收集、保存、使用用户个人信息,这是个人信息保护的核心要求,也是监管机关重点关注的合规内容。合法性原则要求运营者使用个人信息不得违反法律、行政法规规范性文件的规定;必要性原则要求网络运营者不得使用与其提供的服务无关的个人信息;授权同意原则则要求使用个人信息需要获得被收集者的同意,如果因业务需要,确需超出范围使用个人信息的,应再次征得被收集者的明示同意。如果企业违反上述个人信息的使用要求,将可能面临警告、罚款、吊销相关业务许可证等的行政处罚。
《网络安全法》第四十二条提出网络运营者采取技术措施和其他必要措施以确保其收集的个人信息安全的原则性规定。包括员工接触用户信息、使用、处理用户信息的内部管理规程等。若运营者要保证用户数据安全,需要在组织制度、技术措施上同时保障。企业除需要制定完备的个人信息保护制度作为内控制度,还需要确保制度有效执行并且做好个人信息安全事件的应对。
另外值得注意的是,我国将于2021年1月1日实施的《民法典》第一千零三十二至一千零三十八条,分别对具体侵害个人隐私、个人信息以及收集处理个人信息等作出了详细的规定。
《网络安全法》第四十五条在规定监管部门及其工作人员的信息保护义务时明确,“依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。”
《网络安全法》第五十条在规定相关监管部门相关职责时明确,“国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。”
为了维护网络安全也包括数据安全,《网络安全法》第五十一条规定国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。《网络安全法》第五十二条规定各行业各领域的网络安全预警和信息通报制度。负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
《数据安全法(征求意见稿)》关于数据安全制度,规定了数据分级分类保护制度,建立统一、高效、权威的数据安全评估、报告、信息共享和监测预警机制,建立数据安全应急处置机制,建立数据安全审查制度,对与履行国际义务和维护国家安全相关的数据实施出口管制,以及对数据和数据开发相关的投资、贸易活动采取对等措施等。
五、关键信息基础设施、数据境内存储和数据跨境传输
《网络安全法》第三十一条在规定关键信息基础设施时明确,“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”
《网络安全法》第三十四条规定关键信息基础设施的安全保护义务时明确,“除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(三)对重要系统和数据库进行容灾备份;...”
《网络安全法》第三十七条规定关键信息基础设施的数据存储义务时明确,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
值得注意的是,关于个人信息的出境,《个人信息和重要数据出境评估安全办法(征求意见稿)》并未将义务主体仅限制于关键信息基础设施,其第四条规定,个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。未成年人个人信息出境须经其监护人同意。同时企业数据的跨境传输不仅需要遵守我国数据传输的法律要求,同时也需要遵守有关国家和地区对于数据跨境要求,例如欧盟的《一般数据保护条例》(“GDPR”)、美国的加州消费者隐私法(“CCPA”)等。
目前国内按照网信部门要求,原则上允许数据因业务需要在经安全评估后可以出境。2019年出台的《个人信息出境安全评估办法(征求意见稿)》要求网络运营者向境外提供在中国境内运营中收集的个人信息应当按照该办法进行安全评估。虽然该办法尚未生效,但企业还是应参照其规定做好安全评估,并参照《信息安全技术数据出境安全评估指南》(征求意见稿)的规定根据类别、传输数量、目的范围、技术处理情况四大要素,向监管部门报备、通知等,并评估接收方网络安全保障能力和政治法律环境。
《数据安全法(征求意见稿)》关于数据保护义务,规定数据活动应当建立健全全流程数据安全管理制度,数据活动以及开发新数据技术应遵循的基本原则,加强数据风险监测,重要数据活动的定期风险评估,收集数据的要求,数据交易中介服务的安全义务,专门在线数据服务提供者应备案,以及配合有权机关对数据的调取和数据出境的报批义务。