公告:看这里!2019~2020中关村金融科技论坛暨第七届数字普...

正在加载中...
首页 >> 行业资讯 >> 正文

两万字 | 逐条解读数据安全新规!

时间:2019-06-13 09:09:00 来源:
2019年5月28日,国家互联网信息办公室发布《国家互联网信息办公室关于<数据安全管理办法(征求意见稿)>公开征求意见的通知》。这是继2019年5月8日天津市网信办发布《天津市数据安全管理办法(暂行)》(征求意见稿)之后,第一次以国务院部门发布文件的形式对数据安全管理进行规定。 

《数据安全管理办法(征求意见稿)》(以下简称“《办法(征求意见稿)》”)全文共计五章四十条,系统地规定了网络运营者数据收集、数据处理使用、数据安全监督管理等覆盖数据全生命周期的综合合规要求,直面强制捆绑授权、网络爬虫、定向推送、自动化洗稿、算法歧视等新型数据安全问题。以下,将对《办法(征求意见稿)》进行逐条解读,以期帮助大家更好地理解数据安全管理的内容和要求。
为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规,制定本办法。 

【解读】 

本条明确了《办法(征求意见稿)》的立法目的立法依据。 

从立法目的和立法依据看,在上位法《网络安全法》的基础上,《办法(征求意见稿)》具体细化对数据安全管理的规定,维护网络空间的合法权益,保障个人信息和重要数据安全。相较于《天津市数据安全管理办法(暂行)》(征求意见稿),本办法更加强调对个人信息和重要数据安全的保障。 



在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动(以下简称数据活动),以及数据安全的保护和监督管理,适用本办法。纯粹家庭和个人事务除外。 
法律、行政法规另有规定的,从其规定。 

【解读】 

本条明确了《办法(征求意见稿)》的适用范围。 

具体理解本条,包括以下四个要点第一个要点,地域限制,中华人民共和国境内;第二个要点,手段限制,利用网络开展数据相关活动。未通过网络开展的数据相关活动不在本办法适用范围。根据《网络安全法》第七十六条第一项规定,网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。第三个要点,具体适用情形,数据收集、存储、传输、处理、使用等活动以及数据安全的保护和监督管理。也就是说,数据全生命周期的管理均适用本办法;第四个要点,例外情形,纯粹家庭和个人事务除外,即不涉及国家安全和社会公共利益,不影响其他公民、法人和其他组织在网络空间的合法权益的家庭和个人事务,不在本办法适用范围内。 

国家坚持保障数据安全与发展并重,鼓励研发数据安全保护技术,积极推进数据资源开发利用,保障数据依法有序自由流动。 


【解读】
 

本条明确了数据安全管理的方针原则。 

推动数据发展和数据安全保护二者需要兼顾,基于安全的数据发展才能更好地发挥数据的价值,更有效地防止数据违法违规收集使用对国家安全、网络安全和社会公共利益造成的威胁。 

大数据时代,数据是重要的战略资源。数据的流通和应用能够更好地发挥数据的价值,但也加剧了数据泄露、数据滥用等安全问题。因此需要通过不断提升数据安全保护技术、加强数据安全保护和数据安全监督管理,来推进数据资源合法开发和利用,保障数据依法有序自由流动,降低数据安全风险和威胁。 


国家采取措施,监测、防御、处置来源于中华人民共和国境内外的数据安全风险和威胁,保护数据免受泄露、窃取、篡改、毁损、非法使用等,依法惩治危害数据安全的违法犯罪活动。 

【解读】 

本条明确了数据安全管理的工作措施。 

事前事中监测防御和事后处置惩治相结合,能够更好地落实数据安全管理。作为国家基础性战略资源,数据的规模及应用能力逐渐成为综合国力的重要组成部分,数据安全关系国家安全,其威胁不仅仅来自于境内。从事前事中监测防御,能够未雨绸缪,及时发现和处置数据安全风险和威胁;依法惩治危害数据安全的违法犯罪活动,则能够让违法犯罪活动付出应有的代价,并且能够通过打击犯罪更好地发挥警示作用,威慑潜在的违法犯罪活动。 


在中央网络安全和信息化委员会领导下,国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作。 

地(市)及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。 

【解读】 

本条明确了数据安全管理的主管部门。 

统筹领导和属地监管的结合,能够更好地履行数据安全监督管理职责。根据《网络安全法》第八条的规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。数据安全作为网络安全的重要组成部分,其统筹管理和监督自然也是国家网信办负责。具体到地方,各地市及以上网信部门负责本行政区的数据安全管理工作。 


网络运营者应当按照有关法律、行政法规的规定,参照国家网络安全标准,履行数据安全保护义务,建立数据安全管理责任和评价考核制度,制定数据安全计划,实施数据安全技术防护,开展数据安全风险评估,制定网络安全事件应急预案,及时处置安全事件,组织数据安全教育、培训。 

【解读】 

本条明确了数据安全管理的单位责任。 

单位责任,具体包括三个要点:第一个要点,责任主体,主要为网络运营者。网络运营者在本办法第三十九条有明确定义,此处不再赘述;第二个要点,责任依据,有关法律、行政法规作为明确依据,国家网络安全标准作为参考。这里的法律主要指向《网络安全法》,行政法规主要指向将要出台的《关键信息基础设施保护条例》等行政法规,国家网络安全标准主要指向《信息安全技术个人信息安全规范》(以下简称“《个人信息安全规范》”)等相关国家网络安全标准。第三个要点,八项具体责任义务,体现出对网络运营者建构数据安全管理体系的要求。具体如下图所示:


网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中,也可以其他形式提供给用户。 

【解读】 

本条明确了公开收集使用数据规则的要求。 

公开收集使用数据规则的要求,具体包括两个要点:第一个要点,不同渠道收集使用个人信息应分别制定并公开规则。也就是说,既通过网站收集使用个人信息,也通过APP等应用程序收集使用个人信息的,在网站、APP等应用程序中均需制定并公开收集使用规则,不能仅在网站或仅在APP等应用程序中公开收集使用规则。第二个要点,收集使用规则的公开形式,可以包含在隐私政策中,也可以其他形式提供给用户。这里的其他形式,宜理解为用户协议、用户信息授权协议等。值得推敲的是,这里用的是“也可以”的表述,意味着收集使用规则可以仅通过其他形式提供给用户而不是必须包含在隐私政策中,这与《App违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称“《App违法违规认定方法(征求意见稿)》”)第一条第一项似乎存在矛盾之处。 

建议在隐私政策中公开收集使用规则,并在用户协议、用户信息授权协议等文本中明确收集使用规则,其中用户协议因篇幅限制可以考虑将具体内容指向隐私政策,用户信息授权协议等文本可以结合具体场景对收集使用规则更加具体化。 


收集使用规则应当明确具体、简单通俗、易于访问,突出以下内容: 

(一)网络运营者基本信息; 
(二)网络运营者主要负责人、数据安全责任人的姓名及联系方式; 
(三)收集使用个人信息的目的、种类、数量、频度、方式、范围等; 
(四)个人信息保存地点、期限及到期后的处理方式; 
(五)向他人提供个人信息的规则,如果向他人提供的; 
(六)个人信息安全保护策略等相关信息; 
(七)个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法; 
(八)投诉、举报渠道和方法等; 
(九)法律、行政法规规定的其他内容。 

【解读】 

本条明确了数据收集使用规则的要求。 

数据收集使用规则的要求,具体包括两个要点:第一个要点,明确具体、简单通俗、易于访问,确保易读性。公示收集使用规则的目的就在于方便用户阅读并获得用户的授权,内容晦涩难懂、冗长繁琐、不易访问等情形将制造阅读障碍,不利于用户权益的保障。第二个要点,突出网络运营者基本情况、负责人情况、收集使用具体内容、保存规则、对外提供规则、保护策略、个人信息主体权利等内容。本条突出的收集使用规则内容要求,整体上沿用了《信息安全技术个人信息安全规范(征求意见稿)》(以下简称“《个人信息安全规范(征求意见稿)》”)、《APP违法违规收集使用个人信息自评估指南》(以下简称“《自评估指南》”)和《App违法违规认定方法(征求意见稿)》的内容要求。主要不同之处也是可能引起争议之处,在于第二项要求突出网络运营者主要负责人的姓名及联系方式,该要求可能能够更好地督促主要负责人重视并落实数据安全保护,但可能也会给主要负责人带来信息公开的烦恼,是否需要公布和能否有效落实值得进一步商榷。 


如果收集使用规则包含在隐私政策中,应相对集中,明显提示,以方便阅读。另仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。 

【解读】 

本条明确了数据收集使用规则在隐私政策中显示的要求和非经用户知悉并授权不得收集个人信息的要求。 

从数据收集使用规则在隐私政策中显示的要求看,主要还是在于强调易读性。相对集中,强调的是不得过于分散,否则不利于快速寻获相关内容;明显提示,强调的是内容突出,需要通过加粗、下划线等方式,与其他内容进行有效区分值得探讨的点在于,收集使用规则相对集中、明显提示的要求,是否仅限于包含在隐私政策的情形?是否应该作为收集使用规则的普适要求,不论其是包含在隐私政策中,还是包含在用户协议、用户个人信息授权协议等其他形式的文本中?普适要求的落实成本不高,可能更能保障易读性。 

从非经用户知悉并授权不得收集个人信息的要求看,主要在于落实用户同意的合法性基础。不同于欧盟个人信息处理合法具有六项事由,也不同于美国联邦贸易委员会事实上区分了三个层次的同意和退出机制,《网络安全法》第四十一条明确了我国收集使用个人信息需经被收集者同意的唯一合法性基础。 

本条与《App违法违规认定方法(征求意见稿)》第三条第1项内容相近,强调将用户知悉收集使用规则并明确同意作为收集个人信息的前提。 


网络运营者应当严格遵守收集使用规则,网站、应用程序收集或使用个人信息的功能设计应同隐私政策保持一致,同步调整。 

【解读】 

本条明确了数据收集使用规则的实际落实要求和功能设计与收集使用规则同步调整要求。 

从数据收集使用规则的实际落实要求看,法律的生命在于执行,同样,公开的收集使用规则也只有通过执行,才能彰显其价值。前面的条款明确了对于收集使用规则的公开和内容要求,能够确保收集使用规则的公开性和内容的合法性、易读性,对于用户而言也形成了合理期待,期待网络运营者能够按照公开的收集使用规则收集使用其个人信息。但是,如果在实际收集使用个人信息的功能设计中未落实已公开的收集使用规则,那么收集使用规则再公开、再完善,也只是空谈。本条与《App违法违规认定方法(征求意见稿)》第三条第3项内容相近,强调功能设计与收集使用规则相符,实际收集使用的个人信息不得超出用户授权的范围。 

从功能设计与收集使用规则同步调整要求看,强调动态的一致性。随着业务的发展、市场环境和用户需求的变化,网络运营者收集使用个人信息的相关规则和隐私政策会发生变化,修订相关规则和隐私政策的同时,需要同步调整功能设计,达到修订后也能保障落实相关规则的效果。 



网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。 

个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后,网络运营者应当向个人信息主体提供核心业务功能服务,不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息,而拒绝提供核心业务功能服务。 

【解读】 

本条明确了不得强制捆绑授权和核心业务功能信息收集的必要性要求。 

从不得强制捆绑授权看,主要在于强调收集信息应遵循合法、正当、必要原则,这也是APP违法违规收集个人信息专项治理行动旨在解决的重点问题之一。从对改善服务质量、提升用户体验、定向推送信息、研发新产品等为由的角度看,本条与《个人信息安全规范(征求意见稿)》和《App违法违规认定方法(征求意见稿)》的思路存在相近之处,似乎又存在矛盾之处。《个人信息安全规范(征求意见稿)》附录C中C.1.b)规定“不应将改善服务质量、提升用户体验、研发新产品单独作为基本业务功能”。 

《App违法违规认定方法(征求意见稿)》第二条第1项规定“收集使用信息的目的违反合法、正当、必要原则,如仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息”。 

《个人信息安全规范(征求意见稿)》和《App违法违规认定方法(征求意见稿)》的思想整体保持一致,即不得将改善服务质量、提升用户体验、定向推送信息、研发新产品等单独作为基本业务功能,不得单独作为收集用户个人信息的目的。而本条似乎可以理解为,如果不强迫、不误导个人信息主体同意收集其个人信息,改善服务质量、提升用户体验、定向推送信息、研发新产品等可以作为收集个人信息的理由,对此有待进一步商榷。从不得强迫、误导个人信息主体同意其收集个人信息看,本条所针对的问题也是APP专项治理行动所期望重点解决的问题之一。《关于开展App违法违规收集使用个人信息专项治理的公告》指出,专项治理的背景就在于App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出。 

从核心业务功能信息收集的必要性要求看,主要在于强调遵循必要性原则的要求,不得因拒绝提供非必要信息就拒绝提供服务。 

本条明确的点在于,核心业务功能的必要信息收集和功能使用得到了保障。 

本条未决的问题在于,核心业务功能的界定以及非核心业务功能是否也应适用不得因拒绝提供非必要信息就拒绝提供服务的要求。 

第一个未决问题,核心业务功能的界定。相较于《个人信息安全规范》将业务功能划分为核心业务功能和附加业务功能,《个人信息安全规范(征求意见稿)》已经将业务功能的划分调整为基本业务功能和扩展业务功能,本条继续使用核心业务功能的表述但又没有明确如何界定核心业务功能,似乎有待商榷。可供参照的是,《个人信息安全规范(征求意见稿)》附录C中C.1对区分基本业务功能和扩展业务功能的规定,应根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求,划定产品或服务的基本业务功能。 

第二个未决问题,非核心业务功能是否也应适用不得因拒绝提供非必要信息就拒绝提供服务的要求。个人信息收集的必要性原则并非只适用核心业务功能,而是适用于所有收集个人信息行为的要求。如果非核心业务功能允许网络运营者超出必需收集范围收集,且个人信息主体不同意就拒绝提供服务,实际上违反了必要性原则的要求,侵害了用户权益。 



收集14周岁以下未成年人个人信息的,应当征得其监护人同意。 

【解读】 

本条明确了未成年人数据安全保护的特殊要求。 

相较于成年人而言,未成年人特别是14周岁以下未成年人准确判断收集的个人信息对其影响的能力相对欠缺,在网络空间的合法权益更容易受到侵害,因此需要经过其监护人的同意才能收集其个人信息。《App违法违规认定方法(征求意见稿)》第七条规定了侵犯未成年人在网络空间合法权益的情形,本条与其第七条第一款内容相近。 

本条虽未明确标明是否含14周岁,但结合《App违法违规认定方法(征求意见稿)》和一般立法以上以下包含本数的惯例,建议将14周岁未成年人纳入本条范围。值得注意的是,根据国务院2019年05月11日发布的《国务院2019年立法工作计划》,《未成年人网络保护条例》赫然在列,反映出国家对于保护未成年人网络合法权益的重视,需要网络运营者予以关注。 

建议明确提示14周岁以下未成年人用户涉及的收集个人信息的内容应获得其监护人的同意。如果发现在未事先获得监护人同意的情况下收集了14周岁以下未成年人用户的个人信息,应设法尽快删除相关信息。 



网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围,对个人信息主体采取歧视行为,包括服务质量、价格差异等。 

【解读】 

本条明确了不得因个人信息收集情况对个人信息主体采取歧视行为的要求。 

相较于网络运营者,个人信息主体处于相对弱势的地位,本条实际上限制了网络运营者对个人信息主体不配合提供个人信息的“报复”行为。《个人信息安全规范(征求意见稿)》附录C中C.3c)规定“如个人信息主体不同意收集扩展业务功能收集所必要的个人信息,不得拒绝提供基本业务功能或降低基本业务功能的服务质量”,与本条规定思路相近。但本条适用的范围更加宽泛,即针对所有收集个人信息行为,并将价格差异等其他歧视行为纳入进来,能够更有效地限制网络运营者对个人信息主体不配合提供个人信息的“报复”行为,特别是在网络运营者提供的服务是个人信息主体迫切需要使用的情形下。 



网络运营者从其他途径获得个人信息,与直接收集个人信息负有同等的保护责任和义务。 

【解读】 

本条明确了间接获取个人信息与直接收集个人信息负有同等的保护要求。 

相较于以往对间接获取个人信息的有限尽调要求,本条对间接获取个人信息的要求可能过于严格,建议高度关注。实践中,大量存在通过合作公司、大数据公司、征信机构等途径间接获取个人信息的情形。 

《个人信息安全规范(征求意见稿)》第5.4b条规定“间接获取个人信息时:1)应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;2)应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等。如本组织开展业务需进行的个人信息处理活动超出该授权同意范围,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意。” 

前述《个人信息安全规范(征求意见稿)》的规定,实际上还是遵循的有限尽调的要求。但本条要求间接获取个人信息与直接收集个人信息负有同等的保护责任和义务,实际上加重了网络运营者的责任。但限于间接获取个人信息无法准确核查信息来源、个人信息数量过大等因素影响,网络运营者要想落实该条,可能面临较大困难。 



网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。备案内容包括收集使用规则,收集使用的目的、规模、方式、范围、类型、期限等,不包括数据内容本身。 

【解读】 

本条明确了以经营为目的收集重要数据或个人敏感信息的备案要求。 

在《天津市数据安全管理办法(暂行)》(征求意见稿)提出建立数据安全信息备案制度引起热议后,本条也规定了数据安全备案制度。具体理解该条,三个要点: 

第一个要点,需要备案的情形,即以经营为目的收集重要数据或个人敏感信息的。对于以经营为目的的理解,是指向专门从事重要数据或个人敏感信息收集、处理等的企业还是指向所有涉及收集重要数据或个人敏感信息并与业务经营相关的运营者,有待进一步明确。如果指向后者,势必会加重网络运营者的合规责任;对于重要数据的理解,本办法第三十八条明确了重要数据的定义,此处不再赘述;对于个人敏感信息的理解,本办法未明确其定义,可以参考《个人信息安全规范(征求意见稿)》附录B的定义,即个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。 

第二个要点,备案部门,所在地网信部门。向所在地网信部门备案,能够一定程度上加强网信部门的监管,有利于网信部门更好地掌握网络运营者的数据安全情况。但对于所在地的理解,如果网络运营者在不同行政区域内的办公场所都具有需要备案的情形,是否均需单独进行备案?从网络运营者数量考虑,如果备案主体采用广义理解,在数量众多的网络运营者均需要备案的情况下,所在地网信部门现有的监管力量能否有效保障备案的有效进行?以上问题,均有待进一步商榷。 

第三个要点,备案内容,包括收集使用规则,收集使用的目的、规模、方式、范围、类型、期限等,不包括数据内容本身。从备案的具体内容看,存在一定程度的可操作性。但是,需要指出的是,重要数据和个人敏感信息处于动态收集的过程,其收集使用规则、目的、规模、方式、范围、类型和期限都可能随着网络运营者的业务发展方向、经济和市场环境的变化而产生变化,也就意味着备案的内容也会处于动态变化过程中,如何确保备案的效果,如何降低网络运营者频繁更新备案的负担,似乎有待进一步商榷。 



网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止。 


【解读】 

本条明确了网络爬虫等自动化手段访问收集网站数据的红线要求。 

实践中,网络爬虫大量存在,因网络爬虫引起的流量和不正当竞争纠纷屡见不鲜,网络爬虫的红线要求首次被明确,需要相关从业者高度重视。 

网络爬虫(又称网页蜘蛛、网络机器人),是一种按照既定的规则,自动抓取网页内容信息的程序或者脚本,通常是搜索引擎识别并抓取网页内容的一种技术手段。从爬取方的角度,爬取的频率越高、内容越多,对其越有利;从被爬取方的角度,爬取超过限度将直接影响其正常运营,导致其网站、带宽等无法承受甚至瘫痪,造成无法准确评估的经济损失。 

因此,从综合考虑双方需求的角度,本条进行了利益衡量,明确了网络爬虫等自动化手段访问收集网站数据的红线在于,不得妨碍网站正常运行。并且,采用了标准界定加举例的方式,即自动化访问收集流量超过网站日均流量三分之一。 

建议爬虫方重点关注本条,合理控制爬取频率和爬取数量,同时审慎评估网站数据的开放程度和被爬取方的意愿,严格规范爬取手段,限定爬取数据的使用目的和应用场景。 



网络运营者以经营为目的收集重要数据或个人敏感信息的,应当明确数据安全责任人。 

数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任,参与有关数据活动的重要决策,直接向网络运营者的主要负责人报告工作。 

【解读】 

本条明确了需要设置数据安全责任人的情形和数据安全责任人的任职要求及职责。 

从需要设置数据安全责任人的情形看,同样采用了以经营为目的收集重要数据或个人敏感信息的标准。本办法第十五条的解读已经对该标准进行解读,此处不再赘述。 

从数据安全责任人的任职要求及职责看,在《网络安全法》第三十四条要求关键基础设施设置安全管理负责人和《个人信息安全规范(征求意见稿)》第10.1b条要求任命个人信息保护负责人的基础上,本条对数据安全责任人的任职要求和职责进行了明确。 

从其地位看,直接向网络运营者的主要负责人报告工作,沿用了个人信息保护负责人的要求,体现了其职位的重要性;从是否可以重复任职看,关键基础设施安全管理负责人、个人信息保护负责人和数据安全责任人是否可以为同一人担任,有待进一步明确。 



数据安全责任人履行下列职责: 
(一)组织制定数据保护计划并督促落实; 
(二)组织开展数据安全风险评估,督促整改安全隐患; 
(三)按要求向有关部门和网信部门报告数据安全保护和事件处置情况; 
(四)受理并处理用户投诉和举报。 

网络运营者应为数据安全责任人提供必要的资源,保障其独立履行职责。 

【解读】 

本条明确了数据安全责任人的职责和任职保障。 

从数据安全责任人的职责看,基本涵盖了网络运营者数据安全管理的重要职责。相较于个人信息保护负责人的职责,数据安全责任人的职责更针对数据安全管理的重要事项。 

从任职保障看,必要的资源可以理解为人力、财力、物力保障等。通过必要的资源,确保数据安全责任人有能力、有动力独立履行职责。

网络运营者应当参照国家有关标准,采用数据分类、备份、加密等措施加强对个人信息和重要数据保护。 

【解读】 

本条明确了网络运营者对个人信息和重要数据的安全保护义务。 

本条沿用了《网络安全法》第二十一条第四款之规定,明确了网络运营者应采用“数据分类、备份、加密等措施”加强个人信息和重要数据的安全保护。虽然本条并未明确网络运营者在采取前述措施时应参照的具体国家标准,但结合《网络安全法》第二十一条的规定,网络运营者履行安全保护义务应基于网络安全等级保护制度的要求。 

因此,我们理解网络运营者实际执行本条过程中,应重点参照最新发布的《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)和《信息安全技术网络安全等级保护安全设计技术要求》(GB/T25070-2019)等网络安全等级保护制度系列国家标准,履行对个人信息和重要数据的安全保护义务。 


网络运营者保存个人信息不应超出收集使用规则中的保存期限,用户注销账号后应当及时删除其个人信息,经过处理无法关联到特定个人且不能复原(以下称匿名化处理)的除外。 

【解读】 

本条明确了网络运营者对个人信息保存时间的最小化要求和用户注销账号的权利保护。 

从网络运营者对个人信息保存时间的最小化要求角度来看,本条主要沿用了《个人信息安全规范(征求意见稿)》第6.1条关于个人信息保存时间最小化的规定。本条明确了网络运营者应按照收集使用规则中约定的保存期限对个人信息进行保存,不得超过该保存期限。 

从用户注销账号的权利保护角度来看,本条主要沿用了《个人信息安全规范(征求意见稿)》第7.10条和《App违法违规认定方法(征求意见稿)》第六条关于个人信息主体注销账户的相关规定。本条明确了用户享有注销账号的权利,网络运营者在用户注销账号后,应及时删除其个人信息或进行匿名化处理。这也对网络运营者的内部制度管理提出了更高的要求。 



网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时,应当在合理时间和代价范围内予以查询、更正、删除或注销账号。 

【解读】 

本条明确了网络运营者对用户个人信息查询、更正、删除及注销账户权利落实的保障要求。 

具体理解,两个要点:第一个要点,个人信息查询、更正、删除以及用户注销账号权利。相较于《网络安全法》第四十三条赋予用户对其个人信息进行更正、删除的权利,本条新增了用户对个人信息享有的查询及注销账号的权利,同时要求网络运营者在收到用户的请求后,应在合理时间和代价范围内进行处理。 

第二个要点,关于“合理时间和代价范围”的界定,可以参照《个人信息安全规范(征求意见稿)》第7.13条、《App违法违规认定方法(征求意见稿)》第六条第3项关于响应个人信息主体的请求的规定。建议网络运营者应在承诺时限(无承诺时限的,以15个工作日为限)或法律法规规定的期限内做出答复及合理解释,对“合理的请求原则上不收取费用,但是对一定时期内多次重复的请求,可视情况收取一定成本费用”。 


网络运营者不得违反收集使用规则使用个人信息。因业务需要,确需扩大个人信息使用范围的,应当征得个人信息主体同意。 

【解读】 

本条明确了网络运营者使用个人信息的范围限制和动态限制。 

从范围限制看,本条重申了《网络安全法》关于网络运营者不得违反收集使用规则使用个人信息的要求。《网络安全法》第四十一条明确规定“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。 

从动态限制看,相较于《个人信息安全规范(征求意见稿)》,本条仅规定网络运营者确需扩大个人信息使用范围的,应当征得个人信息主体的“同意”,与《个人信息安全规范(征求意见稿)》第7.3条关于个人信息的使用限制中规定的确需超出范围使用个人信息的,应再次征得个人信息主体“明示同意”的要求不同。宜理解为本条规定的同意为明示同意,但确切认定有待进一步明确,建议进一步关注正式稿中最终采用的措辞。 



网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。 

网络运营者开展定向推送活动应遵守法律、行政法规,尊重社会公德、商业道德、公序良俗,诚实守信,严禁歧视、欺诈等行为。 

【解读】 

本条明确了“定向推送”的内涵、用户享有的个性化展示及退出的权利和定向推送的红线要求。 

从定向推送的内涵、用户享有的个性化展示及退出的权利看,本条主要沿用了《个人信息安全规范(征求意见稿)》第7.4条关于个性化展示及退出的相关规定,一方面明确了“定向推送”的内涵,另一方面强调网络运营者应以明显方式向用户提示所推送的信息是“定推”并提供用户停止接受定向推送信息的功能,取消了标注“个性化提示”等选项。 

若用户选择停止接收定向推送信息,本条在《个人信息安全规范(征求意见稿)》第7.4条“向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项”的基础上,进一步提出了新的要求,明确了网络运营者应当停止推送并删除已收集的用户数据和个人信息的义务,并且将已经收集的设备识别码作为用户数据和个人信息的典型代表单独强调。 

从定向推送的红线要求看,主要遵循的是基本法律和道德要求,需要指出的是严禁歧视、欺诈等行为。定向推送的目的在于满足用户的个性化需求和商家的精准营销需求。在使用定向推送的过程中,不得因民族、性别、宗教信仰等因素产生对用户的歧视,不得推送违法违规、违反道德和社会公序良俗的内容,不得推送故意诱导用户产生错误判断的内容。 



网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应以明显方式标明“合成”字样;不得以谋取利益或损害他人利益为目的自动合成信息。 

【解读】 

本条明确了网络运营者利用大数据、人工智能等技术自动合成信息的限制。 

在互联网领域利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等已经日渐普及,但是在自动合成技术运用的过程中,部分平台存在利用自动合成信息充当“网络水军”、“刷评价”的工具,模糊了真实信息与合成信息的边界,扰乱了市场秩序。 

2018年,国家版权局等四部委曾联合开展“剑网2018”专项行动,主要打击对象包括通过自动合成技术对原创作品进行抄袭、剽窃、篡改的侵权行为。本条首次明确自动合成信息的使用需以显著方式标明“合成”字样,并对自动合成信息的适用场景进行限制,明确规定不得以“谋取利益或损害他人利益”为目的。本条就自动合成信息作出规定,有助于预防自动合成信息的不当使用,对于促进网络空间的生态治理具有积极意义。 



网络运营者应采取措施督促提醒用户对自己的网络行为负责、加强自律,对于用户通过社交网络转发他人制作的信息,应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识。 

【解读】 

本条明确了网络运营者维持健康网络环境,积极引导用户建立对自己的网络行为负责的观念要求。 

《网络安全法》第四十六条至第四十九条明确了网络信息安全领域中个人及网络运营者的相关责任,基于前述条款,本条进一步明确了网络运营者具有“采取措施”督促提醒用户对自己的网络行为负责、加强自律的义务。 

本条关于网络运营者应自动标注被转发信息制作者的账户或用户标识的规定可以有效引导用户树立应当对自己制作、发布信息等使用网络的行为负责的观念,有效规制侵权转发的行为,有助于保护知识产权等他人合法权益。 



网络运营者接到相关假冒、仿冒、盗用他人名义发布信息的举报投诉时,应当及时响应,一旦核实立即停止传播并作删除处理。 

【解读】 

本条明确了网络运营者及时处理侵权发布信息相关投诉举报的要求。 

《网络安全法》与《个人信息安全规范(征求意见稿)》均对网络运营者建立网络信息安全投诉、举报制度进行了规定,并要求网络运营者接到投诉、举报时应及时响应。本条在前述条款基础上,新增要求网络运营者对于假冒、仿冒、盗用他人名义发布信息的举报投诉时采取的应对措施,即首先应及时响应,其次,一旦核实投诉、举报属实,应立即采取停止传播并作删除的方式进行处理,有助于有效控制违法发布信息的传播。 



网络运营者向他人提供个人信息前,应当评估可能带来的安全风险,并征得个人信息主体同意。下列情况除外: 

(一)从合法公开渠道收集且不明显违背个人信息主体意愿; 
(二)个人信息主体主动公开; 
(三)经过匿名化处理; 
(四)执法机关依法履行职责所必需; 
(五)维护国家安全、社会公共利益、个人信息主体生命安全所必需。 

【解读】 

本条明确了网络运营者向他人提供个人信息时的安全风险评估要求及向他人提供个人信息时征得授权同意的例外情况。 

从网络运营者向他人提供个人信息时的安全风险评估要求角度看,本条明确了网络运营者在向他人提供(包括但不限于共享、转让)个人信息前应进行安全风险评估,并征得个人信息主体同意。本条与《个人信息安全规范(征求意见稿)》第8.2条关于个人信息共享、转让的原则基本一致,但本条的规定较为模糊,在实际操作中,建议网络运营者参照《信息安全技术个人信息安全影响评估指南(征求意见稿)》,具体评估涉及的个人敏感信息的类型、数据接受方的身份和数据安全能力等,并根据安全风险评估结果采取有效的保护个人信息主体的措施。 

从向他人提供个人信息时征得授权同意的例外情况角度看,本条内容基本与《个人信息安全规范(征求意见稿)》第8.5条关于共享、转让、公开披露个人信息时事先征得授权同意的例外的规定的思路一致,但是并未采纳第8.5条中关于“与个人信息控制者履行法律法规规定的义务相关的”、“与个人信息控制者履行法律法规规定的义务相关的”和“出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的”的内容,并在“从合法公开渠道收集”的基础上增加了“不明显违背个人信息主体意愿”的要求。 

监管是否会进一步对本条与《个人信息安全规范(征求意见稿)》第8.5条内容进行统一,有待正式稿明确。 


网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。 

向境外提供个人信息按有关规定执行。 

【解读】 

本条第一款明确了网络运营者需要进行重要数据安全风险评估和报经批准同意的具体情形。本条第二款明确了向境外提供个人信息的要求。 

根据《网络安全法》第三十七条之规定,关键信息基础设施的运营者“因业务需要,确需向境外提供(个人信息和重要数据)的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。相较于《网络安全法》第三十七条,本条第一款对重要数据进行安全风险评估进行了扩大规定,一方面扩大了安全评估的主体范围,从“关键信息基础设施的运营者”扩大至“网络运营者”,另一方面增加了需要进行安全风险评估的情形,从“向境外提供”修改为“发布、共享、交易或向境外提供重要数据”。 

此外,本条第一款将2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》中网络运营者基于重要数据的不同情况,分别适用数据安全“自评估”、“报请行业主管或监管部门组织安全评估”或者“国家网信部门组织评估”的梯度审核要求,统一提升为需经行业主管监管部门同意,行业主管监管部门不明确的,经省级网信部门批准的要求,进一步加强了对于重要数据安全风险评估及数据跨境传输的要求。 

由于本条第一款的适用主体范围宽泛,并且未对重要数据进行分类,对于网络运营者来说,行政审批成本提升,使用重要数据的及时性受到影响。 

根据本条第二款,向境外提供个人信息按有关规定执行,前述规定主要包括《网络安全法》等法律以及参照《个人信息和重要数据出境安全评估办法(征求意见稿)》、《网络安全审查办法(征求意见稿)》、《个人信息安全规范(征求意见稿)》等相关法规、规范性文件和国家标准(征求意见稿)中关于个人信息跨境传输的规定。 



境内用户访问境内互联网的,其流量不得被路由到境外。 

【解读】 

本条明确了网络运营者对于用户流量路由的路径进行限制。 

互联网流量经其他运营商绕转较为常见,本条主要限制的是境内用户访问互联网的流量不得被路由至境外,防止潜在的流量劫持、访问异常等数据安全和网络安全风险。 

2018年11月13日即发生过路由至境外的事件,谷歌旗下的云服务、YouTube等网络服务受到影响,国外一些原本应流向谷歌地址的数据流量因为尼日利亚运营商MainOneCable使用了错误的路由配置导致流量改变了路径而转向了中国电信,致使中国电信的网络受到冲击,同时MainOneCable的互联线路严重拥塞,超限部分流量被丢弃,造成国外部分用户无法使用谷歌的部分服务。 

有外媒称因遭到来自中国运营商的流量“劫持”导致国外访问异常的发生,中国电信第一时间也发布了《中国电信被指“劫持流量”不实报道的情况说明》。 


网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。 

【解读】 

本条明确了网络运营者对第三方接入管理的职责与对用户的责任承担问题。 

从网络运营者对第三方接入管理的职责角度看,本条一方面明确了网络运营者对接入其平台的第三方应用,具有向其明确数据安全要求和责任,督促监管第三方应用运营者加强数据安全管理的职责。但是从操作层面看,本条并未提示或明确网络运营者履行前述责任可以采取的具体措施。网络运营者可以在实践中参考《个人信息安全规范(征求意见稿)》第8.7条关于第三方接入管理的规定进行落实。 

从网络运营者对用户的责任承担问题角度看,根据本条内容,关于第三方应用发生的数据安全事件,对网络运营者采用过错推定原则,除非网络运营者能够证明其无过错,否则网络运营者应当向用户承担部分或全部责任。由于网络运营者与第三方应用相比处于优势地位,监管制定本条款规定之责任承担方式,一方面有利于充分保障用户利益,另一方面能够增强网络运营者对于合规运营的积极性。需要注意,本条并未就网络运营者如何证明自己无过错进行规定,此条款在实践中的执行效果有待进一步观察。 


网络运营者兼并、重组、破产的,数据承接方应承接数据安全责任和义务。没有数据承接方的,应当对数据作删除处理。法律、行政法规另有规定的,从其规定。 

【解读】 

本条明确了网络运营者发生兼并、重组、破产等情况下对数据的处理原则。 

本条部分采纳了《个人信息安全规范(征求意见稿)》第8.3条关于收购、兼并、重组、破产时的个人信息转让的规定,明确网络运营者发生兼并、重组、破产的,数据承接方应承接原网络运营者数据安全责任与义务,同时,本条新增了关于没有数据承接方时的处理方式,即对数据作删除处理。实践中,若网络运营者发生兼并、重组、破产时,但对相关数据并没有承接方的,本条并未明确网络运营者应删除数据的时间、数据内容,也未规定网络运营者是否需要将删除信息的情况向相关机构进行汇报。 



网络运营者分析利用所掌握的数据资源,发布市场预测、统计信息、个人和企业信用等信息,不得影响国家安全、经济运行、社会稳定,不得损害他人合法权益。 

【解读】 

本条明确了网络运营者使用数据资源发布信息的要求。 

网络运营者使用数据资源发布市场预测、统计信息、个人和企业信用等信息,不得影响国家安全、经济运行、社会稳定,不得损害他人合法权益。网络运营者可以基于对数据资源的收集、使用规则对数据进行分析,并基于原始数据制作市场预测、统计信息、个人和企业信用信息等,但是前述对数据的分析、使用应基于真实有效数据发布客观公正的信息,不得影响国家安全、经济运行、社会稳定,不得损害他人合法权益。本条实际上为网络运营者发布信息提出了更高的要求,需要审慎理解本条背后的含义。
网信部门在履行职责中,发现网络运营者数据安全管理责任落实不到位,应按照规定的权限和程序约谈网络运营者的主要负责人,督促整改。 

【解读】 

本条明确了网信部门对网络运营者的主动监管职责。 

根据《网络安全法》第五十六条的规定,“省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈”。 

本条是对《网络安全法》第五十六条内容的扩大规定,一方面将监管的主体从“省级以上人民政府有关部门”扩大至“网信部门”,另一方面,触发主动监管的情形从“发现网络存在较大安全风险或者发生安全事件”扩大至“发现网络运营者数据安全管理责任落实不到位”。网信部门在后续监管过程中将对网络运营者享有较大的自由裁量权。 



国家鼓励网络运营者自愿通过数据安全管理认证和应用程序安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序。 

国家网信部门会同国务院市场监督管理部门,指导国家网络安全审查与认证机构,组织数据安全管理认证和应用程序安全认证工作。 

【解读】 

本条第一款明确了国家鼓励网络运营者进行数据安全管理认证和应用程序认证。第二款明确了组织数据安全管理认证和应用程序安全认证工作的主体。 

本条第一款对今年3月发布的《市场监管总局中央网信办关于开展App安全认证工作的公告》予以确认,明确了国家鼓励网络运营者进行数据安全管理认证和应用程序认证,并采用通过鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序的方式进一步对网络运营者进行数据安全管理认证和应用程序安全认证进行正面引导。 

本条第二款在《网络安全法》内容的基础上,明确了国家网信部门和国务院市场监督管理部门是指导国家网络安全审查与认证机构,组织数据安全管理认证和应用程序安全认证工作的主体。根据《市场监管总局中央网信办关于开展App安全认证工作的公告》,具体认证机构为中国网络安全审查技术与认证中心,认证具体依据为《移动互联网应用程序(App)安全认证实施规则》。 



发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。 

【解读】 

本条明确了网络运营者在发生数据安全事件时的应急处置要求。 

本条是对《网络安全法》第四十二条第二款的细化,参考《个人信息安全规范(征求意见稿)》第9条和《互联网个人信息安全保护指南》第7.2条的规定,新增了“发生数据安全事件风险明显加大”作为触发网络运营者采取补救措施的特定情形之一,同时也细化了在发生数据安全事件时告知个人信息主体可以采用的具体方式,如通过“电话、短信、邮件或信函等方式”。 


国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要,依照法律、行政法规的规定,要求网络运营者提供掌握的相关数据的,网络运营者应当予以提供。 

国务院有关主管部门对网络运营者提供的数据负有安全保护责任,不得用于与履行职责无关的用途。 

【解读】 

本条第一款明确了当国务院有关主管部门为履行职责需要时,网络运营者具有对其所掌握的相关数据的提供义务。本条第二款明确了国务院有关主管部门对网络运营者提供的数据负有安全保护义务,只能将相关数据用于履行职责相关的用途。 

本条主要是对《网络安全法》第二十八条、第三十条、第四十五条内容的呼应,一方面明确了网络运营者对监管机关履行职责时的协助义务,另一方面强调了监管机关不能滥用网络运营者提供的数据,而应切实履行对数据的安全保护责任。 



网络运营者违反本办法规定的,由有关部门依照相关法律、行政法规的规定,根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。 

【解读】 

本条明确了网络运营者违反本办法规定的法律责任。 

本条未针对网络运营者违反本办法某一条要求规定对应的责任,而是明确有关部门可以依照相关法律、行政法规,根据具体情节对网络经营者进行行政处罚,情节严重构成犯罪的,还应追究网络运营者的刑事责任。
本办法下列用语的含义: 

(一)网络运营者,是指网络的所有者、管理者和网络服务提供者。 
(二)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。 
(三)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 
(四)个人信息主体,是指个人信息所标识或关联到的自然人。 
(五)重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。 

【解读】 

本条明确了《办法(征求意见稿)》中网络运营者、网络数据、个人信息、个人信息主体和重要数据等重要概念的定义。 

本条定义中的“网络运营者”、“网络数据”、“个人信息”沿用了《网络安全法》第七十六条的相关定义。本条定义中“个人信息主体”与《个人信息安全规范(征求意见稿)》基本一致,但是将个人信息“关联到的自然人”新纳入了个人信息主体的范围内,有利于更准确的认定个人信息主体,保护个人信息主体的数据安全权益。 

另外,本条定义中“重要数据”主要参考了《信息安全技术数据出境安全评估指南(征求意见稿)》(以下简称“《数据出境安全评估指南(征求意见稿)》”)中的相关表述,但是两者定义存在差异。 

本条“重要数据”在《数据出境安全评估指南(征求意见稿)》基础上,进一步缩限了“重要数据”的范围。不同于《数据出境安全评估指南(征求意见稿)》中“重要数据”对“国家安全、经济发展以及公共利益”的影响程度为“密切相关”,本条强调了“重要数据”对“国家安全、经济安全、社会稳定、公共健康和安全”的影响程度是“直接影响”;另一方面,本条确定了“重要数据”与“企业生产经营和内部管理信息”及“个人信息”的关系,将“企业生产经营和内部管理信息”及“个人信息”排除在重要数据的范围外,降低了实践中误将“企业生产经营和内部管理信息”及“个人信息”纳入“重要数据”范围的情况。 

值得注意的是,虽然本条对“网络数据”进行定义,但是《办法(征求意见稿)》除此定义外,通篇使用的都是“数据”一词,并未出现“网络数据”的表述。《办法(征求意见稿)》正文所使用的“数据”与本条定义使用的“网络数据”的关系有待进一步明确。 


涉及国家秘密信息、密码使用的数据活动,按照国家有关规定执行。 

【解读】 

本条明确了涉及国家秘密信息、密码使用的数据活动将不适用《办法(征求意见稿)》的相关规定,而应根据《保守国家秘密法》、《保守国家秘密法实施条例》等法律、法规的相关内容具体执行。根据《国务院2019年立法工作计划》,密码法草案赫然在列,建议予以关注。 



本办法自年月日起施行。 

【解读】 

本条明确了《办法(征求意见稿)》正式生效的具体时间,考虑到目前《办法(征求意见稿)》仅处于征求意见稿阶段,具体实施时间有待正式稿出台时进一步明确。


《数据安全管理办法(征求意见稿)》首次从国家层面,针对个人信息和重要数据,提出了综合性的安全管理要求,对强制捆绑授权、网络爬虫、定向推送、自动化洗稿、算法歧视等新型数据安全问题进行有效约束,标志着我国数据安全管理迈出了具有里程碑意义的一步