《网络数据安全管理条例》[1]即将于2025年1月1日起生效,其立足于过往立法,在《中华人民共和国网络安全法》[2]《中华人民共和国数据安全法》[3]与《中华人民共和国个人信息保护法》[4]的框架下,将散见于不同法规细则的合规义务进行了总结与澄清。作为一部承上启下而非引入重大变革的立法,其有助于减少监管的不确定性,为企业进行心理上的减负。但开展网络数据处理活动的企业仍需对照《网络数据安全管理条例》,在过往数据合规体系的基础上查缺补漏,以妥善落实新规要求。
要点1:落实网络数据安全防护要求
《网络数据安全管理条例》第9条要求企业在网络安全等级保护的基础上,加强网络数据安全防护。实践中,公安机关往往会实施“一案双查”的网络安全执法机制,即在调查网络安全案件的同时,也会对涉案企业是否履行法定的网络安全责任进行同步监督和检查。
因此,企业应重点落实网络数据安全防护义务,尤其是网络安全等级保护要求,定期对自身运营的计算机信息系统进行盘点梳理,依法进行网络安全的定级、备案、整改、测评,做到网络安全管理制度与技术并重,确保自身网络与信息系统的安全稳定运行。
要点2:健全网络数据安全事件应急预案
在过往立法的基础上,《网络数据安全管理条例》第11条进一步强调了企业在发生网络数据安全事件时,应当立即启动应急预案,采取措施防止危害扩大。实践中,应急预案一般包括组织体系、事件分级、监测预警、预防与应急准备、保障措施、应急处置、事后总结等内容。除此之外,企业还须依法及时将网络安全事件告知用户等利害关系人并向有关主管部门报告(如适用)。我们预计未来《网络安全事件报告管理办法(征求意见稿)》[5]通过并生效后将提出更清晰的路径指引。
要点3:规范隐私政策表述与展示方式
依据《网络数据安全管理条例》第21条,形式上,隐私政策应当集中公开展示、易于访问并置于醒目位置,避免出现隐私政策难以访问的情况。内容上,其应当明确具体、清晰易懂。建议企业重新审视隐私政策的表述与展示,确保形式与内容符合《网络数据安全管理条例》等法律法规的要求,并在隐私政策内容发生变化的情况下及时更新相应文本。
要点4:响应个人信息转移的权利请求
数据可携带权缘起于欧盟《通用数据保护条例》[6]。《中华人民共和国个人信息保护法》第45条亦有其身影,其中规定满足前置法定条件的个人可以请求个人信息处理者将其个人信息转移至其他个人信息处理者。《网络数据安全管理条例》第25条进一步明确了网络数据场景下需同时满足的四大前置条件。至于个人信息转移的内部应对流程,建议企业参考《信息安全技术 基于个人请求的个人信息转移要求》征求意见稿[7],将其融入个人信息权利请求响应机制之中。
要点5:定期开展个人信息保护合规审计
个人信息保护合规审计义务由《中华人民共和国个人信息保护法》第54条所创设。此次,《网络数据安全管理条例》第27条重申了此项义务,其指出网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。在尚无现行有效的落地细则的情况下,我们建议企业未雨绸缪,参照《个人信息保护合规审计管理办法(征求意见稿)》[8]以及《数据安全技术 个人信息保护合规审计要求》征求意见稿[9],着手准备个人信息保护合规审计内部制度,以应对不时之需。
要点6:依法识别、申报、管理重要数据
重要数据的识别一直是企业履行数据合规义务的痛点。《网络数据安全管理条例》第四章并未豁免企业依法识别、申报重要数据的义务,但同时明确,确认是否属于重要数据的义务落在监管部门身上,即,如属于重要数据,监管部门应当及时向企业告知或者通过公开重要数据目录等方式进行发布。目前,较为明晰的重要数据识别标准主要包括《汽车数据安全管理若干规定(试行)》[10]《中国(北京)自由贸易试验区数据分类分级参考规则》[11] 等。
要点7:适配网络数据跨境合规路径
《网络数据安全管理条例》第五章协调了《数据出境安全评估办法》[12]《个人信息出境标准合同办法》[13]以及《促进和规范数据跨境流动规定》[14]等法律法规的合规义务。对于未履行数据跨境合规义务的企业,监管部门将采取技术等措施,防范、处置网络数据跨境安全风险和威胁。
建议企业整体梳理数据出境场景,依法判断所涉数据的规模和属性。根据业务场景下的数据出境情况,综合风险和成本,明确数据出境路径,选择合适的出境方和境外接收方。对于当前已通过数据出境安全评估或个人信息出境标准合同备案的企业,应密切监测数据跨境场景等的变化,并在必要时依法重新履行申报或备案手续。
要点8:关注网络平台运营者的特殊义务
《网络数据安全管理条例》第六章要求网络平台运营者通过平台规则或者合同等明确平台内经营者的网络数据安全保护义务,督促平台内经营者加强网络数据安全管理。对于网络平台自身,如果其存在通过自动化决策方式向个人进行信息推送的场景,除应当设置便捷的个性化推荐关闭选项外,还应当为用户提供删除针对其个人特征的用户标签等功能。实践中,这可以通过用户界面中的隐私设置或专门的标签管理页面来实现。需要注意的是,在用户自行删除其特定标签后,应避免因后台未及时调整而仍向其推送与该标签直接相关的信息。
类似于欧盟《数字市场法》[15]的守门人角色,《中华人民共和国个人信息保护法》以及《网络数据安全管理条例》对大型网络平台运营者提出了更高的合规要求。
结语:
《网络数据安全管理条例》生效在即,建议企业研判自身是否新增合规义务,尽早识别合规评估与整改的优先事项,把握合规时间安排。基于成熟的项目管理经验,安永[16]可以为以上合规应对提供全套或个别要点的协助应对,包括协助建立内部数据合规评估制度,开展个人信息保护影响评估、数据出境风险自评估以及重要数据风险自评估等,创建并应用评估所需的工具清单,输出符合监管要求的文本,并协助与监管进行必要的沟通。
注:
[1] https://www.gov.cn/zhengce/zhengceku/202409/content_6977767.htm
[2] http://www.npc.gov.cn/zgrdw/npc/xinwen/2016-11/07/content_2001605.htm
[3] http://www.npc.gov.cn/c2/c30834/202106/t20210610_311888.html
[4] https://www.gov.cn/xinwen/2021-08/20/content_5632486.htm
[5] https://www.cac.gov.cn/2023-12/08/c_1703609634347501.htm
[6] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
[7] https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240403144959&norm_id=20231220162250&recode_id=54528
[8] https://www.cac.gov.cn/2023-08/03/c_1692628348448092.htm
[9] https://std.samr.gov.cn/gb/search/gbDetailed?id=17380E2D5C2D12AFE06397BE0A0A31F4
[10] https://www.gov.cn/zhengce/zhengceku/2021-09/12/content_5640023.htm
[11] https://www.beijing.gov.cn/zhengce/zhengcefagui/202409/W020240902597001569239.pdf
[12] https://www.gov.cn/zhengce/zhengceku/2022-07/08/content_5699851.htm
[13] https://www.gov.cn/zhengce/202311/content_6917770.htm
[14] https://www.gov.cn/gongbao/2024/issue_11366/202405/content_6954192.html
[15] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2022.265.01.0001.01.ENG&toc=OJ%3AL%3A2022%3A265%3ATOC
[16] 安永(中国)企业咨询有限公司
本文是为提供一般信息的用途所撰写,并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。
将医疗影像数字化,可以方便患者自己在手机等设备上就能查阅图像,以及到其他医院后仍可调阅,避免重复检查,可以降低医疗资源的消耗,但背后的数据安全问题也引发关注。
全球AI技术版图正在发生深远变革,全球主要国家和科技巨头纷纷入局,抢占人工智能和自动驾驶产业高地,“洋萝卜”与“土萝卜”对技术的主导权争夺也走向了关键阶段。
对国家数据标准体系的建设和落地是一个系统工程,具有很强的专业性、集成性及整体性,是涉及多主体和多场景,全过程和全周期,跨部门和多层级相互合作、多元共建共治共享的过程。
工信部:提高数据安全事件综合应对能力