資訊洞見

更深入的数据合规与保护要求 – 中国发布《数据安全管理办法(征求意见稿)》

数据安全是2017年生效的《中华人民共和国网络安全法》(简称 “《网安法》”)重点规范的内容之一。2019年5月28日,国家互联网信息办公室发布了《数据安全管理办法(征求意见稿)》(简称 “《数据草案》”)。该草案以《网安法》为基础,对现有的或已生效或仍处于征求意见阶段的配套立法与推荐性国家标准进行了考量,并据此细化了与数据安全相关的合规要求。

《数据草案》在生效后,将会成为国家行政机关的执法依据之一(属于配套立法),在效力上将会高于不具备强制执行力的推荐性国家标准(例如《信息安全技术 个人信息安全规范》(2018年版))。与同样作为执法依据的基础法律《网安法》相比较,《数据草案》对现有规则进行了补充与扩大解释。其中,变动幅度较大的方面包括:

序号 

规范内容

《网安法》

《数据草案》

重要数据及个人敏感信息收集活动的备案

未明确规定

网络运营者如果以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。 

2

自动化手段访问

未明确规定

网络运营者采取自动化手段(例如“网络机器人”)访问收集网站数据,如果存在访问收集流量超过网站日均流量三分之一等严重影响网站运行行为的,经网站要求,该自动化访问收集应停止。

3

个人信息主体权利

确定用户等个人信息主体针对被收集个人信息所享有的更正权、删除权

进一步确定了个人信息主体对其被收集个人信息的撤销同意权、信息查询权、账号注销权1

4

定向推送

未明确规定

网络运营者利用用户数据与算法推送新闻信息、商业广告等的,应明显标明“定推”字样,为用户提供停止接受定向推送的功能,并在用户选择停止推送后删除用户数据和个人信息。

5

自动合成信息

未明确规定

网络运营者利用技术自动合成新闻、博文、帖子、评论等信息的,应明显标明“合成”字样,且不得以谋利或损害他人利益为目的。

6

重要数据的行政安全评估2

适用于关键信息基础设施运营者重要数据的出境。

适用于网络运营者重要数据的发布、共享、交易与出境3。 

7

对国家机关的协助义务

网络运营者应为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动,提供技术支持和协助。

国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要,可依法要求网络运营者提供其掌握的相关数据。

 

在合规要求的其他方面,《数据草案》大量参考了推荐性国家标准的相关规范(例如,个人信息收集与使用的规则等),并尝试推动厘清一些基础问题(例如,规定“重要数据一般不包括企业生产经营和内部管理信息、个人信息等”)。

从目前的草案文本看,《数据安全管理办法》很可能会加重网络运营者的合规负担,但总体来讲,其搭建的数据监管体系仍是有助于数据的保护与合规实践的规范。我们会继续观察该立法的进一步发展。

 

1 《数据草案》关于个人信息主体新增权利的规定,借鉴了推荐性国家标准《信息安全技术 个人信息安全规范》(2018年版)相关规定。
《网安法》规定了,关键信息基础设施运营者在中国境内运营中收集和产生的“个人信息”与“重要数据”,如因业务需要确需向境外提供的,均应依法进行行政机关的安全评估;法律另有规定的除外。相比之下,《数据草案》仅对网络运营者“重要数据”的行政安全评估进行了规定;对于“个人信息”,仅规定“向境外提供个人信息按有关规定执行”。本文在此不再探讨个人信息的安全评估。    
推荐性国家标准《信息安全技术 数据出境安全评估指南》(征求意见稿)规定了,对于数据出境,网络运营者应首先进行安全自评估并形成评估报告。其后,根据数据的重要程度与敏感程度,在下述三种模式下进行数据出境:(1)出境未满足需上报国家机关的门槛要求的,数据可自行出境;或(2)满足需上报的门槛要求的,将安全自评估报告报送相关国家机关备案后,数据即可出境;或(3)出境需获得相关国家机关同意的,将评估报告报送国家机关进行安全评估并获其同意,数据可以出境。相比之下,《数据草案》似收紧了相关管控,亦即,不再区分重要数据的类型,统一要求对于重要数据的发布、共享、交易与出境均进行行政机关的安全评估。

相關業務及行業:

中國貿易及投資

Portfolio Builder

Select the 本行服務 that you would like to download or add to the portfolio

Download    Add to portfolio   
Portfolio
職務 Type CV 電郵

Remove All

Download


Click here to share this shortlist.
(It will expire after 30 days.)