資訊洞見
数据安全是2017年生效的《中华人民共和国网络安全法》(简称 “《网安法》”)重点规范的内容之一。2019年5月28日,国家互联网信息办公室发布了《数据安全管理办法(征求意见稿)》(简称 “《数据草案》”)。该草案以《网安法》为基础,对现有的或已生效或仍处于征求意见阶段的配套立法与推荐性国家标准进行了考量,并据此细化了与数据安全相关的合规要求。
《数据草案》在生效后,将会成为国家行政机关的执法依据之一(属于配套立法),在效力上将会高于不具备强制执行力的推荐性国家标准(例如《信息安全技术 个人信息安全规范》(2018年版))。与同样作为执法依据的基础法律《网安法》相比较,《数据草案》对现有规则进行了补充与扩大解释。其中,变动幅度较大的方面包括:
序号 |
规范内容 |
《网安法》 |
《数据草案》 |
1 |
重要数据及个人敏感信息收集活动的备案 |
未明确规定 |
网络运营者如果以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。 |
2 |
自动化手段访问 |
未明确规定 |
网络运营者采取自动化手段(例如“网络机器人”)访问收集网站数据,如果存在访问收集流量超过网站日均流量三分之一等严重影响网站运行行为的,经网站要求,该自动化访问收集应停止。 |
3 |
个人信息主体权利 |
确定用户等个人信息主体针对被收集个人信息所享有的更正权、删除权 |
进一步确定了个人信息主体对其被收集个人信息的撤销同意权、信息查询权、账号注销权1。 |
4 |
定向推送 |
未明确规定 |
网络运营者利用用户数据与算法推送新闻信息、商业广告等的,应明显标明“定推”字样,为用户提供停止接受定向推送的功能,并在用户选择停止推送后删除用户数据和个人信息。 |
5 |
自动合成信息 |
未明确规定 |
网络运营者利用技术自动合成新闻、博文、帖子、评论等信息的,应明显标明“合成”字样,且不得以谋利或损害他人利益为目的。 |
6 |
重要数据的行政安全评估2 |
适用于关键信息基础设施运营者重要数据的出境。 |
适用于网络运营者重要数据的发布、共享、交易与出境3。 |
7 |
对国家机关的协助义务 |
网络运营者应为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动,提供技术支持和协助。 |
国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要,可依法要求网络运营者提供其掌握的相关数据。 |
在合规要求的其他方面,《数据草案》大量参考了推荐性国家标准的相关规范(例如,个人信息收集与使用的规则等),并尝试推动厘清一些基础问题(例如,规定“重要数据一般不包括企业生产经营和内部管理信息、个人信息等”)。
从目前的草案文本看,《数据安全管理办法》很可能会加重网络运营者的合规负担,但总体来讲,其搭建的数据监管体系仍是有助于数据的保护与合规实践的规范。我们会继续观察该立法的进一步发展。