數安條例百問99、100:關于個人信息保護行業組織和附則
對應條款
第五十九條 國家支持相關行業組織按照章程,制定數據安全行為規范,加強行業自律,指導會員加強數據安全保護,提高數據安全保護水平,促進行業健康發展。
國家支持成立個人信息保護行業組織,開展以下活動:
(一)接受個人信息保護投訴舉報并進行調查、調解;
(二)向個人提供信息和咨詢服務,支持個人依法對損害個人信息權益的行為提起訴訟;
(三)曝光損害個人信息權益的行為,對個人信息保護開展社會監督;
(四)向有關部門反映個人信息保護情況、提供咨詢、建議;
(五)違法處理個人信息、侵害眾多個人的權益的行為,依法向人民法院提起訴訟。
解讀
我國互聯網治理體系的特點是法律規范、行政監管、行業自律、技術保障、公眾監督和社會教育相結合。其中,行業自律是重要一環。因此,我國網絡安全、數據安全立法中,都強調了行業自律。例如:
《網絡安全法》第十一條規定:“網絡相關行業組織按照章程,加強行業自律,制定網絡安全行為規范,指導會員加強網絡安全保護,提高網絡安全保護水平,促進行業健康發展。”
《數據安全法》第十條規定:“相關行業組織按照章程,依法制定數據安全行為規范和團體標準,加強行業自律,指導會員加強數據安全保護,提高數據安全保護水平,促進行業健康發展。”
《條例》第五十九條繼承了上位法的上述規定,即加強行業自律,指導會員加強數據安全保護,提高各行業數據安全保護水平。但其相對于已有法律規定的重大區別是,首次提出了成立專門個人信息保護行業組織的要求。
為了保護個人信息安全,法律法規必然要設立一系列重大制度,政府部門也要針對性部署一系列工作,但僅有這些是不夠的。當前個人信息保護已經成為一個普遍性的日常問題,政府不可能大包大攬,也沒有足夠的精力和資源防范、處置違規事件。為此,需要研究新的機制,作為對政府監管機制的重要補充,這是《條例》第五十九條的立法目的。
出于這樣的考慮,第五十九條賦予了個人信息保護行業組織五個方面的重要職能。
一是接受個人信息保護投訴舉報并進行調查、調解。即,發生個人信息安全事件后,個人信息保護行業組織可以提前介入,協助用戶維權,這將極大減輕用戶維權成本。
二是向個人提供信息和咨詢服務,支持個人依法對損害個人信息權益的行為提起訴訟。即,個人信息保護行業組織將做好公益服務,在宣傳貫徹法律法規、提升全社會意識等方面發揮重要作用。
三是曝光損害個人信息權益的行為,對個人信息保護開展社會監督。這相當于借助社會監督,賦予了個人信息保護行業組織重要抓手,確立了其權威性,使《條例》的這一制度得以有效落地。
四是向有關部門反映個人信息保護情況、提供咨詢、建議。即,個人信息保護行業組織將成為政府的參謀和助手,為政府相關工作提供支撐。
五是違法處理個人信息、侵害眾多個人的權益的行為,依法向人民法院提起訴訟。《個人信息保護法》第七十條規定,個人信息處理者違反本法規定處理個人信息,侵害眾多個人的權益的,人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。即,《條例》落實《個人信息保護法》的規定,明確了個人信息保護行業組織可以發起集體訴訟。
個人信息保護行業組織的制度設計借鑒了中國消費者協會,制度實施中也將充分學習消協的經驗,故成立個人信息保護行業組織的有充分的可操作性。
對應條款
第七十三條 本條例下列用語的含義:
(一)網絡數據(簡稱數據)是指任何以電子方式對信息的記錄。
(二)數據處理活動是指數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動。
(三)重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據。包括以下數據:
1.未公開的政務數據、工作秘密、情報數據和執法司法數據;
2.出口管制數據,出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據,密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據;
3.國家法律、行政法規、部門規章明確規定需要保護或者控制傳播的國家經濟運行數據、重要行業業務數據、統計數據等;
4.工業、電信、能源、交通、水利、金融、國防科技工業、海關、稅務等重點行業和領域安全生產、運行的數據,關鍵系統組件、設備供應鏈數據;
5.達到國家有關部門規定的規模或者精度的基因、地理、礦產、氣象等人口與健康、自然資源與環境國家基礎數據;
6.國家基礎設施、關鍵信息基礎設施建設運行及其安全數據,國防設施、軍事管理區、國防科研生產單位等重要敏感區域的地理位置、安保情況等數據;
7.其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據。
(四)核心數據是指關系國家安全、國民經濟命脈、重要民生和重大公共利益等的數據。
(五)數據處理者是指在數據處理活動中自主決定處理目的和處理方式的個人和組織。
(六)公共數據是指國家機關和法律、行政法規授權的具有管理公共事務職能的組織履行公共管理職責或者提供公共服務過程中收集、產生的各類數據,以及其他組織在提供公共服務中收集、產生的涉及公共利益的各類數據。
(七)委托處理是指數據處理者委托第三方按照約定的目的和方式開展的數據處理活動。
(八)單獨同意是指數據處理者在開展具體數據處理活動時,對每項個人信息取得個人同意,不包括一次性針對多項個人信息、多種處理活動的同意。
(九)互聯網平臺運營者是指為用戶提供信息發布、社交、交易、支付、視聽等互聯網平臺服務的數據處理者。
(十)大型互聯網平臺運營者是指用戶超過五千萬、處理大量個人信息和重要數據、具有強大社會動員能力和市場支配地位的互聯網平臺運營者。
(十一)數據跨境安全網關是指阻斷訪問境外反動網站和有害信息、防止來自境外的網絡攻擊、管控跨境網絡數據傳輸、防范偵查打擊跨境網絡犯罪的重要安全基礎設施。
(十二)公共信息是指數據處理者在提供公共服務過程中收集、產生的具有公共傳播特性的信息。包括公開發布信息、可轉發信息、無明確接收人信息等。
第七十四條涉及國家秘密信息、核心數據、密碼使用的數據處理活動,按照國家有關規定執行。
解讀
《條例》的“附則”有3條,這里重點分析第七十三條給出的定義。
(一)關于網絡數據(簡稱數據)
《條例》定義的“網絡數據”來自《數據安全法》。后者規定了“數據”的定義:任何以電子或者其他方式對信息的記錄。故《條例》將“網絡數據”解釋為“數據”的子集,即任何以電子方式對信息的記錄。
需要指出,《網絡安全法》第七十六條也曾對“網絡數據”作了定義:通過網絡收集、存儲、傳輸、處理和產生的各種電子數據。
一些人認為,《條例》與《網絡安全法》對“網絡數據”所作定義不一致,因為后者還強調了“通過網絡”。實際上,刻意放大兩個定義的區別是沒有意義的。不能從狹義角度理解《網絡安全法》中的“網絡”,而應當從網絡空間的層面去認識。故而,網絡空間中的數據本來就是以“電子”形式存在的,當然可以不突出“網絡”。
(二)關于數據處理活動
《數據安全法》和《個人信息保護法》均定義了“處理”,區別是后者增加了“刪除”環節。經綜合考慮,《條例》采納了《個人信息保護法》的方式,故“數據處理活動”的各環節與“個人信息處理”一致。
(三)關于重要數據
《條例》不但定義了“重要數據”,還給出了列舉,一共7個方面。為什么除定義外還要進行列舉呢?主要是為了盡可能為各類組織識別重要數據提供指導。但即使如此,這些列舉也依然是示意性的,仍屬定性。目前,全國信息安全標準化技術委員會正在組織制定國家標準《重要數據識別指南》,實際工作中可重點參考。
(四)關于核心數據
《條例》定義的“核心數據”與《數據安全法》完全一致。總的看,《條例》本身沒有提出核心數據保護制度,這不是《條例》要解決的問題,故其隨后在第七十四條指出,“核心數據”的保護另行規定。
(五)關于數據處理者
《條例》定義的“數據處理者”是對“個人信息處理者”的自然展開。即,將后者定義中的“個人信息處理活動”修改為“數據處理活動”。兩者對處理活動的基本特征的描述是一致的:自主決定處理目的和方式。
(六)關于公共數據
《條例》第七條首次出現了“公共數據”,但相關的具體要求則是在第五十二條提出的,目的是對國家機關調用互聯網平臺運營者掌握的公共數據作出規范。
有必要指出,《條例》定義的“公共數據”范圍較廣,既包括國家機關和法律、行政法規授權的具有管理公共事務職能的組織履行公共管理職責或者提供公共服務過程中收集、產生的各類數據,也包括其他組織在提供公共服務中收集、產生的涉及公共利益的各類數據。在目前多個地方的立法實踐中,對“公共數據”的定義一般都不涉及“其他組織”。《條例》為什么要擴大定義呢?主要原因是,“公共數據”體現的是公共利益,至少在某些場合,不宜僅從收集、產生的主體對其進行定義。
(七)關于委托處理
《個人信息保護法》定義了“個人信息處理者”,但沒有定義“委托處理者”。考慮到實踐中一些人對“委托處理”行為的理解有歧義,例如向第三方轉移個人信息也被人稱作“委托處理”,故《條例》專門對“委托處理”作了定義。該定義明確指出,這是指數據處理者委托第三方按照約定的目的和方式開展的數據處理活動。即,受委托處理數據者不能自主決定處理目的和處理方式。
(八)關于單獨同意
“單獨同意”是《個人信息保護法》提出的重要要求。這對個人信息處理者而言是一項重大義務,故引起了各方的高度關注。但《個人信息保護法》本身并未明確“單獨同意”的具體形式,故只能由《條例》來解決。《條例》在給出該定義時,強調了“單獨同意”的兩個特點。一是在事發時刻(開展具體數據處理活動時);二是針對每項信息。
一些人疑問,針對“每項信息”取得同意,是否意味著只能逐次彈出對每一項信息的同意窗口?這倒不必,完全可以在一個界面上同時展現對各項信息的同意按鍵。
考慮到個性化推薦等需要收集大量個人信息,且收集行為持續進行,難以確定收集個人信息的“事發時刻”,故可以在實施個性化等推薦行為時進行同意。亦即,“單獨同意”也可以針對單次數據處理活動,不一定只針對單項信息。
(九)關于互聯網平臺運營者
之說以提出“互聯網平臺運營者”的定義,主要是為了將其與小型數據處理者相區別。由于互聯網平臺運營者要為用戶提供信息發布、社交、交易、支付、視聽等互聯網平臺服務,法律關系比較復雜,且其相對用戶和平臺上經營者處于強勢地位,特別是其服務可能影響較大范圍用戶,有必要對其提出更嚴格的數據安全要求。
(十)關于大型互聯網平臺運營者
《條例》有兩個條款涉及到“大型互聯網平臺運營者”。一個是第四十三條的規定:日活用戶超過一億的大型互聯網平臺運營者平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂的,應當經國家網信部門認定的第三方機構評估,并報省級及以上網信部門和電信主管部門同意。另一個是第五十三條的規定:大型互聯網平臺運營者應當通過委托第三方審計方式,每年對平臺數據安全情況、平臺規則和自身承諾的執行情況、個人信息保護情況、數據開發利用情況等進行年度審計,并披露審計結果。
之所以會對大型互聯網平臺運營者提出上述要求,主要是考慮到了有些平臺的社會影響力大,如果出現安全事件會損害批量個人信息或重要數據,以及數據處理算法可能影響政治安全。為此,《條例》梳理了大型互聯網平臺的三個特點:用戶超過五千萬、處理大量個人信息和重要數據、具有強大社會動員能力和市場支配地位。這三個特點是“或”的關系。
(十一)關于數據跨境安全網關
《條例》規定“數據跨境安全網關”是為了第四十一條的需要。但實際上,該條屬于互聯網信息內容安全方面的要求,不直接涉及數據安全保護。
(十二)關于公共信息
為什么在定義了“公共數據”后,《條例》還要再定義“公共信息”呢?后者的提出有特殊背景,主要強調其公共傳播特性,如公開發布信息、可轉發信息、無明確接收人信息等。例如,點對點個人通信場景下的通信自由、通信秘密受《憲法》保護。但通信過程完畢后,留存的信息經常不再被視為通信自由、通信秘密,而被人任意轉發。故有必要對一些場景下信息的公共傳播特性進行規定,以更好地保護通信自由、通信秘密。
相關文章
數安條例百問 3、4:關于 “網絡數據” 和 “數據處理者”
數安條例百問 15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問 27、28、29、30:關于 “一般要求” 中的幾個特定考慮
數安條例百問 46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問 55、56、57、58、59:關于年度評估與對外提供數據的風險評估
數安條例百問 60、61:關于征得主管部門同意要求及云安全評估要求
數安條例百問 66、67、68:關于數據出境的單獨同意、評估條件與國際協議
數安條例百問 69、70:關于數據出境安全管理義務與安全報告
數安條例百問 71、72、73:關于數據出境安全技術監管措施
數安條例百問 74、75、76、77、78:關于平臺規則、隱私政策和算法策略
數安條例百問 81、82、83:關于反不正當競爭、應用程序分發管理和數據互通
數安條例百問 84、85:關于個性化推薦
數安條例百問 86:關于網絡身份認證公共服務基礎設施
