數安條例百問3、4:關于“網絡數據”和“數據處理者”
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第一條 為了規范網絡數據處理活動,保障數據安全,保護個人、組織在網絡空間的合法權益,維護國家安全、公共利益,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律,制定本條例。
解讀
根據《數據安全法》第六條第四款,國家網信部門依照本法和有關法律、行政法規的規定,負責統籌協調網絡數據安全和相關監管工作。
《條例》規范的是網絡數據處理活動。這里的“網絡數據”,是指任何以電子方式對信息的記錄,英文翻譯為“cyber data”,不限于利用“網絡”(internet或network)產生或在其中處理的數據。
即,《數據安全法》規范的還包括非電子形式數據的處理活動,《條例》不涉及此類數據。
《條例》在名稱和第一條中使用的是“網絡數據”。為了行文方便,后續條款中將其簡稱為“數據”。但與《數據安全法》相比,此“數據”非彼“數據”。
可以理解的是,后續網信部門的有關政策文件中,無論是否作了說明,“數據”一般都是指“網絡數據”。
對應條款
第二條 在中華人民共和國境內利用網絡開展數據處理活動,以及網絡數據安全的監督管理,適用本條例。
在中華人民共和國境外處理中華人民共和國境內個人和組織數據的活動,有下列情形之一的,適用本條例:
(一)以向境內提供產品或者服務為目的;
(二)分析、評估境內個人、組織的行為;
(三)涉及境內重要數據處理;
(四)法律、行政法規規定的其他情形。
自然人因個人或者家庭事務開展數據處理活動,不適用本條例。
解讀
歐盟的《通用數據保護條例》(GDPR)為全球個人信息保護立法確立了標桿,同時也明確了若干基本定義,包括“個人信息主體”“個人信息控制者”和“個人信息處理者”。我國《個人信息保護法》充分借鑒了GDPR,但對以上三個概念作了修改,使用的是“個人”“個人信息處理者”和“接受委托處理個人信息的受托人”。
GDPR中,“個人信息控制者”指決定個人數據處理的目的和方式的自然人或法人、公共機構、政府機構或其他團體。即,個人信息控制者對個人信息采取收集、使用等處理活動。而“個人信息處理者”指代表控制者處理個人數據的自然人或法人、公共機構、政府機構或其他團體。即,個人信息處理者并不收集、使用信息,其只是受個人信息控制者委托,對個人信息進行處理。
顯然,GDPR中的個人信息處理者雖然能夠接觸個人信息,但只是根據個人信息控制者的委托進行處理,兩者承擔的保護義務是不一樣的。
但在中文語境中,“控制者”比較令人費解,而“處理者”也容易引起歧義(實際上只是“受委托”處理)。故《個人信息保護法》沒有使用“個人信息控制者”的概念,而是以“個人信息處理者”代替“個人信息控制者”,GDPR中的“個人信息處理者”則在《個人信息保護法》中被稱為“接受委托處理個人信息的受托人”。
以上處理更符合中文表達習慣,有利于對法律條文的理解和實施。
《條例》繼承了《個人信息保護法》的概念,且為了進一步突出個人信息處理者的內涵,在第二條附則中給出了“個人信息數據處理者”和“委托處理”的定義,并指出,
數據處理者是指在數據處理活動中自主決定處理目的和處理方式的個人和組織,
委托處理是指數據處理者委托第三方按照約定的目的和方式開展的數據處理活動。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
