數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第十四條 數據處理者發生合并、重組、分立等情況的,數據接收方應當繼續履行數據安全保護義務,涉及重要數據和一百萬人以上個人信息的,應當向設區的市級主管部門報告;數據處理者發生解散、被宣告破產等情況的,應當向設區的市級主管部門報告,按照相關要求移交或刪除數據,主管部門不明確的,應當向設區的市級網信部門報告。
解讀
合并、重組、分立等都代表了組織機構的變化,伴隨著這類變化,有些數據會被新的機構所掌控。可以將這一過程看作數據從原有的處理者“轉移”到了新的處理者。因此,新的處理者(數據接收方)應當繼續履行數據安全保護義務。這是一種很自然的要求,但由于合并、重組、分立等都是內部活動,很多人不認為這屬于數據轉移情況,故《條例》需要予以強調。
如上述過程涉及重要數據和一百萬人以上個人信息,因數據安全影響較大,故還應向當地主管部門報告。這里的“主管部門”是指行業主管監管部門。
有的組織機構變化會帶來數據處理者“消失”的情況,典型如機構解散、破產等。這種情況下,數據不能作為“無主”的東西被隨意處置,否則很容易發生數據濫用、竊取等事件。
為此,《條例》要求,此時應當向當地主管部門報告,并按照相關要求移交或刪除數據。主管部門不明確的,應當向當地網信部門報告。這里的“相關要求”包括法律法規,也包括主管部門的意見。
對應條款
第十六條 國家機關應當依照法律、行政法規的規定和國家標準的強制性要求,建立健全數據安全管理制度,落實數據安全保護責任,保障政務數據安全。
解讀
《數據安全法》曾專門設置了第五章“政務數據安全與開放”,《個人信息保護法》也在第二章“個人信息處理規則”中專門設置了第三節“國家機關處理個人信息的特別規定”。這是因為,政務數據具有公共屬性,要加強政務數據的共享、開放和開發利用,自然也就產生了更多、更嚴格的安全保護需求;同時,國家機關有公權力,調取數據的能力遠遠超出一般組織,故國家機關要遵守嚴格的數據調取程序,防止權力濫用。
為了體現國家機關在數據安全方面的特殊義務,《條例》專門設置了一個原則性條款。但從該條款目前的表述看,尚沒有在嚴格程度上體現國家機關與其他數據處理者的義務區別,有必要在今后進一步完善。
對應條款
第十七條 數據處理者在采用自動化工具訪問、收集數據時,應當評估對網絡服務的性能、功能帶來的影響,不得干擾網絡服務的正常功能。
自動化工具訪問、收集數據違反法律、行政法規或者行業自律公約、影響網絡服務正常功能,或者侵犯他人知識產權等合法權益的,數據處理者應當停止訪問、收集數據行為并采取相應補救措施。
解讀
自動化工具訪問、收集數據指的是“爬蟲”行為。
為了解決海量信息時代準確獲取信息的難題,人們發明了“爬蟲”技術。本質上,這是一種自動提取網頁的程序,能夠根據既定的抓取目標,訪問互聯網上的網頁與相關的鏈接,以獲取所需要的信息。
人們經常使用的各種搜索引擎,其基本原理便包括爬蟲技術。因此,這類技術對于人們日常使用互聯網而言必不可少,我們都是受益者。否則,人們就會陷入互聯網的汪洋大海。
但同時也要看到,當前越來越多的機構紛紛使用“爬蟲”去獲取數據,經分析、處理后進行售賣,這已經成為很多大數據公司的經營模式。這也導致“爬蟲”從一種中立的技術逐漸背上了惡名,被人“深惡痛絕”。
典型的問題有三類:
一是很多爬蟲程序“瘋狂”“爬”數據,嚴重影響網站服務器的性能,甚至造成服務器宕機,人為制造了拒絕服務攻擊。
二是很多被“爬”的數據是個人信息,或者企業敏感數據,“爬蟲”獲取這些數據并進行銷售,這本身是違法行為。
三是很多網站設置了“反爬”程序和數據安全防護功能,但有的“爬蟲”直接繞過或破壞這些安全防護措施,涉嫌入侵計算機信息系統。
為此,《條例》對“爬蟲”等程序的應用作了規范,要求數據處理者必須評估其對網絡服務的性能、功能帶來的影響,不得干擾網絡服務的正常功能。出現違法違規或侵權行為時,數據處理者應當停止其行為并采取相應補救措施。
從嚴謹性角度而言,該條還有完善的空間。因為有些行為明顯已經犯罪,中止并采取補救措施遠遠不夠,不痛不癢。宜在本條末注明“構成犯罪的,依法追究刑事責任”。
對應條款
第十八條 數據處理者應當建立便捷的數據安全投訴舉報渠道,及時受理、處置數據安全投訴舉報。
數據處理者應當公布接受投訴、舉報的聯系方式、責任人信息,每年公開披露受理和收到的個人信息安全投訴數量、投訴處理情況、平均處理時間情況,接受社會監督。
解讀
《條例》要求數據處理者建立投訴舉報機制,并每年公開披露受理和收到的個人信息安全投訴數量、投訴處理情況、平均處理時間情況。
這一規定主要是為了督促企業承擔社會責任,接受社會監督,同時也是為了更好地落實投訴舉報機制,使投訴舉報的處理形成閉環。
一些人提出,如公開投訴舉報情況,有時會涉及到企業自身的商業秘密,且可能還會泄露舉報人的信息。
這種顧慮可以理解,但卻不是理由。這里要求公開披露的是“個人信息安全投訴數量、投訴處理情況、平均處理時間情況”,不涉及企業商業秘密,也不涉及舉報人的信息。尤其需要注意的是,不能把對企業不利的信息作為“商業秘密”來掩飾,企業應當承擔起社會責任。
還有人擔心,如果遇到惡意投訴舉報,那么“個人信息安全投訴數量”可能會失真,而且會錯誤破壞企業形象,對企業不公平。惡意投訴舉報當然可能會存在,甚至不排除將來還有人靠著這種手段敲詐企業,但這也不能成為不公開投訴舉報情況的理由。遇有惡意投訴舉報,企業如實在公開披露時予以說明即可。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
