六安娱乐场所 / 文章發布 / 君合法評 / 君合法評詳情

海岛娱乐场网址的微博:《數據安全管理辦法》征求意見

六安娱乐场所 www.gjotw.com 2019.05.29 董瀟 袁瓊

2019年5月28日,國家互聯網信息辦公室發布了《數據安全管理辦法》(征求意見稿)(“《辦法》”),向全社會征求意見至2019年6月28日。以下是《辦法》的重點內容:


一、適用范圍


《辦法》在第2條中明確規定,“在中華人民共和國境內利用網絡開展數據收集、存儲、傳輸、處理、使用等活動(以下簡稱數據活動),以及數據安全的?;ず圖嘍焦芾?,適用本辦法。純粹家庭和個人事務除外”。


由于“網絡”在《網絡安全法》項下的定義寬泛,因此,我們理解,《辦法》適用的場景非常廣闊,中國境內的各類組織、個人都有可能是《辦法》的適用對象,例如生產型企業自工控系統上收集生產相關數據、一般公司通過局域網或互聯網收集相關信息,均受到《辦法》管轄。


從《辦法》全文來看,雖然第2條寬泛的規定了數據活動,但《辦法》規制的重點依然為《網絡安全法》項下強調的“個人信息”和“重要數據”?!棟旆ā返?8條將“重要數據”定義為“一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據,如未公開的政府信息,大面積人口、基因健康、地理、礦產資源等。重要數據一般不包括企業生產經營和內部管理信息、個人信息等?!敝匾蕕畝ㄒ逡廊緩芨爬?,但除外條款有利于企業判斷重要數據的范圍,可以確定自有生產經營和內部管理信息不再落入該范疇。


二、個人信息和重要數據?;さ難細窆娑?/span>


說明責任人、提供撤銷同意的方式。《辦法》繼此前出臺的《個人信息安全規范》、《互聯網個人信息安全?;ぶ改稀?、《App違法違規收集使用個人信息自評估指南》等文件后,又一次重復、加強了個人信息?;さ南喙毓娑?。例如,第8條明確要求在收集使用規則中明確突出“數據安全責任人的姓名及聯系方式”、“個人信息主體撤銷同意的方法”。


收集信息的目的限制。《辦法》第11條規定,“網絡運營者不得以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息”。如何理解“不得以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意”,將直接影響目前企業的隱私實踐。


另外,《辦法》也引用了個人信息安全規范之中關于核心與核心業務的區分要求,規定個人信息主體同意收集保證網絡產品核心業務功能運行的個人信息后,網絡運營者應當向個人信息主體提供核心業務功能服務,不得因個人信息主體拒絕或者撤銷同意收集上述信息以外的其他信息,而拒絕提供核心業務功能服務。


未成年人信息分界線。《辦法》第12條明確規定,收集14周歲以下未成年人個人信息的,應當征得其監護人同意。


網絡安全責任人的聘任與職責。《辦法》第17規定了網絡運營者以經營為目的收集重要數據或個人敏感信息的,應當明確數據安全責任人?! ∈蒞踩鶉穩擻刪哂邢喙毓芾砉ぷ骶褪蒞踩ㄒ抵兜娜嗽鋇H?,參與有關數據活動的重要決策,直接向網絡運營者的主要負責人報告工作并規定了其工作職責范圍。


重要數據、個人敏感信息收集備案。《辦法》第15條首次提出,“網絡運營者以經營為目的收集重要數據或個人敏感信息的,應向所在地網信部門備案。備案內容包括收集使用規則,收集使用的目的、規模、方式、范圍、類型、期限等,不包括數據內容本身?!庇捎諛殼啊案鋈嗣舾行畔ⅰ痹凇陡鋈誦畔踩娣丁分蟹段嗟笨矸?,手機號碼、郵箱地址、系統賬號、網頁瀏覽記錄、精準定位信息等均屬于個人敏感信息,若采用該等定義則可能有廣泛的備案要求。


提供個人信息前評估及除外情形。《辦法》第27條規定,向他人提供個人信息前,應當評估可能帶來的安全風險,并征得個人信息主體同意。目前暫不明確如何進行相關評估。


處理重要數據前評估及審批。《辦法》第28條規定,“網絡運營者發布、共享、交易或向境外提供重要數據前,應當評估可能帶來的安全風險,并報經行業主管監管部門同意;行業主管監管部門不明確的,應經省級網信部門批準?!備冒踩攔酪蟾哂讜?017年網信辦發布的《個人信息和重要數據出境安全評估管理辦法》(征求意見稿)的規定,不僅對于“發布、共享、交易”重要數據要求也進行安全評估,而且直接要求評估后要報行業主管部門或網信部門審批。

個人信息安全事件的通知義務?!棟旆ā返?5條首次明確要求發生個人信息泄露、毀損、丟失等數據安全事件,或風險明顯加大時,網絡運營者應以電話、短信、郵件或信函等方式告知個人信息主體。


三、數據使用中的各項新規定


定向推送標注。《辦法》第23條首次提出,網絡運營者利用用戶數據和算法推送新聞信息、商業廣告等(以下簡稱“定向推送”),應當以明顯方式標明“定推”字樣,為用戶提供停止接收定向推送信息的功能;用戶選擇停止接收定向推送信息時,應當停止推送,并刪除已經收集的設備識別碼等用戶數據和個人信息。這條規定,對于現有的互聯網廣告行業實踐有重大實質性的影響。


合成標注。《辦法》第24條首次提出,“網絡運營者利用大數據、人工智能等技術自動合成新聞、博文、帖子、評論等信息,應以明顯方式標明“合成”字樣;不得以謀取利益或損害他人利益為目的自動合成信息”。如何理解“不得以謀取利益為目的自動合成信息”,有待于監管部門進一步解釋。


四、嚴苛的責任承擔


間接收集個人信息者的義務。《辦法》第14條首次提出,“網絡運營者從其他途徑獲得個人信息,與直接收集個人信息負有同等的?;ぴ鶉魏鴕邐瘛?。 


數據安全事件中的過錯推定。《辦法》第30條規定,“網絡運營者對接入其平臺的第三方應用,應明確數據安全要求和責任,督促監督第三方應用運營者加強數據安全管理。第三方應用發生數據安全事件對用戶造成損失的,網絡運營者應當承擔部分或全部責任,除非網絡運營者能夠證明無過錯。”對擁有平臺的網絡運營者提出了極高的要求,其對接入的第三方應用造成的數據安全事件“應當承擔部分或全部責任”,除非能夠證明無過錯。


并購中的數據責任。《辦法》第31條首次規定,“網絡運營者兼并、重組、破產的,數據承接方應承接數據安全責任和義務。沒有數據承接方的,應當對數據作刪除處理。法律、行政法規另有規定的,從其規定”。因此,將來的并購、重組項目中,收購方如承接被收購方數據的,均應考慮相應的數據安全責任和義務的承擔。


五、我們的觀察


如上所述,《辦法》提出了很多新的要求、責任和義務,對于互聯網企業、普通企業等網絡運營者均有很大影響。現階段《辦法》仍在征求意見,我們將密切關注其立法動向。 

君合是兩大國際律師協作組織Lex MundiMultilaw中唯一的中國律師事務所成員,同時還與亞歐主要國家最優秀的一些律師事務所建立Best Friends協作伙伴關系。通過這些協作組織和伙伴,我們的優質服務得以延伸至幾乎世界每一個角落。