5月28日,国家互联网信息办公室28日就《数据安全管理办法(征求意见稿)》向社会公开征求意见。
《数据安全管理办法(征求意见稿)》由国家互联网信息办公室等研究起草,该办法拟规定,国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要,要求网络运营者提供掌握的相关数据的,网络运营者应当予以提供。
意见反馈截止时间为2019年6月28日。公众可登录中国政府法制信息网,对征求意见稿提出意见。
该意见稿的出台,不仅呼应了社会各界的殷殷期盼,也有利于切实保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,维护国家安全与社会公共利益。
《数据安全管理办法(征求意见稿)》内容解读
《数据安全管理办法(征求意见稿)》涵盖了数据搜集、数据处理使用、数据监督管理等方面的内容,可谓十分全面。
一是管理办法的适用范围。意见稿规定,在我国境内利用网络开展数据收集、存储、传输、处理、使用等活动,以及数据安全的保护和监督管理,适用本办法。此外,意见稿特别说明,纯粹家庭和个人事务除外,而法律、行政法规另有规定的,也从其规定。
二是明确管理与发展并重。有人可能会疑虑,数据安全管理严格化,是否会影响到商业数据的正常使用等情况。意见稿指出,国家坚持保障数据安全与发展并重,鼓励研发数据安全保护技术,积极推进数据资源开发利用,保障数据依法有序自由流动。
三是明确管理部门权属。意见稿强调,在中央网络安全和信息化委员会领导下,国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作。另外,地(市)及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。
四是细化未成年人信息收集规定。意见稿提出,收集14周岁以下未成年人个人信息的,应当征得其监护人同意。这项规定的落实,有利于保护低龄未成年人的隐私安全,切实保障未成年人健康、平安成长。
五是对算法推送作出规定。意见稿明确,网络运营者利用用户数据和算法推送新闻信息、商业广告等,应当以明显方式标明"定推"字样,并为用户提供停止接收定向推送信息的功能。这项规定或将对一些新媒体平台以及购物平台产生重要影响。
六是对新一代信息技术的应用作出规定。意见稿指出,网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应以明显方式标明"合成"字样;不得以谋取利益或损害他人利益为目的自动合成信息。此前一些媒体已经开始利用人工智能来撰写新闻稿件,之后这类新闻将必须标识明确的"合成"字样,从而和人类作品进行区分。
七是在数据收集方面,意见稿提出,网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。收集使用规则应当明确具体、简单通俗、易于访问,突出网络运营者基本信息;收集使用个人信息的目的、种类、数量、频度、方式、范围等;个人信息保存地点、期限及到期后的处理方式;个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法;投诉、举报渠道和方法等内容。同时,网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围,对个人信息主体采取歧视行为,包括服务质量、价格差异等。
八是在数据安全监督管理方面,意见稿指出,发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。网络运营者违反本办法规定的,由有关部门依照相关法律、行政法规的规定,根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。
数据安全相关管理规范和文件
1.《信息安全技术个人信息安全规范》
《信息安全技术个人信息安全规范》于2018年5月1日正式实施,针对个人信息面临的安全问题,规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。规范了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求,适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
2.《银行业金融机构数据治理指引》
2018年5月21日,中国银行保险监督管理委员会发布了银保监发〔2018〕22号文件:
中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知。为引导银行业金融机构加强数据治理,提高数据质量,充分发挥数据价值,提升经营管理水平,由高速增长向高质量发展转变。《指引》包括总则、数据治理架构、数据管理、数据质量控制、数据价值实现、监督管理和附则等七章,共五十五条。
3.《网络安全等级保护条例(征求意见稿)》
2018年6月27日,公安部发布《网络安全等级保护条例(征求意见稿)》,作为《网络安全法》的重要配套法规,对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设等提出了更为具体的要求,为开展等级保护工作提供了重要的法律支撑。
看等保1.0到等保2.0的重要变化,主要体现在四个方面:核心法律依据的效力位阶提高;统一领导机构的出现,网信部门具备更大的影响力,支持保障和监督管理更为明确;保护对象的变化,以及实际监管范围的扩大;等级分类的界定有所调整;法律责任实质化,责任范围有所扩大,约谈制度写入条款等。
4.《通用数据保护条例》
欧盟《通用数据保护条例》((以下简称GDPR))于2018年5月25日生效,旨在加强对欧盟境内居民的个人数据和隐私保护,还将通过统一数据和隐私条例来简化对跨国企业的监管框架。GDPR被视为"史上最严"的数据保护立法,是欧盟起草的最全面的数据隐私法,也将为主权国家的数据隐私设置先例。
GDPR规定,世界上任何一家处理欧盟客户数据的公司都要披露其收集、存储和处理用户数据的方式。欧盟用户也可以从任何公司申请获得其个人数据的副本,并可以要求该公司删除个人数据。不遵守GDPR的企业可能需要面临着2000万美元或4%年营业额的罚款。
5.《互联网个人信息安全保护指引(征求意见稿)》
2018年11月30日,公安部网络安全保卫局发布《互联网个人信息安全保护指引(征求意见稿)》。本指引规定了个人信息安全保护的安全管理机制、安全技术措施和业务流程的安全,适用于指导个人信息持有者在个人信息生命周期处理过程中开展安全保护工作,也适用于网络安全监管职能部门依法进行个人信息保护监督检查时参考使用。