嘉源研究

手机扫一扫
分享给我的朋友

嘉源研究 | 《网络安全法》、《数据安全法》和《个人信息保护法》:三法联动开启企业新一轮数据合规浪潮

2021-10-29 9076


作者:孙洁、郄晓航


《中华人民共和国个人信息保护法》(“《个人信息保护法》”)即将于2021年11月1日生效,结合先前已经生效的《中华人民共和国网络安全法》(“《网络安全法》”)、《中华人民共和国数据安全法》(“《数据安全法》”)等相关法律法规,即将形成《网络安全法》、《数据安全法》和《个人信息保护法》三法联动体系。三法既有互补,又有交叉。笔者将在本文中通过一张图、三个问题以尝试对三法的异同进行比较,期待能够为企业搭建数据合规体系有所帮助。


一张图:


总体而言,《网络安全法》、《数据安全法》和《个人信息保护法》的差异体现在规制范围、关键概念、机制等方面,一图以蔽之为:



易企秀海报制作_未命名_1 (2).png


三个问题:


问题一:《网络安全法》、《数据安全法》和《个人信息保护法》规制内容和适用范围有何异同?


1. 《网络安全法》:适用于在中国境内建设、运营、维护和使用网络以及网络安全的监督管理。规制范围包括网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任等。


2. 《数据安全法》:适用于在中国境内开展的数据处理活动和安全监管,以及在境外开展的数据处理活动在损害国家安全、公共利益或者公民、组织合法权益情形下的法律责任。规制范围包括数据安全与发展、数据安全制度、数据安全保护义务、政务数据的安全与开放、法律责任等。


3. 《个人信息保护法》:适用于在中国境内处理自然人的个人信息活动,以及特定情形下的在境外处理中国境内自然人个人信息的活动[i]。规制范围包括个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门和法律责任等。


小结

《网络安全法》为构筑网络安全的基础,强调网络安全的保护,为网络空间的整体安全和有序发展奠定了总基调,与《网络安全审查办法》、《关键信息基础设施安全保护条例》等配套规定共同构建了网络空间的合规框架。《《数据安全法》则搭建数据安全的基础,强调数据安全的保护,尤其注重重要数据和国家核心数据的保护,规制对象“数据”的载体不仅限于网络数据。《个人信息保护法》则侧重于个人信息处理准则和保护边界的细化,注重数据安全法》对个人信息的保护,对个人信息保护的全生命周期作出细致且全面的规定。


问题二:《网络安全法》、《数据安全法》和《个人信息保护法》涉及哪些主要关键概念?


1. 谁会构成网络运营者?


根据《网络安全法》的规定,网络运营者是指网络的所有者、管理者和网络服务提供者。《网络安全法》对网络运营者进行了框架性规定,而根据目前在实践中的理解,网络运营者既包括任何利用网络媒介提供服务的主体,也包括电商平台、网约车等以网络在线业务为主业的互联网企业,还包括因业务延伸而借助网络的传统线下企业。


2. 什么是关键信息基础设施?


根据《网络安全法》的规定,关键信息基础设施涵盖公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。《关键信息基础设施安全保护条例》(国务院发布,2021年9月1日生效)对关键信息基础设施的定义也采取开放式列举方式,但在《网络安全法》的基础上增加了“国防科技工业”类别。根据《网络安全法》、《数据安全法》等规定,构成关键信息基础设施的,关键信息基础设施运营者应遵守更为严格的监管措施,例如,通过网络安全审查,签署安全保密协议,原则上在境内存储在境内收集的个人信息,以及重要数据数据应在境内存储、进行检测评估等。


2021年8月24日,公安部网络安全保卫局局长王瑛玮在国务院举行的政策例行吹风会上表示认定关键信息基础设施的核心标准,主要考虑三个方面的因素:一是网络设施、信息系统等对本行业、本领域关键核心业务起到基础支撑作用。二是网络设施、信息系统等一旦遭到破坏,丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。三是对其他行业和领域具有重要关联性影响。[ii]这将为关键信息基础设施保护工作部门结合本行业、本领域实际,制定关键信息基础设施的认定规则,报国务院公安部门备案,并根据认定规则,组织本行业、本领域的关键信息基础设施认定提供指引。


3. 如何界定数据?


《网络安全法》中对“网络数据”的定义为通过网络收集、存储、传输、处理和产生的各种电子数据。《数据安全法》中对“数据”的定义为任何以电子或者其他方式对信息的记录。由此可见,《网络安全法》中对“网络数据”的定义更注重以网络这种载体表现出来的数据形式,而《数据安全法》中“数据”并不局限于载体方式,而更加注重展现形式,即对信息的记录,因此,可以预见的是《数据安全法》基本可以涵盖企业生产、经营和管理各方面所产生的信息记录。


4. 什么是重要数据?


《数据安全法》建立了数据分类分级保护制度,要求有关部门制定重要数据目录,加强对重要数据的保护,但《数据安全法》并未明确规定什么构成重要数据。一些特定行业的部门规章对重要数据作出了具体定义,例如:


  • 《信息安全技术数据出境安全评估指南(征求意见稿)》(全国信息安全标准化技术委员会发布,2017年8月30日生效)规定重要数据是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),并在附录中对27个重点行业涉及的重要数据分别作出概括性列举;

  • 《汽车数据安全管理若干规定(征求意见稿)》(国家互联网信息办公室,2021年5月12日生效)则明确该规定所称重要数据包括:(一)军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;(二)高于国家公开发布地图精度的测绘数据;(三)汽车充电网的运行数据;(四)道路上车辆类型、车辆流量等数据;(五)包含人脸、声音、车牌等的车外音视频数据;(六)国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据;

  • 《信息安全技术重要数据识别指南(征求意见稿)》(国家市场监督管理总局中国国家标准化管理委员会发布,2021年9月23日生效)明确重要数据是指即以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据,且重要数据不包括国家秘密和个人信息,但是基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。由此可见,对于什么数据构成重要数据目前尚无框架性的规定,而多由各行业主管部门自行制订,企业在判断重要数据构成时还需参考所属行业的规定。


5. 如何界定个人信息?


《个人信息保护法》规定个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,但不包括匿名化处理后的信息。《个人信息保护法》项下的个人信息不仅包括已识别的信息,还包括可识别的信息,确立了“识别+关联”的判断路径。《个人信息保护法》对个人信息的界定相比以往法律法规更加宽泛,例如,《网络安全法》和《民法典》均规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息;《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。


6. 个人信息的保护原则是什么?


《个人信息保护法》规定个人信息处理者处理个人信息,应在事前充分告知并取得个人同意,如果个人信息处理的重要事项发生变更,则应当重新向个人告知并取得同意,涉及敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等情形的,需要取得个人的单独同意。由此可见,《个人信息保护法》构建了以“告知-同意”为核心的个人信息处理原则,并强调处理个人信息应采取对个人权益影响最小的方式。而《网络安全法》则规定收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得收集与其提供的服务无关的个人信息,《数据安全法》则规定任何组织、个人收集数据应采取合法、正当的方式。相比而言,《个人信息保护法》对个人信息保护更加完善、细化。


小结

《网络安全法》、《数据安全法》和《个人信息保护法》分别对数据合规中的关键概念进行了规定,例如,网络运营者、关键信息基础设施、数据、重要数据、个人信息等。但有些规定仍较为框架,在实践操作中,除了参考三法外,企业还需参考相关部门规章行业规定等。


问题三:《网络安全法》、《数据安全法》和《个人信息保护法》主要提出了哪些特殊机制?


《网络安全法》、《数据安全法》和《个人信息保护法》均对数据合规的特殊机制进行了规定,企业需要了解该等特殊机制,以及时建立相应的事前预防机制和事后整改机制。涉及三法联动的,企业还应按照三法的规定进行一体化的、融合性的数据合规管理。下文将结合《网络安全法》、《数据安全法》和《个人信息保护法》三部法律涉及的主要特殊机制梳理如下:



《网络安全法》
《数据安全法》
《 个人信息保护法 》
负责人
1.网络运营者应确定网络安全负责人;
2.关键信息基础设施的运营者应设置专门安全管理机构和安全管理负责人,并对该负责人进行安全背景审查。
重要数据处理者应明确数据安全负责人和管理机构。
处理个人信息达到规定数量的个人信息处理者应指定个人信息保护负责人。
评估
关键信息基础设施运营者应每年至少一次自行或委托网络安全服务机构对网络的安全性和可能存在的风险进行检测评估,并将检测评估情况和改进措施报送相关部门。
重要数据处理者按照规定对数据处理活动定期开展风险评估,并应向有关主管部门报送风险评估报告。
属于下述情况的,个人信息处理者应当事前进行个人信息保护影响评估,并记录处理情况,且该个人信息保护影响评估报告和处理情况记录应至少保存三年:
- 处理敏感个人信息;
- 利用个人信息进行自动化决策;
- 委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
-  向境外提供个人信息,或者
-  存在其他对个人权益有重大影响的个人信息处理活动。
国家安全审查
关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家安全审查。
任何组织、个人不得从事危害国家安全、公共利益的个人信息处理活动。
国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
数据存储
关键信息基础设施运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应进行安全评估;法律、行政法规另有规定的除外。
关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在中国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
1.个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备安全评估、认证、订立书面合同等相关条件。
个人信息处理者应保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准。
2.关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过安全评估;法律、行政法规和国家网信部门另有规定的除外。
应急管理
发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
司法协助
不涉及
根据我国缔结或者参加的国际条约、协定,或者按照平等互惠原则,向外国司法或者执法机构提供存储于境内的个人信息,需经主管机关批准。

 

小结

由此可见,《网络安全法》、《数据安全法》和《个人信息保护法》均搭建了数据合规的特殊机制,其中,负责人、评估、国家安全审查、数据存储、应急管理、司法协助等内容存在重合,企业需根据自身的业务需求参考相应规定,提前做好事前合规。


结语

《网络安全法》、《数据安全法》和《个人信息保护法》搭建了我国数据合规的主要法律架构,三法之间既有各自侧重规制的内容,又有交叉。企业在建立自身数据合规体系时除了根据自身需求适用相应的规定外,还要关注相同内容的三法联动,以建设具有融合性的、针对性,适用于自身企业管理和业务特点的数据合规体系。



[i]《个人信息保护法》第三条:在中华人民共和国境内处理自然人个人信息的活动,适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。


[ii] 网页链接:http://www.gov.cn/xinwen/2021-08/24/content_5633007.htm,最后访问时间2021年10月8日。





作者简介


孙洁  合伙人


sunjie@jiayuan-law.com

业务领域:

境内外并购、外商投资、合规业务


郄晓航   律师助理


qiexiaohang@jiayuan-law.com

业务领域:

私募股权投资与风险投资、合规业务




 嘉源合规业务介绍

  • 合规制度/体系的建立与完善

  • 日常性合规体检、合规培训和咨询

  • 第三方合规尽职调查

  • 合规调查

  • 合规争议解决

  • 海外合规




嘉源律师事务所 版权所有    京ICP备05086521号-1