从制度内容来看,我国数据安全管理制度重点分为四个方面。
《条例》第二章明确了网络数据安全管理的一般义务,通过禁止 性规定划定网络数据处理底线要求,细化网络数据处理事前事中事后 的安全保护措施,并与时俱进地提出人工智能等新场景中的网络数据 安全保护规则。
1.以一般禁止性规定划定数据安全红线 《条例》第八条明确针对所有主体的、危害网络数据安全的禁止 性规定。一是不得利用网络数据从事非法活动,二是禁止窃取或以其 他非法方式获取网络数据,三是禁止非法出售或非法向他人提供网络 数据,四是禁止针对上述非法活动提供技术支持或其他帮助行为。 首次针对网络数据使用环节作出禁止性要求,同时对上位法中的 禁止性规定进行细化补充。《条例》吸收了《刑法》中侵犯公民个人 信息罪、帮助信息网络犯罪活动罪的相关表述,同时对《网络安全法》 第二十七条、《数据安全法》第三十二条中所禁止的危害网络安全行 为和从事非法网络数据处理活动进行了补充。《网络安全法》第二十 七条禁止为危害网络安全的行为提供技术支持,但尚未明确此类帮助 行为的类型,《条例》在此基础上将其明确为“提供互联网接入、服 务器托管、网络存储、通讯传输等技术支持”行为,进一步提升了法 律法规的可操作性和针对非法网络数据处理行为的打击精度。
与其他国家或地区相比,我国的禁止性规定多为一般性、原则性 规定,如《条例》第八条是针对“任何个人、组织”提出的要求,是 网络数据处理活动开展的基本安全底线。美国在数据领域的禁止性规 定主要体现在对特定数据和特定交易活动的限制,如《保护美国人民 数据免受外国对手侵害法》禁止“数据经纪人”(data broker)向包括中 国、俄罗斯等在内的“受关注国家”提供敏感数据。欧盟维护网络数 据安全的立法规定更多体现在命令性规定或授权性规定,而非禁止性 规定,如《通用数据保护条例》(以下简称 GDPR)第 89 条规定,基 于公共利益存档目的、科学或历史研究目的、统计目的而进行的个人 数据处理行为应当采取适当的保护措施。
2.以全流程制度设计明确数据安全要求 在个人信息及重要数据的特殊保护要求之外,《条例》明确了网 络数据处理事前事中事后全流程的安全管理要求,其中包含数据安全 管理措施、产品和服务安全、应急处置及国家安全审查等内容。 (1)明确数据处理者需采取的数据安全管理措施 《条例》第九条要求网络数据处理者采取管理制度和技术措施相 结合的方式,对所处理网络数据的安全负责。一方面,网络数据处理 者应当依照法律、行政法规的规定和国家标准的强制性要求,在网络 安全等级保护的基础上,建立健全网络数据安全管理制度;另一方面, 网络数据处理者采取加密、备份、访问控制、安全认证等技术措施和 其他必要措施。两类措施的共同目的是保护网络数据免遭篡改、破坏、 泄露或者非法获取、非法利用,进一步加强网络数据安全防护。
数据安全管理措施以网络安全等级保护为基础。《网络安全法》 第二十一条明确,国家实行网络安全等级保护制度,网络运营者应当 按照网络安全等级保护的要求,履行安全保护义务。《数据安全法》 第二十七条也明确,利用互联网等信息网络开展数据处理活动,应在 网络安全等级保护制度的基础上,履行数据安全保护义务。以此观之, 网络安全等级保护是针对网络安全和数据安全领域的统一要求,不能 脱离网络安全保护而谈数据安全,网络安全是基础。《条例》对《数 据安全法》第二十七条作了进一步说明,解释了网络安全等级保护制 度之上的“数据安全保护义务”的具体含义,这就包括建立健全网络 数据安全管理制度、采取技术防护等具体措施。此外,《条例》还明 确了国家标准在落实网络数据安全管理要求方面的重要性,并将网络 安全等级保护所涉及的相关标准进一步纳入制度范围。
对数据处理规定强制性安全保护措施是域外立法中的通行做法。 欧盟数据保护立法对相关义务主体采取事前保护措施进行了详细的 规定,如《数据治理法》《数据法》《网络与信息系统安全指令》以及 GDPR 中都有对传输或处理数据采取保护措施的要求。美国联邦法律、 州级立法、监管实践及标准认证等各层面均包含事前安全措施的相关 规定,如《联邦信息安全管理法》(FISMA)要求所有直接与政府系 统交换数据的政府机构、政府承包商和组织必须通过制定、记录和实 施信息安全计划来保护其所有信息技术系统及存储数据,《加州消费 者隐私法》(以下简称 CCPA)要求企业采取与其持有数据信息性质相 称的合理安全措施。
(2)明确网络产品和服务安全要求 《条例》第十条明确网络产品和服务的风险处置要求。一是网络 数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要 求;二是当发现网络产品、服务存在安全缺陷、漏洞等风险时,应当 立即采取补救措施,按照规定及时告知用户并向有关主管部门报告; 三是涉及危害国家安全、公共利益的,应当满足在 24 小时内向有关 主管部门报告的要求。 安全报告义务是网络数据安全管理制度的重要组成部分。《条例》 在《网络安全法》第二十二条的基础上,补充了“涉及危害国家安全、 公共利益”的情形,明确网络数据处理者应当在更短的时间内履行向 有关主管部门报告的义务。《网络安全事件报告管理办法》(征求意见 稿)也作了类似规定,对于属于较大、重大或特别重大网络安全事件 的,网络运营者须在更短的时间内向有关主管部门报告。2021 年 9 月, 工业和信息化部等三部门颁布的《网络产品安全漏洞管理规定》,明 确了一般情形下的时间要求,要求网络产品提供者在发现或者获知所 提供网络产品存在安全漏洞后,应当在 2 日内向工业和信息化部网络 安全威胁和漏洞信息共享平台报送相关漏洞信息。
网络产品及服务安全是欧美网络安全立法重点。欧盟《网络弹性 法》(CRA)为欧盟市场内具有数字组件的产品制定了全面的网络安 全标准,将带有数字组件的产品划分为“默认”、“重要”和“关键” 产品三类,重要产品进一步划分为 I 类和 II 类产品,不同类别的产品 适用严格程度不同的安全保护措施,如 I 类重要产品必须遵守欧洲网络安全认证计划或相关标准,或者接受第三方评估。美国《确保信息 通信技术服务供应链安全暂行规则》要求对美国国家或公民安全构成 不可接受之风险的信息通信技术和服务(ICTS)开展安全审查,如认 定具备相应风险,则可以采取措施降低交易风险或禁止该交易。
(3)明确数据安全事件应急处置要求 《条例》第十一条明确数据安全事件的应急处置要求。一是建立 健全网络数据安全事件应急预案,当网络数据安全事件发生时,应立 即启动预案,采取措施防止危害扩大,消除安全隐患并向主管部门报 告。二是细化网络数据安全事件的通知措施,对个人、组织合法权益 造成危害的,网络数据处理者应当及时将安全事件和风险情况、危害 后果、已经采取的补救措施等,以电话、短信、即时通信工具、电子 邮件或者公告等方式通知利害关系人;法律、行政法规规定可以不通 知的,从其规定。三是建立违法犯罪线索举报机制,网络数据处理者 在处置网络数据安全事件过程中发现涉嫌违法犯罪线索的,应当按照 规定向公安机关、国家安全机关报案,并配合开展侦查、调查和处置 工作。
吸收《个人信息保护法》相关规定明确发生网络数据安全事件时 的告知义务要求。《个人信息保护法》第五十七条规定,个人信息处 理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人 信息处理者可以不通知个人。换言之,只有在危害发生时,个人信息 处理者才需要向个人履行告知义务。《条例》第十一条吸收了《个人 信息保护法》相关要求,明确仅在对“个人、组织合法权益造成危害”时,才需要通知受影响的个人和组织。《条例》还提出可采用电话、 短信、即时通信工具、电子邮件或者公告等通知方式,其中公告告知 具有广泛覆盖、持续性长、成本相对较低等优势。 应急处置要求也是域外数据立法重点。欧盟在 GDPR 的基础上, 就数据安全事件及应急处置发布了相关指南及指令。GDPR 规定,发 生数据安全事件导致数据泄露时应立即通知监管机构、数据控制者和 受高风险影响的个人。《关于 GDPR 下的个人数据泄露通知的第 9/2022 号指南》规定,应急预案中应包括向主管部门报告及向个人数 据主体通知的机制,且颗粒度要达到需要向哪一个具体主管部门通知 的程度。《关于在整个欧盟全境实现高度统一网络安全措施的指令》 (NIS 2 指令)对重大网络安全事件作出更为精细的规定,采用分层 的方式规范通知流程,包括 24 小时内“预警”,72 小时内发出“事件 通知”,1 个月内提交“最终报告”等要求。美国联邦层面制定了一系 列网络安全事件披露的立法,如美国证券交易委员会要求上市公司为 投资者的利益披露重大网络安全事件;美国网络安全和基础设施安全 局(CISA)发布相关拟议规则,要求相关实体在 72 小时内向 CISA 报告重大的网络安全事件,并在 24 小时内报告勒索软件情况。
(4)明确对相关数据处理活动国家安全审查要求 《条例》第十三条提出国家安全审查相关要求。针对网络数据处 理活动提出要求,对于影响或者可能影响国家安全的,网络数据处理 者应当按照国家有关规定进行国家安全审查。 国家安全审查制度体系进一步完善健全。我国《国家安全法》第理活动进行国家安全审查。2021 年 12 月,国家互联网信息办公室发 布修订后的《网络安全审查办法》,明确关键信息基础设施运营者采 购网络产品和服务,数据处理者开展数据处理活动,影响或可能影响 国家安全的,应当进行网络安全审查。网络安全审查重点评估采购活 动、数据处理活动以及国外上市可能带来的国家安全风险。《条例》 的出台,进一步完善了国家安全审查制度在行政法规层面的要求。
美欧重视安全审查措施在数据安全领域中的作用。美国近年来频 繁通过两类安全审查措施限制外国信息技术和服务,一是以《2019 安 全和可信通信网络法》为代表实施的国家安全审查,防止威胁国家安 全的通信设备或服务进入美国网络,移除正在使用的此类设备或服务; 二是以《2018 年外国投资风险审查现代化法》(FIRRMA)为核心实 施的美国外商投资委员会(CFIUS)审查,将敏感个人数据保护作为 衡量国家安全的重要因素。欧盟《外商直接投资审查条例》从关键基 础设施、关键技术、关键供应、敏感信息等方面,审查非欧盟投资对 欧盟成员国国家安全和公共秩序的风险;其中,关键基础设施包括能 源、交通、水资源、健康、通讯、媒体、数据处理和存储、航空、国 防等,关键技术包括人工智能、芯片等,关键供应包括能源和原材料等。
3.以第三方数据安全义务区分主体责任 《条例》第十二条、第十四条明确了在发生主体变更情形时网络 数据处理者的数据安全保护义务,第十二条涉及提供、委托处理个人 信息和重要数据的情形,第十四条涉及因合并、分立、解散、破产等 原因转移网络数据的情形。 (1)明确提供和委托处理数据情形下的数据安全要求 《条例》第十二条对个人信息及重要数据的流转作出规定。一方 面,网络数据处理者向其他网络数据处理者提供、委托处理个人信息 和重要数据时,应当通过合同等与网络数据接收方约定处理目的、方 式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况 进行监督。网络数据处理者还需在 3 年内保存相关处理记录。另一方 面,网络数据接收方应当履行网络数据安全保护义务,并按照约定的 目的、方式、范围等处理个人信息和重要数据。
在个人信息保护方面,《条例》第十二条主要延续了《个人信息 保护法》第二十一条的规定,要求个人信息处理者应当与接受委托处 理个人信息的受托人签署相关合同并且监督受托人。在重要数据方面, 《条例》第十二条从行政法规层面确立了重要数据在一般情形下流转 的基本框架,对重要数据安全有序自由流动具有至关重要的意义。 域外立法也对数据流转、委托过程中的相关主体数据安全责任进 行制度设计。欧盟 GDPR 有关委托处理和提供处理的规定主要在序 言部分。在委托处理方面,GDPR 序言(81)条明确,数据控制者应 仅委托在专业知识、可靠性和资源方面有可靠保障的数据处理者,以实施 GDPR 要求的技术及保障措施。数据处理者可通过行为守则或 经批准认证机制的形式遵守数据控制者的相关义务,数据处理者应受 合同或其他欧盟法及成员国法律的约束。在完成相关委托后,数据处 理者应根据数据控制者的要求归还或删除数据。在提供处理方面, GDPR 序言第(61)条明确,当个人数据可以合法地披露给其他接收 者时,应该在第一次披露时告知数据主体。当数据控制者意图基于数 据收集初始目的以外的其他目的处理个人数据时,数据控制者应当在 进一步处理之前向数据主体提供有关其他目的必要信息。美国 CCPA 明确排除适用于提供数据服务的企业,即 CCPA 本身不对作为数据控 制者的企业所委托的第三方数据处理者作出规定,企业与对其提供服 务的数据处理者主要依靠合同或者服务协议约定相关数据保护义务。
(2)明确数据处理者发生主体变更时的数据安全要求 《条例》第十四条针对网络数据处理者发生合并、分立、解散、 破产等原因需要转移网络数据的情形作出规定。该条主要吸收《个人 信息保护法》第二十二条的规定,当网络数据处理者发生上述情形时, 网络数据的接收方应当继续履行网络数据安全保护义务,避免数据因 企业破产、分立、解散时而被非法获取或滥用。但与《条例》第十二 条不同,这一条适用于所有网络数据,不限于个人信息和重要数据。 美欧立法对破产企业相关数据处理的限制较少。美国侧重于“商 业利益优先”,《美国破产法》明确规定了破产企业的数据处理规则, 其中第 363(b)(1)条规定,如果公司的隐私政策明确允许出售其客 户的数据,则该公司可以出售其客户数据。但是,如果隐私政策未授权出售客户数据,则必须任命消费者隐私监察员(CPO)审查出售实 施和适用的非破产法,CPO 根据审查结果向法院提出是否批准拟议 交易的建议。欧盟强调“个人信息保护”,GDPR 中的数据控制者和 数据处理者范围可涵盖破产管理人,当债务人财产由管理人处置时, 可以将管理人认定为数据控制者,由管理人承担相应责任。值得注意 的是,在满足个人信息保护基本要求的前提下,GDPR 并未明令禁止 出售数据。
4.以强化规定提升国家机关数据安全水平 《条例》第十五条至十七条明确涉及国家机关相关数据处理活动 的特殊要求。一是委托情形需经过事前批准程序。《条例》第十五条 规定,国家机关委托他人建设、运行、维护电子政务系统,存储、加 工政务数据,应当按照国家有关规定经过严格的批准程序,明确受托 方的网络数据处理权限、保护责任等,监督受托方履行网络数据安全 保护义务。二是网络数据处理者承担额外安全保护义务。《条例》第 十六条对向国家机关、关键信息基础设施运营者提供服务,或者参与 其他公共基础设施、公共服务系统建设、运行、维护的网络数据处理 者提出了额外的规定,要求其在按照法律法规以及合同约定履行网络 数据安全保护义务的基础上,在未经委托方同意时,不得访问、获取、 留存、使用、泄露或者向他人提供网络数据,不得对网络数据进行关 联分析。三是自有系统提供服务参照电子政务系统管理要求。《条例》 第十七条明确,为国家机关提供服务的信息系统,应参照电子政务系 统的管理要求加强网络数据安全管理,保障网络数据安全。《条例》第十五至十七条有效地回应了实践中长期存在的乱象,厘清了公共领 域中第三方服务提供者的权责边界。
美欧对公共部门信息系统建设中的数据安全进行了详细规定。欧 盟《网络弹性法》(CRA)规定了关键信息基础设施中数字产品制造 商、进货商和经销商等不同主体的义务。制造商对设计、开发和生产 的数字产品需符合 CRA 规定的网络安全要求。经质量评估和网络安 全评估后,制造商必须为产品张贴 CE 标志,并提供清晰、易懂、可 理解和易读的产品随附信息和说明,以确保用户安全地安装、操作和 使用。进口商需确认数字产品符合质量和网络安全要求,并在产品包 装或随附文件中标明商家名称、注册商标、电子邮件等,并对产品的 网络安全漏洞或事件承担报告义务。经销商则需要确保销售的数字产 品带有 CE 标志,产品中包含制造商的随附信息和说明以及进口商的 联系信息等。美国高度重视政务信息化项目建设中的数据安全保护。 以国土安全领域为例,美国《国土安全采购规章》明确了相关项目承 包商在访问受控非密信息时的安全流程和程序要求,并要求承包商具 备相应的事件处置能力。
5.以专门条款确立新技术数据安全要求 《条例》第十八、十九条对涉及自动化工具、生成式人工智能等 新兴技术的数据处理活动作出特殊规定。一是网络数据处理者使用自 动化工具访问、收集网络数据,应评估对网络服务带来的影响,不得 非法侵入他人网络,不得干扰网络服务正常运行。二是提供生成式人 工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。 自动化工具方面,网络爬虫(Robotic Process Automation,RPA) 的正当性及其边界问题一直广为讨论,此前我国主要从反不正当竞争 的角度对自动化采集行为予以规制,如《网络反不正当竞争暂行规定》 第十九条规定,经营者不得利用技术手段,非法获取、使用其他经营 者合法持有的数据,妨碍、破坏其他经营者合法提供的网络产品或者 服务的正常运行,扰乱市场公平竞争秩序。《条例》一定程度上吸收 了实践经验,从网络运行安全的角度提出相应禁止性规定。人工智能 方面,我国针对人工智能算法及算法治理领域已经发布了《生成式人 工智能服务管理暂行办法》及其配套的《生成式人工智能服务安全基 本要求》,并对训练数据活动提出一系列合规要求。《条例》对训练数 据合规的规范进一步从行政法规的效力层级上完善了我国对人工智 能训练数据合规监管的规范体系。
域外立法对人工智能训练数据的安全及质量要求作出规定。欧盟 《人工智能法》第 10 条对高风险人工智能使用数据和数据治理的过 程提出了规范性的要求,特别针对数据的训练、验证和数据库的测试 等环节。一是数据集的质量要求。高风险 AI 系统和模型的训练、验 证和测试所使用的数据集应与其预期用途相关、具有足够的代表性, 并尽可能完整、免受误差的影响。数据应具备适当的统计特性,例如 包括与系统预期适用人群有关的(个人或群体)相关的特性。这些数 据集的特性要求可以在单个数据集层面或数据集组合层面得到满足。 二是数据集的选择应与高风险人工智能系统开发设计的目的相适应。根据系统的预期用途,数据集的选择和应用应考虑系统所适用的特定 的地理、社会环境、行为或者功能要求背景,将相应的特征或要素涵 盖其中。三是个人信息数据使用的必要性和保护要求。如人工智能系 统提供者需要采取特别措施处理特定类型的个人信息,并采取适当的 保障措施以保证自然人的基本权利和自由。美国《关于安全、可靠、 值得信赖地开发和使用人工智能的行政命令》专门设置了“保护美国 民众的隐私”章节,详细阐述了白宫应对人工智能数据安全问题的三 条措施。一是针对人工智能技术在实际应用中对个人隐私的威胁,要 支持并加快加密技术等隐私保护技术的研发和资金投入,保护用于人 工智能的训练数据以及普通用户的个人信息的安全。二是推动开展机 构评估工作,评估各机构如何收集和使用商业可用信息,包括从数据 代理那里获得的信息,并加强对联邦机构的指导。三是制定实施指导 方针,以评估人工智能技术中使用到的隐私保护技术的有效性。
《条例》结合个人信息保护实践中的新情况、新问题,重点细化、 完善了个人信息保护中的“告知—同意”规则、个人信息权益实现等 规定。
1.细化处理个人信息“告知—同意”具体要求 《条例》细化网络数据处理者处理个人信息前的告知要求。一是 明确告知方式。要求网络数据处理者在处理个人信息前,通过制定个 人信息处理规则的方式进行告知。二是明确告知的展示方式。要求个 人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、清晰易懂。三是细化告知内容要求。要求个人信息处理规 则必须包括:(1)网络数据处理者的名称或者姓名和联系方式;(2) 处理个人信息的目的、方式、种类,处理敏感个人信息的必要性以及 对个人权益的影响;(3)个人信息保存期限和到期后的处理方式,保 存期限难以确定的,应当明确保存期限的确定方法;(4)个人查阅、 复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、 撤回同意的方法和途径等。四是明确以清单方式列明向第三方提供个 人信息。明确网络数据处理者向个人告知收集和向其他网络数据处理 者提供个人信息的目的、方式、种类以及网络数据接收方信息的,应 当以清单等形式予以列明。五是强化收集未成年人个人信息的告知要 求。明确处理不满十四周岁未成年人个人信息应当制定专门的个人信 息处理规则。
《条例》细化列举取得个人同意后处理个人信息的要求。一是细 化收集个人信息的“必要性”原则要求。规定收集个人信息需为提供 产品或者服务所必需,不得超范围收集个人信息,不得通过误导、欺 诈、胁迫等方式取得个人同意。二是加重敏感个人信息、未成年人个 人信息取得同意的要求。规定处理生物识别、宗教信仰、特定身份、 医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的 单独同意;处理不满十四周岁未成年人个人信息的,应当取得未成年 人的父母或者其他监护人的同意。三是细化取得同意后的个人信息处 理要求。规定不得超出个人同意的个人信息处理目的、方式、种类、 保存期限处理个人信息;个人信息的处理目的、方式、种类发生变更的,应重新取得个人同意。四是规范重复征求同意的情形。规定不得 在个人明确表示不同意处理其个人信息后频繁征求同意。
从上位法来看,针对处理个人信息的告知、同意规则,《个人信 息保护法》重点规定五方面要求。一是明确个人信息处理规则需公开 的要求。《个人信息保护法》第七条要求处理个人信息应当遵循公开、 透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。 二是明确告知的形式和内容。第十七条规定,在处理个人信息前,应 当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列 事项:(1)个人信息处理者的名称或者姓名和联系方式;(2)个人信 息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)个 人行使本法规定权利的方式和程序;(4)法律、行政法规规定应当告 知的其他事项。三是明确个人同意的基本要求。《个人信息保护法》 第十四、十五条规定,同意应当由个人在充分知情的前提下自愿、明 确作出;处理目的、方式和处理的个人信息种类发生变更的,应当重 新取得个人同意;个人有权撤回其同意;不得以撤回同意为由拒绝提 供产品或者服务。四是明确敏感个人信息的告知、同意要求。《个人 信息保护法》第二十九、三十一条规定,处理敏感个人信息应取得单 独同意,告知处理必要性以及对个人权益的影响;处理不满十四周岁 未成年人个人信息应取得未成年人的父母或者其他监护人的同意。五 是明确转移个人信息的告知、同意要求。《个人信息保护法》第二十 二、二十三条规定,个人信息处理者因合并、分立、解散、被宣告破 产等原因需要转移个人信息的,应当个人告知接收方信息;向其他网络数据处理者提供个人信息的,应当向个人告知接收方信息并取得单 独同意。
《条例》在《个人信息保护法》的基础上重点细化、补充告知、 同意规则要求。对告知规则的细化补充体现在四个方面:一是细化对 个人信息处理规则的展示、显示要求;二是增加了告知个人信息保存 期限及到期后处理方式的规定;三是细化了需告知的个人信息权益类 型及实现方法、途径;四是增加向其他网络数据处理者提供个人信息 时应以清单方式列明告知事项规定。对同意规则的细化、补充体现在 三个方面:一是补充“必要性”原则要求,即使获得个人同意也需满 足“必要性”“最小化”要求。即为提供产品或服务必须处理个人信 息,不得超范围收集,不得以误导、欺诈、胁迫等方式取得个人同意。 二是补全了不得超范围处理个人信息的要求,即不得超出个人同意的 处理目的、方式、种类、保存期限处理个人信息。三是增加禁止频繁 征求同意的规定。
域外立法通过不同机制明确个人信息处理“告知-同意”规则。 美国 CCPA 围绕“opt-out”机制明确“告知-同意”相关规则。告知规 则方面,针对明确收集个人信息和出售个人信息两类场景规定了不同 的告知内容要求。CCPA 区分了收集个人信息时和出售个人信息时不 同的告知要求。在收集个人信息时,需重点告知信息的类别、信息是 否会被出售或共享、存储期限等;在出售个人信息时,需告知出售信 息的类别,并在收到消费者的核实请求后 45 日内提供相关信息。同 意规则方面,CCPA 采用“选择退出”(opt-out)规则,默认个人同意处理其个人信息但赋予个人拒绝的权利。CCPA 规定消费者可以要求 企业不出售其个人信息,《加州隐私权法》(以下简称“CPRA”)对 CCPA进行修改并扩展了这一权利,允许消费者选择退出不仅是出售, 还包括共享个人信息。对于儿童个人信息的处理,CCPA 采用了“选 择加入”(opt-in)规则,处理不满 13 岁儿童的个人信息,需要获得 父母或监护人的同意;处理 13 至 16 岁儿童个人信息,企业在出售其 个人信息前需要获得本人明确授权。CPRA 对儿童个人信息的处理提 出了更严格的要求,要求企业在处理 16 岁以下儿童的个人信息时, 必须获得父母的同意。
欧盟 GDPR 将“告知-同意”作为个人数据保护的基本规则。一 是明确告知内容要求。GDPR 第 13 条规定,数据控制者必须告知数 据主体有关同意的细节,以便数据主体以能够理解的语言和形式获得 处理活动的所有必要细节,以便他们能够理解处理将如何对他们产生 影响,包括处理个人数据的目的、收集个人数据的种类、向第三国转 移的风险等。二是明确告知的形式要求。GDPR 第 12 条规定,数据 控制者应以一种简洁明了、透明以及易获得的形式、使用清晰易懂的 语言,将有关数据处理的信息提供给数据主体;尤其在涉及儿童时, 更应遵守相关要求。另外,相关信息应当以书面或者其他方式提供, 包括使用电子方式进行告知。三是明确对同意的要求。GDPR 第 4 条 (11)款对数据主体的“同意”进行界定,即数据主体依照其意愿自 由作出的、特定的、知情的、不含混的、表示同意对其相关个人数据 进行处理的意愿。具体包括以下要求:(1)由数据主体自由作出,数据主体在作出同意时,其选择是真实的,不存在受到胁迫或者欺诈的 情况。如果数据主体受到数据控制者的影响(如数据控制者是数据主 体的雇主),则考虑到此类关系的性质,同意并不当然被认为是自由 作出的。(2)针对特定的数据处理目的和处理方式。同意应当清晰准 确地指明数据处理的范围和结果,无明确目的的概括式同意是无效的。 (3)基于对情况的充分了解。数据控制者必须向数据主体提供关于 数据处理的最低限度的信息,提供的信息应足以保证数据主体作出充 分知情的选择。(4)明确且充分地表达了数据主体的意愿。同意必须 以声明或清晰肯定的行为作出,预先勾选的选择框并不构成同意。
2.创新性落实个人信息权益实现路径 《条例》明确网络数据处理者实现个人信息权益的义务。一是要 求网络数据处理者提供实现个人信息权益的方法和途径。明确个人请 求查阅、复制、更正、补充、删除、限制处理其个人信息,或者个人 注销账号、撤回同意的,网络数据处理者应当及时受理,并提供便捷 的支持个人行使权利的方法和途径,不得设置不合理条件。二是补充 实现个人信息“可携权”的条件。明确网络数据处理者为其他网络数 据处理者访问、获取相关个人信息提供途径应满足的条件,包括:(1) 能够验证请求人的真实身份;(2)请求转移的是本人同意提供的或者 基于合同收集的个人信息;(3)转移个人信息具备技术可行性;(4) 转移个人信息不损害他人合法权益。三是细化网络数据处理者删除个 人信息或匿名化处理的要求。明确网络处理者必须删除个人信息或进 行匿名化处理的情形,包括因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销 账号。同时也规定例外情形,即在保存期限未届满或者在技术上难删 除或匿名化的,网络数据处理者只能采取存储和安全保护措施,不得 进行其他处理活动。
针对个人在个人信息处理活动中的权利,《个人信息保护法》重 点规定了三方面内容。一是明确个人信息权益类型。《个人信息保护 法》第四十四至四十七条规定,个人对其个人信息的处理享有知情权、 决定权,有权向个人信息处理者查阅、复制其个人信息,有权请求个 人信息处理者更正、补充、删除其个人信息。二是规定了个人信息处 理者实现个人信息权益的要求。如个人请求查阅、复制其个人信息的, 个人信息处理者应当及时提供;个人请求将个人信息转移至其指定的 个人信息处理者,个人信息处理者应当提供转移的途径;个人请求更 正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实, 并及时更正、补充。三是明确个人信息处理者应主动删除个人信息的 情形,包括(1)处理目的已实现、无法实现或者为实现处理目的不 再必要;(2)个人信息处理者停止提供产品或者服务,或者保存期限 已届满;(3)个人撤回同意;(4)个人信息处理者违反法律、行政法 规或者违反约定处理个人信息;(5)法律、行政法规规定的其他情形。
《条例》在《个人信息保护法》基础上重点强调网络数据处理者 为实现个人信息权益提供方法、路径。一是针对各项个人信息权益明 确网络数据处理者的实现义务,网络数据处理者及时处理个人请求并 提供便捷的行使权利的方法和途径。二是增加因自动化采集技术采集非必要个人信息或未获得同意应当删除个人信息的要求。三是增加个 人行使转移个人信息权利需满足的条件。
从域外立法来看,欧盟 GDPR 与美国 CCPA 都明确了知情权、访 问权、删除权等一系列个人信息权。欧盟 GDPR 重点规定了五类个人 信息权利。一是个人享有对个人信息处理的知情权。根据 GDPR 第 14 条的规定,数据控制者应向数据主体提供充足信息。具体而言,数据 控制者在收集个人数据时,应当告知数据主体数据控制者的身份信息 与联系方式、处理个人数据的目的与法律依据、被处理的个人数据的 类型、个人数据储存的期限以及个人数据转移情况等。二是个人享有 对个人数据的访问权。GDPR 第 15 条规定,数据主体有权访问已被 数据控制者收集的个人数据,以便了解和验证有关数据处理行为的合 法性,数据控制者应当在合理的时间内满足数据主体的这种访问请求。 三是个人享有撤回对个人信息处理同意的权利。此项权利主要规定在 GDPR 第 7 条 3 款,明确数据主体有权随时撤回其同意,撤回同意不 影响撤回之前基于同意的数据处理;在数据主体表达同意之前,数据 主体应当被告知这点,且撤回同意应当和表达同意一样简单。四是个 人享有要求删除个人信息的权利。GDPR 第 17 条规定了需删除个人 信息的情形,包括个人数据对于实现收集或处理目的不再必需、数据 主体撤回同意且无其他合法性基础、数据主体的个人数据被非法处理、 履行法定义务等情形。五是个人享有数据可携权。GDPR 第 20 条规 定,在数据控制者以自动化方式、基于合同条款或数据主体同意的情 况下处理个人数据时,数据主体有权要求数据控制者提供其个人数据集,这种数据文件应该是结构化、通用的、机器可读以及不同操作系 统中都可以执行的格式,并且数据主体有权将这些个人数据传输给另 一个数据控制者。
美国 CCPA 明确五类个人信息权益。一是个人对其个人信息的收 集、售出的情况享有知情权。CCPA 规定,消费者有权要求收集其个 人信息的公司披露收集的个人信息的类型和具体内容。二是个人享有 访问个人信息的权利。CCPA 规定,企业从消费者处收到要求访问个 人信息的请求后,应立即采取措施向消费者免费披露和提供规定要求 的个人信息,个人信息的提供可通过信件或电子方式。三是个人拥有 撤回同意权。对于向第三方出售或共享其个人信息的企业,消费者有 权随时要求其不得出售或共享其个人信息。四是个人拥有删除权。在 收到消费者的删除请求后,企业应及时删除数据,并确保已共享的第 三方同时删除该数据。五是个人拥有可携带权。CCPA 中的可携权实 际上是个人访问权及复制权的延伸,当数据控制者接收到个人查阅其 个人数据的请求时,数据控制者应当采用便利的格式提供该法所规定 的个人数据,使个人能够不受阻碍地将这些个人数据传输到另一数据 控制者。
3.进一步补全数据处理者的个人信息保护要求 《条例》补全《个人信息保护法》对网络数据处理者的具体要求。 一是明确专门机构、指定代表进行信息报送的部门。《条例》在《个 人信息保护法》第五十三条的基础上,明确境外的个人信息处理者需 将有关机构的名称或者代表的姓名、联系方式等报送所在地设区的市级网信部门,由网信部门通报同级有关主管部门。二是补充对合规审 计方式的要求。《条例》在《个人信息保护法》第五十四条的基础上, 明确网络数据处理者通过自行或者委托专业机构的方式进行合规审 计。三是增加个人信息视为重要数据保护的情形。《条例》在《个人 信息保护法》第四十、五十二条的基础上,明确“国家网信部门规定 数量”为处理 1000 万人以上个人信息,并对处理超过一定数量个人 信息的网络数据处理者增加了网络数据安全管理要求。
欧盟 GDPR 规定了境内代表人信息公开的形式要求。欧盟 GDPR 第 27 条设立了境内代表人制度,当境外数据控制者或数据处理者适 用 GDPR 第 3 条 2 款时,则应以书面形式在欧盟境内指定一名代理 人,代表履行 GDPR 规定的义务。根据欧洲数据保护委员会(EDPB) 发布的《关于 GDPR 第三条地域适用范围的解释指南》,境内代表人 信息以两种形式公开:(1)向欧盟数据主体提供的,可以在收集数据 时告知或在隐私通知中告知;(2)向数据保护机构提供的,仅达到使 监管机构“容易获得”欧盟境内代表人的信息即可,如采用在公司网 站上公布境内代表人的形式。
个人信息保护审计在多国个人信息保护立法均有体现。欧盟 GDPR 较早提出了数据保护审计的概念,并将数据保护审计作为核查、 判断数据处理者以及数据控制者是否遵循 GDPR 处理个人信息的手 段。根据 GDPR 第 28 条 3 款(h)项,数据保护审计是数据处理者向 数据控制者证明自身履行 GDPR 项下个人信息保护合规义务的主要 手段;GDPR 第 58 条 1 款(b)项则赋予了监管机构以数据保护审计形式开展调查的权力。美国 CPRA 在 CCPA 的基础上引入了网络年 度审计规则,要求在个人信息处理活动中“对消费者隐私或安全构成 重大风险”的企业应当进行年度网络安全审计,企业应当明确审计范 围并通过审计程序确保审计的彻底性和独立性。
4.强化敏感个人信息保护要求 《条例》重申《个人信息保护法》对于敏感个人信息保护的相关 要求。一是对敏感个人信息进行列举,包括生物识别、宗教信仰、特 定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年个 人信息等;二是明确处理敏感个人信息的特殊要求,处理不满十四周 岁未成年个人信息,应当取得其父母或者监护人同意;处理其他敏感 个人信息的,应当取得个人的单独同意。三是明确处理个人敏感信息, 应向个人告知处理的必要性和对权益的影响。四是依规定需要取得书 面同意的,应取得书面同意。
《个人信息保护法》第二十八条采用“定性+列举”的方式对敏 感个人信息进行定义。敏感个人信息是一旦泄露或者非法使用,容易 导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人 信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、 行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。《条例》 吸收了《个人信息保护法》中对于敏感个人信息的列举内容。此外, 第二十八条还进一步明确了个人敏感信息的处理要求,即只有在具有 特定目的和充分必要性,并采取严格保护措施的情形下,个人信息处 理者方可处理敏感个人信息。
大多数国家和地区倾向采取“一般与特殊”的个人信息二分法, 但对于特殊类型个人信息所用称谓并不一致,中美均采用“敏感个人 信息”定义,欧盟则称“特殊类型的个人数据”。 欧盟 GDPR 第 9 条明确特殊类型个人数据定义,即显示民族或 种族身份、政治观点、宗教或哲学信仰、工会身份的数据,或遗传数 据、用于唯一识别自然人身份的生物特征数据、健康相关数据或有关 自然人性生活或性取向的数据。在特殊类型个人数据识别规则方面, 欧盟法院在相关判决中提出应尽可能扩大解释。针对“特殊类型个人 数据”这一概念,应基于 GDPR 保护基本权利的目的进行广义解释。 在这一框架下,即便无法准确判断,但只要有一定的概率能够追踪到 数据主体,相关数据就应被视为健康数据等特殊类型个人数据。 GDPR 原则上禁止企业或组织处理敏感个人信息,除非满足特定条件。 处理敏感个人数据时有额外的规则,不仅必须存在第 6 条中的合法性 基础,还必须遵守第 9 条的规定,主要包括获得数据主体明确同意、 为了保护数据主体或其他自然人的重大利益、非盈利性数据处理等情 形。
美国 CCPA 和 CPRA 列举了敏感个人信息类别,但对于敏感个 人信息无概括性定义。CPRA 列举的敏感个人信息包括人种与民族信 息、工会成员信息、宗教信仰、遗传数据、生物特征、健康信息、有 关性生活或性取向的信息、财务账户信息等。根据 CPRA 的定义,公 开获取的敏感个人信息不视为敏感个人信息,甚至也不视为个人信息。 CCPA 和 CPRA 关于敏感个人信息没有特殊的处理要求,相关的处理 规则仅在通知义务上存在差异。此外,《防止受关注国家访问美国人的大量敏感个人数据和美国政府相关数据行政令》(第 14117 号行政 令)也对特定敏感数据施加特殊保护,限制其向“受关注国家”流动。
《条例》在《数据安全法》的框架下,补充了重要数据安全管理 制度的基本内容。《条例》第六十二条明确地界定了重要数据的概念, 即特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭 到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安 全、经济运行、社会稳定、公共健康和安全的数据,弥补了我国在法 规层面对于重要数据界定的空白,并与国家标准《数据安全技术 数 据分类分级规则》中的定义基本保持一致。 《条例》设立专章明确对于重要数据安全管理方面的要求,主要 包含三个方面的内容:一是明确制定重要数据目录的要求,规定网络 数据处理者识别、申报重要数据义务。二是规定网络数据安全负责人 和网络数据安全管理机构责任。三是明确重要数据处理者比一般网络 数据处理者更加严格的安全保护义务。
1.明确重要数据目录制定要求 从三个层面明确重要数据目录相关制定要求。一是国家数据安全 工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据 的保护;二是各地区、各部门确定本地区、本部门以及相关行业、领 域的重要数据目录,确认为重要数据的,相关地区、部门应当及时向 网络数据处理者告知或者公开发布;三是网络数据处理者按照国家有 关规定识别、申报重要数据,履行网络数据安全保护责任。此外,第二十九条第三款还提出国家鼓励网络数据处理者使用数据标签标识 等技术和产品,提高重要数据安全管理水平。 在《数据安全法》关于重要数据目录规定的基础上,进一步提出 网络数据处理者主动申报、识别重要数据的相关要求。《数据安全法》 第二十一条从国家和各地区、各部门两个维度出发,由国家数据安全 工作协调机制统筹协调各部门重要数据识别工作,各地区、各部门负 责重要数据的具体识别。《条例》进一步作出规定,一是确认为重要 数据的,相关地区、部门应当及时向网络数据处理者履行告知义务, 二是网络数据处理者应当按照国家有关规定识别、申报重要数据,履 行网络数据安全保护责任。《条例》在《数据安全法》第二十一条的 基础上提出了更多要求,同时又为《促进和规范数据跨境流动规定》 (以下简称《规定》)第二条提供了上位法依据。《规定》第二条明确, 数据处理者应当按照相关规定识别、申报重要数据,且未被相关部门、 地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数 据申报数据出境安全评估。
我国其他部门规定、国家标准中包含了对于重要数据的相关要求。 《汽车数据安全管理若干规定(试行)》第三条明确了汽车领域的六 类数据,包括军事管理区、国防科工单位以及县级以上党政机关等重 要敏感区域的地理信息、人员流量、车辆流量等数据,车辆流量、物 流等反映经济运行情况的数据,汽车充电网的运行数据等。GB/T 43697-2024《数据安全技术 数据分类分级规则》作为全国网络安全标 准化技术委员会发布的首份数据安全技术标准,涵盖了数据分类分级、重要数据和国家核心数据识别等重要内容,其中附录 G“重要数据识 别指南(规范性)”对各地区、各部门开展重要数据识别工作具有重 要的指导意义。此外,根据《规定》第六条的授权性规定,目前北京、 上海、天津、福建等地自贸区已经发布了数据清单,对于重要数据目 录的制定也具有重要的参考价值。
2.明确重要数据处理者组织和人员保障要求 要求重要数据处理者设立网络数据安全负责人和网络数据安全 管理机构。针对网络数据安全负责人,一是要求其应当具备网络数据 安全专业知识和相关管理工作经历,由网络数据处理者管理层成员担 任,并有权直接向有关主管部门报告网络数据安全情况;二是掌握特 定种类、规模的重要数据处理者,应对网络数据安全负责人和关键岗 位的人员进行安全背景审查,加强相关人员培训,在审查时可以申请 公安机关、国家安全机关的协助。针对网络数据安全管理机构,《条 例》明确其应当履行一定的网络数据安全保护责任,如制定实施网络 数据安全管理制度、操作规程和网络数据安全事件应急预案,定期组 织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训, 受理并处理网络数据安全投诉、举报等。
设立组织和人员保障是重要数据保护的关键步骤。《条例》在《网 络安全法》《关键信息基础设施安全保护条例》基础上,将组织和人 员保障的相关要求从关键信息基础设施运营者延伸至重要数据处理 者。《网络安全法》第三十条要求关键信息基础设施的运营者设置专 门安全管理机构和安全管理负责人,《关键信息基础设施安全保护条例》第十四、十五条进一步细化《网络安全法》的规定,如对专门安 全管理机构负责人和关键岗位人员进行安全背景审查,并明确了专门 安全管理机构的特定安全保护职责。《条例》吸收了上述规定的部分 要求,补充重要数据保护在组织和人员保障方面的特定要求,以此实 现重要数据保护的组织化、常态化。
3.细化重要数据处理者的数据安全管理要求 重要数据处理者需履行比一般网络数据处理者更加严格的安全 保护义务。一是重要数据的处理者提供、委托处理、共同处理重要数 据前,应当进行风险评估,《条例》第三十一条明确了此类评估的主 要内容,如网络数据接收方处理网络数据的目的、方式、范围等是否 合法、正当、必要,网络数据可能被篡改、破坏、泄露的风险等。二 是在重要数据处理者发生合并、分立、解散、破产情形时,需履行向 省级以上有关主管部门的报告义务,主管部门不明确的,应当向省级 以上数据安全工作协调机制报告。三是重要数据处理者应每年度对其 网络数据处理活动开展风险评估,并向有关主管部门报送。《条例》 第三十三条明确了年度风险评估报告的基本内容,其中处理重要数据 的大型网络平台服务提供者还需额外说明关键业务和供应链网络数 据安全等情况。
《条例》对上位法中重要数据处理者的安全保护义务作了重要补 充。在涉及第三方时,重要数据处理除需满足《条例》第十二条和第 十四条的一般规定外,还需要进一步满足事前风险评估和事后通报的 义务。在风险评估方面,《数据安全法》第三十条明确,重要数据处理者需履行定期开展风险评估,对评估内容进行了简单列举。《条例》 进一步细化了风险评估报告的内容和程序要求,并为大型网络平台设 立了额外的报告义务。
4.域外立法较少进行重要数据安全管理制度设计 欧盟并没有专门以“重要数据”命名的概念,但在相关法律中提 出了“高价值数据集”“关键基础设施数据”等概念。欧盟《开放数据 和公共部门信息复用的指令》(简称《开放数据指令》)提出了“高价 值数据集”的概念,并规定了其开放和利用规则。《开放数据指令》 明确,高价值数据是指再利用会对社会、环境和经济带来重大利益的 数据。高价值数据能够创造增值服务、应用和高质量的工作岗位且潜 在的受益者人数众多。《开放数据指令》在附件中列举了 6 类高价值 数据主题类别,同时授权委员会通过制定实施条例的方式增加新类别。 《网络和信息系统安全指令》(简称 NIS 指令)提出“关键基础设施 数据”的概念,要求运营这些关键基础设施的组织实施严格的数据保 护措施,防范网络攻击和数据泄露。关键基础设施运营者必须遵守更 高标准的网络安全要求,确保数据的机密性、完整性和可用性。同时, 这些数据的处理和保护需要符合欧盟的整体网络安全战略和相关法 规。美国没有统一的“重要数据”概念,但在金融、健康和教育领域 等多个关键行业均有详细的立法和监管框架。这些法规在保护敏感数 据的隐私性和安全性方面提出了严格要求,类似于我国“重要数据” 的保护思路。在金融领域,美国《金融服务现代化法》(GLBA)要求 金融机构保护客户的个人金融信息,并制定隐私政策向客户公开其数据的处理方式。金融机构必须实施强有力的技术措施来保护数据,并 且在发生数据泄露时及时向相关监管机构报告。GLBA 还对金融数据 的共享和传输做出了限制,防止未经授权的第三方访问。在健康领域, 健康数据是美国受保护最严格的领域之一。《健康保险流通和责任法》 (HIPPA)对健康数据的保护要求提出了详细的规定,HIPAA 要求医 疗服务提供商、保险公司和相关第三方严格遵守数据保护标准,确保 个人健康信息(PHI)的机密性、完整性和可用性。HIPAA 特别注重 数据的传输安全,要求相关主体采取措施防止数据泄露、篡改和未经 授权的访问。在教育领域,美国通过《家庭教育权利和隐私法》(FERPA) 保护学生的教育记录。FERPA 赋予学生及其家长对学生教育记录的 访问权和隐私保护权,要求教育机构未经许可不得向第三方披露学生 的个人信息。FERPA 类似于我国对教育数据保护的要求,特别是在涉 及学生隐私、成绩、学术记录等方面。
