3.4 网络数据跨境安全管理
《数据安全法》第十一条提出“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。”由于数据形态的特殊性以及其所依托的互联网技术的特殊性,数据的流动是体现数据价值的重要表征,而数据在国际间的流动也是必然趋势。由于数据本身是虚拟化的,其受数量、传输技术、传输介质、存储手段及访问能力等诸多因素的影响,甚至大量数据生命周期是跨越不同国度所形成。不管是中国还是美国,近年来,均将网络空间作为国家主权空间进行定义,也就意味着,网络数据跨境问题需要一种意义上的“数据海关”进行约束。从“海关”职能而言,需要相应的组织、人员、技术手段;数据跨境具有相同的特征,通过指定的规则,建立有效的技术检测手段,指定特定的端口、通道等等来实现“数据海关”的职能。
《条例》通过第三十四条至三十九条共六个条款,对数据的跨境活动提出相关规定与要求;在实际执行时,需要在符合《数据安全法》的基础上,结合《促进和规范数据跨境流动规定》《数据出境安全评估办法》《个人信息出境标准合同办法》《数据出境安全评估申报指南(第二版)》等文件具体执行。
3.4.1 一般规定
《条例》在第三十四条规定由“国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制”,近年来,国家网信部门先后发布了《促进和规范数据跨境流动规定》《数据出境安全评估办法》《个人信息出境标准合同办法》《数据出境安全评估申报指南(第二版)》等相关文件,明确要求网络数据跨境所应该遵循的基本原则。本条对网信部门提出要求,由国家网信部门“研究制定国家网络数据出境安全管理相关政策,协调处理网络数据出境安全重大事项。”
2020年9月8日,我国提出了《全球数据安全倡议》[1],呼吁各国致力于维护开放、公正、非歧视性的营商环境,推动实现互利共赢、共同发展,并尊重他国主权、司法管辖权及数据安全管理权。在《条例》第三十六条中提出“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。”目前我国先后签署了《关于中德数据跨境流动合作的谅解备忘录》,在该备忘录框架下,中国国家互联网信息办公室将与德国数字化和交通部建立“中德数据政策法规交流”对话机制,加强在数据跨境流动议题上的交流;中国与新加坡通过数字政策对话机制首次会议就数据跨境领域合作展开了交流,并明确了关于数据跨境下阶段合作方向和重点;还参与了《区域全面经济伙伴关系协定》(RCEP),这是中国参与的首个对数据跨境流动作出专款规定的协议;同时中国已经申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)和《数字经济伙伴关系协定》(DEPA),这两个协定都对数据跨境流动监管提出了高水平的规则要求;中国还在积极参与世界贸易组织(WTO)电子商务诸边谈判,数据跨境流动是谈判中的核心问题之一。
《条例》在第三十五条规定了网络数据处理者可以向境外提供个人信息的必要条件:
(一)通过国家网信部门组织的数据出境安全评估;在数据出境安全评估办法第四条中,对需要评估的情况做出规定“数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。”其中除第一款外,均对涉及个人信息出境评估条件做出要求,同时明确申报和评估工作由所在第省级网信部门提请申报;省级网信部门收到材料后应根据第七条规定“省级网信部门应当自收到申报材料之日起 5 个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并 一次性告知需要补充的材料。”国家网信部门依据本条款“国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。”
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;2022年11月,国家市场监督管理总局、国家互联网信息办公室为贯彻落实《中华人民共和国个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力。从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》实施认证。[2]该规则请参阅附件3
(三)符合国家网信部门制定的关于个人信息出境标准合同的规定;2023年2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》。对通过订立标准合同的方式开展个人信息出境的活动作出具体制度安排,细化落实了《个人信息保护法》第三十八条第一款第三项的规定。第七条规定了个人信息处理者在“标准合同生效之日起10个工作日内向所在地省级网信部门提交备案材料”。备案应当提交的材料包括:(一)标准合同[3];(二)个人信息保护影响评估报告。
(四)为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息;个人信息出境应充分考虑其必要性,应在合同中明确进行约定,同时应对使用个人信息的场景进行充分说明。
(五)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;受各国劳动保障立法的要求,在中外合资、外商独资、境外用工活动中产生的个人信息的跨境场景。
(六)为履行法定职责或者法定义务,确需向境外提供个人信息;常见的场景包括“①履约所必需:为订立、履行个人作为一方当事人的合同所必需,例如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息;②内部员工管理:按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的场景;③紧急情况:紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的场景;④国际贸易:国际贸易中,可能涉及向境外交易方提供个人信息以完成交易;⑤学术合作:学术研究或合作中,可能需要向境外的研究机构或合作者提供个人信息;⑥跨国生产制造和市场营销:在跨国生产和市场营销活动中,可能需要向境外的合作伙伴或分支机构提供个人信息;⑦法律、行政法规或者国家网信部门规定的其他条件:满足特定法律法规要求的其他情形,也可以向境外提供个人信息。”
(七)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;(请参阅(六))
(八)法律、行政法规或者国家网信部门规定的其他条件。
3.4.2 网络数据跨境实施要求
网络数据跨境的具体实施主体是网络数据处理者,网络数据处理者在向境外提供中华人民共和国境内运营中收集和产生的重要数据时,首先应该根据第三十七条规定履行如下义务①应当通过国家网信部门组织的数据出境安全评估;②网络数据处理者按照国家有关规定识别、申报重要数据,但未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。③《条例》第三十八条规定“通过数据出境安全评估后,网络数据处理者向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。”在《数据出境安全评估办法》第十七条中规定“国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。”其中“不再符合”的要件中包括《条例》中本条所描述“不得超出……”相关内容。
数据跨境活动中必然面临诸多技术风险,诸如:对跨境数据的篡改、破坏、窃取以及超越双方合同约定的数据跨境处置等;《条例》针对上述问题第三十九条中明确规定①国家采取措施,防范、处置网络数据跨境安全风险和威胁。国家应对数据跨境传输活动建立安全措施和手段,通过”数据海关“的模式对跨境数据实施跟踪、监测,对可能产生数据在跨境过程中面临的技术风险部署防御性控制措施;当跨境数据发生异常时,能够通过技术手段终止数据的传输并启动数据安全应急响应工作;②任何个人、组织不得提供专门用于破坏、避开技术措施的程序、工具等;本条款是针对可能产生的对国家部署的相关技术手段所产生对抗手段的规定,“破坏”是指针对数据跨境活动中对数据可能产生的完整性和可用性的损害行为;“避开”是指针对绕开国家在数据跨境活动中部署的防御性、检测性措施所采用的手段,比如:额外的VPN通道,利用非公开或私有加密技术传输数据等;③明知他人从事破坏、避开技术措施等活动的,不得为其提供技术支持或者帮助。《刑法》第二百八十七条之二中规定“明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。”
1.5网络平台服务提供者义务
1.5.1网络平台服务提供者通用要求
根据《最高人民法院最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第一条,对网络平台服务提供者给出司法定义“提供下列服务的单位和个人(一)网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;(二)信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、 网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;(三)利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。”《条例》中所涉及网络平台服务提供者均参照该定义。
《条例》第四十条对接入网络平台服务提供者的第三方产品和服务提供者应履行的责任和义务。①网络平台服务提供者应当制定平台规则或合同要求接入方应具备的网络数据安全保护能力并履行保护义务。具体保护要求可参阅3.1.3;②网络平台服务提供者有义务督促第三方产品和服务提供者加强网络数据安全管理。对拒不履行保护义务的根据本条例第五十五条“由网信、电信、公安等主管部门依据各自职责责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处100万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款。”③预装应用程序的智能终端等设备生产者,适用前款规定。依据《常见类型移动互联网应用程序必要个人信息范围规定》规范针对个人信息的采集活动,;④第三方产品和服务提供者违反法律、行政法规的规定或者平台规则、合同约定开展网络数据处理活动,对用户造成损害的,网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者应当依法承担相应责任。⑤国家鼓励保险公司开发网络数据损害赔偿责任险种,鼓励网络平台服务提供者、预装应用程序的智能终端等设备生产者投保。网络安全保险是一种专门针对网络安全风险的保险产品,旨在为投保人的信息资产安全性提供保障。随着数字化转型的加速,网络安全保险的重要性日益凸显,它可以帮助企业转移和防范网络安全风险,优化资源配置,并保障组织的财务稳定性和业务连续性。网络安全保险的险种主要包括网络安全财产类保险和网络安全责任类保险。财产类保险主要保障因网络安全事件造成的直接损失,如营业中断、数据资产重置费用等;责任类保险则保障因网络安全事件引起的第三方索赔,如数据泄露责任、网络安全事件责任等。2023年12月工信部发布《工业和信息化部办公厅关于组织开展网络安全保险服务试点工作的通知》[4],在通知中提出了两个试点险种“网络安全财产类保险,主要保障因网络安全事件造成的第一方直接损失以及因此产生的技术服务费用,包括直接物理损失、营业中断损失、数据资产重置费用、硬件改善成本、应急处置费用,以及因网络安全事件导致的公关费用、法律费用等。网络安全责任类保险,主要保障因网络安全事件引起的对第三方个人或机构需要承担的赔偿责任,包括数据泄露责任、网络安全事件责任、媒体侵权责任、外包商相关责任、产品责任或技术服务职业责任等。”前者适用于数据资产收到可用性和完整性侵害之后所带来的损失赔偿,后者适用于数据泄露、滥用、非法使用和非法获取所形成的责任险,从目前保险机制中,缺乏数据质量导致业务安全问题所形成的保险机制。试点对象主要针对①企业类:以企业法人为被保险方,主要保障网络安全事件对其造成的财产损失或赔偿责任。包括:电信和互联网企业、工业互联网企业、车联网企业、其他行业企业。②产品服务类:以产品服务的购买方为保障对象,主要保障因网络安全事件造成的财产损失或赔偿责任。包括:网络安全产品、网络安全服务、信息技术产品等行业领域。
《条例》在第四十一条针对提供应用程序分发服务的网络平台服务提供者提出要求。国家互联网信息办公室于2022年6月14日发布了新修订的《移动互联网应用程序信息服务管理规定》,规定在第二条对应用程序分发服务定义为“通过互联网提供应用程序发布、下载、动态加载等服务的活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。”针对该类网络平台服务提供者应当①建立应用程序核验规则并开展网络数据安全相关核验。在《移动互联网应用程序信息服务管理规定》第二十条中提出“应用程序分发平台应当建立健全管理机制和技术手段,建立完善上架审核、日常管理、应急处置等管理措施。……”②发现待分发或者已分发的应用程序不符合法律、行政法规的规定或者国家标准的强制性要求的,应当采取警示、不予分发、暂停分发或者终止分发等措施。该规定在第二十条中针对不符合要求的,应用程序分发平台“应当加强对在架应用程序的日常管理,对含有违法和不良信息,下载量、评价指标等数据造假,存在数据安全风险隐患,违法违规收集使用个人信息,损害他人合法权益等的,不得为其提供服务。”
针对基于大数据技术产生的自动化决策问题,《条例》秉承《个人信息保护法》第二十四条规定“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特 征的选项,或者向个人提供便捷的拒绝方式。 通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”在第四十二条对具有上述功能的网络平台,由网络平台服务提供者通过“设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。”
2024年7月,公安部、国家互联网信息办公室关于《国家网络身份认证公共服务管理办法(征求意见稿)》公开征求意见稿。办法对国家网络身份认证公共服务(以下称“公共服务”)做出定义“指国家根据法定身份证件信息,依托国家统一建设的网络身份认证公共服务平台(以下称‘公共服务平台’),为自然人提供申领网号、网证以及进行身份核验等服务。”该项工作由“国务院公安部门、国家网信部门依照各自法定职责,负责国家网络身份认证公共服务的监督管理,监督、指导公共服务平台依法落实数据安全和个人信息保护义务。国务院民政、文化和旅游、广播电视、卫生健康、铁路、邮政等部门依照本办法和有关法律、行政法规的规定,在各自职责范围内负责国家网络身份认证公共服务的推广应用和监督管理工作。”《条例》在第四十三条中提出,国家推进网络身份认证公共服务建设,按照政府引导、用户自愿原则进行推广应用。鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息。在《国家网络身份认证公共服务管理办法(征求意见稿)》第七条中提出“鼓励互联网平台按照自愿原则接入公共服务,用以支持用户使用网号、网证登记、核验用户真实身份信息,依法履行个人信息保护和核验用户真实身份信息的义务。互联网平台接入公共服务后,用户选择使用网号、网证登记、核验真实身份信息并通过验证的,互联网平台不得要求用户另行提供明文身份信息,法律、行政法规另有规定或者用户同意提供的除外。互联网平台应当保障使用网号、网证的用户与其他用户享有相同服务。”
3.5.2 大型网络平台服务提供者义务
《条例》在附则第六十二条对大型网络平台做出定义“大型网络平台,是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。”针对大型网络平台服务提供者,本《条例》通过第四十四至第四十六三项条款做出相关规定。
首先,在《个人信息保护法》第五十八条“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:”之第四款中规定“(四)定期发布个人信息保护社会责任报告,接受社会监督。”条例在第四十四条中针对本条款做出进一步的规定,要求①明确发布报告周期:大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告②明确报告内容:包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。
其次,大型网络平台服务提供者数据跨境问题在第四十五条中做出说明“应当遵守国家数据跨境安全管理要求,健全相关技术和管理措施,防范网络数据跨境安全风险。”具体可参阅3.4.2
最后,在第四十六条中明确规定大型网络平台服务提供者的禁止行为,大型网络平台服务提供者不得利用网络数据、算法以及平台规则等从事下列活动:(一)通过误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据;误导是指“通过虚假宣传、隐瞒关键信息等手段,使消费者在不完全知情的情况下作出错误的意思表示。例如,通过夸大产品效果或者隐瞒产品缺陷来诱导消费者购买”。误导可能构成欺诈行为;在《中华人民共和国反不正当竞争法》第八条中,对误导行为做出描述“经营者不得对其商品的性能、功能、质量、销售状况、用户评价、曾获荣誉等作虚假或者引人误解的商业宣传,欺骗、误导消费者”。欺诈在《民法典》第一百四十八条中的司法解读为“欺诈是旨在引起、强化或维持对方不正确看法之行为。司法实践中,欺诈的认定标准是故意告知虚假情况,或者故意隐瞒真实情况,诱使当事人作出错误意思表示的行为。欺诈的构成要件,通说采“四要件说”:欺诈故意、欺诈行为、受欺诈人因欺诈行为陷入认识错误和受欺诈人因认识错误作出意思表示。①欺诈的故意;欺诈人需同时具有双重故意,即使相对人陷入错误判断的故意和使相对人基于错误判断作出意思表示的故意。②欺诈行为;欺诈行为,指为使被欺诈人陷于错误判断,或加深其错误、保持其错误,而虚构、变更、隐匿事实之行为。胁迫是指“通过威胁、恐吓等手段强迫用户做出某种行为,比如泄露个人信息或者进行某些操作。胁迫行为可能是通过损害个人名誉、财产安全等方式来实施的。”胁迫行为的司法定义中,对具体构成要件包括:①行为人主观上有胁迫的故意,即故意以对胁迫对象的合法权益造成损害为要挟。②行为人客观上实施了胁迫行为,即以将要实施某种加害行为为要挟,迫使胁迫对象产生恐惧心理。③胁迫必须具有不法性,包括手段和目的的不合法。④受胁迫人作出了不真实的意思表示。⑤须有因果关系,即受胁迫人作出的不真实意思表示是基于行为人的要挟而产生恐惧心理所致。[5](二)无正当理由限制用户访问、使用其在平台上产生的网络数据;网络平台服务提供者在没有合法依据的情况下,通过技术限制或服务限制阻止用户正常访问或使用其在该平台创建、上传或生成的数据。(三)对用户实施不合理的差别待遇,损害用户合法权益;在《国务院反垄断委员会关于平台经济领域的反垄断指南》第十七条差别待遇中提出“具有市场支配地位的平台经济领域经营者,可能滥用市场支配地位,无正当理由对交易条件相同的交易相对人实施差别待遇,排除、限制市场竞争。分析是否构成差别待遇,可以考虑以下因素:①基于大数据和算法,根据交易相对人的支付能力、消费偏好、使用习惯等,实行差异性交易价格或者其他交易条件;②实行差异性标准、规则、算法;③实行差异性付款条件和交易方式。”本《条例》将上述行为纳入禁止行为;(四)法律、行政法规禁止的其他活动。
[1]参见附录2
[2] https://www.gov.cn/zhengce/zhengceku/2022-11/25/content_5728770.htm
[3] https://www.gov.cn/zhengce/202311/P020231129556422645686.pdf
[4] https://www.gov.cn/zhengce/zhengceku/202312/content_6921869.htm
[5]来源:《全国法院贯彻实施民法典工作会议纪要》条文及适用说明,最高人民政策研究室编著,人民法院出版社2021年版,第24-25页
原文始发于微信公众号(河南等级保护测评):老烦读《网络数据安全管理条例》之七
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论