案例解读
涉及国家数据安全的网络安全审查[8]
【案情简介】
2021年××出行正式向美国证券交易委员会递交了IPO招股书。6月30日,××出行正式在纽交所挂牌上市。7月2日,网络安全审查办公室公告称,为防范国家数据安全风险,维护国家安全,保障公共利益,网络安全审查办公室对“××出行”实施网络安全审查,审查期间“××出行”停止新用户注册。7月4日,国家互联网信息办公室发布通报称,“经检测核实,‘××出行’App存在严重违法违规收集使用个人信息问题,国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架‘××出行’App,要求公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全”。7月16日,网络安全审查办公室有关负责同志表示,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻××出行公司,开展网络安全审查。
【案例焦点】
1.个人信息处理者在向境外提供个人信息时的合规问题。
2.个人信息的日常管理操作制度建设问题。
【专家评析】
我国民法典、网络安全法、数据安全法、个人信息保护法的出台确立了我国个人信息保护的基本框架。推荐性国家标准《信息安全技术 个人信息安全规范》 《信息安全技术 个人信息安全影响评估指南》等文件则为个人信息处理者提供了一系列可供参考的个人信息保护操作模式。个人信息处理者需要根据我国个人信息保护领域的法律规范,从隐私保护、国家安全与监管等维度作出系统性的制度安排。
1.个人信息处理者在向境外提供个人信息时的合规问题。
对于个人信息的跨境处理规则及合规问题,前述具体法条释义中已进行详细说明,在此不赘述。总体而言,个人信息处理者在向境外提供个人信息时大体应进行如下准备:
(1)法律基础
个人信息处理者须全面掌握我国个人信息领域方面的法律,包括已生效、已通过未生效、尚未通过(如征求意见稿)的上位法、行政法规、部门规章、标准性文件等。对于已生效的法律规范,须严格按照法律要求履行;对于已通过未生效的规范,则须根据生效时间加以判断合规要点及注意事项;对于尚未通过的规范,则可以作为合规工作的参考性文件,并注意规范的发布进度。
此外,由于本法提出了“黑名单”“对等措施”等要求,个人信息处理者须了解并及时更新(潜在)境外接收方所在国家或地区的法律规范,以及我国在个人信息保护方面的国际条约与协定的签订情况等。
(2)性质判断
根据我国相关法律,不同性质的个人信息处理者在个人信息的跨境规则方面有所不同。例如,本法第四十条规定了“关键信息基础设施运营者”和“处理个人信息达到国家网信部门规定数量的个人信息处理者”在向境外提供个人信息时应当通过国家网信部门组织的安全评估。因此,个人信息处理者应当首先判断自身性质是否属于法律规定的特殊主体,其次再根据具体的法律要求进行合规工作。
(3)个人同意
个人同意是个人信息保护法的核心规则。在向境外提供个人信息前,除了应当符合本法第三十九条规定的“告知-单独同意”规则外,个人信息处理者还须注意根据个人信息的类型、生命周期等不同情况征得个人的“书面同意”或“明示同意”,具体的合规要点须根据具体情况及相应的法律规范加以判定。
(4)满足法律规定的相应条件
本法第三十八条规定了向境外提供个人信息的一般规则及条件。如前所述,若个人信息处理者属于法律规定的特殊主体,则应当按照相应的规则进行合规工作;若为普通主体,则可通过第三十八条规定的“标准合同”及“机构认证”两种途径向境外传输个人信息。当然,若法律、行政法规或者国家网信部门规定了其他条件,还应满足相应要求。
2.个人信息的日常管理操作制度建设问题
除了在个人信息跨境场景下的合规工作以外,个人信息处理者在日常工作中也应当对个人信息建立相应的管理与保护制度,根据《信息安全技术 个人信息安全规范》等文件的规定,个人信息处理者可以从如下维度建立个人信息保护的管理制度。(https://www.daowen.com)
(1)个人信息管理
个人信息处理者可以通过根据相关法律规范制定内部管理制度和操作规程,对个人信息实行分级分类管理,并根据个人信息的类型采取相应的加密、去标识化等安全技术措施,保证个人信息的安全,并提前制定与组织实施个人信息安全事件应急预案。
(2)工作人员的管理与培训
第一,个人信息处理者应与从事个人信息处理岗位上的相关人员签署保密协议,对大量解除个人敏感信息的人员进行背景审查,以了解其犯罪记录、诚信状况等。第二,应当明确内部涉及个人信息处理不同岗位的安全职责,建立发展安全事件的处罚机制。第三,应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时,继续履行保密义务。第四,应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求,与其签署保密协议,并进行监督。第五,应建立相应的内部制度和政策对员工提出个人信息保护的指引和要求。第六,应定期(至少每年一次)或在个人信息保护政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握个人信息保护政策和相关规程。第七,合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训。
(3)安全审计
在进行安全审计时,对个人信息处理者的要求包括:第一,应对个人信息保护政策、相关规程和安全措施的有效性进行审计;第二,应建立自动化审计系统,监测记录个人信息处理活动;第三,审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;第四,应防止非授权访问、篡改或删除审计记录;第五,应及时处理审计过程中发现的个人信息违规使用、滥用等情况;第六,审计记录和保留时间应符合法律法规的要求。
(4)明确责任部门与人员
第一,应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等。
第二,应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策,直接向组织主要负责人报告工作。
第三,满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:(1)主要业务涉及个人信息处理,且从业人员规模大于200人;(2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;(3)处理超过10万人的个人敏感信息的。[9]
(5)建立个人信息安全影响评估
第一,评估并处置个人信息处理活动存在的安全风险;第二,个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响;第三,在产品或服务发布前,或业务功能发生重大变化时,应进行个人信息安全影响评估;第四,在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应进行个人信息安全影响评估;第五,形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平;第六,妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。
[1] 本章节不再区分“数据”与“信息”之含义。
[2] 网络安全法第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
[3] 具体内容详见本法第四十条释义。
[4] 《什么是大数据?》,载济南市大数据局官网,http://jndsj.jinan.gov.cn/art/2019/8/13/art_39428_3158286.html,最后访问时间:2021年11月7日。
[5] 《2020年中国互联网网络安全报告》,载国家互联网应急中心官网,https://www.cert.org.cn/publish/main/46/2021/20210721130944504525772/20210721130944504525772_.html,最后访问时间:2021年11月7日。
[6] 《全国人民代表大会常务委员会工作报告》,载新华网,http://www.xinhuanet.com/politics/2021lh/2021-03/14/c_1127209310.htm,最后访问时间:2021年11月7日。
[7] 《商务部条约法律司负责人就〈阻断外国法律与措施不当域外适用办法〉答记者问》,载商务部网站,http://www.mofcom.gov.cn/article/zhengcejd/bj/202101/20210103029877.shtml,最后访问时间:2021年11月7日。
[8] 《网络安全审查办公室关于对“××出行”启动网络安全审查的公告》,载国家网信办官网,http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm;《关于下架“××出行”App的通报》,载国家网信办官网,http://www.cac.gov.cn/2021-07/04/c_1627016782176163.htm;《国家互联网信息办公室等七部门进驻××出行科技有限公司开展网络安全审查》,载国家网信办官网,http://www.cac.gov.cn/2021-07/16/c_1628023601191804.htm。最后访问时间:2021年10月7日。
[9] 参见《信息安全技术 个人信息安全规范》。