数安条例百问3、4:关于“网络数据”和“数据处理者”
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第一条 为了规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定本条例。
解读
根据《数据安全法》第六条第四款,国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
《条例》规范的是网络数据处理活动。这里的“网络数据”,是指任何以电子方式对信息的记录,英文翻译为“cyber data”,不限于利用“网络”(internet或network)产生或在其中处理的数据。
即,《数据安全法》规范的还包括非电子形式数据的处理活动,《条例》不涉及此类数据。
《条例》在名称和第一条中使用的是“网络数据”。为了行文方便,后续条款中将其简称为“数据”。但与《数据安全法》相比,此“数据”非彼“数据”。
可以理解的是,后续网信部门的有关政策文件中,无论是否作了说明,“数据”一般都是指“网络数据”。
对应条款
第二条 在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。
在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例:
(一)以向境内提供产品或者服务为目的;
(二)分析、评估境内个人、组织的行为;
(三)涉及境内重要数据处理;
(四)法律、行政法规规定的其他情形。
自然人因个人或者家庭事务开展数据处理活动,不适用本条例。
解读
欧盟的《通用数据保护条例》(GDPR)为全球个人信息保护立法确立了标杆,同时也明确了若干基本定义,包括“个人信息主体”“个人信息控制者”和“个人信息处理者”。我国《个人信息保护法》充分借鉴了GDPR,但对以上三个概念作了修改,使用的是“个人”“个人信息处理者”和“接受委托处理个人信息的受托人”。
GDPR中,“个人信息控制者”指决定个人数据处理的目的和方式的自然人或法人、公共机构、政府机构或其他团体。即,个人信息控制者对个人信息采取收集、使用等处理活动。而“个人信息处理者”指代表控制者处理个人数据的自然人或法人、公共机构、政府机构或其他团体。即,个人信息处理者并不收集、使用信息,其只是受个人信息控制者委托,对个人信息进行处理。
显然,GDPR中的个人信息处理者虽然能够接触个人信息,但只是根据个人信息控制者的委托进行处理,两者承担的保护义务是不一样的。
但在中文语境中,“控制者”比较令人费解,而“处理者”也容易引起歧义(实际上只是“受委托”处理)。故《个人信息保护法》没有使用“个人信息控制者”的概念,而是以“个人信息处理者”代替“个人信息控制者”,GDPR中的“个人信息处理者”则在《个人信息保护法》中被称为“接受委托处理个人信息的受托人”。
以上处理更符合中文表达习惯,有利于对法律条文的理解和实施。
《条例》继承了《个人信息保护法》的概念,且为了进一步突出个人信息处理者的内涵,在第二条附则中给出了“个人信息数据处理者”和“委托处理”的定义,并指出,
数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织,
委托处理是指数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。
相关文章:
数安条例百问15、16、17、18、19:关于数据处理者安全保护义务
