小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第十四条 数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。
解读
合并、重组、分立等都代表了组织机构的变化,伴随着这类变化,有些数据会被新的机构所掌控。可以将这一过程看作数据从原有的处理者“转移”到了新的处理者。因此,新的处理者(数据接收方)应当继续履行数据安全保护义务。这是一种很自然的要求,但由于合并、重组、分立等都是内部活动,很多人不认为这属于数据转移情况,故《条例》需要予以强调。
如上述过程涉及重要数据和一百万人以上个人信息,因数据安全影响较大,故还应向当地主管部门报告。这里的“主管部门”是指行业主管监管部门。
有的组织机构变化会带来数据处理者“消失”的情况,典型如机构解散、破产等。这种情况下,数据不能作为“无主”的东西被随意处置,否则很容易发生数据滥用、窃取等事件。
为此,《条例》要求,此时应当向当地主管部门报告,并按照相关要求移交或删除数据。主管部门不明确的,应当向当地网信部门报告。这里的“相关要求”包括法律法规,也包括主管部门的意见。
对应条款
第十六条 国家机关应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
解读
《数据安全法》曾专门设置了第五章“政务数据安全与开放”,《个人信息保护法》也在第二章“个人信息处理规则”中专门设置了第三节“国家机关处理个人信息的特别规定”。这是因为,政务数据具有公共属性,要加强政务数据的共享、开放和开发利用,自然也就产生了更多、更严格的安全保护需求;同时,国家机关有公权力,调取数据的能力远远超出一般组织,故国家机关要遵守严格的数据调取程序,防止权力滥用。
为了体现国家机关在数据安全方面的特殊义务,《条例》专门设置了一个原则性条款。但从该条款目前的表述看,尚没有在严格程度上体现国家机关与其他数据处理者的义务区别,有必要在今后进一步完善。
对应条款
第十七条 数据处理者在采用自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。
自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的,数据处理者应当停止访问、收集数据行为并采取相应补救措施。
解读
自动化工具访问、收集数据指的是“爬虫”行为。
为了解决海量信息时代准确获取信息的难题,人们发明了“爬虫”技术。本质上,这是一种自动提取网页的程序,能够根据既定的抓取目标,访问互联网上的网页与相关的链接,以获取所需要的信息。
人们经常使用的各种搜索引擎,其基本原理便包括爬虫技术。因此,这类技术对于人们日常使用互联网而言必不可少,我们都是受益者。否则,人们就会陷入互联网的汪洋大海。
但同时也要看到,当前越来越多的机构纷纷使用“爬虫”去获取数据,经分析、处理后进行售卖,这已经成为很多大数据公司的经营模式。这也导致“爬虫”从一种中立的技术逐渐背上了恶名,被人“深恶痛绝”。
典型的问题有三类:
一是很多爬虫程序“疯狂”“爬”数据,严重影响网站服务器的性能,甚至造成服务器宕机,人为制造了拒绝服务攻击。
二是很多被“爬”的数据是个人信息,或者企业敏感数据,“爬虫”获取这些数据并进行销售,这本身是违法行为。
三是很多网站设置了“反爬”程序和数据安全防护功能,但有的“爬虫”直接绕过或破坏这些安全防护措施,涉嫌入侵计算机信息系统。
为此,《条例》对“爬虫”等程序的应用作了规范,要求数据处理者必须评估其对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。出现违法违规或侵权行为时,数据处理者应当停止其行为并采取相应补救措施。
从严谨性角度而言,该条还有完善的空间。因为有些行为明显已经犯罪,中止并采取补救措施远远不够,不痛不痒。宜在本条末注明“构成犯罪的,依法追究刑事责任”。
对应条款
第十八条 数据处理者应当建立便捷的数据安全投诉举报渠道,及时受理、处置数据安全投诉举报。
数据处理者应当公布接受投诉、举报的联系方式、责任人信息,每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况,接受社会监督。
解读
《条例》要求数据处理者建立投诉举报机制,并每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况。
这一规定主要是为了督促企业承担社会责任,接受社会监督,同时也是为了更好地落实投诉举报机制,使投诉举报的处理形成闭环。
一些人提出,如公开投诉举报情况,有时会涉及到企业自身的商业秘密,且可能还会泄露举报人的信息。
这种顾虑可以理解,但却不是理由。这里要求公开披露的是“个人信息安全投诉数量、投诉处理情况、平均处理时间情况”,不涉及企业商业秘密,也不涉及举报人的信息。尤其需要注意的是,不能把对企业不利的信息作为“商业秘密”来掩饰,企业应当承担起社会责任。
还有人担心,如果遇到恶意投诉举报,那么“个人信息安全投诉数量”可能会失真,而且会错误破坏企业形象,对企业不公平。恶意投诉举报当然可能会存在,甚至不排除将来还有人靠着这种手段敲诈企业,但这也不能成为不公开投诉举报情况的理由。遇有恶意投诉举报,企业如实在公开披露时予以说明即可。
相关文章:
数安条例百问15、16、17、18、19:关于数据处理者安全保护义务
数安条例百问27、28、29、30:关于“一般要求”中的几个特定考虑
数安条例百问46、47、48:关于生物特征应用和一百万人以上个人信息处理者的适用
数安条例百问55、56、57、58、59:关于年度评估与对外提供数据的风险评估
RacentYY
Anna艳娜
Andrew
尚思卓越
Anna艳娜
RacentYY
安全侠
RacentYY
一颗小胡椒
RacentYY
X0_0X
ManageEngine卓豪
