我国《网络安全法》作为规范网络安全包括信息安全的基本法律,针对包括个人信息在内的数据合规要求的主要问题有哪些?我们以《网络安全法》为基本框架,并结合其他法律法规相关规定来简要分析一下。
一、数据信息的定义
我国《网络安全法》第七十六条规定,“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。”对企业而言,很多数据可能并非通过网络收集或存储、利用,很多数据从内容或性质角度看可能属于商业秘密或知识产权,可以通过反不正当竞争法或知识产权相关法律进行保护。
《网络安全法》第七十六条规定,个人信息“是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
根据国家网信办于年发布的《个人信息和重要数据出境评估安全办法(征求意见稿)》,重要数据是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南,在《网络安全法》中指关键信息基础设施运营者所控制掌握的数据。对于重要数据,按规定需要采取更高要求的数据安全保护措施,重要数据的存储、出境均需依法依规。
年全国人大公布的《数据安全法(征求意见稿)》第三条规定,本法所称数据,是指任何以电子或者非电子形式对信息的记录。
二、数据信息安全目标
《网络安全法》第十条规定网络安全内容时明确,“建设、运营网络或者通过网络提供服务,应当依照法律、行*法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。”
也就是说,任何行为影响到网络数据的完整性、保密性和可用性,都属于使数据安全受到了威胁。
所谓完整性,即数据未被未授权的更改/篡改。数据的完整性,要求数据保持准确而且正确、未篡改、有意义且能用的,仅能以被认可的方法更改、仅能被授权人员或过程更改。
所谓保密性,即数据未被未授权者访问。未授权者可能包括自然人、非自然人实体或者是程序/应用;泄露途径包括口头泄露、通过网络,或通过其他设备打印机、复印机、USB存储设备等泄露。保密性意味着,只有经过授权才能访问受保护的数据。
所谓可用性,即数据处于合法用户随时可按照要求使用的状态。数据被认为是可用的,应该以能用的方式呈现;有满足服务要求的能力;有清晰的流程,如果合理的等待时间,服务在可接受的时间段内可以完成。如出现拒绝访问和系统中断等是属于不可用的重要体现。
《数据安全法(征求意见稿)》第三条规定,“数据活动,是指数据的收
集、存储、加工、使用、提供、交易、公开等行为。数据安全,是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。”
三、公共数据开放与信息数据共享利用
《网络安全法》第十七条在规定国家网络安全的产业*策时明确,“国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放。”
我国一直重视数据资源的开放和利用。年9月国务院印发的《促进大数据发展行动纲要》指出,“数据已成为国家基础性战略资源,大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。”年3月发布的“十三五规划纲要”提出“实施国家大数据战略”,明确我国将“把大数据作为基础性战略资源,全面实施促进大数据发展行动,加快推动数据资源共享开放和开发应用,助力产业转型升级和社会治理创新。”
《促进大数据发展行动纲要》还要求“年底前建成国家*府数据统一开放平台,率先在信用、交通、医疗、卫生、就业、社保、地理、文化、教育、科技、资源、农业、环境、安监、金融、质量、统计、气象、海洋、企业登记监管等重要领域实现公共数据资源合理适度向社会开放”,截止年,已经有50多个地市建设了公共数据开放平台,开放了约15个领域数据,包括教育科技、民生服务、道路交通、健康卫生、资源环境、文化休闲、机构团体、公共安全、经济发展、农业农村、社会保障、劳动就业、企业服务、城市建设、地图服务。
《数据安全法(征求意见稿)》规定了国家坚持维护数据安全和数据开放并重的原则,实施大数据战略,加强数据开发利用基础技术研究,推进数据开发利用技术和数据标准体系建设,促进数据安全检测评估和认证服务,建立健全数据交易管理制度,并支持学校和企业开展数据开发利用技术和数据安全培训。
《数据安全法(征求意见稿)》还规定了国家大力推进电子*务建设,国家机关在数据收集、使用数据的原则和程序,国家机关应建立健全数据安全管理制度,国家机关对*务数据的处理要求,对*务数据的公开要求等。
在数据共享、转让方面,根据《网络安全法》、《个人信息安全规范》等法律法规、国家标准等规定,个人信息经过数据脱敏即匿名化处理后可以进行共享、传输,但是对于未经脱敏处理的个人信息需满足下述合规要求,一是征得个人同意原则,即向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意。涉及个人敏感信息的,还应告知个人敏感信息的类型、数据接收方的身份和数据安全能力;二是安全影响评估原则,即转让前开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;三是准确记录原则,准确记录和保存个人信息的共享、转让的情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;四是保护义务延伸原则,即帮助个人信息主体了解数据接收方对个人信息的保护义务及其履行情况,和及时反馈个人信息主体相关权利包括访问、更正、删除、注销账户等。
四、数据信息安全保护义务
《网络安全法》第二十一条在规定网络安全等级保护制度时明确,“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(四)采取数据分类、重要数据备份和加密等措施;...”
《网络安全法》第二十七条在规定维护网络安全的义务时明确,“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。”
《网络安全法》对个人信息的保护主要体现于第四十条至第四十四条,规定通过网络收集、存储、传输、处理和产生的个人信息,需要尊重个人的同意权、知情权、选择权、更正权、删除权等权利,其整合并发展了我国现有法律中关于个人信息保护的主要内容,如第四十条明确将收集和使用个人信息的网络运营者是个人信息保护的责任主体;第四十一条规定了个人信息收集的最少够用原则;第四十二条规定了个人信息共享的条件;第四十三条规定了个人在一定情形下删除、更正其个人数据的权利;第四十四条在法律层面给予个人信息交易一定的合法空间。《网络安全法》这些关于个人数据的规定,在维护网络安全的框架下,把保障个人作为数据主体对个人信息的自主权和支配权与现行国际规则及美欧个人信息保护方面的立法,虽然具体规定上有差异,但总体上理念是相通的。
根据《网络安全法》规定,另外《消费者权益保护法》第二十九条、《个人信息安全规范》3.2、5.5条等均规定,企业在收集个人信息时,应当制定并对外公开个人信息收集处理规则即隐私*策并获得客户的同意(个人敏感信息还需获得明示同意)。隐私*策的内容应当包含对个人信息包括收集、使用、存储、处理、共享、交换、删除、自主管理等环节的规定,遵守合法、正当、必要、保密、通俗的原则。专家们普遍认,个人信息的概括授权和一揽子授权属于不符合《个人信息保护规范》的要求,未来的隐私*策将更加贴近应用场景、更具体,更能尊重用户选择权、操作更方便。另外根据《儿童信息保护规定》如涉及儿童个人信息保护还需要企业单独制定保护*策并确定负责人。
个人信息的使用应遵循合法性、必要性、授权同意的原则,并需要按照法律行*法规以及与用户之间的约定收集、保存、使用用户个人信息,这是个人信息保护的核心要求,也是监管机关重点
