中心研究|我国主要立法中数据处理者相关评估义务规定研究
当前,《网络安全法》《数据安全法》《个人信息保护法》形成了我国数据治理领域的顶层制度设计,明确规定了包括网络运营者、数据处理者、个人信息处理者在内的相关主体的具体义务。其中,为进一步防范可能发生的数据安全、个人信息权益侵害等事件,立法中均明确规定了相关主体的风险评估等多项预防性、监测性义务,本文对相关条文进行了整体的梳理,力求为各界人士更加清晰完整地理解立法中关于数据保护的要求提供一定的参考。其中,为了方便整理,本文在叙述中,个别地方暂以“评估”作为相关义务的统称,以“数据处理者”作为相关主体的统称。具体内容如下:
一、我国立法中存在的几种数据评估情况我国不同的立法中,分别针对不同场景下的数据处理活动明确了评估义务,主要包括以下几种:
1.针对数据出境的安全评估
这是我国一系列立法中统一的一项评估活动,《网络安全法》第三十七条确立了针对关键信息基础设施运营者的个人信息和重要数据的出境应当进行安全评估的基本原则,随后,《数据安全法》《个人信息保护法》进一步对出境安全评估的制度进行了补充完善,形成了“重要数据、达到一定数量个人信息出境安全评估,其他个人信息通过标准合同、保护认证出境”的数据跨境流动管理制度,同时,一个例外是:根据《个人信息保护法》第三十六条的规定,国家机关处理的个人信息如果要出境,只能通过安全评估,无论数量是多少。同时,《汽车数据安全管理若干规定(试行)》《工业和信息化领域数据安全管理办法(试行)》也在本行业领域内对这一制度进行了进一步的细化和明确。
2.针对重点主体的评估制度
《网络安全法》第三十八条规定关键信息基础设施运营者应当对网络的安全性和风险进行检测评估,评估方式包括自行评估和委托网络安全服务机构的第三方评估,评估频率为每年至少一次,评估后应将相关情况报送关基保护部门。
《数据安全法》第三十条明确重要数据处理者应当定期开展风险评估,也要将评估报告报送主管部门,但是并没有对评估的具体频率和方式做出更细化的要求。
《汽车数据安全管理若干规定(试行)》进一步在汽车领域落实了法律要求,规定汽车数据处理者开展重要数据处理活动应当进行风险评估。
针对重要数据和核心数据处理者,《工业和信息化领域数据安全管理办法(试行)》明确,如果跨主体提供、转移、委托核心数据,应当评估安全风险。同时,重要数据和核心数据处理者每年应当至少开展一次风险评估,评估方式可以是自行评估,也可以是第三方评估。
《网络数据安全管理条例(征求意见稿)》第三十二条,针对处理重要数据或者赴境外上市的数据处理者,明确规定应当每年开展一次数据安全评估,评估方式为自行或者第三方,报送部门是设区的市级网信部门。
3.对影响国家安全的数据处理活动进行数据安全审查
《数据安全法》第二十四条明确规定国家对影响或者可能影响国家安全的数据处理活动要进行国家安全审查,同时《网络安全审查办法》中,明确了需要进行国家安全审查的具体情况,包括:掌握超过100万用户个人信息的网络平台运营者赴国外上市必须进行国家安全审查;核心数据、重要数据、大量个人信息的安全风险是网络安全审查中的重点评估因素。
4.对属于管制物项的数据实施出口管制
《数据安全法》与《出口管制法》进行了衔接,第二十五条明确规定,国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。《出口管制法》中对出口管制进行了界定,即“国家对从中华人民共和国境内向境外转移管制物项,以及中华人民共和国公民、法人和非法人组织向外国组织和个人提供管制物项,采取禁止或者限制性措施。”
5.对使用特定处理工具、特定活动规定评估
《网络数据安全管理条例(征求意见稿)》第十七条中,针对数据处理者在采用自动化工具访问、收集数据时,明确应当评估对网络服务的性能、功能带来的影响。
《网络数据安全管理条例(征求意见稿)》第二十五条规定数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估。
《网络数据安全管理条例(征求意见稿)》第五十四条规定互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的,应当按照国家有关规定进行安全评估。
二、重点问题探究从上述梳理来看,不同层级立法中针对不同场景数据处理者的评估义务类型多样,包括了安全评估、风险评估、检测评估、评估、安全审查、出口管制等多种表述,基本目的都是为了实现数据安全,进而保障国家安全。但由于不同的表述难免带来合规不便,有几个具体问题值得进一步关注。
第一,安全评估是否为特定用语。通过检索我国所有立法发现,在数据领域适用安全评估这一概念的都为涉及数据出境方面,而《网络数据安全管理条例(征求意见稿)》第三十二条中将安全评估的适用范围扩展到了重要数据的处理活动,那么这里的安全评估是否和数据出境安全评估是一种流程会带来一定的误解,而且在符合上位法的立法原意方面也存在一定问题,本文认为将安全评估限制在数据出境方面使用较为统一和便于理解。
第二,风险评估的制度在立法中较为统一。从《数据安全法》到《汽车数据安全管理若干规定(试行)》《工业和信息化领域数据安全管理办法(试行)》,其中均规定了重要数据风险评估的内容,《数据安全法》是做出了顶层制度设计,两部规章是在各自领域细化了法律要求,需要注意的是,《工业和信息化领域数据安全管理办法(试行)》不仅针对重要数据处理者,同时也针对核心数据处理者提出了风险评估的法律要求。
第三,同一主体或同一数据处理活动面临的多重评估可以结果复用。同时面临不同评估义务的情况在多部立法中非常明显,如在关基重要数据处理者跨境传输数据情况下,既要开展检测评估,又要开展风险评估,也要进行安全评估,同时也面临需要遵守国家安全审查、数据出口管制的义务。在这种情况下,数据处理者可以对自己评估的结果进行复用,而且针对每种不同的义务提交的评估报告也应当是真实一致的。
三、总结多种合规场景和合规要求对于保障我国数据安全、维护国家安全具有非常必要和重大的作用,未来,我国相关部门可以持续采取技术、组织、制度等多方措施,进一步统一相关义务、优化相关流程、实现信息共享。
域外观察|瑞典发布一份欧盟《数据法案》妥协方案域外观察|ITIF发布《不损害人工智能创新发展的十项监管原则》报告域外观察|美国NIST发布《人工智能风险管理框架》年度观察|2022年网络法治盘点与回顾(一):数据治理篇年度观察|2022年网络法治盘点与回顾(二):数字平台篇
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告域外观察|亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析
域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定
域外观察|美国出口管制政策真的能扼制中国AI发展未来吗?域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)
域外观察|国外聚焦“黑暗模式”探索监管路径域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》专家解读|加快规范深度合成技术应用