2021年网络安全与数据合规 新规评论文章集锦 m o c . 5 环球律师事务所数据合规团队编制 h t i g b u 2022年1月24日 www.glo.com.cn 目录 1. 《数据安全法》正式出台，企业合规红线，你了解吗？ 2. 《关键信息基础设施安全保护条例》要点解读 24 3. “隐私”与“个人信息”别傻傻分不清 38 4. 个人信息保护工作机构及负责人设置要求 5. 《个人信息保护法》八步走，落地路径与实务解读 6. 《重要数据识别指南》新版草案出台，兼议十二项企业合规义务 76 7. 征信信息已成为保护重点——暨同步解读《征信业务管理办法》 87 8. 互联网信息服务管理办法大修，信息安全监管释放趋严信号 100 9. 《网络交易监督管理办法》压实平台主体责任，企业未来该如何应对？ 104 h t i g 10. 境外上市中的网络安全审查 2 m o c . 5 45 b u 11. 面对网络安全审查，中概股企业需做何准备？ 58 109 122 12. 企业数据出境评估指引暨《数据出境安全评估办法（征求意见稿）》解读 134 13. 苹果将实施史上最严厉隐私保护要求，定向广告的严冬真的来了？ 147 14. 算法相关新型垄断模式的法律风险 161 15. 从《汽车数据安全管理若干规定》探索汽车数据的合规与发展 169 附件一：《互联网信息服务管理办法》合规义务清单 179 附件二：《网络交易监督管理办法》合规义务清单 194 附件三：App收集使用个人信息企业自评估核对清单 202 1 1 《 数 据 安 全 法 》 正 式 出 台， 企业合规红线，你了解吗？ h t i g 2 b u m o c . 5 环球律师事务所 孟洁 | 张淑怡 | 徐晨 《数据安全法》正式出台，企业合规红线，你了解吗？ 【前言】 随着信息技术和生产生活紧密融合，各行各业的数据迅猛增长，并汇聚融合，对经济、社会和 人民生活都产生了革命性的影响。数据安全已成为事关国家安全与社会经济发展的重要课题。 基于此，2021年6月10日，第十三届全国人大常委会第二十九次会议审议并通过了《中华人民 共和国数据安全法》（以下简称“《数据安全法》”），并于2021年9月1日起施行。 m o c . 5 《数据安全法》共七章五十五条，与《中华人民共和国网络安全法》（以下简称“《网络安全 法》”）、《数据安全管理办法（征求意见稿）》（以下简称“《数据安全管理办法》”）相比， 有较大的创新和突破，从国家法律的层面，对于国家与数据活动实施者两个角色，规定了一系 列提升数据安全治理和数据开发利用水平的原则、制度与措施，落实主体责任；为适应电子政 b u 务发展的需要，建立数据流通利用与安全管理的要求。正如新华社所评述，“制定数据安全法 是维护国家安全的必然要求。数据是国家基础性战略资源，没有数据安全就没有国家安全。” h t i g 下文将首先介绍《数据安全法》相较于二审稿的修改之处与亮点，其后总结了《数据安全法》 的合规要点，以期帮助企业了解立法精神，梳理合规义务，厘清基本红线。 3 《数据安全法》正式出台，企业合规红线，你了解吗？ 一、《数据安全法》正式稿相较于 二审稿的修改亮点 （一）建立工作协调机制，完善数据安全领域治理体系 《数据安全法》第五、六条明确了数据安全领域内治理体系的顶层设计，即中央国家安全领导 机构负责国家数据安全工作的决策和议事协调，研究和制定重大方针政策，统筹协调国家数据 安全的重大事项和重要工作，建立国家数据安全工作协调机制；各地区、各部门对本地区、本 部门工作中收集和产生的数据及数据安全负责。工业、电信、自然资源、卫生健康、教育、国 防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责；并且，由公安机 关和国家安全机关承担其范围内的监管职责；最后由国家网信部门统筹协调网络数据安全的监 m o c . 5 督管理工作，这与国家网信部门的一贯职责与功能是配套和衔接的。 从以上表述可以看出，相较于《数据安全管理办法》和《网络安全法》所涉及的监管部门权属 划分，《数据安全法》既有保留也有突破。在网络监管方面，《数据安全法》沿袭了“网信部 门+公安部门+国务院其他下属机构联动”的监管体系，但值得注意的是，《数据安全法》首次 将数据安全全局决策统筹工作升格至中央国家安全领导机构，与《国家安全法》保持一致，从 侧面巩固了数据安全在国家安全体系中的重要地位，以基本法成文化的方式将数据安全工作上 升至国家安全最高监管和行动决策的层级。 h t i g b u 尽管我国近年来持续加快对数据以及个人信息保护方面的立法进度，比如《民法典》人格权编 中对个人信息保护做出了原则性规定，出台了包括《网络安全法》《数据安全管理办法》《信 息安全技术 个人信息安全规范》等一系列法律法规、部门规章和国家标准，但仍然存在法律 效力有限、规定分散、体系不完备的问题。《数据安全法》此次将数据安全集中、专门地反映 在一部基本法中，完善了我国在数据保护领域的立法架构，也为后续配套文件的跟进提供了坚 实的基础。 总体来说，国家从战略和规划层面上重视数据的保护与应用，也意味着企业需要更加谨慎地处 理数据，不但需从自身角度，还要从维护国家利益层面上履行数据安全保护义务、承担社会责 任，不得危害国家安全与社会、公共利益。 （二）明确关系国家安全、国民经济命脉等重要数据的重要性 《数据安全法》第四条规定，维护数据安全，应当坚持总体国家安全观。这一概念是以人民安 全为宗旨，以政治安全为根本，以经济安全为基础，以军事、文化、社会安全为保障，以促进 国际安全为依托的全方位国家安全体系。这条规定呼应了《国家安全法》第二十五条所提出的， 国家应建设网络与信息安全保障体系，提升网络与信息安全防护能力，维护国家网络空间主权、 安全和发展利益。在各国数据博弈深化的国际背景下，主权已经不再局限于一国领土而是拓展 至网络空间中的数据和设施，数据要素已经成为国家基础性和战略性资源，数据安全已经成为 国家安全不可或缺的组成部分。应对数据可能带来的非传统领域的国家安全风险与挑战，切实 维护和确立国家数据主权、安全和发展利益，正是当今时代赋予的新课题。 4 《数据安全法》正式出台，企业合规红线，你了解吗？ 《数据安全法》第二十一条第二款则进一步强调关系国家安全、国民经济命脉、重要民生、重 大公共利益等数据属于国家核心数据，实行更加严格的管理制度。 这一点也在罚则部分有所体现，《数据安全法》最终稿新增的第四十五条第二款明确，违反国 家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一 千万元以下的罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销 营业执照；构成犯罪的，依法追究刑事责任。 （三）进一步完善保障政务数据的规定 m o c . 5 为保障政务数据安全，并推动政务数据开放利用，《数据安全法》第五章对国家机关收集、使 用、运用数据的行为、能力提出了要求（第三十七条到四十三条）。国家机关为履行法定职责 的需要收集、使用数据时，应当对其在履行职责中知悉的个人隐私、个人信息、商业秘密、保 密商务信息等数据依法予以保密，不得泄露或者非法向他人提供（第三十八条）。 其次，第四十条对国家机关委托他人存储、加工或者向他人提供政务数据的审批要求和监督义 务做出了规定，并明确受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务， 不得擅自留存、使用、泄露或者向他人提供政务数据。国家机关还应按照规定及时准确公开政 务数据，制定开放目录，构建互联互通、安全可控的开放平台（第四十一、四十二条）。 h t i g b u 《数据安全法》虽未对政务数据进行定义，但可以根据今年6月17日浙江省发布的全国首部公共 数据开放办法《浙江省公共数据开放与安全管理暂行办法》（下称《公共数据暂行办法》）对 “公共数据”的界定汲取经验。公共数据指各级行政机关以及具有公共管理和服务职能的事业 单位，在依法履行职责过程中获得的各类数据资源。联系实际而言，可能包含政府才有权利采 集的数据，如资源、税收数据，政府在提供服务过程中所收集的公民消费和档案数据，如社会 保险、水电数据，政府履行监管职责所采集的数据，如人口普查、食品药品监管等数据。 政务数据的利用与开放是加快政府数字化转型，推进电子政务建设的重要步骤。在收集、使用 数据时，政府必须依法定职责和法律规定，健全安全管理制度，将责任落到实处；监督可能涉 及的第三方，保障政务数据安全；遵循公正、公平、便民的原则，及时、准确地公开政务数据， 实施“清单式管理”，构建统一互通的政务开放平台，将政务数据赋能价值扩到最大，利用数 据更好地服务经济社会发展。 对于企业而言，如果在实践中遇到国家机关委托存储、加工政务数据的情形，受托方应配合国 家机关完成审批程序，履行法律法规、合同约定的数据安全保护义务，采取必要的技术和组织 措施保障政务数据安全，不擅自留存、使用、泄露或者向他人提供政务数据，并确保获得委托 处理政务数据方的授权同意。当然，关于审批程序与企业关于处理政务数据的具体安全义务， 还期待相关法规与标准后续进一步细化与支撑。 5 《数据安全法》正式出台，企业合规红线，你了解吗？ （四）明确对老年人的特殊保护 《数据安全法》相较于二审稿增加了第十五条，即明确提出支持智能化公共服务的发展，且要 求应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。这并不 是第一次专门针对老年人的利益需求提出特殊要求。例如，工业和信息化部在今年4月就发布 《互联网网站适老化通用设计规范》和《App适老化通用设计规范》，助力老年人、残疾人等 重点受益对象平等便捷地获取、使用互联网信息，充分体现了国家在发展过程中的人文关怀， 保障老年用户的信息安全。 （五）加大对违法行为的处罚力度 m o c . 5 《数据安全法》第六章规定了开展数据活动的组织、个人、数据交易中介机构、国家机关、监 管工作人员等主体违反法律规定、未履行义务应承担的法律责任。去年公开的《数据安全管理 办法》对于违反法律义务作出的是“一刀切”的罚则，即，“依违规情节，给予网络运营者公 开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营 业执照等处罚；构成犯罪的，依法追究刑事责任。”本次《数据安全法》的规定针对不同违法 行为设置不同的罚责，与《网络安全法》体例保持基本一致，规定了各主体违反法律规定可能 承担的不同责任。 h t i g b u 比如，有