《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)将于2021年11月1日起施行,与此前生效的《中华人民共和国互联网安全法》同时施行中国”(《网络安全法》)、《中华人民共和国数据安全法》(《数据安全法》)等相关法律法规,即将形成《网络安全法》三法联动、《数据安全法》和《个人信息保护法》制度。这三种方法既互补又重叠。在本文中,笔者将尝试通过一张图和三个问题来比较三种方式的异同,希望对企业构建数据合规体系有所帮助。
一张图片:
总的来说,《网络安全法》、《数据安全法》和《个人信息保护法》的区别体现在监管范围、关键概念、机制等方面,总结如下:
三个问题:
问题一:《网络安全法》,《数据安全法》与《个人信息保护法》的内容和适用范围有何异同?
1.《网络安全法》:适用于我国网络的建设、运行、维护和使用,以及网络安全的监督管理。监管范围包括网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急、法律责任等。
2.《数据安全法》:适用于在中国境内开展的数据处理活动和安全监管,以及在境外开展的损害国家安全、公共利益或公民的数据处理活动,在中国境内承担法律责任组织的合法权益。监管范围包括数据安全与发展、数据安全体系、数据安全保护义务、政府数据安全与公开、法律责任等。
3.《个人信息保护法》:适用于中国境内自然人个人信息的处理,以及特定情况下在中国境内处理自然人个人信息的活动[i]。监管范围包括个人信息处理规则、个人信息跨境提供规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门和法律责任等。
总结
《网络安全法》为网络安全奠定基础,强调对网络安全的保护,为网络空间整体安全、有序发展奠定总基调。 《网络安全审查办法》、《关键信息基础设施安全保护条例》等配套法规共同构建网络空间合规框架。 《数据安全法》为数据安全奠定了基础,强调对数据安全的保护,特别是对重要数据和国家核心数据的保护,规定的“数据”的载体不仅限于网络数据。 《个人信息保护法》着力细化个人信息处理指引和保护边界,关注数据安全法对个人信息的保护,对个人信息保护的全生命周期做出了详细而全面的规定。
问题2:《网络安全法》、《数据安全法》和《个人信息保护法》主要涉及哪些关键概念?
1.谁构成网络运营商?
根据《网络安全法》,网络运营者是指网络的所有者、管理者和网络服务提供者。 《网络安全法》为网络运营者提供了框架,按照目前实践中的理解,网络运营者不仅包括任何利用网络媒体提供服务的实体,还包括电子商务平台、网约车等。以线上业务为主营业务的互联网企业,也包括依靠互联网进行业务延伸的传统线下企业。
2.什么是关键信息基础设施?
根据《网络安全法》,关键信息基础设施涵盖公共通信与信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。 《关键信息基础设施安全保护条例》(国务院发布,2021年9月1日起施行)对关键信息基础设施的定义也采用了开放枚举的方式,但在《网络安全法》的基础上,新增“国防科技”。根据《网络安全法》、《数据安全法》等规定,构成关键信息基础设施的,关键信息基础设施的运营者应当遵守更严格的监管措施,如通过网络安全审查,签订安全保密协议,原则上在中国境内收集的个人信息,以及重要数据,应当在中国境内存储,在中国境内进行测试和评估。
2021年8月24日,公安部网络安全局局长王英伟在国务院例行政策吹风会上表示,识别关键信息基础设施的核心标准主要考虑三个方面因素:一是网络设施和信息系统在行业和该领域的关键核心业务中发挥着基础支撑作用。二是网络设施、信息系统等一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生和社会公共利益。三是对其他行业和领域产生重要影响。 [ii]向重点信息基础设施保护部门提供行业和领域的实际情况,制定重点信息基础设施识别规则,报国务院公安部门备案,组织重点根据识别规则的行业和领域信息提供基础设施识别的指导。
3. 数据是如何定义的?
《网络安全法》将“网络数据”定义为通过网络收集、存储、传输、处理和生成的各类电子数据。 “数据”在《数据安全法》中被定义为任何电子或其他信息记录。可见,《网络安全法》对“网络数据”的定义更加注重以网络为载体所代表的数据形式,而《数据安全法》中的“数据”并不限于载体法,但更注重数据的形式。呈现形式是信息的记录。因此可以预见,《数据安全法》基本可以涵盖企业生产经营管理产生的信息记录。
4.什么是重要数据?
《数据安全法》建立数据分类分级保护制度,要求有关部门制定重要数据目录,加强对重要数据的保护,但《数据安全法》并未明确规定重要数据的构成。一些行业特定的部门法规定义了重要数据,例如:
5.如何定义个人信息?
《个人信息保护法》规定,个人信息是指以电子等方式记录的与已识别或者可识别的自然人有关的各种信息,但不包括匿名信息。 《个人信息保护法》规定的个人信息不仅包括可识别信息,还包括可识别信息,建立了“识别+关联”的判断路径。个人信息保护法对个人信息的定义比以前的法律法规更广泛。例如,《网络安全法》和《民法典》均规定,个人信息是指可以单独记录或与其他信息相结合以识别自然人个人身份的电子或其他记录; 《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,公民个人信息是指能够单独或者结合其他信息识别特定自然人的电子或者其他记录。反映特定自然人活动的身份或各种信息。
6.个人信息保护的原则是什么?
《个人信息保护法》规定,个人信息处理者在处理个人信息时,应当事先充分告知并征得个人同意。同意。涉及敏感个人信息、向他人提供或披露个人信息、或跨境转移个人信息等情况,均需征得个人同意。可见,《个人信息保护法》确立了以“通知-同意”为核心的个人信息处理原则,强调个人信息的处理应以影响最小的方式进行关于个人权益。 《网络安全法》规定,收集、使用个人信息应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围。收集与其提供的服务无关的个人信息,《数据安全法》规定,任何组织或者个人收集数据,应当采取合法、正当的方式。相比之下,《个人信息保护法》在个人信息保护方面更为完善和细化。
总结
《网络安全法》、《数据安全法》和《个人信息保护法》分别规定了网络运营用户、关键信息基础设施、数据、重要数据、个人信息等数据合规的关键概念。还是比较框架的。在实践中,企业除了参照三法外,还需要参照相关部门法规和行业法规。
问题3:《网络安全法》、《数据安全法》和《个人信息保护法》提出了哪些特殊机制?
《网络安全法》、《数据安全法》和《个人信息保护法》均规定了数据合规的特殊机制。企业需要了解这些特殊机制,建立相应的事前预防机制和事后整改机制。涉及三法联动的,企业还应按照三法规定进行一体化、一体化的数据合规管理。下面将《网络安全法》、《数据安全法》和《个人信息保护法》三部法律所涉及的主要特殊机制总结如下:
《网络安全法》
《数据安全法》
《个人信息保护法》
负责人
1.网络运营者应确定网络安全负责人; 2.关键信息基础设施运营者应当设立专门的安全管理机构和安全管理负责人,对负责人进行安全背景审查。
重要数据处理者应明确数据安全负责人和管理机构。
个人信息处理者处理个人信息达到规定量时,应指定个人信息保护负责人。
评估
关键信息基础设施运营者应当每年至少自行或委托网络安全服务机构对网络安全和可能存在的风险进行一次检查评估,并进行检查评估。向相关部门报告情况及改进措施。
重要数据处理者应当按照规定对数据处理活动进行定期风险评估,并向相关主管部门提交风险评估报告。
在下列情况下,个人信息处理者应当提前进行个人信息保护影响评估并记录处理情况,个人信息保护影响评估报告和处理情况记录至少保存三年:-处理敏感的个人信息; - 使用个人信息进行自动化决策; - 委托处理个人信息,向其他个人信息处理者提供个人信息,披露个人信息; - 在海外提供个人信息,或 - 对个人权利个人信息处理活动有其他重大影响。
国家安全审查
关键信息基础设施运营商购买可能影响国家安全的网络产品和服务,应当通过国家安全审查。
任何组织和个人不得从事危害国家安全和公共利益的个人信息处理活动。
国家建立数据安全审查制度,对影响或可能影响国家安全的数据处理活动进行国家安全审查。
数据存储
关键信息基础设施运营商在中国境内运营过程中收集和产生的个人信息和重要数据应当存储在中国境内。因业务需要确需向境外提供的,应当进行安全评估,法律、行政法规另有规定的除外。
关键信息基础设施运营者在中国境内运营过程中收集和产生的重要数据的出境安全管理,适用网络安全法的规定;产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
1.个人信息处理者因业务需要确需在中华人民共和国境外提供个人信息的,应当符合安全评估、认证、签订书面合同等相关条件。个人信息处理者应当确保境外接收者对个人信息的处理符合个人信息保护法规定的个人信息保护标准。 2.关键信息基础设施运营者和个人信息处理者处理个人信息达到国家网信部门规定数量的,应当将收集和产生的个人信息存储在中国境内。确需向境外提供的,应当通过安全评估;法律、行政法规和国家网信部门另有规定的除外。
应急管理
当发现其网络产品和服务存在安全缺陷、漏洞等风险时网络安全个人信息是指,应立即采取补救措施,及时告知用户,并按规定向有关主管部门报告。
当发现数据安全缺陷、漏洞等风险时,应立即采取补救措施;发生数据安全事件时,应立即采取处置措施,及时通知用户,并按规定向有关主管部门报告。
个人信息发生泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
司法协助
不参与
根据我国缔结或参加的国际条约和协定,或按照平等互惠的原则,向外国司法或执法机构提供存储境内个人信息须经主管部门批准权威。
总结
可见,《网络安全法》、《数据安全法》和《个人信息保护法》都建立了数据合规的专门机制。在人员、考核、国家安全审查、数据存储、应急管理、司法协助等方面存在重叠,企业需根据自身业务需要参照相应规定,提前做好预合规工作。
结论
《网络安全法》、《数据安全法》和《个人信息保护法》确立了我国数据合规的主要法律框架。每个都侧重于监管的内容和重叠。企业在建立自己的数据合规体系时,除了根据自身需要应用相应的法规外,还应注意内容相同的三法联动网络安全个人信息是指,构建一体化、合规的数据合作体系。有针对性,适合自身企业管理和业务特点。监管制度。
[i]《个人信息保护法》第三条:在中华人民共和国境内从事自然人个人信息处理活动,适用本法。本法也适用于中华人民共和国领域以外的中华人民共和国境内的自然人个人信息的处理活动,有下列情形之一的:(一)目的是在中国境内向自然人提供产品或服务;(二)分析评估境内自然人的行为;(三)法律、行政法规规定的其他情形。
[ii] 网页链接:最后一次访问时间为 2021 年 10 月 8 日。
p>
关于作者
孙杰合伙人
sunjie@jiayuan-law.com
业务领域:
境内境外并购、境外投资、合规业务
切小航的法律助理
qiexiaohang@jiayuan-law.com
实践领域:
私募股权投资与风险投资、合规业务
嘉源合规业务介绍
