本文來自微信公眾號“安全學習那些事兒”。
2024年5月24日,杭州互聯(lián)網(wǎng)法院在“中國數(shù)谷”舉行數(shù)據(jù)要素產(chǎn)業(yè)生態(tài)共建活動,并現(xiàn)場發(fā)布《引導企業(yè)數(shù)據(jù)健康發(fā)展行為指引》?!缎袨橹敢穲猿终我I、問題導向,聚焦市場主體在大數(shù)據(jù)產(chǎn)業(yè)發(fā)展中的熱點和難點問題,具有積極推動企業(yè)數(shù)據(jù)賦能、不斷強化企業(yè)數(shù)據(jù)合規(guī)管理、有效應對當前數(shù)據(jù)安全形勢的特點。
《行為指引》共分為數(shù)據(jù)收集與存儲、數(shù)據(jù)開發(fā)利用與加工處理、數(shù)據(jù)交易、數(shù)據(jù)出境、數(shù)據(jù)風險識別與安全保護、附則六大部分內(nèi)容。
一、數(shù)據(jù)收集與存儲
(一)企業(yè)應當遵循合法、正當、必要的原則收集數(shù)據(jù),可以適度使用其他經(jīng)營者控制的具有商業(yè)價值的數(shù)據(jù)。
法律、法規(guī)對收集、使用數(shù)據(jù)的目的、范圍有規(guī)定的,應當在規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)。
(二)企業(yè)應當按照個人授權范圍依法依規(guī)收集個人數(shù)據(jù),法律、法規(guī)規(guī)定收集數(shù)據(jù)應當取得個人單獨同意或書面同意的,從其規(guī)定。
企業(yè)應當對所收集的個人數(shù)據(jù)進行去標識化或者匿名化處理,記錄數(shù)據(jù)處理全流程,不得泄露或者篡改收集的個人數(shù)據(jù),不得違反法律、法規(guī)規(guī)定和雙方約定收集、使用個人數(shù)據(jù),并應當依照法律、法規(guī)規(guī)定和雙方約定,處理其保存的個人數(shù)據(jù)。
(三)企業(yè)在經(jīng)營管理過程中向第三方獲取數(shù)據(jù)時,還應對第三方收集數(shù)據(jù)的方式是否合法、合規(guī)進行審查。
(四)企業(yè)不得非法收集、利用、交易涉及國家安全、公共安全、個人隱私、商業(yè)秘密、軍工科研生產(chǎn)等數(shù)據(jù)。
企業(yè)收集數(shù)據(jù)不得損害被收集人和他人的合法權益。
(五)企業(yè)不得實施下列行為,不正當獲取或者使用其他經(jīng)營者的商業(yè)數(shù)據(jù),損害其他經(jīng)營者和消費者的合法權益,擾亂市場公平競爭秩序:
1.以盜竊、脅迫、欺詐、電子侵入等方式,破壞技術管理措施,不正當獲取其他經(jīng)營者的商業(yè)數(shù)據(jù),不合理地增加其他經(jīng)營者的運營成本、影響其他經(jīng)營者的正常經(jīng)營;
2.違反約定或者合理、正當?shù)臄?shù)據(jù)抓取協(xié)議,獲取和使用他人商業(yè)數(shù)據(jù),并足以實質(zhì)性替代其他經(jīng)營者提供的相關產(chǎn)品或者服務,影響其他經(jīng)營者的正常經(jīng)營;
3.披露、轉(zhuǎn)讓或者使用以不正當手段獲取的其他經(jīng)營者的商業(yè)數(shù)據(jù),并足以實質(zhì)性替代其他經(jīng)營者提供的相關產(chǎn)品或者服務;
4.以違反誠實信用和商業(yè)道德的其他方式不正當獲取和使用他人商業(yè)數(shù)據(jù),嚴重損害其他經(jīng)營者和消費者的合法權益,擾亂市場公平競爭秩序。
(六)企業(yè)應當對數(shù)據(jù)存儲進行分域分級管理,選擇安全性能、防護級別與安全等級相匹配的存儲載體。對敏感個人數(shù)據(jù)和國家規(guī)定的重要數(shù)據(jù)還應當采取加密存儲、授權訪問或者其他更加嚴格的安全保護措施。
二、數(shù)據(jù)開發(fā)利用與加工處理
(七)企業(yè)可以依法使用、加工合法取得的數(shù)據(jù),并對依法通過實質(zhì)性加工和創(chuàng)新性勞動形成的數(shù)據(jù)產(chǎn)品和服務獲取收益。
企業(yè)在使用、加工等數(shù)據(jù)處理活動中形成的法定或者約定的財產(chǎn)權益,以及在數(shù)字經(jīng)濟發(fā)展的有關數(shù)據(jù)創(chuàng)新活動取得的合法權益受法律保護。
(八)鼓勵企業(yè)依法采集生產(chǎn)經(jīng)營活動各環(huán)節(jié)的數(shù)據(jù),開展數(shù)據(jù)基礎研究和關鍵核心技術攻關,對非公共數(shù)據(jù)開展分析發(fā)掘和增值利用,促進市場主體開展多樣化數(shù)據(jù)處理活動,提升非公共數(shù)據(jù)質(zhì)量和價值。結(jié)合開放的公共數(shù)據(jù),堅持市場和服務導向,開發(fā)行業(yè)大數(shù)據(jù)產(chǎn)品,利用數(shù)據(jù)資源發(fā)展新產(chǎn)業(yè)、新業(yè)態(tài)、新模式,發(fā)揮數(shù)據(jù)資源的經(jīng)濟價值和社會效益。
(九)鼓勵探索企業(yè)數(shù)據(jù)授權使用新模式,發(fā)揮國有企業(yè)帶頭作用,引導行業(yè)龍頭企業(yè)、互聯(lián)網(wǎng)平臺企業(yè)發(fā)揮帶動作用,促進與中小微企業(yè)雙向公平授權,共同合理使用數(shù)據(jù),賦能中小微企業(yè)數(shù)字化轉(zhuǎn)型。
支持第三方機構(gòu)、中介服務組織加強數(shù)據(jù)采集和質(zhì)量評估標準制定,推動數(shù)據(jù)產(chǎn)品標準化,發(fā)展數(shù)據(jù)分析、數(shù)據(jù)服務等產(chǎn)業(yè)。
(十)鼓勵企業(yè)依法通過省級一體化大數(shù)據(jù)中心或其他平臺共享開放其合法收集的非公共數(shù)據(jù)和自有商業(yè)數(shù)據(jù),法律、法規(guī)規(guī)定不得共享開放的除外。
(十一)企業(yè)進行數(shù)據(jù)開發(fā)利用應當遵守反壟斷、反不正當競爭、消費者權益保護等相關法律、法規(guī)的規(guī)定,遵守商業(yè)道德和職業(yè)道德,尊重社會公德和倫理,不得利用市場支配地位從事操縱市場、設置排他性合作條款等活動,不得濫用大數(shù)據(jù)分析等技術手段,基于個人消費數(shù)據(jù)和消費偏好設置不公平交易條件或者誘導用戶沉迷、過度消費的數(shù)據(jù)服務規(guī)則,侵犯消費者合法權益。
(十二)企業(yè)開展數(shù)據(jù)加工處理活動,應當遵守法律法規(guī)和強制性國家標準,遵守公序良俗,并對數(shù)據(jù)處理全流程進行記錄,保障數(shù)據(jù)來源合法以及處理全流程清晰、可追溯。
企業(yè)處理個人信息等數(shù)據(jù)應當遵循合法、正當、必要和誠信的原則。企業(yè)處理生物識別數(shù)據(jù)的,應當在征得相關自然人明示同意時,提供處理其他非生物識別數(shù)據(jù)的替代方案,但處理生物識別數(shù)據(jù)為處理個人數(shù)據(jù)目的所必需且不能為其他個人數(shù)據(jù)所替代的除外。
(十三)企業(yè)進行數(shù)據(jù)加工處理時不得實施以下行為:
1.危害國家安全、榮譽和利益,泄露國家秘密;
2.侵害他人人格權、知識產(chǎn)權和其他合法權益等;
3.通過竊取或者其他非法方式獲取數(shù)據(jù);
4.非法出售或者以其他非法方式向他人提供數(shù)據(jù);
5.制作、發(fā)布、復制、傳播違法信息;
6.法律、法規(guī)禁止的其他行為。
任何個人和組織知道或者應當知道他人從事前款活動的,不得為其提供技術支持、工具、程序和廣告推廣、支付結(jié)算等服務。
三、數(shù)據(jù)交易
(十四)企業(yè)依法獲取的數(shù)據(jù)經(jīng)過處理無法識別特定個人且不能復原的,或者取得特定數(shù)據(jù)提供者明確授權的,可以交易、交換或者以其他方式開發(fā)利用。
企業(yè)應當審慎對待原始數(shù)據(jù)的流轉(zhuǎn)交易行為。
(十五)企業(yè)應積極參與數(shù)據(jù)要素市場的建設,針對數(shù)據(jù)的收集、加工整理、共享利用、交易流通等方面,依法承擔相應責任。
在數(shù)據(jù)交易過程中,企業(yè)應當強化自我約束,向數(shù)據(jù)商及第三方專業(yè)服務機構(gòu)提供流通交易聲明和數(shù)據(jù)安全承諾書。
(十六)企業(yè)可以通過依法設立的數(shù)據(jù)交易所或者數(shù)據(jù)交易中心進行數(shù)據(jù)交易撮合、簽訂合同、業(yè)務結(jié)算等活動,也可以依法自行交易。
從事數(shù)據(jù)交易活動的市場主體可以依法自主定價。
(十七)企業(yè)參與數(shù)據(jù)交易,應保證數(shù)據(jù)來源符合法律規(guī)定,通過授權獲得的數(shù)據(jù),應有主體明確的授權同意,不存在侵害國家、公共利益和其他組織、個人合法權益的情形。
企業(yè)應保障交易數(shù)據(jù)內(nèi)容的合法真實有效性、完整性,應與交易相對方簽訂數(shù)據(jù)交易使用協(xié)議,明確數(shù)據(jù)交易的目的、使用范圍、方式等事項,以及發(fā)生爭議的解決途徑。對于數(shù)據(jù)交易前超出可預見范圍和技術控制能力的數(shù)據(jù)瑕疵,在采取必要補救措施后仍造成相關損失的,應允許企業(yè)通過事前約定等方式減輕或免除相關責任。
(十八)企業(yè)合法處理數(shù)據(jù)形成的數(shù)據(jù)產(chǎn)品和服務可以依法交易,有下列情形之一的除外:
1.危害國家安全、公共利益,侵犯他人合法權益、個人隱私的;
2.未經(jīng)合法權利人授權同意的;
3.法律、法規(guī)禁止的其他情形。
(十九)企業(yè)不得根據(jù)交易相對人的偏好、交易習慣等特征,利用數(shù)據(jù)分析對交易條件相同的交易相對人實施不合理的差別待遇等違法行為,有下列情形之一的除外:
1.根據(jù)交易相對人的實際需求,且符合正當?shù)慕灰琢晳T和行業(yè)慣例,實行不同交易條件的;
2.針對新用戶在合理期限內(nèi)開展優(yōu)惠活動的;
3.基于公平、合理、非歧視規(guī)則實施隨機性交易的;
4.法律、法規(guī)規(guī)定的其他情形。
前款所稱交易條件相同,是指交易相對人在交易安全、交易成本、信用狀況、交易環(huán)節(jié)、交易持續(xù)時間等方面不存在實質(zhì)性差別。
四、數(shù)據(jù)出境
(二十)企業(yè)的數(shù)據(jù)出境行為包括以下情形:
1.企業(yè)將在我國境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外;
2.企業(yè)收集和產(chǎn)生的數(shù)據(jù)存儲在我國境內(nèi),境外的機構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導出;
3.國家網(wǎng)信部門規(guī)定的其他數(shù)據(jù)出境行為。
非經(jīng)國家主管機關批準,我國境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構(gòu)提供存儲于我國境內(nèi)的數(shù)據(jù)。
(二十一)企業(yè)向境外提供個人數(shù)據(jù)時,應符合《個人信息保護法》第四十條規(guī)定,并按照國家網(wǎng)信部門規(guī)定經(jīng)個人信息保護認證。
企業(yè)應向個人告知境外接收方的名稱、聯(lián)系方式、處理目的、個人信息的種類等,并應經(jīng)過個人單獨同意。企業(yè)應進行個人信息保護影響評估,并對處理情況進行記錄。
(二十二)企業(yè)向境外提供重要數(shù)據(jù)及符合《數(shù)據(jù)出境安全評估辦法》第四條規(guī)定的數(shù)據(jù)處理者等提供個人信息的,應通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估。
企業(yè)應當對所提交材料的真實性負責,故意提交虛假材料的,按照評估不通過處理,并依法追究相應法律責任。
企業(yè)對于數(shù)據(jù)出境安全評估結(jié)果有異議的,應根據(jù)國家相關規(guī)定申請復評,復評結(jié)果為最終結(jié)論。
(二十三)企業(yè)在申報數(shù)據(jù)出境安全評估前,應自行就境外接收方處理數(shù)據(jù)的目的、范圍、方式以及出境數(shù)據(jù)的規(guī)模、種類、敏感程度等進行數(shù)據(jù)出境風險評估,在評估的基礎上采取必要的安全保護措施,并向省級網(wǎng)信部門提交申報書、數(shù)據(jù)自評估報告、與境外接收方擬定的法律文件和其他材料,申請數(shù)據(jù)出境風險評估。企業(yè)應當在與境外接收方訂立的法律文件中明確約定數(shù)據(jù)安全保護責任義務。
企業(yè)向境外提供個人信息前,應當開展個人信息保護影響評估,除上述第一款規(guī)定的評估內(nèi)容外,還應重點評估下列內(nèi)容:
1.境外接收方承諾承擔的義務,以及履行義務的管理和技術措施、能力等能否保障出境個人信息的安全;
2.個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風險,個人信息權益維護的渠道是否通暢等;
3.境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)對標準合同履行的影響;
4.其他可能影響個人信息出境安全的事項。
(二十四)企業(yè)應當建立數(shù)據(jù)出境安全監(jiān)測機制及數(shù)據(jù)出境應急響應機制,對數(shù)據(jù)出境情況進行實時監(jiān)測,發(fā)現(xiàn)數(shù)據(jù)出境活動存在較大風險或者發(fā)生安全事件的,應當及時進行整改消除隱患,并參照本指引第五部分規(guī)定進行處理。
五、數(shù)據(jù)風險識別與安全保護
(二十五)鼓勵企業(yè)實行數(shù)據(jù)安全責任制。數(shù)據(jù)處理者是數(shù)據(jù)安全責任主體,同時存在多個數(shù)據(jù)處理者的,分別承擔各自安全責任。企業(yè)因合并、分立、收購等變更的,由變更后的企業(yè)繼續(xù)落實數(shù)據(jù)安全管理責任。
(二十六)企業(yè)應當建立數(shù)據(jù)分類分級保護制度。按照數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權益的影響和重要程度進行分類分級,針對不同類別級別的數(shù)據(jù)采取相應的安全保護措施,制定相應的合規(guī)政策與制度。
(二十七)企業(yè)開展數(shù)據(jù)處理活動應當依法履行下列數(shù)據(jù)安全保護義務:
1.建立健全全流程數(shù)據(jù)安全管理制度;
2.組織開展數(shù)據(jù)安全教育培訓;
3.制定數(shù)據(jù)安全應急預案,開展應急演練;
4.加強風險監(jiān)測,對數(shù)據(jù)分類分級保護、數(shù)據(jù)安全措施、數(shù)據(jù)處理合規(guī)情況等進行動態(tài)實時監(jiān)管評估,發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險以及侵犯個人信息、非法獲取計算機信息系統(tǒng)數(shù)據(jù)、傳播違法信息、侵犯知識產(chǎn)權、非法跨境提供數(shù)據(jù)等刑事犯罪風險時,立即采取補救措施;
5.發(fā)生數(shù)據(jù)安全事件時,立即采取處置措施,啟動應急預案,及時告知可能受到影響的用戶,并按照規(guī)定向有關主管部門報告;
6.采取安全保護技術措施,防止數(shù)據(jù)丟失、篡改、破壞和泄露,保障數(shù)據(jù)安全;
7.利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展數(shù)據(jù)處理活動時,落實網(wǎng)絡安全等級保護制度,保障數(shù)據(jù)安全;
8.法律、法規(guī)規(guī)定的其他安全保護義務。
(二十八)企業(yè)在處理重要數(shù)據(jù)或敏感個人數(shù)據(jù)時應當明確數(shù)據(jù)安全責任人和管理機構(gòu),在處理重要數(shù)據(jù)時還應當定期對數(shù)據(jù)處理活動開展風險評估,并依法向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數(shù)據(jù)的種類、數(shù)量,開展數(shù)據(jù)處理活動的情況,面臨的數(shù)據(jù)安全風險及其應對措施等。
企業(yè)對可能損害用戶合法權益的數(shù)據(jù)安全事件,應當及時告知用戶,并提供減輕危害措施。
企業(yè)開展影響或者可能影響國家安全的數(shù)據(jù)處理活動,應當按照國家有關規(guī)定,申報網(wǎng)絡安全審查。
六、附則
(二十九)本指引所稱的用語含義如下:
1.數(shù)據(jù),是指以容量大、類型多、存取速度快、應用價值高為主要特征的,由經(jīng)營者依法收集、具有商業(yè)價值并采取相應技術管理措施的數(shù)據(jù)集合。
2.重要數(shù)據(jù),是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等的數(shù)據(jù)。
3.個人數(shù)據(jù),是指載有以電子或者其他方式記錄的與已識別或者可識別的自然人信息的數(shù)據(jù),不包括匿名化處理后的數(shù)據(jù)。
4.敏感個人數(shù)據(jù),是指一旦泄露、非法提供或者濫用,可能導致自然人受到歧視或者人身、財產(chǎn)安全受到嚴重危害的個人數(shù)據(jù),具體范圍依照法律、法規(guī)的規(guī)定確定。
5.生物識別數(shù)據(jù),是指對自然人的身體、生理、行為等生物特征進行處理而得出的能夠識別自然人獨特標識的個人數(shù)據(jù),包括自然人的基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等數(shù)據(jù)。
6.數(shù)據(jù)處理,包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。
7.數(shù)據(jù)出境,是指數(shù)據(jù)處理者向境外提供在我國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和個人信息。
8.數(shù)據(jù)安全,是指通過采取必要措施,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。
(三十)本指引不具有強制性,法律、法規(guī)對數(shù)據(jù)產(chǎn)業(yè)發(fā)展另有專門規(guī)定的,從其規(guī)定。