数安条例百问27、28、29、30：关于“一般要求”中的几个特定考虑

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除。

对应条款
第十四条 数据处理者发生合并、重组、分立等情况的，数据接收方应当继续履行数据安全保护义务，涉及重要数据和一百万人以上个人信息的，应当向设区的市级主管部门报告；数据处理者发生解散、被宣告破产等情况的，应当向设区的市级主管部门报告，按照相关要求移交或删除数据，主管部门不明确的，应当向设区的市级网信部门报告。

解读
合并、重组、分立等都代表了组织机构的变化，伴随着这类变化，有些数据会被新的机构所掌控。可以将这一过程看作数据从原有的处理者“转移”到了新的处理者。因此，新的处理者（数据接收方）应当继续履行数据安全保护义务。这是一种很自然的要求，但由于合并、重组、分立等都是内部活动，很多人不认为这属于数据转移情况，故《条例》需要予以强调。
  
如上述过程涉及重要数据和一百万人以上个人信息，因数据安全影响较大，故还应向当地主管部门报告。这里的“主管部门”是指行业主管监管部门。
  
有的组织机构变化会带来数据处理者“消失”的情况，典型如机构解散、破产等。这种情况下，数据不能作为“无主”的东西被随意处置，否则很容易发生数据滥用、窃取等事件。
  
为此，《条例》要求，此时应当向当地主管部门报告，并按照相关要求移交或删除数据。主管部门不明确的，应当向当地网信部门报告。这里的“相关要求”包括法律法规，也包括主管部门的意见。

对应条款
第十六条 国家机关应当依照法律、行政法规的规定和国家标准的强制性要求，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。
解读
《数据安全法》曾专门设置了第五章“政务数据安全与开放”，《个人信息保护法》也在第二章“个人信息处理规则”中专门设置了第三节“国家机关处理个人信息的特别规定”。这是因为，政务数据具有公共属性，要加强政务数据的共享、开放和开发利用，自然也就产生了更多、更严格的安全保护需求；同时，国家机关有公权力，调取数据的能力远远超出一般组织，故国家机关要遵守严格的数据调取程序，防止权力滥用。
  
为了体现国家机关在数据安全方面的特殊义务，《条例》专门设置了一个原则性条款。但从该条款目前的表述看，尚没有在严格程度上体现国家机关与其他数据处理者的义务区别，有必要在今后进一步完善。

对应条款
第十七条 数据处理者在采用自动化工具访问、收集数据时，应当评估对网络服务的性能、功能带来的影响，不得干扰网络服务的正常功能。

自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能，或者侵犯他人知识产权等合法权益的，数据处理者应当停止访问、收集数据行为并采取相应补救措施。

解读
自动化工具访问、收集数据指的是“爬虫”行为。
  
为了解决海量信息时代准确获取信息的难题，人们发明了“爬虫”技术。本质上，这是一种自动提取网页的程序，能够根据既定的抓取目标，访问互联网上的网页与相关的链接，以获取所需要的信息。
  
人们经常使用的各种搜索引擎，其基本原理便包括爬虫技术。因此，这类技术对于人们日常使用互联网而言必不可少，我们都是受益者。否则，人们就会陷入互联网的汪洋大海。
  
但同时也要看到，当前越来越多的机构纷纷使用“爬虫”去获取数据，经分析、处理后进行售卖，这已经成为很多大数据公司的经营模式。这也导致“爬虫”从一种中立的技术逐渐背上了恶名，被人“深恶痛绝”。
  
典型的问题有三类：
  
一是很多爬虫程序“疯狂”“爬”数据，严重影响网站服务器的性能，甚至造成服务器宕机，人为制造了拒绝服务攻击。
  
二是很多被“爬”的数据是个人信息，或者企业敏感数据，“爬虫”获取这些数据并进行销售，这本身是违法行为。
  
三是很多网站设置了“反爬”程序和数据安全防护功能，但有的“爬虫”直接绕过或破坏这些安全防护措施，涉嫌入侵计算机信息系统。
  
为此，《条例》对“爬虫”等程序的应用作了规范，要求数据处理者必须评估其对网络服务的性能、功能带来的影响，不得干扰网络服务的正常功能。出现违法违规或侵权行为时，数据处理者应当停止其行为并采取相应补救措施。
  
从严谨性角度而言，该条还有完善的空间。因为有些行为明显已经犯罪，中止并采取补救措施远远不够，不痛不痒。宜在本条末注明“构成犯罪的，依法追究刑事责任”。

对应条款
第十八条 数据处理者应当建立便捷的数据安全投诉举报渠道，及时受理、处置数据安全投诉举报。
数据处理者应当公布接受投诉、举报的联系方式、责任人信息，每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况，接受社会监督。

解读
《条例》要求数据处理者建立投诉举报机制，并每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况。
  
这一规定主要是为了督促企业承担社会责任，接受社会监督，同时也是为了更好地落实投诉举报机制，使投诉举报的处理形成闭环。
  
一些人提出，如公开投诉举报情况，有时会涉及到企业自身的商业秘密，且可能还会泄露举报人的信息。
  
这种顾虑可以理解，但却不是理由。这里要求公开披露的是“个人信息安全投诉数量、投诉处理情况、平均处理时间情况”，不涉及企业商业秘密，也不涉及举报人的信息。尤其需要注意的是，不能把对企业不利的信息作为“商业秘密”来掩饰，企业应当承担起社会责任。
  
还有人担心，如果遇到恶意投诉举报，那么“个人信息安全投诉数量”可能会失真，而且会错误破坏企业形象，对企业不公平。恶意投诉举报当然可能会存在，甚至不排除将来还有人靠着这种手段敲诈企业，但这也不能成为不公开投诉举报情况的理由。遇有恶意投诉举报，企业如实在公开披露时予以说明即可。

【下期预告】
31、如何理解对“合法、正当、必要”提出的要求？
32、为什么增加了对处理个人信息“频次”“时机”的要求？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？
23、如何理解《条例》提出的网络安全审查要求？
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系？
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求？
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求？

  总编辑|小贝