数安条例百问49、50、51：关于重要数据处理者义务

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除。

对应条款
网络数据安全管理条例

第一章 总则
第二章 一般规定
第三章 个人信息保护
第四章 重要数据安全
第五章 数据跨境安全管理
第六章 互联网平台运营者义务
第七章 监督管理
第八章 法律责任
第九章 附则

解读
《条例》分别在第三章和第四章规范了个人信息保护和重要数据安全。有人提出，一部《条例》对应两部上位法（《数据安全法》和《个人信息保护法》），在行文上会有难度，是不是有可能制定两部条例，分别落实两部上位法？从立法资源、工作进度等各个方面看，这都是不现实的，目前的体例不大可能会改变。但两部上位法有明显不同，基本不存在交叉，故以一部条例落实两部上位法，在技术上不存在克服不了的困难。
  
具体到如何落实两部上位法，策略是不一样的。《个人信息保护法》已经建立了比较完整、系统的个人信息保护制度，只需要《条例》在若干处进行细化和作个别补充。《数据安全法》明确了数据安全是国家安全的重要组成部分，并建立了一系列从数据安全角度维护国家安全的重大制度，这些基本都不需要《条例》再去补充。但《数据安全法》对数据安全保护的要求比较零散，设立数据分类分级保护制度后，尚未对重要数据提出一整套保护要求，这则需要《条例》去完善。例如，《数据安全法》对重要数据提出了三方面要求，一是重要数据的处理者应当明确数据安全负责人和管理机构，并落实数据安全保护责任；二是重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估；三是重要数据出境管理。显然，这些要求不可能构成重要数据管理制度的主体。
  
以上是《条例》设置第三章和第四章的背景。即，第三章“个人信息保护”本身并不追求完整性，该章与其他章节的个人信息保护要求是对《个人信息保护法》建立的个人信息保护制度的补充完善；但第四章“重要数据安全”及其他章节的重要数据安全要求则与第三章不一样，是为了建立完整的重要数据保护制度。
  
因此，虽然《条例》明确，国家对个人信息和重要数据进行重点保护，且《条例》为此分设了不同章节，但第三章和第四章确立的两个制度的侧重点是不同的。

对应条款
第二十八条 重要数据的处理者，应当明确数据安全负责人，成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下，履行以下职责：

（一）研究提出数据安全相关重大决策建议；
（二）制定实施数据安全保护计划和数据安全事件应急预案；
（三）开展数据安全风险监测，及时处置数据安全风险和事件；
（四）定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动；
（五）受理、处置数据安全投诉、举报；
（六）按照要求及时向网信部门和主管、监管部门报告数据安全情况。
数据安全负责人应当具备数据安全专业知识和相关管理工作经历，由数据处理者决策层成员承担，有权直接向网信部门和主管、监管部门反映数据安全情况。

解读
因重要数据关系国家安全，故对重要数据的安全保护要求远远超出一般数据。首要的区别是，重要数据处理者应当明确数据安全负责人，成立数据安全管理机构。鉴于数据安全负责人要领导数据安全管理机构，数据安全负责人的职责同数据安全管理机构的工作职能是一致的，故《条例》将其列在同一条款之中，未作区分。

数据安全负责人是否可以兼职？数据安全管理机构是否可以挂在既有的部门中？《条例》对此没有明确要求，但是数据处理者必须在组织内落实相应职能，确保数据安全事务有人管、有人办。
  
《条例》列举了数据安全负责人和数据安全管理机构的六项职责。多数容易理解，此处不再赘述，仅对“数据安全保护计划”作说明。
  
“安全保护计划”的概念最初来自于《网络安全法》第三十二条的“安全规划”：负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。但什么是“安全规划”，与人们熟悉的五年规划什么关系？这在当时有多种不同理解。为此，《关键信息基础设施安全保护条例》第二十二条明确，保护工作部门应当制定本行业、本领域关键信息基础设施安全规划，明确保护目标、基本要求、工作任务、具体措施。该条款指出了“安全规划”的基本内容。
  
“数据安全保护计划”继承了这一概念。但有所不同的是，《网络安全法》中的“关键信息基础设施安全规划”是对行业而提的，必然具备宏观性。而《条例》中的“数据安全保护计划”面向的是具体的数据处理者。为此，“数据安全保护计划”除了要明确本组织的数据安全保护目标、基本要求、工作任务、具体措施外，一般还应当涵盖本组织的数据安全制度体系和技术方案，确保可实施、可落地。
  

对应条款
第二十八条 重要数据的处理者，应当明确数据安全负责人，成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下，履行以下职责：
……
数据安全负责人应当具备数据安全专业知识和相关管理工作经历，由数据处理者决策层成员承担，有权直接向网信部门和主管、监管部门反映数据安全情况。

解读
《条例》除明确职责外，还对数据安全负责人的资历及其履职条件作了规定。
  
《条例》要求，数据安全负责人应当具备数据安全专业知识和相关管理工作经历，由数据处理者决策层成员承担。数据安全负责人必须是决策层成员，有权决定组织的重大事项，有能力调动资源，可确保令行禁止，这是任何时候开展工作的前提条件。鉴于数据安全是新生事物，负责人连具备网络安全专业知识往往都有难度，遑论数据安全。故在实操中，建议数据安全负责人应加强培训，必要时获取数据安全相关证书（条例未就持证上岗作明确要求）。
  
本质上，《条例》第二十八条的规定是对《数据安全法》第二十七条的落实。后者规定：重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。但在《条例》之前，还没有法律法规对重要数据处理者在组织机构方面的具体职责进行规定，只是《通用数据保护条例》（GDPR）提出了设立数据保护官（DPO）要求，我国《个人信息保护法》提出了设立个人信息保护负责人要求。由此引出了两个问题：
  
一是，《条例》的“数据安全负责人”同GDPR的DPO有什么异同？除分别关注重要数据和个人信息保护外，数据安全负责人同DPO在职责定位方面有很多是相同的。但数据安全负责人应当是本组织的决策层成员，DPO则可以由外部人员兼职。这与重要数据保护和个人信息保护侧重点不同有关，前者侧重国家安全，关注组织内部事务，不宜由外部人员担任；后者则侧重公众利益，必要时可以强化社会监督色彩。此外，欧盟数据保护委员会针对DPO的能力、任职条件、职责等作了非常详细的要求，《条例》尚未细致到这一步。未来不排除可以通过标准规范等细化对数据安全负责人的有关要求。
  
二是，组织根据《条例》明确数据安全负责人后，还需要再根据《个人信息保护法》明确个人信息保护负责人吗？首先需要指出，《个人信息保护法》没有要求所有企业都设立个人信息保护负责人，而是在第五十二条规定：处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。这个“规定数量”是多少呢？按照《条例》第二十六条的规定，应当是“一百万人以上个人信息”。实践中，如果一个组织既需要明确数据安全负责人，也需要明确个人信息保护负责人，两者可以是同一人，但需分别满足不同法律法规提出的职责要求。
  
《条例》对数据安全负责人提出了一项特别的制度设计——数据安全责任人有权直接向网信部门和主管、监管部门反映数据安全情况，以前很少见到这样的要求。这一规定是考虑到了重要数据对国家安全的影响，故数据安全责任人应当从国家安全角度履行监督职责，因此在制度设计上就要为其履职创造条件，即可以直接向网信部门和主管、监管部门反映情况。这有些类似于纪委的独立监督职能，但在广泛的商业环境下会面临这样的问题：数据安全负责人既然是本组织的决策层成员，自然在人事上完全隶属于本组织，在很多机构特别是民营企业中，其怎么可能会绕过董事会、经营班子而直接向监管部门“告状”呢？除非其不想要饭碗了。
  
这是一个客观上存在的现实问题，但不影响《条例》第二十八条第二款的合理性和必要性。今后可以出台进一步完善关于数据安全负责人制度的规定，特别是建立救济制度，以确保数据安全负责人能顺利履行职责。

【下期预告】
52、如何理解重要数据处理者的备案要求？
53、如何理解对重要数据处理者的培训要求？
54、如何理解重要数据处理者采购网络产品和服务的要求？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？
23、如何理解《条例》提出的网络安全审查要求？
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系？
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求？
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求？
27、为什么对合并、重组、分立或解散、破产提出数据安全要求？
28、为什么要对国家机关专门提出数据安全要求？
29、如何理解对自动化工具访问、收集数据的安全要求？
30、《条例》提出数据安全情况披露要求是基于什么考虑？
31、如何理解对“合法、正当、必要”提出的要求？
32、为什么增加了对处理个人信息“频次”“时机”的要求？
33、为什么要细化对个人信息处理规则的要求？
34、如何理解对个人信息处理规则提出的“清单形式”？
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求？
36、无法对掌握开源第三方代码的个人信息处理规则怎么办？
37、为什么要细化对“同意”的要求？
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息？
39、什么叫做“频繁”征求同意？
40、对个人同意行为有效性存在争议时如何处理？
41、如何理解“十五个”工作日的删除个人信息要求？
42、如何理解“无法避免采集”场景？
43、《条例》从哪些方面保障个人行使查询、复制等权利？
44、如何理解个人信息转移请求？
45、如何理解个人请求直接对外转移个人信息的条件？
46、《条例》对生物特征应用的规定是基于什么考虑？
47、如何理解对生物特征识别的必要性、安全性评估？
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者？

  总编辑|小贝