本文来自微信公众号“安全学习那些事儿”。
2024年5月24日,杭州互联网法院在“中国数谷”举行数据要素产业生态共建活动,并现场发布《引导企业数据健康发展行为指引》。《行为指引》坚持政治引领、问题导向,聚焦市场主体在大数据产业发展中的热点和难点问题,具有积极推动企业数据赋能、不断强化企业数据合规管理、有效应对当前数据安全形势的特点。
《行为指引》共分为数据收集与存储、数据开发利用与加工处理、数据交易、数据出境、数据风险识别与安全保护、附则六大部分内容。
一、数据收集与存储
(一)企业应当遵循合法、正当、必要的原则收集数据,可以适度使用其他经营者控制的具有商业价值的数据。
法律、法规对收集、使用数据的目的、范围有规定的,应当在规定的目的和范围内收集、使用数据。
(二)企业应当按照个人授权范围依法依规收集个人数据,法律、法规规定收集数据应当取得个人单独同意或书面同意的,从其规定。
企业应当对所收集的个人数据进行去标识化或者匿名化处理,记录数据处理全流程,不得泄露或者篡改收集的个人数据,不得违反法律、法规规定和双方约定收集、使用个人数据,并应当依照法律、法规规定和双方约定,处理其保存的个人数据。
(三)企业在经营管理过程中向第三方获取数据时,还应对第三方收集数据的方式是否合法、合规进行审查。
(四)企业不得非法收集、利用、交易涉及国家安全、公共安全、个人隐私、商业秘密、军工科研生产等数据。
企业收集数据不得损害被收集人和他人的合法权益。
(五)企业不得实施下列行为,不正当获取或者使用其他经营者的商业数据,损害其他经营者和消费者的合法权益,扰乱市场公平竞争秩序:
1.以盗窃、胁迫、欺诈、电子侵入等方式,破坏技术管理措施,不正当获取其他经营者的商业数据,不合理地增加其他经营者的运营成本、影响其他经营者的正常经营;
2.违反约定或者合理、正当的数据抓取协议,获取和使用他人商业数据,并足以实质性替代其他经营者提供的相关产品或者服务,影响其他经营者的正常经营;
3.披露、转让或者使用以不正当手段获取的其他经营者的商业数据,并足以实质性替代其他经营者提供的相关产品或者服务;
4.以违反诚实信用和商业道德的其他方式不正当获取和使用他人商业数据,严重损害其他经营者和消费者的合法权益,扰乱市场公平竞争秩序。
(六)企业应当对数据存储进行分域分级管理,选择安全性能、防护级别与安全等级相匹配的存储载体。对敏感个人数据和国家规定的重要数据还应当采取加密存储、授权访问或者其他更加严格的安全保护措施。
二、数据开发利用与加工处理
(七)企业可以依法使用、加工合法取得的数据,并对依法通过实质性加工和创新性劳动形成的数据产品和服务获取收益。
企业在使用、加工等数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展的有关数据创新活动取得的合法权益受法律保护。
(八)鼓励企业依法采集生产经营活动各环节的数据,开展数据基础研究和关键核心技术攻关,对非公共数据开展分析发掘和增值利用,促进市场主体开展多样化数据处理活动,提升非公共数据质量和价值。结合开放的公共数据,坚持市场和服务导向,开发行业大数据产品,利用数据资源发展新产业、新业态、新模式,发挥数据资源的经济价值和社会效益。
(九)鼓励探索企业数据授权使用新模式,发挥国有企业带头作用,引导行业龙头企业、互联网平台企业发挥带动作用,促进与中小微企业双向公平授权,共同合理使用数据,赋能中小微企业数字化转型。
支持第三方机构、中介服务组织加强数据采集和质量评估标准制定,推动数据产品标准化,发展数据分析、数据服务等产业。
(十)鼓励企业依法通过省级一体化大数据中心或其他平台共享开放其合法收集的非公共数据和自有商业数据,法律、法规规定不得共享开放的除外。
(十一)企业进行数据开发利用应当遵守反垄断、反不正当竞争、消费者权益保护等相关法律、法规的规定,遵守商业道德和职业道德,尊重社会公德和伦理,不得利用市场支配地位从事操纵市场、设置排他性合作条款等活动,不得滥用大数据分析等技术手段,基于个人消费数据和消费偏好设置不公平交易条件或者诱导用户沉迷、过度消费的数据服务规则,侵犯消费者合法权益。
(十二)企业开展数据加工处理活动,应当遵守法律法规和强制性国家标准,遵守公序良俗,并对数据处理全流程进行记录,保障数据来源合法以及处理全流程清晰、可追溯。
企业处理个人信息等数据应当遵循合法、正当、必要和诚信的原则。企业处理生物识别数据的,应当在征得相关自然人明示同意时,提供处理其他非生物识别数据的替代方案,但处理生物识别数据为处理个人数据目的所必需且不能为其他个人数据所替代的除外。
(十三)企业进行数据加工处理时不得实施以下行为:
1.危害国家安全、荣誉和利益,泄露国家秘密;
2.侵害他人人格权、知识产权和其他合法权益等;
3.通过窃取或者其他非法方式获取数据;
4.非法出售或者以其他非法方式向他人提供数据;
5.制作、发布、复制、传播违法信息;
6.法律、法规禁止的其他行为。
任何个人和组织知道或者应当知道他人从事前款活动的,不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。
三、数据交易
(十四)企业依法获取的数据经过处理无法识别特定个人且不能复原的,或者取得特定数据提供者明确授权的,可以交易、交换或者以其他方式开发利用。
企业应当审慎对待原始数据的流转交易行为。
(十五)企业应积极参与数据要素市场的建设,针对数据的收集、加工整理、共享利用、交易流通等方面,依法承担相应责任。
在数据交易过程中,企业应当强化自我约束,向数据商及第三方专业服务机构提供流通交易声明和数据安全承诺书。
(十六)企业可以通过依法设立的数据交易所或者数据交易中心进行数据交易撮合、签订合同、业务结算等活动,也可以依法自行交易。
从事数据交易活动的市场主体可以依法自主定价。
(十七)企业参与数据交易,应保证数据来源符合法律规定,通过授权获得的数据,应有主体明确的授权同意,不存在侵害国家、公共利益和其他组织、个人合法权益的情形。
企业应保障交易数据内容的合法真实有效性、完整性,应与交易相对方签订数据交易使用协议,明确数据交易的目的、使用范围、方式等事项,以及发生争议的解决途径。对于数据交易前超出可预见范围和技术控制能力的数据瑕疵,在采取必要补救措施后仍造成相关损失的,应允许企业通过事前约定等方式减轻或免除相关责任。
(十八)企业合法处理数据形成的数据产品和服务可以依法交易,有下列情形之一的除外:
1.危害国家安全、公共利益,侵犯他人合法权益、个人隐私的;
2.未经合法权利人授权同意的;
3.法律、法规禁止的其他情形。
(十九)企业不得根据交易相对人的偏好、交易习惯等特征,利用数据分析对交易条件相同的交易相对人实施不合理的差别待遇等违法行为,有下列情形之一的除外:
1.根据交易相对人的实际需求,且符合正当的交易习惯和行业惯例,实行不同交易条件的;
2.针对新用户在合理期限内开展优惠活动的;
3.基于公平、合理、非歧视规则实施随机性交易的;
4.法律、法规规定的其他情形。
前款所称交易条件相同,是指交易相对人在交易安全、交易成本、信用状况、交易环节、交易持续时间等方面不存在实质性差别。
四、数据出境
(二十)企业的数据出境行为包括以下情形:
1.企业将在我国境内运营中收集和产生的数据传输、存储至境外;
2.企业收集和产生的数据存储在我国境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
3.国家网信部门规定的其他数据出境行为。
非经国家主管机关批准,我国境内的组织、个人不得向外国司法或者执法机构提供存储于我国境内的数据。
(二十一)企业向境外提供个人数据时,应符合《个人信息保护法》第四十条规定,并按照国家网信部门规定经个人信息保护认证。
企业应向个人告知境外接收方的名称、联系方式、处理目的、个人信息的种类等,并应经过个人单独同意。企业应进行个人信息保护影响评估,并对处理情况进行记录。
(二十二)企业向境外提供重要数据及符合《数据出境安全评估办法》第四条规定的数据处理者等提供个人信息的,应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
企业应当对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。
企业对于数据出境安全评估结果有异议的,应根据国家相关规定申请复评,复评结果为最终结论。
(二十三)企业在申报数据出境安全评估前,应自行就境外接收方处理数据的目的、范围、方式以及出境数据的规模、种类、敏感程度等进行数据出境风险评估,在评估的基础上采取必要的安全保护措施,并向省级网信部门提交申报书、数据自评估报告、与境外接收方拟定的法律文件和其他材料,申请数据出境风险评估。企业应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务。
企业向境外提供个人信息前,应当开展个人信息保护影响评估,除上述第一款规定的评估内容外,还应重点评估下列内容:
1.境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
2.个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
3.境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
4.其他可能影响个人信息出境安全的事项。
(二十四)企业应当建立数据出境安全监测机制及数据出境应急响应机制,对数据出境情况进行实时监测,发现数据出境活动存在较大风险或者发生安全事件的,应当及时进行整改消除隐患,并参照本指引第五部分规定进行处理。
五、数据风险识别与安全保护
(二十五)鼓励企业实行数据安全责任制。数据处理者是数据安全责任主体,同时存在多个数据处理者的,分别承担各自安全责任。企业因合并、分立、收购等变更的,由变更后的企业继续落实数据安全管理责任。
(二十六)企业应当建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度进行分类分级,针对不同类别级别的数据采取相应的安全保护措施,制定相应的合规政策与制度。
(二十七)企业开展数据处理活动应当依法履行下列数据安全保护义务:
1.建立健全全流程数据安全管理制度;
2.组织开展数据安全教育培训;
3.制定数据安全应急预案,开展应急演练;
4.加强风险监测,对数据分类分级保护、数据安全措施、数据处理合规情况等进行动态实时监管评估,发现数据安全缺陷、漏洞等风险以及侵犯个人信息、非法获取计算机信息系统数据、传播违法信息、侵犯知识产权、非法跨境提供数据等刑事犯罪风险时,立即采取补救措施;
5.发生数据安全事件时,立即采取处置措施,启动应急预案,及时告知可能受到影响的用户,并按照规定向有关主管部门报告;
6.采取安全保护技术措施,防止数据丢失、篡改、破坏和泄露,保障数据安全;
7.利用互联网等信息网络开展数据处理活动时,落实网络安全等级保护制度,保障数据安全;
8.法律、法规规定的其他安全保护义务。
(二十八)企业在处理重要数据或敏感个人数据时应当明确数据安全责任人和管理机构,在处理重要数据时还应当定期对数据处理活动开展风险评估,并依法向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
企业对可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。
企业开展影响或者可能影响国家安全的数据处理活动,应当按照国家有关规定,申报网络安全审查。
六、附则
(二十九)本指引所称的用语含义如下:
1.数据,是指以容量大、类型多、存取速度快、应用价值高为主要特征的,由经营者依法收集、具有商业价值并采取相应技术管理措施的数据集合。
2.重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
3.个人数据,是指载有以电子或者其他方式记录的与已识别或者可识别的自然人信息的数据,不包括匿名化处理后的数据。
4.敏感个人数据,是指一旦泄露、非法提供或者滥用,可能导致自然人受到歧视或者人身、财产安全受到严重危害的个人数据,具体范围依照法律、法规的规定确定。
5.生物识别数据,是指对自然人的身体、生理、行为等生物特征进行处理而得出的能够识别自然人独特标识的个人数据,包括自然人的基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等数据。
6.数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
7.数据出境,是指数据处理者向境外提供在我国境内运营中收集和产生的重要数据和个人信息。
8.数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
(三十)本指引不具有强制性,法律、法规对数据产业发展另有专门规定的,从其规定。