网络安全和数据合规新规提报2023年8月
AI智能总结
网络安全和数据合规新规提报 |提报期间:2023/08/01-08/31 |发件人:北京市竞天公诚律师事务所 |联系人:周杨zhou.yang@jingtian.com 主题:网络安全和数据合规新规提报期间:2023年8月1日——8月31日 本期提示和分析回顾了2023年8月1日至8月31日期间可能影响企业业务的网络安全和数据合规领域重要新规和重要事件,具体如下所示: 目录 一、国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》1 (一)发布背景1 (二)国际立法1 (三)主要内容和合规要点2 (四)简析和建议3 二、国家网信办发布《移动互联网未成年人模式建设指南(征求意见稿)》4 (一)主要内容4 (二)合规要点4 (三)简析和建议7 三、国家互联网信息办公室发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》9 (一)主要内容9 (二)合规要点9 (三)简析和建议15 四、国标《信息安全技术敏感个人信息处理安全要求》公开征求意见17 (一)主要内容17 (二)合规要点17 (三)简析和建议23 五、《网络安全标准实践指南——生成式人工智能服务内容标识方法》发布25 (一)主要内容25 (二)合规要点25 (三)简析和建议30 六、国标《信息安全技术数据交易服务安全要求(征求意见稿)》发布32 (一)主要内容32 (二)合规要点32 (三)简析和建议34 七、国标《信息安全技术重要数据处理安全要求》征求意见35 (一)主要内容35 (二)合规要点35 (三)简析和建议38 八、国标《信息安全技术基于个人信息的自动化决策安全要求(征求意见稿)》发布 .................................................................................................................................................39 (一)主要内容39 (二)合规要点39 (三)简析和建议42 九、国标《信息安全技术大型互联网企业内设个人信息保护监督机构要求》征求意见 .................................................................................................................................................44 (一)主要内容44 (二)合规要点44 (三)简析和建议45 十、国标《信息安全技术数据安全风险评估方法》征求意见47 (一)主要内容47 (二)合规要点47 (三)简析和建议48 十一、工信部发布《关于开展移动互联网应用程序备案工作的通知》50 (一)主要内容50 (二)合规要点50 (三)简析和建议52 (四)境外APP合规建议53 一、国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》 (一)发布背景 2021年8月正式通过的《中华人民共和国个人信息保护法》(以下简称《“ 个保法》”) 第五十四条和第六十四条中规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计;履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。然而上述关于定期审计和监管审计的两种形式规定并未有进一步的操作细则,导致个人信息处理者的审计义务在履行中存在模糊,因此仍需完善制度体系、明确落地要求。 2023年8月3日,为指导、规范个人信息保护合规审计活动,根据《中华人民共和国个人信息保护法》等法律法规,国家互联网信息办公室起草了《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《办法》”),并向社会公开征求意见。《办法》在之前立法的基础上,规定了审计对象、审计流程、专业机构的要求,同时发布了 《个人信息保护合规审计参考要点》(“《要点》”),对个人信息处理者提出了许多全新的实质性义务规定。本文将对该《办法》的适用范围、个人信息处理者的合规义务以及《要点》内容进行提示和解读,以期为企业提供合规建议和应对方法。 (二)国际立法 自2018年《通用数据保护条例》(GDPR)的出台,为加强对各组织落实GDPR及相关数据保护法律情况的合规监管,英、法、德等多个欧洲国家相继展开了数据保护审计工作。 英国以2018年《数据保护法》第129条和第146条为依据,建立了以自愿审计为主、强制审计为辅的数据保护审计制度,将审计分为第一方审计(内部审计)、第二方审计(供应方、外包方等利益相关方审计)、第三方审计(信息专员办公室审计与第三方机构审计)三类。针对信息专员办公室审计(即ICO审计),英国于2021年11月发布《英国ICO审计指南》,1明确了ICO审计的流程要求,指出其审计范围,包括被审计主体的数据保护组织和制度问题、员工数据保护培训和意识、个人数据的安全、个人权利请求、数据分享、记录管理、以及数据保护影响评估和信息风险管理等事项。对被审计主体的数据保护治理和问责制、员工数据保护培训和意识、个人数据的安全保障、个人权利请求、数据分享、记录管理、以及数据保护影响评估和信息风险管理等事项进行审计。2 法国数据保护局(CNIL)于2020年9月发布《CNIL审计程序指南》,概述了CNIL对组织就GDPR及法国数据保护法(ActNo.78-17of6January1978onDataProcessing,DataFilesandIndividualLiberties)合规情况进行审计的权利与义务,提出现场检查、邀 1参见InformationCommissioner’sOffice,Guidetodataprotectionaudits,https://ico.org.uk/media/for-organisations/documents/4023525/guide-to-data-protection-audits-v1_3.pdf 2贾丹,张誉馨,王姗:《我国个人信息保护合规审计制度的路径探讨》,载《工业信息安全》2022年第 4期。 请面试、在线检查及问卷调查四类审计形式,重点关注被审计主体处理个人数据的目的和法律依据、所收集数据的性质、告知数据主体的方式(特别是权利告知方式)、数据保留期和准确性、个人数据的接收者数据安全控制和数据传输等事项。根据该指南,CNIL无须事先通知便可直接进行现场检查,并可对被审计主体的对抗检查行为进行罚款,也可根据审计结果对被审计主体实施法律制裁。3 (三)主要内容和合规要点 根据《办法》,“个人信息保护合规审计”是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。个人信息处理者有义务定期开展个人信息保护合规审计,或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计;履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。《办法》的合规要点可总结为如下四个方面: 第一,明确审计对象。处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。相关部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者按照上述部门要求开展个人信息保护合规审计的,应当在收到通知后尽快按照要求选定专业机构进行个人信息保护合规审计。 第二,明确审计流程。《办法》规定,个人信息处理者可以由组织内部或者委托专业机构对其个人信息处理活动进行合规审计。其中,按照相关部门要求委托专业机构开展个人信息保护合规审计的,应当在90个工作日内完成个人信息保护合规审计(情况复杂的可适当延长);在实施必要合规审计程序后,及时将专业机构出具的个人信息保护合规审计报告报送相关部门;或者,按照专业机构给出的整改建议进行整改,经专业机构复核后再将整改情况报送相关部门。 第三,明确对专业机构的要求。《办法》要求执行个人信息保护合规审计的专业机构保持独立性和客观性,连续为同一审计对象开展个人信息保护合规审计不得超过三次;不得转包委托第三方开展个人信息保护合规审计;对履行审计职责中获得的信息承担保密责任,保障数据安全。 第四,发布《要点》。《要点》指出个人信息保护合规审计应当首先审查个人信息处理活动的合法性基础条件(是否取得个人同意)。随后,《要点》分别就处理个人信息的告知义务,与他人共同处理个人信息,受委托处理个人信息,因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息,向其他个人信息处理者提供其处理的个人信息,利用自动化决策处理个人信息,公开个人信息,在公共场所安装图像采集、个人身份识别设备,处理已公开个人信息的,处理敏感个人信息,处理不满十四周岁未成年 3同上注。 人个人信息,向境外提供个人信息等多个情形下分别设定重点审查事项,为实际审计管理工作提供操作指南。此外,《要点》还指明了对个人信息删除权和个人行使信息权益权利的审计内容。 (四)简析和建议 虽然《办法》当前处于征求意见阶段、尚未最终出台生效,但对于个人信息处理者开展合规审计的监管已然箭在弦上。为给个人信息保护合规审计提供参考和预期,可以参考国内目前已有的相关研究意见和相关标准。就审计事项的实施而言,2021年12月,信通院牵头成立的“个人信息保护合规审计推进小组”发布了《关于推进个人信息保护合规审计的若干建议》。其中,第三章的“审计内容”根据个人信息处理的具体场景,分别注明了主要风险点和审计重点;第四章的“审计程序”对审计工作进程的安排作出了建议,包括计划制定、方案准备、审计实施、报告跟踪等若干阶段。就审计报告的发布和运用而言,可参考《信息安全技术个人信息保护合规审计指南(草稿)》,自主审计形成的报告可由个人信息处理者自主决定是否向利益相关方发布,并可作为其在合规整改、司法判定等事项上的证明文件。此外,不同行业监管部门会在个保法和《审计办法意见稿》的基本框架下制定具体的行业标准(如《个人金融信息保护技术规范》),企业开展合规审计工作时还需要参照执行。 需要注意的是,《要点》特别提出了大型互联网平台运营者的合规审计要求:大型互联网平台运营者应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。审计时,应当对独立机构的独立性、履职能力、监督作用等进行评价;重点关注大型互联网平台规则的合法合规性、公平公正性和个人信息保护条款有效性。大型互联网平台运营者有义务对其平台内产品或者服务提供者的个人信息处理活动进行监督,有义务每年发布社会责任报告。审计社会责任报告时需重点审查个人信息保护组织架构和内部管理情况、个人信息保护能力建设情况、重大个人信息安全事件处理情况等内容的披露情况。 从《办法》目前的内容可以看出,其出台旨在对《个人信息保护法》实现进一步落实。因此企业应当随时关注《办法》的更新和实施动态,关注合规审计工作指向的关键事项和风险要点提示。我们建议企业根据《办法》和《要点》的要求,深度结合自身所处行业的经营特征、监管要求和审计经验,建立起具体的内部个人信息合规审计制度,及时整改合规风险、充分保障个人信息权益。 二、国家网信办发布《移动互联网未成年人模式建设指南(征求意见稿)》 (一)主要内容 为切实强化未成年人网络保护,近年来,国家网信办指导网站平台持续推进青少年模式建设,扩大覆盖范围,优化功能设置,丰富适龄内容。模式自上线以来,普及率稳步提升,在帮助未成年人减少网络沉迷和不良信息影响方面发挥了积极作用。 为进一步提升模式效能,立足未成年人网络保护新形
