《中华人民共和国数据安全法》(下文简称为《数据安全法》)自2021年6月10日正式通过,于2021年9月1日正式生效。截止至2023年6月17日,我们收集到行政机关依据《数据安全法》启动的系列执法通报,公开发布依据《数据安全法》作出行政处罚决定典型案例34起。本文结合公开渠道积累的《数据安全法》实施案例,总结实务中适用法律的主要情况和存在的问题。

《数据安全法》执法通报情况

2021年以来,各级网信部门依法开展数据安全领域执法。针对滴滴企业版等25款移动应用程序存在严重违法违规收集使用个人信息问题,依法通知应用商店下架相关应用,要求相关运营者严格按照法律要求,参照国家有关标准,认真整改存在的问题,保障广大用户个人信息安全。针对“美原油”“链工宝”“快输入法”等移动应用程序存在违法收集使用个人信息问题,依法对其采取下架处置措施。针对“伴圈”“AI换脸相机”等多款新技术新应用未经评估上线且存在风险的移动应用程序,依法予以下架处置。[1]2022年,国家网信办加强对地方网信部门工作指导,持续加大数据安全领域的网络执法力度,依法查处人民群众反映强烈的、存在以强制、诱导、欺诈等恶意方式违法违规处理个人信息行为的“超凡清理管家”等294款APP。针对具有舆论属性或社会动员能力的“空空语音”等44款APP存在未按要求开展安全评估等违法违规行为,依法对其予以下架处置。[2]针对“农天堂”等存在违法违规收集使用个人信息问题的移动应用程序,依法采取下架处置。针对“光影换脸秀”“交友吧”“趣卡点”等新技术新应用未经评估上线且存在安全风险的移动应用程序,依法予以下架处置。针对“B612咔叽”“一甜相机”“卡通漫画脸”等应用程序中部分未经评估上线且存在安全隐患的功能,依法予以下线处置。[3]

根据《数据安全法》执法通报情况,行政机关持续加大数据安全领域的网络执法力度,解决的数据安全领域执法的主要问题包括平台以强制、诱导、欺诈等恶意方式严重违法违规收集使用个人信息,未按要求开展安全评估且存在安全隐患问题等。

《数据安全法》典型案例

截止至2023年6月17日,本文收集到行政机关适用《数据安全法》作出行政处罚决定典型案例34起。本文所总结的行政处罚案件数据主要来源于国家互联网信息办公室网站上的行政处罚决定记录以及微信公众号等媒体报道。根据本文总结的典型案例情况,2021年数据安全领域的行政执法案例共4起、2022年案例共7起、2023年1月至6月案例共23起。行政机关作出行政处罚的法律依据为《数据安全法》第二十六条、第二十七条、第二十九条、第三十一条、第三十三条、第四十五条。

案例主要存在以下三方面问题:第一,在国家数据主权和数据安全层面,数据处理者未遵守数据交易安全的规定,擅自向境外提供重要数据。企业采集的部分数据可能属于国家重要情报,泄露该类数据将会危害国家安全。数据分类分级保护制度有待完善,需要加强对重要数据的保护。第二,在企业数据安全层面,案涉企业未及时落实数据安全管理制度和操作规程,未对单位员工开展正规的数据安全人才培训,未落实网络安全等级保护制度,系统存在未授权访问漏洞(比如办公电脑未设置开机密码等问题),缺少数据安全风险评估和监测以及应急处置制度,系统存在重大数据安全隐患。第三,在敏感个人信息层面,敏感个人信息主要包括姓名、性别、身份证号、用药情况等。互联网平台过度收集个人敏感数据造成数据垄断。数据处理者未履行数据安全保护义务,未采取任何防篡改、防泄漏、防侵入等技术措施,未对敏感数据采取去标识化和加密措施等技术保护措施,导致平台数据泄漏或存在数据泄露风险。

在处罚种类和处罚力度方面,行政机关对行政相对人的处罚种类为《数据安全法》第46条[4]规定的罚款、行政警告处罚并责令限期改正。绝大多数案件未造成实质性危害后果,处罚决定为行政警告处罚并责令限期改正。少数案涉企业造成了数据泄露或存在较大泄露风险的危害后果,行政机关作出的处罚决定为对企业处以罚款和对直接责任人处以罚款,行政处罚金额幅度为五万至二十万。

行政执法案例分类总结

数据安全问题可以分为维护数据主权的国家视角、提升企业竞争力并促进数字经济发展的企业视角和维护个人数据权利的个人视角。[5]本文将通过以上三个视角汇总并分析执法案例的情况和存在的问题。

(一)国家数据安全

1、数据情报泄露[6]

2021年12月31日首例涉及高铁运行安全的危害国家安全类案件,该案件是《数据安全法》实施以来,首例涉案数据被鉴定为情报的案件,所涉及的是企业在数据处理过程中很可能会忽视的国家安全问题。上海某信息科技公司接受一境外公司委托,在对方规定的北京、上海等16个城市及相应高铁线路上采集了我国铁路信号数据(包括物联网、蜂窝和高铁移动通信专网敏感信号等数据),并在数据采集设备上为该境外公司开通了远程登录端口,方便境外公司实时获取对应的测试数据。经鉴定,两家公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号。GSM-R是高铁移动通信专网,直接用于高铁列车运行控制和行车调度指挥,是高铁的“千里眼、顺风耳”,承载着高铁运行管理和指挥调度等各种指令。境内公司的行为是《数据安全法》《无线电管理条例》等法律法规严令禁止的非法行为。相关数据被国家保密行政管理部门鉴定为情报。

此案件涉及到数据出境安全评估的问题。数据出境是指数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息。[7]数据出境存在危害国家安全的风险,而且重要数据等国家数据安全泄露的风险高于企业数据和个人数据。对于数据出境等数据安全问题,我国目前具有“1+3+N”格局的数据监管法律法规体系,“1”是指《国家安全法》,“3”是指《数据安全法》、《网络安全法》和《个人信息保护法》,“N”是数据安全领域的其他法律法规,包括《生物安全法》、《数据出境安全评估办法》和《网络安全审查办法》等法律法规。《天津市数据安全管理办法(暂行)》《贵州省大数据安全保障条例》等地方规范性文件也对数据安全问题作出更详细的规定。数据出境安全问题也涉及到《国家情报法》的相关规定。

根据《数据安全法》第三十一条[8]和《网络安全法》第三十七条[9]的规定,数据处理者需要遵守数据安全流动原则和数据自由流动原则。数据处理者若向境外提供在中华人民共和国境内收集和产生的重要数据,应当开展数据出境风险自评估,并通过所在地省级网信部门向国家网信部门申报数据出境安全评估。根据《数据出境安全评估办法(征求意见稿)》第4条规定,除了重要数据外,关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息以及自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息的,也应当进行出境安全评估。[10]《数据出境安全评估办法(征求意见稿)》规定了数据出境评估的具体程序要求。

为协调数据出境所带来的国家安全和交易利益之间的位阶冲突,需解决数据出境所涉及的数据合规的重要问题。但是,相关法律法规并未规定数据的情报属性的判断要素,数据出境合规缺乏系统性的规定,数据处理者难以建立完善的数据出境保障体系。在泄露高铁情报案件中,案涉企业未进行数据合规性审查,未贯彻落实总体国家安全观。企业获取高铁数据应当经过铁路部门许可,在数据出境前进行数据风险自评估并向行政机关申报,并设置专业的数据合规人员对数据交易合同进行实质性审查。[11]其次,数据处理者承担责任义务的形式不够全面,《数据安全法》第八条虽然规定企业应当遵守商业道德和职业道德,但是没有规定企业履行数据安全义务的具体要求。[12]《数据安全法》第四十五条规定的责任形式包括约谈、责令整改、给予警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,但是基于数据安全领域的特殊性,需要加强事后制裁的力度,应当增加相关责任人的职业禁止、计入诚信档案等条款。[13]

2、数据违法出境[14]

2021年3月,马斯克承认特斯拉车内的摄像头可以监测车主,而民众更大的担忧来自特斯拉数据存储于海外服务器,可能导致国家安全信息、地理信息等关键敏感数据泄露。5月25日晚,特斯拉官方微博发布消息称:已经在中国建立数据中心,以实现数据存储本地化,并将陆续增加更多本地数据中心。所有在中国大陆市场销售车辆所产生的数据,都将存储在境内。同时,特斯拉表示,将向车主开放车辆信息查询平台。《数据安全法》第三十一条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定”。《网络安全法》和《关键信息基础设施安全保护条例》规定,交通行业领域以及提供“云计算、大数据等大型公共信息网络服务”的单位,其运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围。因此,特斯拉作为新能源汽车品牌,其在处理交通领域相关数据时,鉴于所涉行业的公共利益特殊性以及数据处理体量,存在被界定为关键信息基础设施运营者的可能。而如若其在开发利用中华人民共和国境内运营收集和产生的重要数据过程中,擅自向境外提供重要数据,则很有可能面临《数据安全法》第四十六条第一款所规定的责令改正、警告、暂停相关业务、停业整顿、吊销许可证以及罚款等行政处罚措施。

特斯拉案件涉及到了重要数据泄露的问题。特斯拉公司涉嫌过度收集个人信息等数据,违反了《数据安全法》关于重要数据的规定,不利于国家政治安全和社会秩序稳定。我国数据安全领域需要加强行业自律并加强政府的监管力度和跨境监管合作,及时发现并处理重要数据泄露问题,保护国家安全和数据主权不受侵犯。

(1)重要数据范围界定

首先,重要数据的范围界定存在困难。根据《数据出境安全评估办法》第十九条规定,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。《信息安全技术数据出境安全评估指南(草案)》附录A“重要数据识别指南”以列举的方式划定重要数据的范围,包括石油、天然气、电力、通信等28大类行业领域的数据。《汽车数据安全管理若干规定(试行)》规定,汽车领域的重要数据包括军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;车辆流量、物流等反映经济运行情况的数据;汽车充电网的运行数据;包含人脸信息、车牌信息等的车外视频、图像数据;涉及个人信息主体超过10万人的个人信息等。[15] 此外,《信息安全技术重要数据识别指南(征求意见稿)》规定了重要数据的识别方法。《评估办法》和《评估指南(草案)》等规定虽然具有一定的参考性,但是由于重要数据界定的范围过于广泛,可操作性不强,反而增加了行政机关的执法难度。

(2)《数据安全法》原则性规定增加合规成本

其次,《数据安全法》多为原则性的规定,增加了企业的合规成本。《数据安全法》第二十一条规定了国家数据安全工作协调机制统筹协调有关部门制定重要数据目录并加强对重要数据的保护,第二十七条规定重要数据处理者应当明确数据安全负责人和管理机构,第三十条规定了重要数据风险评估报告义务,包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。因此,企业等数据处理者应当根据《数据安全法》等法律规定制定重要数据目录并改进重要数据安全保护体系,培养专业的数据安全负责人并构建管理机构,提升数据安全保护技术水平。企业在识别重要数据后,应当根据《网络数据安全管理条例(征求意见稿)》第二十九条的规定,在15个工作日内要向设区的市级网信部门进行备案。但是,《数据安全法》多为原则性规定,未规定“重要数据”的范围、划分标准,不利于确定重要数据目录,缺少数据分类分级的具体标准,可能会导致不同地区、不同行业对数据分类分级标准的规定存在较大差异,增加了企业数据合规成本。《数据安全法》第二十四条规定的数据安全审查制度不够具体,缺少数据审查主体、审查内容和审查程序等具体的要求,导致我国数据安全标准法律体系不具备统一性,有关部门难以有效规制企业的数据收集行为。最后,《数据安全法》第三十条规定了重要数据处理者的定期风险评估义务,但是“定期”属于不确定的法律概念,可操作性不强,易导致数据处理者怠于履行此项义务,监管部门滥用自由裁量权的风险较大。《网络数据安全管理条例(征求意见稿)》第三十二条细化了定期风险评估的规定,数据处理者应当每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。年度数据安全评估报告的内容包括:处理重要数据的情况;发现的数据安全风险及处置措施;数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性;落实国家数据安全法律、行政法规和标准情况;发生的数据安全事件及其处置情况;共享、交易、委托处理、向境外提供重要数据的安全评估情况;数据安全相关的投诉及处理情况。数据处理者应当保留风险评估报告至少三年。

3、拒不配合数据调取

案例[16]:现查明2022年1月28日,违法行为人韦某乘坐飞机(航班号HU7375)从广东深圳直达广西百色巴马机场,后由韦某堂哥韦建锋开车到巴马机场接送韦某回到田阳区田州镇万和新城小区居住,公安民警向韦某了解情况时,韦某却瞒报行程轨迹信息,后被公安民警查实。根据《数据安全法》第三十五条之规定,拟对违法行为人韦某处以罚款二百元的处罚。

《数据安全法》第三十五条规定,“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。”《数据安全法》是我国首次从立法层面规定了国家机关的数据调取权和公民的配合调取义务。公民具有配合数据调取的义务,应当及时向公安机关和国家安全机关提供必要的工作支持与协助,降低国家机关的调查成本,以便国家安全工作的顺利进行。企业和个人拒不配合数据调取的,根据《数据安全法》第四十八条的规定,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

但是,当数据调取工作方式不当时可能会给被调查人增加负担。在《数据安全法》颁布实施前,国家机关调取数据时普遍存在过度调取、重复调取、多头调取的问题,侵犯了企业数据财产权和公民的个人信息自决权,而且缺少相应的救济途径。[17]根据《数据安全法》的规定,国家机关的数据调取行为应当严格遵循合法、必要、正当的原则,调取数据不得超出法律规定的范围和目的,只有在维护国家安全或者侦查犯罪的需要时才能调取必要范围内的数据。但是,《数据安全法》第三十五条只是原则性地规定了国家机关需要遵守严格的审批手续要求,但是缺少审批的主体、流程、内容等具体操作要求,需要援引其他法律法规予以补充。国家机关调取数据行为的监管制度也有待完善,从而避免数据调取权力过度扩张,保护公民和企业的数据权益。

(二)企业数据安全

平台的数据安全保障义务包括数据安全管理制度、履行个人信息权利保护义务、监管配合义务等三个维度。[18]实务中的主要问题为企业并未履行构建数据安全管理制度的义务、未履行个人信息权利保护义务。

1、未完全执行数据安全保护措施

案例1[19]:2023年4月3日,新安县公安局网安部门接上级下发线索:新安县经济技术开发区某平台数据库疑似发生数据泄漏事件。我局网安部门在市局的现场指导下立即对该公司进行了相关检查,调查发现该平台上线运行后未关闭免登录访问漏洞,存在重大网络安全隐患,导致平台数据泄漏。4月7日,警方依据《中华人民共和国网络安全法》第59条第一款,对新安县某区处以行政警告并责令整改;依据《中华人民共和国数据安全法》第27、45条,对该公司处以行政警告并处罚款20万元的处罚,并责令其对存在问题进行整改。

案例2[20]:2023年4月13日,分局网安大队、隆湖派出所在案件办理中发现,犯罪嫌疑人刘某某等三人在大武口区隆湖某通讯店内,先后办理了14张手机卡,全部提供给境外犯罪分子用于电信网络诈骗,分局网安大队快速反应,严查刘某某等三人异常的办卡行为。经询问,该通讯店在未询问办卡原由的情况下,就给刘某某等三人办理了14张手机卡用于违法犯罪活动。依据公安部“一案双查”的要求,网安大队对该通讯店进行突击检查,发现其存在办公电脑未设置开机密码、未设置建立数据安全管理制度和未组织数据安全教育培训等违法行为,违反了《中华人民共和国数据安全法》第二十七条、第四十五条第一款之规定,对该通讯店以未落实数据安全保护责任移交隆湖派出所进行处理,对其予以行政警告处罚,责令限期整改。

案例3[21]:2023年4月21日,株洲市公安局天元分局网安大队接株洲市网络与信息安全信息通报中心通报,株洲某医院网站存在跨站脚本漏洞,经网安大队检查发现,该院未按照《中华人民共和国数据安全法》规定,及时落实数据安全管理制度,开展数据处理活动,未及时加强风险检测,存在数据泄露风险。株洲市公安局天元分局根据《中华人民共和国数据安全法》第二十七条、第二十九条、第四十五条之规定,给予该医院警告,并责令限期改正。

案例4[22]:2023年4月,郴州市XX单位未按照《中华人民共和国数据安全法》制定相应方案,未制定保障数据安全制度,未分级分类,未开展年度常态化技术检测,未履行数据安全保护义务。根据《中华人民共和国数据安全法》第27条和第45条之规定,对郴州市XX单位予以行政处罚。

案例5:2023年5月30日,南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定,对江西某股份有限公司处以警告、罚款50万元,对直接负责的主管人员处以罚款5万元的行政处罚。理由包括①该公司的OA系统和服务器内存储了大量敏感数据,但该公司履行数据安全保护义务不到位,OA系统感染了可获取服务器文件管理权限和命令执行权限的木马程序,相关行为违反了《中华人民共和国数据安全法》第二十七条规定;②该公司开展数据处理活动未加强风险监测,在发现数据安全漏洞风险和事件时未采取补救措施,未履行风险监测、补救处置等义务,相关行为违反了《中华人民共和国数据安全法》第二十九条规定。

在此类案例中,数据处理者应当搭建完善的数据安全管理制度,从网站技术搭建、员工教育培训、风险评估和监管、安全维护等多方面保证数据安全。以上案例中,案涉企业未制定数据安全管理制度和操作规程,没有对单位的数据运营和管理员工开展正规的数据安全教育培训,对采集的数据未采取安全防护技术等安全管理措施,导致网站存在跨站脚本漏洞等问题,无法及时监测并评估其所采用的智能数据平台带来的数据安全风险。平台也缺少数据安全审查机构和程序性规定,不具备数据安全维护的能力和数据泄露后的应急处理能力,缺少数据安全预警和向监管部门报告的完整机制。因此,企业应当提升平台数据防护系统的安全性,完善安全审查技术和审查程序,通过部门协同机制高效率地处理内部数据系统漏洞和外界非法攻击问题,定期对平台网站进行数据风险监测工作并制定数据风险应急方案,全面提升数据风险应急解决能力。

2、未经授权将政务数据上传云平台导致泄露

政务数据往往由政府职能部门委托外部组织开发运营的系统进行采集、存储和利用,但是其初始控制权归属于政府职能部门,受托组织未经授权披露数据属于违约违法行为,导致数据泄露的应当承担数据安全责任。

案例:2023年6月16日,公安部网安局发布一则案例,浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中,在未经建设单位同意的情况下,将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上,且未采取安全保护措施,造成了严重的数据泄露。浙江温州公安机关根据《中华人民共和国数据安全法》第四十五条的规定,对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。

3、未履行个人信息权利保护义务

案例1[23]:2022年2月,在开展广州民生实事“个人信息超范围采集整治治理”专项工作中,广州警方检查发现,广州某公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条,但该公司没有建立数据安全管理制度和操作规程,对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施,系统存在未授权访问漏洞等严重数据安全隐患。系统平台一旦被不法分子突破窃取,将导致大量驾校学员个人信息泄露,给广大人民群众个人利益造成重大影响。根据《中华人民共和国数据安全法》第二十七条,广州警方对该公司未履行数据安全保护义务的违法行为,依法处以警告并处罚款人民币5万元的行政处罚。

案例2[24]:2022年5月,枣庄网警在执法检查中发现,某公司自建收费系统,通过公众号采集公民个人信息,存储在第三方云平台上,但对采集的数据未采取安全防护技术措施,未依法履行网络安全保护义务。枣庄市台儿庄网警根据《中华人民共和国数据安全法》第二十七条第一款、第四十五条第一款之规定,对该公司予以行政警告处罚,并责令改正。这是山东省办理的首起适用《数据安全法》的行政处罚案件。

案例3[25]:2023年2月,湖南省长沙市公安局岳麓分局网安部门工作发现,辖区某电商平台存在数据泄露隐患,迅速组织专业技术人员调取日志并约谈单位相关责任人员。经查,该企业服务器存在未授权访问漏洞,用户隐私数据存在泄露风险。通过进一步核实,该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度。长沙市公安局岳麓分局根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该企业警告,并处罚款五万元,对直接责任人处罚款一万元,责令限期改正。

案例4[26]:2023年3月13日,邵东市网信办和市公安局网络安全保卫大队民警对辖区单位开展网络安全和数据安全检查时,发现辖区内两家单位疑似存在数据泄露风险,开具两张罚单。经查,两家单位没有制定数据安全管理制度和操作规程,没有对单位员工开展正规的数据安全教育培训,没有采取任何防篡改、防泄漏、防侵入等技术措施,用户个人信息数据存在泄露风险。根据《中华人民共和国数据安全法》第四十五条和《湖南省网络安全和信息化条例》第二十六条、三十三条、第五十五条之规定,邵东市网信办联合市公安局对未履行数据安全保护义务的这两家单位负责人进行约谈,对两家单位依法予以行政警告处罚,要求切实履行主体责任,及时清理处置网络安全隐患。两家单位负责人均表示接受处罚并且立即按要求整改到位。

在此类案例中,企业应当履行个人信息权利保护义务,即对以电子方式存储在企业平台的公民个人信息存在安全保护义务。企业的个人信息权利保护义务的内容主要为数据处理义务人建立完善的数据安全制度和员工培训体系,通过采取相应的技术措施和其他必要措施在网络安全等级保护制度的基础上防止个人信息泄露,比如采取去标识化和加密措施;同时平台配备风险监测制度,在发生数据泄露后应当及时采取补救和处置措施,包括及时告知用户并向有关主管部门报告。第一,平台应当对个人信息采取加密、去标识化的技术措施,提升平台的访问技术难度,降低个人信息泄露风险。但是,《数据安全法》第二十七条和第二十九条的规定较为原则性,未详细规定“技术措施和其他必要措施”的种类和方法。实务中案涉公司的平台存储了公民的姓名、身份证号、手机号、个人照片等大量个人信息,但是存在未设置开机密码、跨站脚本漏洞、未关闭免登录访问等重大疏漏,不符合《个人信息保护法》第五十一条对于个人信息加密、去标识化的要求和《数据安全法》第二十七条的技术措施要求,无法防范网络黑客攻击、计算机病毒等风险,存在数据泄露或数据被非法篡改的风险,极大地损害了公民的个人隐私权和网络安全、数据安全。第二,案涉平台未履行《数据安全法》第二十九条和《个人信息保护法》第五十七条规定的风险监测义务和补救义务。在网站存在跨站脚本漏洞时数据处理者未及时加强风险检测,未及时修复网站漏洞并设置访问权限。如果平台对风险的监测不及时导致数据泄露,应当通知有关主管部门和涉及的相关平台用户,减少对个人信息权益的损害。第三,《数据安全法》第二十八条[27]对于数据处理和研发义务的规定缺少配套的责任条款,企业开展数据研发活动的主观动力不足,在缺少强制性责任条款的情况下难以有效维护数据安全。

5、类案不同罚

案例1[28]:全南县公安局网安大队在开展网络和数据安全监督检查时,发现某公司疑似存在网络数据泄露隐患。随即,全南网警组织人员调取相关信息并约谈涉案人员。经查,该公司相关服务器存在未授权访问漏洞,用户隐私数据存在泄露风险。同时,未落实数据安全保护责任,未开展等级保护备案工作,相关数据安全保护规章制度形同虚设。该公司严重违反了《中华人民共和国数据安全法》第二十七条、第二十九条规定。2023年4月21日,全南县公安局根据《中华人民共和国数据安全法》第二十七条、第四十五条之规定,给予该公司行政警告处罚,并责令限期整改

案例2[29]:近期,上海网信办发现,某科技公司在处理政务类数据时违规操作,且未采取相应的技术措施和其他必要措施保障数据安全,导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正,给予警告,并处以人民币五万元罚款的行政处罚

案例3[30]:浙江省宁波市公安局发现某金融科技公司数据安全管理制度不完善,存在用户数据泄露风险。经查,该公司未建立数据安全管理制度和操作规程,也未落实网络安全等级保护制度。宁波市公安局依据《数据安全法》对该公司给予警告,并处罚款15万元,责令限期改正

在此类案例中,行政机关的处罚决定存在“类案不同罚”的情况。部分案件的处罚结果过重,可能会加重企业的合规负担。例如,当企业未履行数据安全保护义务,平台存在数据泄露风险时,行政机关的处罚结果轻至“行政警告处罚,并责令改正”,重至“罚款五万”或“罚款十五万”不等。行政机关虽然是依据法律规定在法定处罚范围内作出处罚决定,但是行政机关在行使自由裁量权时应当遵循过罚相当原则,在全面衡量案件的综合情况的基础上决定处罚数额。

根据《数据安全法》第二十七条规定,“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。”相比起个人数据治理,企业数据的泄露风险更大,造成的危害后果更难以估量。企业数据泄露不仅会侵犯个人隐私权和信息权,还会影响企业自身的安全生产和商业名誉,因此《数据安全法》对企业数据安全保障义务的要求更为严格。但是,数据安全保障义务应当限定在企业能够履行的范围之内,不宜将义务范围框定过度,否则会加重企业的负担,企业难以承担相关责任反而会减损法律的实施效果。[31]过于严格的责任不仅会提升中小企业的合规成本,还可能阻碍数据要素资源流转配置,加剧行业垄断。[32]行政机关可以结合《数据安全法》第二十七条和第二十九条、《网络安全法》第二十一条、《个人信息保护法》第五十一条、《国家统计信息网络管理暂行规定》和《互联网信息服务管理办法》等法律法规对个人信息权利的保护规则综合认定企业是否履行了数据保护责任。当《数据安全法》、《个人信息保护法》和《网络安全法》均规定了个人信息保护义务的相关内容时,程啸认为应当优先适用《个人信息保护法》的规定,《个人信息保护法》没有规定的则适用《数据安全法》的相关规定;线上处理数据活动应当同时适用网络安全方面的法律。[33]

(三)违规收集个人数据与数据泄露风险

1、违规收集个人数据

案例1[34]:2021年7月,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》,网络安全审查办公室按照《网络安全审查办法》对滴滴公司实施网络安全审查。经查实,滴滴公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣,应当从严从重予以处罚。

经查明,滴滴公司共存在16项违法事实,归纳起来主要是8个方面。一是违法收集用户手机相册中的截图信息1196.39万条;二是过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。此前,网络安全审查还发现,滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全,依法不公开。

此次对滴滴公司的网络安全审查相关行政处罚,与一般的行政处罚不同,具有特殊性。滴滴公司违法违规行为情节严重,结合网络安全审查情况,应当予以从严从重处罚。一是从违法行为的性质看,滴滴公司未按照相关法律法规规定和监管部门要求,履行网络安全、数据安全、个人信息保护义务,置国家网络安全、数据安全于不顾,给国家网络安全、数据安全带来严重的风险隐患,且在监管部门责令改正情况下,仍未进行全面深入整改,性质极为恶劣。二是从违法行为的持续时间看,滴滴公司相关违法行为最早开始于2015年6月,持续至今,时间长达7年,持续违反2017年6月实施的《网络安全法》、2021年9月实施的《数据安全法》和2021年11月实施的《个人信息保护法》。三是从违法行为的危害看,滴滴公司通过违法手段收集用户剪切板信息、相册中的截图信息、亲情关系信息等个人信息,严重侵犯用户隐私,严重侵害用户个人信息权益。四是从违法处理个人信息的数量看,滴滴公司违法处理个人信息达647.09亿条,数量巨大,其中包括人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。五是从违法处理个人信息的情形看,滴滴公司违法行为涉及多个App,涵盖过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形。

案例2[35]:2021年11月,针对人民群众反映强烈的App非法获取、超范围收集、过度索取权限等侵害公民个人信息的违法违规现象,海南省互联网信息办公室组织对省内用户量大、与民众生活密切相关的“民生宝”“快速问医生”等7款App收集使用个人信息情况进行了技术检测,检测结果显示这7款App均存在不同程度违法违规收集使用个人信息的行为。海南省互联网信息办公室要求各App运营单位应将加强公民个人信息保护作为履行全面依法治国的实践要求,切实保障人民群众个人信息安全和合法权益不受侵犯,定期组织运营人员学习《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规。针对检测发现的问题,各平台运营主体应于通报发布之日起15个工作日内完成整改。

案例3[36]:2021年12月,针对人民群众反映强烈的App非法获取、超范围收集、过度索权等侵害个人信息并存在引起个人信息泄露的安全漏洞的问题,浙江省App违法违规收集使用个人信息专项治理工作组依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律和有关规定,组织对实用工具类、网络社区类、网上购物类等常见类型且公众大量使用的部分App的个人信息收集使用情况进行检测,并对闪修侠等87款App进行点对点通报,责令违规App限期整改。

案例4[37]:2022年2月,部分App违反必要原则,收集与其提供服务无关的个人信息,未经同意向他人提供个人信息,存在引起个人信息泄露的安全漏洞的问题,浙江省App违法违规收集使用个人信息专项治理工作组依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律和有关规定,组织对实用工具类、网上购物类等常见类型且公众大量使用的100款App个人信息收集使用情况进行检测,并对微记账等38款App进行点对点通报,责令违规App限期整改。

案例5[38]:2023年4月4日09时许,绥宁县公安局在工作中发现:XX乡XX村XX快递二楼成立一家催收公司,名称为XX达通仁信息技术咨询有限公司,法人代表张X,该公司在没有要求提供合法资质的情况下,审核交易双方的身份,在催收的过程中通过天眼查、小蓝本、钉钉等软件非法获取债务人的信息,获取信息后也没有存档,违反《中华人民共和国数据安全法》第三十三条、第四十七条之规定,对XX达通仁信息技术咨询有限公司和其法人代表张X予以行政处罚。

(1)敏感数据识别

此类案例涉及到敏感数据识别与违规收集的问题。根据网信办发布的关于APP违规收集个人信息的情况通报,滴滴出行等App收集与其提供服务无关的个人信息,未经同意向他人提供个人信息,存在引起个人信息泄露的安全漏洞。案涉企业缺少数据合规管理体系,数据合规意识较差,过度收集敏感个人信息等行为不仅会侵犯公民的个人信息权、隐私权,影响数据的保密性、完整性和可用性,还会因为总量过大的数据具有经济、社会、地理等价值而影响国家主权。[39]因此,国家需要《数据安全法》等法律以有效地解决此类问题。

但是,《数据安全法》和《网络安全法》等法律多为原则性规定,未规定敏感个人数据的判断标准。根据我国行政机关执法的具体案例,敏感个人数据一般包括姓名、性别、身份证号等身份数据、用药情况等健康数据、银行账户等金融数据、家庭住址等地理位置数据。行政机关可以参考美国签署的《2018年外国投资风险审查现代化法(FIRRMA)》判断数据的属性,FIRRMA对敏感个人数据的可识别性和国家安全敏感性判断标准作出了规定。[40]若企业的产品、服务是针对承担情报责任、国家安全等行政机关或军事机关在完成数据交易前或向国家相关部门申报前12个月内持有或收集超过100万人的能识别个人身份的数据等,则该数据属于影响国家安全的敏感个人数据,应当通过国家网信部门组织的安全评估并指定个人信息保护负责人。[41]

(2)敏感数据违规收集

数据处理者违规收集敏感数据的行为违反了《数据安全法》、《网络安全法》和《个人信息保护法》等法律规定。《数据安全法》第三十二条规定,“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。”因此,数据处理者应当遵循合法、正当、必要的原则收集个人数据。首先,合法的收集数据方式是指数据处理者收集数据时应当符合《数据安全法》第三十二条、《网络安全法》第四十一条[42]、《个人信息保护法》第六条[43]等法律规定,不得收集法律规定范围之外的敏感数据。除了法律规定外,其他数据处理者应当遵守的数据安全规范包括《App违法违规收集使用个人信息行为认定方法》等部门规章、《厦门经济特区数据条例》等经济特区法规和《四川省数据条例》等地方性法规、《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》等地方规范性文件以及《移动互联网应用程序(App)数据安全测评能力要求》等行业规定。其次,正当性原则是指数据处理者应当保证收集数据的目的和手段正当。在数据交易时,数据提供方应当根据《数据安全法》第三十三条的规定说明数据的来源,审核交易双方的身份有效性和数据来源的合法性,并留存审核、交易记录。实务中,部分数据处理者以强制、诱导、欺诈等恶意方式违法违规收集并处理个人信息数据,隐瞒了产品或服务的个人信息数据收集功能,或者在没有要求提供合法资质的情况下审核交易双方的身份且非法获取信息,以上明显违反了正当性原则,侵犯了公民的信息自决权。最后,必要性原则是指数据处理者只能收集与实现服务功能有必要且直接关联的个人数据,不得收集与服务无关的数据,否则属于过度收集个人信息数据的行为。在滴滴公司案件中,该公司通过违法手段收集用户剪切板信息、相册中的截图信息、亲情关系信息等个人信息数据,该数据明显与滴滴公司所提供的服务无必要且直接的关联,滴滴公司的数据收集行为超出了法律、行政法规规定的目的和范围,严重侵犯了个人隐私权。

企业的数据收集等数据处理活动需要严格的数据合规制度予以制约。但是,《数据安全法》未规定不同行业数据合规的具体性要求,企业缺少相关的数据合规指引标准,监管部门也难以适用《数据安全法》等法律指导企业数据合规体系建设。立法机关应当针对不同领域的数据合规标准作出更为详细具体的规定,完善行政监管法规,由有关部门指导企业根据《个人信息保护法》、《数据安全法》、《常见类型移动互联网应用程序必要个人信息范围规定》等规定构建数据合规体系,培养数据合规人才,以此控制数据处理法律风险,保障个人信息数据安全的同时提升数字经济治理水平。

2、存在数据泄露风险[44]

案例1:2023年2月,湖南省湘潭市公安局岳塘分局网安部门通过工作发现辖区某商旅服务公司票务系统中存有大量用户姓名、电话、身份证号、航班、银行账户等敏感数据,存在数据泄露风险。经查,该公司服务器短时间内存在大量登录失败,被恶意用户暴力破解账户密码痕迹。同时,服务器内安装的ElasticSearch软件,可通过互联网在无需账号密码条件下直接访问系统内敏感数据。湘潭市公安局岳塘分局根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该企业警告,并责令限期改正。

案例2:2023年3月,湖南省永州市东安县公安局网安部门在查办一起侵犯公民个人信息案件中发现某小区业主信息泄露线索,随即对小区所属物业公司发起“一案双查”。经查,该公司使用的人脸识别系统、车辆管理系统中明文存有6000余名业主姓名、电话、身份证号、银行账户等敏感数据信息。同时,人脸识别系统、车辆管理系统均存在登录账号弱口令,账号未设置权限管理,存放用户数据的办公电脑使用向日葵远程控制软件进行操作,且未采取任何安全防护措施,未履行数据安全保护义务。永州东安县公安局根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该公司警告,并责令限期改正。

案例3:2023年3月,湖南省怀化市沅陵县公安局网安部门通过工作发现辖区某燃气公司缴费系统存有大量客户姓名、电话、身份证号、家庭住址等敏感数据。经查,该公司办公电脑未设置开机密码,缴费系统账号密码均为弱口令,并且该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度。怀化沅陵县公安局根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该企业警告,并责令限期改正。

案例4[45]:2023年,麻阳苗族自治县公安局网安大队在日常网络安全监督检查中发现某商贸公司未建立健全全流程数据安全管理制度,未组织开展数据安全培训,且该公司服务器内存有大量客户敏感数据,包括姓名、身份证号码、手机号码等信息,该公司未对敏感数据采取相应的技术保护措施,未履行数据安全保护义务。根据《数据安全法》的有关规定,麻阳公安对该公司未履行数据安全保护义务的违法行为,依法予以行政处罚。

案例5[46]:2023年3月10日,株洲市公安局荷塘分局网安大队接株洲市网络与信息安全信息通报中心通报,株洲某软件学校网站存在短文件名泄露漏洞。经网安大队检查发现,该网站系统中存在大量学生姓名、身份证号、电话号码、家庭住址等敏感信息,该学校未对前述数据采取应有的技术保护措施,未履行数据安全保护义务,存在数据泄露风险。株洲市公安局荷塘分局根据《数据安全法》第四十五条第一款之规定,给予该学校警告,并责令限期改正。

案例6[47]:2023年3月11日,株洲市公安局荷塘分局网安大队接株洲市网络与信息安全信息通报中心通报,株洲某医院网站被篡改植入暗链,经网安大队检查发现,该医院管理平台日志系统中存储客户敏感数据,包括姓名、性别、身份证号、用药情况等敏感信息,该医院未对前述数据采取应有的技术保护措施,未履行数据安全保护义务,存在数据泄露风险。株洲市公安局荷塘分局根据《数据安全法》第四十五条第一款之规定,给予该医院警告,并责令限期改正。

案例7[48]:2023年4月20日,茶陵县公安局网安大队在进行日常网络安全检查工作中发现,茶陵县某医院的医疗管理系统存储着大量患者的姓名、身份证号、电话号码、家庭住址等敏感信息,该医院未建立数据安全管理制度,未采取任何的安全防护措施,未履行数据安全保护义务,存在数据泄露风险。茶陵县公安局根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该医院警告,并责令限期改正。

案例8[49]:2023年05月30日,溆浦县公安局西湖派出所民警在对溆浦县XX手机店、XX移动专营店等被处罚单位进行网络安全检查时发现,该店自2023年1月以来,将新开卡客户姓名、 身份证号、手机号码等敏感信息资料数据文档储存在店内未设置开机屏保密码的互联网电脑桌面上,且对该敏感信息资料数据文档未采取单独加设密码等相应的技术保护措施,存在泄漏风险。根据《中华人民共和国数据安全法》第二十七条第一款、第四十五条第一款之规定,对溆浦县XX手机店予以行政处罚。

(1)敏感数据泄露通知义务

此类案例涉及到敏感数据泄露风险的问题。企业面临内部和外部双重数据泄露风险,内部风险包括系统访问漏洞、未对个人信息采取加密措施、未建立完善的风险评估和监测体系、缺少数据安全人才培训机制、员工利用职务便利故意泄露数据等风险;外部风险包括黑客攻击,外部病毒非法入侵系统并破坏、窃取、篡改数据,而企业的技术防护措施无法有效解决此类问题。在数据采集、传输、使用、交易过程中均有可能发生数据泄露,数据泄露不仅会侵犯个人隐私,而且会造成巨大的商业损失。在实务中,数据泄露案例涉及到敏感数据安全的法律适用位阶、数据泄露通知义务等问题。

在数据泄露事件发生后企业应当履行数据泄露通知义务。数据泄露通知义务能够倒逼数据处理者在数据处理过程中增强对数据的保护力度,以此避免数据安全事件发生后产生的高额补救成本,同时能够降低监管成本。《数据安全法》第二十九条规定了数据处理者在发生数据安全事件后的通知义务,应当及时向用户和主管部门报告。《网络数据安全管理条例(征求意见稿)》第十一条[50]对通知义务进行了细化规定,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知。

数据处理者应当在发生数据泄露事件后的规定期限内通知主管机关并采取补救措施,主管机关需要检查数据泄露的起因,即数据处理者是否履行了数据安全保障义务。如果数据处理者已经履行了相应义务则应当减少责任或无需承担法律责任,若数据处理者未充分履行数据安全保障义务或发生事故后未及时履行通知义务,则应当承担一定的法律责任。[51]

(2)法律适用顺序

该部分案例涉及公法和私法的双重保障,相关法律包括《数据安全法》第四章的“数据安全保护义务”、《个人信息保护法》第五章的“个人信息处理者的义务”和《工业和信息化领域数据安全管理办法(试行)》的个人信息安全管理义务。许可认为,在法律适用上《数据安全法》和《个人信息保护法》不是平等交叠关系,《数据安全法》是电子数据基础安全规则的底层立法,《个人信息保护法》为规范个人信息的收集和使用的上层立法。在数据安全问题侵犯个人信息权时,《个人信息保护法》可援引《数据安全法》中的义务性规定,从而支持政府机关执法或权利人主张权利。[52]而程啸认为,个人信息保护义务相对于数据安全保护义务属于特别法规定,《数据安全法》只包含宣示性规定,因此若数据中不涉及个人信息则仅适用《数据安全法》,若涉及到个人信息则适用《个人信息保护法》。[53]

结语

自《数据安全法》实施以来,数据安全执法领域存在的主要问题可分为国家数据安全、企业数据安全和个人数据安全三类情况。

第一,在国家数据安全层面,存在数据情报泄露、数据违法出境、拒不配合数据调取的问题。泄露高铁情报案件反映了数据处理者未进行数据合规性审查和数据风险自评估的问题,《数据安全法》规定的数据安全审查制度不够具体,重要数据处理者的定期风险评估义务可操作性不强,承担责任义务的形式不够全面。特斯拉案件反映了《数据安全法》多数规定过于原则性导致法律的可操作性不强,数据分类分级保护制度有待完善,需要加强对重要数据的保护。

第二,在企业数据安全层面,数据处理者并未履行构建数据安全管理制度的义务和个人信息权利保护义务。企业没有制定数据安全管理制度和操作规程,没有对单位员工开展正规的数据安全教育培训,未采取技术保护措施,缺少数据安全审查机构和程序性规定,未履行数据安全风险评估监测义务和补救义务。行政机关的处罚决定存在“类案不同罚”的情况,部分案件的处罚结果过重,可能会加重企业的合规负担。

第三,在个人数据层面,存在敏感数据违规收集与数据泄露风险的问题。首先,《数据安全法》未规定敏感个人数据的判断标准和不同行业数据合规的具体性要求,平台缺少相关的数据合规指引标准。《数据安全法》和《个人信息保护法》存在适用竞合问题,学界对法律适用顺序存在一定争议。其次,平台以强制、诱导、欺诈等恶意方式严重违法违规收集使用个人信息,未按要求开展安全评估且存在安全隐患问题,平台面临内部和外部双重数据泄露风险。平台应当加强对数据的保护力度,充分履行数据安全保护义务,保障公民的信息自决权、隐私权不受侵犯。

数据安全在我国仍面临较大的挑战,数据处理者应当加强数据安全保护力度,落实国家总体安全观,切实履行数据安全保护义务,构建数据安全管理制度,维护国家安全和社会稳定。

注释

[1] 中国网信网. 2021年全国网络执法取得显著成效[EB/OL]. 2022[2023-05-24]. http://www.cac.gov.cn/2022-01/27/c_1644887128880847.htm.

[2] 中国网信网. 2022年全国网络执法工作持续发力增效[EB/OL]. 2023[2023-05-24]. http://www.cac.gov.cn/2023-01/19/c_1675676681798302.htm.

[3] 中国网信网. 2022年上半年全国网络执法工作取得明显成效[EB/OL]. 2022[2023-05-24]. http://www.cac.gov.cn/2022-07/31/c_1660892422799965.htm.

[4] 《中华人民共和国数据安全法》第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

[5] 许多奇:《论跨境数据流动规制企业双向合规的法治保障》,载 《东方法学》2020年第2期,第193页。

[6] 平安大工. 数据安全法 | 我国首例涉及高铁运行安全的危害国家安全类案件[EB/OL]. 2022[2023-04-28]. https://mp.weixin.qq.com/s/7klkKBSV_axlTd9vk5HB2A.

[7] 《数据出境安全评估办法》第二条规定:数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。

[8] 第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

[9] 第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

[10] 第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。

[11] 杨慧妍:《国家安全视域下的数据出境合规体系研究——以国内首例涉案数据被鉴定为情报案为例》,载《情报杂志》,第3页。

[12] 曾磊:《数据跨境流动法律规制的现状及其应对——以国际规则和我国<数据安全法(草案)>为视角》,载《中国流通经济》2021年第6期,第101页。

[13] 马其家,刘飞虎:《数据出境中的国家安全治理探讨》,载《理论探索》2022年第2期,第108页。

[14] 吴旭华 芦凌丰. 《数据安全法》案例解读——国内数据存储本地化[EB/OL]. 2021[2023-04-28]. https://mp.weixin.qq.com/s/Fbriy8G4ywJPoXLxlRpxhA.

[15] 《汽车数据安全管理若干规定(试行)》第三条 本规定所称汽车数据,包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。汽车数据处理,包括汽车数据的收集、存储、使用、加工、传输、提供、公开等。汽车数据处理者,是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。个人信息,是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。敏感个人信息,是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;(二)车辆流量、物流等反映经济运行情况的数据;(三)汽车充电网的运行数据;(四)包含人脸信息、车牌信息等的车外视频、图像数据;(五)涉及个人信息主体超过10万人的个人信息;(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

[16] 阳公行罚决[2022]146号行政处罚决定书。

[17] 郑鈜,汪灏,刘明等:《数据安全立法的机理、表达与规范——“数据安全法治暨<数据安全法>立法研讨会”发言摘录》,载《西华大学学报(哲学社会科学版)》2020年第5期,第22页。

[18] 张凌寒:《数据生产论下的平台数据安全保障义务》,载《法学论坛》2021 年第 2 期,第 46 页。

[19] 新安警讯. 豫筑平安 |未履行数据安全保护义务 一公司被罚款20万元[EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/LQOi624VaEUAMR669cKcRA.

[20] 平安大武口. 全市首例 未落实数据安全保护被警方处罚![EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/AF7Humi2mZPFpzrsC5TMiQ.

[21] 新闻株洲. 株洲网警适用《数据安全法》对多个单位作出行政处罚[EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/l7jcK7AwqelH4pAJXT-nAg.

[22] 白公(白)决字[2023]第0019号行政处罚决定书。

[23] 网信绵阳. 【网络安全】多个适用《数据安全法》的行政处罚案例[EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/8HvS08tkcRDP-XkiQWFBIQ.

[24] 山东网警巡查执法. 【案例警示】全省首起~公司违反《数据安全法》被行政处罚![EB/OL]. 2022[2023-04-28]. https://mp.weixin.qq.com/s/REUnhQzQgFnqcLl0PbiL_w.

[25] 平达网络. “数据安全”法律法规系列解读之《中华人民共和国数据安全法》实施与案例分析[EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/uWVo1FvxBTZI_pKObMHwYQ.

[26] 网信绵阳. 【网络安全】多个适用《数据安全法》的行政处罚案例[EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/8HvS08tkcRDP-XkiQWFBIQ.

[27] 《中华人民共和国数据安全法》第二十八条 开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。

[28] 赣州公安. 存在数据泄露风险!江西赣州一公司被查[EB/OL]. 2023[2023-05-23]. https://www.163.com/dy/article/I58Q1R4C0514R9OJ.html.

[29] 安全内参. 违规处理政务类数据,某科技公司违反《数据安全法》被行政处罚[EB/OL]. 2022[2023-05-24]. https://mp.weixin.qq.com/s/SaYZTbmzLpB4QWappP49uQ.

[30] 平达网络. “数据安全”法律法规系列解读之《中华人民共和国数据安全法》实施与案例分析[EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/uWVo1FvxBTZI_pKObMHwYQ.

[31] 朱军:《数据安全治理背景下数据安全审查制度的定位、功能与实践》,载《西部法学评论》2022年第6期,第21页。

[32] 王玎:《论数据处理者的数据安全保护义务》,载《当代法学》2023年第2期,第48、49页。

[33] 程啸:《论数据安全保护义务》,载《比较法研究》2023年第2期,第62页。

[34] 中国网信网. 国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出 网络安全审查相关行政处罚的决定答记者问[EB/OL]. 2022[2023-04-28]. http://www.cac.gov.cn/2022-07/21/c_1660021534364976.htm.

[35] 腾讯网. 六大维度全景呈现:《数据安全法》实施一周年行业洞察[EB/OL]. 2022[2023-05-24]. https://new.qq.com/rain/a/20220901A03LBP00.html.

[36] “网信浙江”微信公众号. 浙江关于闪修侠等87款App违法违规收集使用个人信息情况的通报[EB/OL]. 2021[2023-05-24]. http://www.cac.gov.cn/2021-12/14/c_1641080798914299.htm.

[37] “网信浙江”微信公众号. 浙江关于微记账等38款App违法违规收集使用个人信息情况的通报[EB/OL]. 2022[2023-05-24]. http://www.cac.gov.cn/2022-02/11/c_1646186253874039.htm.

[38] 绥公(红)决字[2023]第0313号、绥公(红)决字[2023]第0312号行政处罚决定书。

[39] 韩伟:《安全与自由的平衡———数据安全立法宗旨探析》,载 《科技与法律》2019年第6期,第42页。

[40] 31 C.F.R.§800.226、31 C.F.R.§800.241 (a) (1) (i).

[41] 刘金瑞:《数据安全范式革新及其立法展开》,载《环球法律评论》2021年第1期,第14页。

[42] 第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

[43] 第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。

[44] 案例1-3参见网信绵阳. 【网络安全】多个适用《数据安全法》的行政处罚案例[EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/8HvS08tkcRDP-XkiQWFBIQ.

[45] 怀化网警巡查执法. 【净网2023】麻阳一商贸公司未履行数据安全保护义务被处罚[EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/as8tQWbWaLTCZCb1j2VS9Q.

[46] 新闻株洲. 株洲网警适用《数据安全法》对多个单位作出行政处罚[EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/l7jcK7AwqelH4pAJXT-nAg.

[47] 新闻株洲. 株洲网警适用《数据安全法》对多个单位作出行政处罚[EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/l7jcK7AwqelH4pAJXT-nAg.

[48] 新闻株洲. 株洲网警适用《数据安全法》对多个单位作出行政处罚[EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/l7jcK7AwqelH4pAJXT-nAg.

[49] 溆公(西)决字[2023]第0466号、溆公(西)决字[2023]第0464号、溆公(西)决字[2023]第0463号、溆公(西)决字[2023]第0467号、溆公(西)决字[2023]第0462号、溆公(西)决字[2023]第0465号行政处罚决定书

[50] 《网络数据安全管理条例(征求意见稿)》第十一条 数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

[51] 方禹:《个人信息保护中数据泄露通知制度的规范逻辑及其证成》,载《经贸法律评论》2022年第5期,第102、104页。

[52] 许可:《数据安全法:定位、立场与制度构造》,载《经贸法律评论》2019年第3期,第56、57页。

[53] 程啸:《论数据安全保护义务》,载《比较法研究》2023年第2期,第70页。

参考文献

一、中文论文

1、韩伟:《安全与自由的平衡———数据安全立法宗旨探析》,载 《科技与法律》2019年第6期,第42页。

2、许可:《数据安全法:定位、立场与制度构造》,载《经贸法律评论》2019年第3期,第56、57页。

3、许多奇:《论跨境数据流动规制企业双向合规的法治保障》,载 《东方法学》2020年第2期,第193页。

4、郑鈜,汪灏,刘明等:《数据安全立法的机理、表达与规范——“数据安全法治暨<数据安全法>立法研讨会”发言摘录》,载《西华大学学报(哲学社会科学版)》2020年第5期,第22页。

5、杨慧妍:《国家安全视域下的数据出境合规体系研究——以国内首例涉案数据被鉴定为情报案为例》,载《情报杂志》,第3页。

6、曾磊:《数据跨境流动法律规制的现状及其应对——以国际规则和我国<数据安全法(草案)>为视角》,载《中国流通经济》2021年第6期,第101页。

7、张凌寒:《数据生产论下的平台数据安全保障义务》,载《法学论坛》2021 年第 2 期,第 46 页。

8、刘金瑞:《数据安全范式革新及其立法展开》,载《环球法律评论》2021年第1期,第14页。

9、马其家,刘飞虎:《数据出境中的国家安全治理探讨》,载《理论探索》2022年第2期,第108页。

10、朱军:《数据安全治理背景下数据安全审查制度的定位、功能与实践》,载《西部法学评论》2022年第6期,第21页。

11、方禹:《个人信息保护中数据泄露通知制度的规范逻辑及其证成》,载《经贸法律评论》2022年第5期,第102、104页。

12、王玎:《论数据处理者的数据安全保护义务》,载《当代法学》2023年第2期,第48、49页。

13、程啸:《论数据安全保护义务》,载《比较法研究》2023年第2期,第62、70页。

二、 电子文献

1、中国网信网. 2021年全国网络执法取得显著成效[EB/OL]. 2022[2023-05-24].http://www.cac.gov.cn/2022-01/27/c_1644887128880847.htm.

2、中国网信网. 2022年全国网络执法工作持续发力增效[EB/OL]. 2023[2023-05-24].http://www.cac.gov.cn/2023-01/19/c_1675676681798302.htm.

3、中国网信网. 2022年上半年全国网络执法工作取得明显成效[EB/OL]. 2022[2023-05-24].http://www.cac.gov.cn/2022-07/31/c_1660892422799965.htm.

4、平安大工. 数据安全法 | 我国首例涉及高铁运行安全的危害国家安全类案件[EB/OL]. 2022[2023-04-28]. https://mp.weixin.qq.com/s/7klkKBSV_axlTd9vk5HB2A.

5、吴旭华 芦凌丰. 《数据安全法》案例解读——国内数据存储本地化[EB/OL]. 2021[2023-04-28]. https://mp.weixin.qq.com/s/Fbriy8G4ywJPoXLxlRpxhA.

6、新安警讯. 豫筑平安 |未履行数据安全保护义务 一公司被罚款20万元[EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/LQOi624VaEUAMR669cKcRA.

7、平安大武口. 全市首例 未落实数据安全保护被警方处罚![EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/AF7Humi2mZPFpzrsC5TMiQ.

8、新闻株洲. 株洲网警适用《数据安全法》对多个单位作出行政处罚[EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/l7jcK7AwqelH4pAJXT-nAg.

9、网信绵阳. 【网络安全】多个适用《数据安全法》的行政处罚案例[EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/8HvS08tkcRDP-XkiQWFBIQ.

10、山东网警巡查执法. 【案例警示】全省首起公司违反《数据安全法》被行政处罚![EB/OL]. 2022[2023-04-28]. https://mp.weixin.qq.com/s/REUnhQzQgFnqcLl0PbiL_w.

11、平达网络. “数据安全”法律法规系列解读之《中华人民共和国数据安全法》实施与案例分析[EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/uWVo1FvxBTZI_pKObMHwYQ.

12、赣州公安. 存在数据泄露风险!江西赣州一公司被查[EB/OL]. 2023[2023-05-23]. https://www.163.com/dy/article/I58Q1R4C0514R9OJ.html.

13、安全内参. 违规处理政务类数据,某科技公司违反《数据安全法》被行政处罚[EB/OL]. 2022[2023-05-24]. https://mp.weixin.qq.com/s/SaYZTbmzLpB4QWappP49uQ.

14、中国网信网. 国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出 网络安全审查相关行政处罚的决定答记者问[EB/OL]. 2022[2023-04-28]. http://www.cac.gov.cn/2022-07/21/c_1660021534364976.htm.

15、腾讯网. 六大维度全景呈现:《数据安全法》实施一周年行业洞察[EB/OL]. 2022[2023-05-24]. https://new.qq.com/rain/a/20220901A03LBP00.html.

16、“网信浙江”微信公众号. 浙江关于闪修侠等87款App违法违规收集使用个人信息情况的通报[EB/OL]. 2021[2023-05-24]. http://www.cac.gov.cn/2021-12/14/c_1641080798914299.htm.

17、“网信浙江”微信公众号. 浙江关于微记账等38款App违法违规收集使用个人信息情况的通报[EB/OL]. 2022[2023-05-24]. http://www.cac.gov.cn/2022-02/11/c_1646186253874039.htm.

18、怀化网警巡查执法. 【净网2023】麻阳一商贸公司未履行数据安全保护义务被处罚[EB/OL]. 2023[2023-04-28]. https://mp.weixin.qq.com/s/as8tQWbWaLTCZCb1j2VS9Q.

撰稿 | 陈俊伊,清华大学智能法治研究院实习生

选题、指导、修改 | 刘云

编辑 | 朱正熙

声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。