关于“重要数据”,在《数据安全法》第21条和《数据安全管理办法》(征求意见稿)第38条中,对这一概念均有涉及。《数安条例》是对《数据安全法》中“重要数据”概念的进一步延伸,但是与《数据安全管理办法》不同的是,《数安条例》没有排除企业生产经营和内部管理信息、个人信息。
在《数安条例》第73条第3款规定:重要数据是指一旦遭到篡改、破坏、泄露或者非法获取利用,可能会对国家安全和公共利益造成危害的数据。
主要包括以下七个方面:
二、《数安条例》对《个人信息保护法》、《数据安全法》等法律规则细化 (1)数据安全时间处理报告制度
根据《数安条例》第11条规定,数据处理者应当建立数据安全应急处置机制,并在数据安全事件发生时及时启动,以防止危害扩大,消除安全隐患。如果数据安全事件对个人、组织造成危害,相关数据处理者应当在三个工作日内通知利害关系人。如果发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者应当在发生上述安全事件的八小时内,向设区的市级网信部门和有关主管部门报告该事件基本信息。同时,需要在事件处置完毕后五个工作日内,向设区的市级网信部门和有关主管部门报送调查评估报告。
(2)涉及第三方数据共享制度
根据《数安条例》第12条,数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规定:
一、向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外;
二、与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督;
三、留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。
(3)数据转移制度
《个保法》在第22条中已经规定,个人信息处理者在合并、分立、解散、被宣告破产等原因需要转移个人信息时,应当向个人告知相关个人信息接收方的信息。《数安条例》的第14条则进一步细化了数据处理者的相关义务。包括:
一、数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;
二、数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。
(4)《数安条例》明确了数据爬虫规则
在《数安条例》前,除零星相关判决,没有法律法规对自动化工具(或称数据爬虫)的使用进行规范。《数安条例》第十七条对数据爬虫规则进行了明确。对于运用数据处理者在采用自动化工具访问、收集数据时,应当评估自动化工具的影响,不得干扰网络服务的正常功能。需要停止数据爬虫并且进行补救措施的情况包括:
一、违反法律、行政法规;
二、违反行业自律公约;
三、影响网络服务正常功能;
四、侵犯他人知识产权等合法权益的。