《網絡數據安全管理條例》若干問題解讀
作者:吳衛明 劉昀東 2024-10-10《網絡數據安全管理條例》(以下簡稱《條例》)已經于2024年9月30日正式發布(成文于2024年9月24日),將于2025年1月1日起施行。與2021年11月14日發布的《網絡數據安全管理條例(征求意見稿)》(以下簡稱《征求意見稿》)相比,措辭有較大調整,但是變化并不一定意味著內容的改變,有的變化僅僅是出于與相關法規表述一致的考量。同時《條例》因為將《網絡安全法》《數據安全法》《個人信息保護法》以及相關法規的要求進行整合和細化,例如吸收了《促進和規范數據跨境流動規定》的基本要求,所以內容非常豐富。
為了化繁為簡、撥云見日,本文將通過圖文結合的方式為讀者直觀展示《條例》的定位邏輯和主要內容,并提煉值得注意的要點,幫助讀者更好地把握《條例》的內核以及日常適用。
一、《條例》的定位
通過下圖可以發現,網絡數據是《網絡安全法》《數據安全法》《個人信息保護法》重疊覆蓋的重要部分。這是數字中國發展過程中不得不重視的重要領域,也是眾多熱點問題高頻發生的地帶。
《條例》整合了相關法律要求,其出臺有助于讓處于這一地帶的參與者更好地找尋法律依據,為合規經營提供更為清晰的指引。
二、《條例》內容一圖掌握
《條例》一共九章六十四條,筆者將各條款核心內容歸納后形成下圖。
通過這一圖即可快速了解《條例》每一條款的大致內容,可以清晰地看到《條例》一般規定的全面性,例如覆蓋了爬蟲、人工智能,以及在一般規定之后個人信息保護、重要數據安全、數據跨境安全、網絡平臺服務四個重點領域的要求。
三、《條例》建議關注的要點
接下來將從條款內容本身、與征求意見稿的對比等角度來分析《條例》的具體內容有哪些值得特別關注。
(一)11 安全事件應急預案的制定與啟動
相較于征求意見稿,少了安全事件的明確報告時間,改為“及時”,也將負有條件的“公告”通知方式變更為與其他通知方式并列,提升了企業的可操作性。
(二)13 國家安全審查(網絡安全審查)
相較于征求意見稿,刪除了將香港上市納入明確應當進行網絡安全審查的條件,只是簡單地保持了與《網絡安全審查辦法》的銜接關系,減少了一些困惑,增強了預期。
(三)16 為國家機關、關基運營者提供服務以及參與公共服務的安保要求
該條不僅明確了相關企業應當履行網絡數據安全保護義務,還明確未經委托方同意處理數據的限制,為實操中開發、建設、運維單位對數據的處理權限范圍的確定提供了直接依據,有助于減少爭議。
(四)21公開個人信息處理規則要求
該條直接針對個人信息處理規則展示,或者說隱私政策展示這一問題高發需求。其中“應當集中公開展示”成為明確的義務,但是是企業需要將所有個人信息處理規則整合到一個文本中,還是需要區分場景或者服務,將某一場景或者服務內全部涉及的個人信息處理規則整合到一個文本中僅從文義是難以判斷的。筆者傾向于后者,因為從《個人信息保護法》“清晰易懂”的角度來看,如果一個企業將多款不同業務場景的App,或者將內部員工與外部用戶的個人信息處理規則整合到一起將變得復雜臃腫、不易理解。
該條也回應了實務中經常會遇到的保存期限如何告知的問題——保存期限難以確定的,應當明確保存期限的確定方法。
另外將“信息通信服務感知提升行動”中推動建立的雙清單固定為明確的義務。
(五)25 受理轉移請求的前提條件和收費條件
轉移權(可攜帶權)的行使、受理一直是實操中的難點,但這一權利的設置無疑是有助于打破數據孤島、挖掘數據價值的。該條將前提條件進行了明確,并增加了超合理范圍的收費條件,在防范權利濫用的同時也限制了企業拒絕的理由。有兩個小的細節是相比于《征求意見稿》,將請求次數后加了個“等”,將“合理費用”變更了“必要費用”,既增加了企業判斷請求合理性的維度,又收縮了收費依據,可以體會其中的平衡之道。
(六)28 處理1000萬人以上個人信息的合規要求
將1000萬人這個標準作為適用重要數據處理者部分義務的指標,但是沒有簡單地將其認定為重要數據的標準是值得注意的地方。但是對于特定領域,在適用中還是需要結合具體情況進行分析,例如汽車行業的《汽車數據安全管理若干規定(試行)》是將涉及個人信息主體超過10萬人的個人信息直接作為重要數據的。
(七)33 重要數據處理者的年度風險評估義務
該條列示的風險評估報告內容中有一款是針對大型網絡平臺的——處理重要數據的大型網絡平臺服務提供者報送的風險評估報告,除包括前款規定的內容外,還應當充分說明關鍵業務和供應鏈網絡數據安全等情況。其中供應鏈安全和關鍵信息基礎設施運營者所涉的網絡安全審查義務有著相似的目的,也可以作為網絡安全審查的有益補充,在“卡脖子”日益頻繁以及國際競爭加劇的現在有著特殊的意義。
(八)40 對第三方安保義務的約束及責任承擔
該條第二款規定預裝應用程序的智能終端等設備生產者適用網絡平臺服務提供者對于第三方的約束義務,可以視為對終端廠商渠道能力認可的體現,與其影響力和社會責任相當。
本條還提及國家鼓勵保險公司開發網絡數據損害賠償責任險種,鼓勵網絡平臺服務提供者、預裝應用程序的智能終端等設備生產者投保。在網絡數據安全保護義務越發明確、潛在糾紛可能增加的現在,該類保險極可能有旺盛的需求。
(九)46 大型平臺特定禁止性要求
該條明確提及不得利用數據、算法、規則行使禁止行為,重申了禁止“大數據殺熟”,還明確禁止無正當理由限制用戶訪問、使用其在平臺上產生的網絡數據。最后一點除了保障一般意義上的用戶訪問、使用權外,還可能為用戶保障賬號使用的權利提供依據。當然“正當理由”的范圍亦需要在實踐中不斷摸索。
(十)52 避免不必要、交叉重復,重合可以互相采信
“九龍治水”常常給企業帶來困惑和負擔,該條規定明顯有助于改善目前的狀況,通過政府內部協調來為企業減負。同樣,企業也應注意到許多工作是有多重價值的,合規審計、風險評估、等保測評等工作結果可以互相采信。當然實操中如何實現該條目標還有待時間檢驗。
(十一)62 用語定義
定義雖然平常不易引起重視,但是也包含非常重要的內容。例如“網絡數據處理者”“委托處理”將在《個人信息保護法》中確定的委托處理的認定標準推廣到網絡數據領域,而且加強了對于適用于全部數據領域的預期。
相較于《征求意見稿》,“單獨同意”也刪除了“不包括一次性針對多項個人信息、多種處理活動的同意”的限制,與《信息安全技術 個人信息處理中告知和同意的實施指南》可以更好地進行銜接、避免沖突。
相較于《征求意見稿》,“大型互聯網平臺”的標準略有變化,除了原5000萬注冊用戶外,增加了月活1000萬人的“或”標準,也將原有從數據類型角度的認定標準“重要數據”變更成了注重活動本身的影響領域“國家安全、經濟運行、國計民生等”。
(十二)第八章 法律責任
相較于征求意見稿,整體上罰款額度有所下降。相較于已有法律相對較寬的處罰范圍,《條例》針對一些高頻的違法違規行為作出了更為細致的規定,提高了后果預期,同時強調了從輕、減輕或者不予行政處罰的情形,體現了解決問題的導向——罰不是目的,避免危害才是。
雖然《條例》規定罰則沒有覆蓋所有相關違法違規情形,仍存在需要援引《網絡安全法》《數據安全法》《個人信息保護法》進行適用情形,但部分規則的明確化給“舉輕以明重”和“舉重以明輕”的法律推理提供了寶貴的依據,提高了可預期性。
四、《條例》的影響
通過前文的分析可以看出,相較于《征求意見稿》,《條例》吸收了后續發布的規定的內容,保障了其全面性,又做出了一定減負安排,盡量減少對創造力、經濟活力的影響。同時,規定的進一步明確也給執法機關提供了明確依據,可能產生交叉執法變少、執法覆蓋面擴大、處罰后果和如何減輕處罰的方式更可預期的效果。
