作者丨蔡鹏 肖莆羚令 苏阳阳
高维钊 唐静思
作为规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益的重要法律,《网络数据安全管理条例(征求意见稿)》(简称“征求意见稿”)甫一出台,便引起社会各界的广泛关注,成为数据、隐私与互联网监管方向的重要法规。经过将近三年的讨论与修订,结合新质生产力与数字经济的发展趋势,国务院在2024年8月30日第40次常务会议上通过了《网络数据安全管理条例》(简称“网数条例”、“正式稿”),并将在2025年1月1日开始正式施行。在本文中,我们将以新旧比对的视角,对新规的整体亮点以及“重要数据”、“个人信息保护”、“平台治理”、“监管和处罚”等四个重要方面进行解读。希望读者在“千淘万漉”之中,对新规的整体修订内容以及监管趋势有全面了解,并作合规对应之策。
一、法案的整体亮点
1、限缩概念、简化流程,为企减负
首先,《网数条例》在一些关键概念上进行了限缩,如什么是网络数据,什么是重要数据等。特别是重要数据的定义,一直以来都是各界关注的重点。正式稿对重要数据的形态和外延进行了框架性明确,首次在法律层面进行了定义(具体见下文“重要数据”章节)。
其次,在跨境报备豁免中,《网数条例》增加了“履行法定职责或者法定义务”这一情形,极大便利了各类主体在跨境交易中的数据传输需求,解决了当下痛点问题。
第三,《网数条例》正式稿在征求意见稿的基础上删除了一些较为繁琐的义务性条款,如“结构化查询”以及“平台规则重大修订时需征求社会公众意见甚至经过第三方机构和监管部门同意”的要求。这些变动简化了企业的合规流程,降低了操作难度和成本。
第四,对于大型平台及重要数据处理者而言,年度审计或评估的要求也有所调整。正式稿取消了必须由外部机构执行的规定,赋予企业更大的自主权来选择适合自身的评估方式。
第五,在对外提供和委托处理重要数据方面,监管模式有所调整。征求意见稿中此类活动须事先获得监管部门批准;正式稿改为由企业自行评估风险并据此决策,增强了企业在相关事务处理上的灵活性。
第六,《网数条例》对企业在使用自动化采集技术过程中可能遇到的问题提供了指导。根据法案规定,当自动化采集不可避免地收集到非必要的个人信息或未依法取得个人同意的信息从技术上难以实现删除或匿名化时,网络数据处理者应当停止除存储和采取必要安全保护措施之外的任何处理行为。这一规定为诸多新技术、新应用的合规开发指明了方向,如大模型训练中通过爬虫等方式获取海量数据但无法有效剥离非必要信息的情形等,在避免数据滥用风险的同时也保障了企业的正常运营和技术进步。
2、“网络安全审查”的消失和“国家安全审查”的唤醒
此前,在征求意见稿中引起企业广泛讨论的一项规定是增加了《网络安全审查条例》之外的网络安全审查情形。然而,在正式版本中,这一条款被删减,将网络安全审查的事实依据完全归置于《网络安全审查条例》之下,从而缓解了部分赴港上市企业对此方面的担忧。
此外,正式版本还引入了“国家安全审查”机制(当数据处理活动影响或可能影响国家安全时),与现行国家安全审查体系相衔接。根据《国家安全法》第五十九条的规定,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动应当进行国家安全审查。过去,触发国家安全审查的情形主要集中在外资项目上,而针对“网络信息技术产品和服务”的案例较为少见。此次通过相关条例明确激活了“网络信息技术产品和服务”领域内的国家安全审查工具箱,这与当前国际形势下将数据安全与国家安全进行强关联的趋势相契合。
3、法律衔接与术语统一
正式稿在措辞方面进行了统一与优化工作。例如,把征求意见稿中 “共享” 一词修改为 “提供”,与《个人信息保护法》的表述保持一致,其目的在于消除法律术语方面的歧义,进而确保法规具备严谨性以及一致性。
针对那些已经被其他法律法规详细规范的内容,正式稿采取了简化处理方式。比如,在数据跨境传输方面,《促进和规范数据跨境流动规定》已有详尽的规定,因此正式稿仅简要提及并与专门法案保持一致;又如“数据安全事件”的处理,在《网络安全事件报告管理办法(征求意见稿)》已经对相关报告义务提供了详尽的规则,正式稿也仅作简略说明。这种做法避免了重复规定,体现了立法简洁且高效的特性。
二、关于重要数据
1、重要数据的界定和细化
重要数据,是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
在我国的数据安全法规体系中,关于重要数据的定义一直处于不断完善的过程。《网络安全法》和《数据安全法》这两部基础性法律均未对重要数据给出明确的界定。为了满足实际的数据管理和安全保障需求,一些相关的规章相继出台并对重要数据进行了定义,且已生效实施。例如《汽车数据安全管理若干规定(试行)》和《数据出境安全评估办法》等规章,均将数据遭到破坏时可能带来的风险作为认定重要数据的锚点。
在此基础上,正式版本的《网数条例》进一步发展了重要数据的定义。它延续了 2023 年推荐性指南《信息安全技术 重要数据处理安全要求(征求意见稿)》的思路,并进行了更为细致的规定。在原有基础上增加了 “特定领域、特定群体、特定区域或者达到一定精度和规模” 描述内容。这意味着重要数据的认定并非基于数据的固有属性,而是要综合考虑不同业务领域、不同区域以及数据主体等多种因素动态识别。这种定义方式与当前在汽车行业、工信领域、数据出境、安全审查等多个领域或场景下对重要数据外延的差异化规定相互呼应,体现了法规对不同行业和场景的适应性。
例如,北京市近期发布的自贸区数据出境负面清单就给出了一个关于 “一定规模” 的具体例子。在该清单中,重要数据被明确界定为涉及一千万人以上的个人信息、一百万人以上的敏感个人信息或十万人以上的特别敏感个人信息(如金融账户、诊疗信息等)。
此外,与征求意见稿相比,正式版本的一大变化是,参照重要数据保护规则适用的个人信息数量门槛从一百万人提升至一千万人。并且,适用的义务规则也进行了调整,达标的处理者增强义务仅限于任命网络数据安全负责人和网络数据安全管理机构,以及在企业发生合并、分立、解散、破产等情况下的报告义务。
我们认为,这一调整具有重要意义。它在很大程度上减轻了企业的负担,使得企业在处理个人信息时,不必受限于严格的重要数据保护规则。这也反映出监管机构在界定“重要数据”,以及区分不同处理者时采取了更为谨慎的态度,避免因范围过宽而给企业带来不必要的合规成本。此外,这也体现了《个人信息保护法》实施三年后,监管机构对一般个人信息处理者的监管模式更趋于采用“事后监管”,相信他们在处理未达到重要数据标准的个人信息时,能够自觉遵守相关法律法规,确保数据安全。
2、重要数据的监管机构
在《网数条例》征求意见稿中,重要数据的监管涉及多个部门,常见表述为“网信部门和主管、监管部门”。这种多头监管模式本质上类似于“九龙治水”, 不仅使企业的合规成本显著攀升,还可能造成因监管机构不明晰而导致的各种“消耗”问题。在正式稿中,监管职责被归口于“主管部门”,一定程度上将监管进行了集中。
为什么选择 “主管部门” 而非 “网信部门” 作为重要数据的主要监管机构?我们理解,这与重要数据的认定方式密切相关。同一数据字段在不同垂直领域可能具有完全不同的性质和风险,因此由负责该领域的行业主管部门来把控风险更为合理与可信。此外,《网数条例》将更广义的“网络数据”同样归口于“主管部门”,这与重要数据的规定保持一致,确保企业在实际操作流程中能够有章可循地确定一个对接部门。但在实践中,我们注意到很多企业面临多个主管部门或无清晰明确的主管部门的情况,此种情形已经出现在网络安全审查等类似案例中,这可能为重要数据的监管带来了较多不确定性。我们希望立法者能够对此进行相应的明晰。
3、数据处理者合规义务:不止于重要数据和个人信息
《网数条例》针对重要数据处理者设定了诸多新的要求,例如负责人任命、年度风险评估等。然而,需引起读者关注的是,整个《网数条例》对于非个人信息的规制范畴,并非仅仅局限于重要数据,而这一点恰恰容易被忽视。
在《网数条例》颁布之前,人们普遍认为对于非个人信息及非重要数据的监管尚处于空白状态。尽管《数据安全法》第二十七条和第二十九条包含了一些有关制度和流程方面的要求,但据我们观察,这些规定实践中难以落地,缺乏实际的可操作性以及明确的指引作用。在《网数条例》中,明确规制的义务主体为网络数据的处理者,而网络数据定义较为宽泛,包含了一般数据(排除个人信息和重要数据)。为便于读者参考,我们特拟以下表进行总结:
三、关于个人信息保护
在个人信息保护部分,《网数条例》对于《个人信息保护法》这一上位法的相关规定进行了细化、补充与完善。我们梳理了以下要点问题,以资参考:
1、个人信息跨境:新增“履行法定职责与法定义务”豁免情形
对于个人信息跨境,在《个人信息保护法》第三十八条以及《促进和规范数据跨境流动规定》第五条豁免情形的基础上,《网数条例》第三十五条新增了“为履行法定职责或者法定义务”这一“可以向境外提供个人信息”的情形。
从第三十五条的立法结构上看,该情形与其他出境豁免情形并列,属于处理者在自我评估后,可以不经备案审核而自由出境的法定情形。该条的设置意图在于鼓励数据跨境自由流动,能够帮助厘清很多跨境交易场景下的合规痛点问题。如企业在境外并购和上市等交易中,往往涉及较多中外中介机构参与。为履行有关法定义务,中介机构与交易主体之间不免会进行较多的文件、数据的跨境传输和往来,以推进交易的进行。而在以往的规定中,并未将此作为法定豁免情形,造成了很多相关交易主体的合规困扰。此项豁免的引入将会极大便利各类正常的跨境交易。作为数据处理者,我们建议其在进行网络数据跨境处理活动之前,谨慎评估法定义务的边界,并据此进行数据跨境活动。我们理解,履行数据跨境活动中的诸项义务以形成有效的合规证明将会成为企业合规中的必选动作。
2、“集中公开展示”+“双清单”
《网数条例》第二十一条整合并细化了《个人信息保护法》第十七条、第三十条、第三十一条的有关规定,在告知义务的履行方面,建议个人信息处理者关注以下重点问题:
1)“集中公开展示”:对于《个人信息保护法》第十七条规定的“显著方式”义务,《网数条例》进一步细化提出了“集中公开展示”+“易于访问”+“置于醒目位置”三方面义务。针对“集中公开展示”这一义务的履行,《网数条例》并未再进一步细化,有待后续澄清。在目前阶段,我们建议个人信息处理者可关注以下应对要点:
* 同时涉及多份个人信息处理规则(同时制定《隐私政策》《未成年人个人信息处理》等)、或同时涉及生效中的个人信息处理规则和已失效的历史个人信息处理规则时,建议通过一个界面(含嵌入形式界面)进行集中展示;
* 避免用户仅可通过注册界面或仅可通过客服咨询等方式查找个人信息处理规则。
2)“双清单”:此前,工信部印发的《关于开展信息通信服务感知提升行动的通知》(规范性文件行政)首次提出了该要求,要求部分主体予以落实。后续部分地区通管局结合实际对于“双清单”的适用范围进行了拓展。本次《网数条例》将该要求的效力位阶提升,并将适用对象扩大为“网络数据处理者”,如网络数据处理者通过制定个人信息处理规则方式履行告知义务的,则应当履行该“双清单”要求。建议此前未履行该义务但落入前述适用情形的相关主体,及时履行该项合规义务。
3、“法律责任变化”+“APP特殊合规义务”
《网数条例》第二十二条整合与细化了《个人信息保护法》第五条、第六条、第十四条、第二十九条、第三十一条等关于“同意”的相关规定。在适用“同意”这一合法性基础时,建议个人信息处理者关注以下重点问题:
1)法律责任问题:作为下位法,针对违反第二十二条的罚款责任,《网数条例》并未直接转致适用《个人信息保护法》:其第五十五条对于上述行为“拒不改正或情节严重的”设定的罚款幅度上限为“100万元”,而《个人信息保护法》第六十六条对于所有“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的”、“情节严重的”均设定了罚款上限为“5000万元以下或者上一年度营业额5%以下”。对于该法律责任的设定,我们在此暂不探究下位法与上位法的冲突问题,仅提示数据处理者关注后续的立法澄清和执法实操。
2)APP特殊合规义务:
* “提供产品或者服务所必需”:在APP合规方面,建议优先划分“基本业务功能”和“扩展业务功能”,并以此细化区分各个功能下的个人信息收集是否为提供产品或者服务所必需;
* “频繁征求同意”:在APP合规方面,《网数条例》未明确频繁应对标准的前提下,建议可参考不具有强制约束力的《移动互联网应用程序(App)收集使用个人信息自评估指南》等规定中提供的“48小时内问询超过1次”的频繁认定标准。
4、个人信息存储:自行设定方法
《个人信息保护法》第十七条要求个人信息处理规则需要包含“个人信息保存期限”内容的告知,但实操中个人信息主体往往面临着保存期限较难确定的问题。《网数条例》明确了此种情形之下,数据处理者应当以合理的方式,自行确定保存期限及其方法,并予以明确告知。
5、个人信息委托处理、对外提供和共同处理
对于《个人信息保护法》第二十一条、二十三条和二十条下的个人信息委托处理、对外提供、共同处理三类行为,《网数条例》进行了以下重点内容的新增:
1)对外提供行为,应当通过合同等方式与接收方进行约定。关于委托处理、共同处理行为的合同等约定要求已在《个人信息保护法》第二十一条、第二十条中进行了明确规定,但《个人信息保护法》第二十三条中并未明确此类处理行为需要通过合同方式进行约定,在实践中亦有不同的理解。如主张无需进行约定的观点认为,提供方与接收方为独立的个人信息处理者,需独立地对其个人信息处理行为负责,属于默示义务而无需通过合同予以规制;而另一方则认为,该要求虽未明确规定在《个人信息保护法》第二十三条中,但此前的《信息安全技术 个人信息安全规范》9.2条已明确约定个人信息共享需要“通过合同等方式规定数据接收方的责任和义务”。最终《网数条例》解决了上述分歧,对于个人信息处理者而言,对于个人信息的对外提供,“应当”通过合同等方式与接收方约定个人信息处理相关问题。
2)对外提供及委托处理行为,应当保存处理情况记录。《个人信息保护法》第五十五条、第五十六条明确约定了涉个人信息对外提供、委托处理行为下的3年的“个人信息保护影响评估记录”留存要求,《网数条例》中提出了3年的“处理情况记录”留存要求。我们理解,后者与GDPR下的数据处理活动记录类似,具体要素仍有待于澄清。我们建议,个人信息处理者在开展对外提供或委托处理行为时,既要留存个人信息保护影响评估报告,也要尽量全面地留存该行为相关的详细证明材料,例如数据处理协议、数据传输相关系统记录、数据安全措施证明等,以履行该项合规义务。
6、携带权适用条件进一步明确
对于个人信息可携带权问题,与征求意见稿相比,《网数条例》正式稿有以下变化:
1)增加“转移个人信息具备技术可行性”的适用条件:司法裁判中关于可携带权的多个争议认定中也强调了此适用条件,《网数条例》的规定,进一步明确了落地标准。
2)由“提供转移服务”修改为“提供访问、获取途径”:该点减轻了企业的合规负担,数据处理者在响应该类行权请求时,可进行更为灵活的安排与设置。
3)不增加额外成本作为行权准则。对于请求次数等明显超出合理范围的收费,由“收取合理费用”修改为“根据转移个人信息的成本收取必要费用”。在此,处理者应当有针对性地留存证明材料,并结合成本制定费用收取标准,以免发生争议。
此外,关于可携带权问题,除《网数条例》规定外,网安标委今年4月曾发布《信息安全技术 基于个人请求的个人信息转移要求(征求意见稿)》,预计后续该文件的正式稿会在《网数条例》规定内容的基础上进一步细化,建议保持关注。
7、个人信息合规审计
对于个人信息保护合规审计问题,此前国家网信办已发布《个人信息保护合规审计管理办法(征求意见稿)》,后续该文件会对于个人信息保护合规审计问题进行细化规定。对此,《网数条例》虽未进一步细化,但规定了多种评估、审计机制之间的协调问题,即个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估要加强衔接,避免重复评估、审计。该点对于减轻企业合规负担具有重要意义。
8、域外适用:适用情形衔接+报送部门确定
对于境外网络数据处理者而言,值得关注以下要点:
1)适用情形:《网数条例》第二条第二款衔接了《个人信息保护法》第三条第二款的规定,无新增内容,仍需依据《个人信息保护法》的情形进行适用性判断;
2)报送的具体监管部门:《网数条例》第二十六条明确了《个人信息保护法》第五十三条境外网络数据处理者在境内设置专门机构或者指定代表的报送监管部门,并指明该类主体应当向市级网信部门报送。类似于GDPR下的DPO设置,对于落入上述适用范围的境外网络数据处理者而言,建议重视此项合规义务,尽快在中国境内专门机构或者指定代表,明确其个人信息保护具体职责,并向有关机构备案。
三、关于对网络平台服务提供者的监管要求
总体上看,相比于征求意见稿,《网数条例》在“平台监管”章节的调整最大。新规删除了较多针对于平台的合规义务,而将侧重点放在了网络平台处理网络数据时的安全保护义务。当下对于大型平台的监管,是各国监管机构面临的重要问题之一,《网数条例》也做出了有效回应。
(一)强化大型网络平台监管
在明确网络平台服务提供者的主体责任的基础上,《网数条例》延续了此前征求意见稿对于网络平台的分级监管思路,进一步提出“大型网络平台”的概念,并吸纳欧盟《数字市场法》(Digital Market Act,DMA)对于“守门人(gatekeeper)”赋予前置行为义务的监管方案,对大型网络平台服务提供者提出了更为严格的合规要求。
1、什么是“大型网络平台”?
《网数条例》中定义的“大型网络平台”,是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。从上述定义上看,我国对于大型网络平台的界定采用了“定量+定性”的思路,即:
(1)定量要求:注册用户5000万以上或者月活跃用户1000万以上。
(2)定性要求:①业务类型复杂;②网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响。
需要注意的是,《网数条例》并未就“业务类型复杂”及“网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响”这两个关键要件进行澄清。满足定量要求的企业在识别自身是否构成大型网络平台时,仍面临着一定的不确定性。结合此前《未成年人网络保护条例》中规定的“未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者的具体认定办法,由国家网信部门会同有关部门另行制定”,我们理解,未来国家相关部门可能就此“大型网络平台”的具体认定制定专门规则。如该等规则在《网数条例》生效前仍未发布的,基于审慎开展业务经营的考量,我们建议,企业在满足上述定量要求时即需要履行大型网络平台的相关义务,以避免引发相应的合规风险。
2、大型网络平台服务提供者有哪些特殊合规义务?
根据《网数条例》,大型网络平台服务提供者不得利用网络数据、算法以及平台规则等从事下列活动:
① 通过误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据;
② 无正当理由限制用户访问、使用其在平台上产生的网络数据;
③ 对用户实施不合理的差别待遇,损害用户合法权益;
④ 法律、行政法规禁止的其他活动。
其中,第①项是对《个人信息保护法》中“不得通过误导、欺诈、胁迫等方式处理个人信息”的重申,第④项则为兜底性规定,以下我们将主要就第②、③项合规要求开展分析。
(1)不得无正当理由限制用户访问、使用其在平台上产生的网络数据
应当明确的是,本项的“用户”不仅涵盖个人用户,也应理解为包含企业用户。基于此,本项要求不仅是对《个人信息保护法》中个人信息主体有关权利的重申,也进一步明确平台内经营者作为企业用户对于其在平台上产生的数据享有的访问和使用的权利。
对比考察域外立法实践,DMA中对守门人提出了类似要求。即守门人应当免费向企业用户提供有效、高质量且持续性的数据实时访问和使用。但对比《网数条例》而言,DMA为守门人设置了更加沉重的负担。如在DMA下,大型网络平台服务提供者还应当免费提供数据实时访问和使用、保障数据访问和使用的有效性、高质量和持续性等合规要求。
(2)不得对用户实施不合理的差别待遇,损害用户合法权益
在《网数条例》之前,我国法下的“差别待遇”主要是指反垄断法下的差别待遇或网络不正当竞争行为,具体如下:
点击可查看大图
就《网数条例》规定而言,该条针对差别待遇的规制范围并未实质超出反垄断及反不正当竞争视域下的规制。而《网数条例》并未针对本条设置罚则,而是明确对于其未设置罚则的违反该条例的相关行为,应由主管部门依照有关规定追究法律责任。基于此,我们理解,大型平台服务提供者在具体履行本项合规要求时,可以前述列举的反垄断及反不正当竞争层面的“不合理差别待遇”行为的构成要件为基准,合理确定自身针对用户设置不同交易条件、服务条件的合规边界。
此外,《网数条例》还特别强调了大型网络平台的公共属性及其所负有的透明度义务,要求大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。
(二)细化网络平台企业主体责任
在“网络平台服务提供者义务”这一章节中,《网数条例》特别强调了网络平台服务提供者对于自身平台中的相关商品和服务的管理义务。具体而言,网络平台服务提供者应当通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务,并采取措施督促第三方产品和服务提供者加强网络数据安全管理。此外,预装应用程序的智能终端等生产者,对于预装的应用程序,同样需承担上述网络数据安全管理要求。
值得关注的是,此前征求意见稿中要求互联网平台运营者就第三方产品和服务对用户的损害承担先行赔偿义务,即当第三方产品和服务对用户造成损害时,用户可以要求互联网平台运营者先行赔偿。我们理解,这种先行赔偿义务并未将过错作为归责要件,实质上排除了“避风港规则”的适用空间,一旦发生相关损害,无论互联网平台运营者是否具有过错,均应依用户要求先行赔偿。而在《网数条例》中,当接入平台的第三方产品和服务对用户造成损害的,网络平台服务提供者仅需“依法承担相应赔偿责任”。我们理解,在《网数条例》下,网络平台服务提供者仍可援用“避风港规则”,仅当自身存在过错时才需就第三方产品和服务造成的损害承担相应责任。
此外,《网数条例》还重申了应用程序分发平台对于应用程序的核验与处置要求,将《移动互联网应用程序信息服务管理规定》中的相关规定上升至行政法规层面的监管要求。对于通过自动化决策方式向个人进行信息推送的,网络平台服务提供者还应当设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。
四、《网数条例》下的监管与罚则
相较于征求意见稿,《网数条例》在监督管理与法律责任方面亦做了较大的调整。整体来看,《网数条例》进一步强调了由网信部门统筹、相关主管部门在各自职责范围内负责的分工与协同的网络数据监督管理机制。在法律责任方面,《网数条例》与《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等相关法律进行了有效衔接,既体现了监管部门“一以贯之”的监管态势,又可体察到此领域“包容审慎”的监管机制,为相关主体和企业提供了纠错空间。
具体而言:
(一)国家数据管理部门将承担网络数据安全职责
《网数条例》第四十七条对网络数据安全和监管工作提出了分工要求。值得注意的是,《网数条例》特别针对国家数据管理部门提出了具体工作职责,指出国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责。
作为国家数据管理部门,国家数据局于2023年挂牌成立,其主要承担推进数据要素有序流通、数据基础制度建设等数据管理职责,亦先后发布相关文件以履行其数据管理工作职责,如基于“数据二十条”发布的具体细化政策规则等。
我们理解,《网数条例》专门提出国家数据管理部门的网络数据安全职责,一方面可以看出国家对数据利用、数据要素流通的重视,另一方面也可以看出国家对于数据安全与数据要素流通并重的态度。
(二)细化行业主管部门的监督职责
在《数据安全法》《个人信息保护法》等的规定下,行业主管部门在其行业、领域内的承担着重要的监管职责。实践中,相关领域主管部门通过发布行业的数据安全管理规定,以履行其监管职责,如工业和信息化领域、金融领域等。《网数条例》第四十八条在相关法律的基础上,对行业主管部门的网络数据安全管理职责进一步的进行了细化,对主管部门提出了诸多主动的数据安全管理要求,以督促行业主管部门落实网络数据安全监管职责。具体包括:
* 明确本行业、本领域网络数据安全保护工作机构;
* 统筹制定并组织实施本行业、本领域网络数据安全事件应急预案;
* 定期组织开展本行业、本领域网络数据安全风险评估;
* 对网络数据处理者履行网络数据安全保护义务情况进行监督检查;
* 指导督促网络数据处理者及时对存在的风险隐患进行整改。
我们理解,《网数条例》对主管部门管理职责的细化不仅对主管部门提出了更高的管理要求,同时也意味未来监管的垂直化、专业化和透明化,亦可更好的督促企业能够提前做好相关网络数据安全的合规工作。
(三)明确网信部门统筹开展网络数据安全应急处置工作
《数据安全法》提出国家建立数据安全应急处置机制。《网数条例》进一步明确了国家网信部门统筹协调有关主管部门履行网络数据安全事件的应急处置职责的要求,包括及时汇总、研判、共享、发布网络数据安全风险相关信息,同时加强网络数据安全信息共享、网络数据安全风险和威胁监测预警以及网络数据安全事件应急处置工作。
我们理解,该规定意味着网络数据监管领域数据安全应急处置机制的落地,对于数据安全应急监管提供了重要的法律依据。
(四)进一步优化了数据安全监督检查措施
征求意见稿对主管部门开展网络数据安全监督检查的措施进行了规定,《网数条例》在征求意见稿的基础上针对监督检查措施进行了进一步优化。在网络数据安全监督检查中,主管部门不仅可以要求相关人员进行说明,同时还可以查阅复制相关文件和记录,以及检查网络数据安全措施运行情况和网络数据处理活动有关的设备、物品等。从前述规定可以看出,主管部门在监督检查中可以采取的措施范围较大,这就要求相关企业应进一步提高数据合规意识,提升数据合规能力,以更好地应对主管部门的监督检查。
《网数条例》进一步强调了有关主管部门在网络数据安全监督检查获取的信息只能用于维护网络数据安全的需要,不得访问、收集与网络数据安全无关的业务信息。该规定对相关企业应对主管部门的监管检查过程中的不规范执法行为提供了重要的法律依据,据此切实保护企业的合法权益。此外,《网数条例》在征求意见稿的基础上,新增了有关主管部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密的保密义务。
同时,《网数条例》亦为相关企业应对主管部门的监督检查进行了一定程度的“松绑减负”。法案不仅要求有关主管部门在开展网络数据安全监督检查时,应当加强协同配合、信息沟通,合理确定检查频次和检查方式,避免不必要的检查和交叉重复检查,并指出重要数据风险评估和网络安全等级测评的内容重合的,相关结果可以互相采信。
(五)首次提出网信部门有权对境外组织、个人的网络数据处理活动进行监管
《网数条例》第五十四条提出,国家网信部门会同有关主管部门可以依法对境外的组织、个人从事的相关网络数据处理活动采取相应的必要措施,这是首次在法律法规层面明确提出网信部门针对境外组织、个人的监管职责。
此前《数据安全法》和《个人信息保护法》仅在法律层面明确了针对相关境外数据活动的法律适用。《网数条例》提出针对境外组织、个人的监管,进一步厘清了《数据安全法》和《个人信息保护法》的适用范围。
(六)进一步细化法律责任
在法律责任方面,《网数条例》在《网络安全法》《数据安全法》《个人信息保护法》的基础上,进一步针对网络数据领域的具体违规行为的罚则进行了细化,明确了相关网络数据处理者的法律责任。同时,《网数条例》加强了与《网络安全法》《数据安全法》《个人信息保护法》在罚则规定的关联,对于《网数条例》中未规定的罚则,监管部门仍将依据上位法对相关违规企业进行处罚。《网数条例》设置的罚则具体梳理如下:
虽然《网数条例》针对大型网络平台规定了诸多特殊义务,却并未为其设置单独的罚则。然而,我们认为,一旦大型网络平台出现违规行为,例如违规处理个人信息,若按照《个人信息保护法》中以营业额为基准确定罚款,极有可能直接突破《网数条例》所设定的最高罚款额度。
(七)引入首违不罚、轻微不罚的行政处罚原则
“首违不罚”“轻微不罚”是《行政处罚法》针对行政处罚重要的处罚原则。《网数条例》第五十九条引入了“首违不罚”“轻微不罚”原则,明确网络数据处理者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,可以依法从轻、减轻或者不予行政处罚。这是数据立法领域首次明确前述原则,体现了《网数条例》与《行政处罚法》的有效衔接,也体现了监管部门包容审慎的监管态度。
实践中,“首违不罚”和“轻微不罚”主要以清单式方式明确具体情形,数据监管领域对于前述原则的落地仍有待观望监管实践。对于网络数据处理者而言,我们建议对于“首违不罚”和“轻微不罚”原则仍应保持谨慎态度,并主动做好主动合规动作。如确实存在违规行为可以从轻、减轻或者不予行政处罚的情形,亦可以积极行使权力,争取不罚。
结语
在互联网和人工智能时代,网络数据覆盖了经济生活中的方方面面。故《网数条例》对于各类组织、企业而言,将成为在数字经济领域继“三法一条例”之后的重要合规依据。颁布后的《网数条例》也体现了国家和监管部门在如今的经济环境下,主动为企业减负,增强数据要素市场,建立高效、便利数据流通机制的决心。
《网数条例》将在明年正式实施,我们建议有关企业应当在这段“过渡期”内,积极识别自身合规义务,主动评估自身的合规工作。特别是数据合规领域,对于流程性文件的全面性和准确性要求较高,合规工作并非“一蹴而就”,企业需要长时间的专业储备和高效准备。为应对未来趋严趋细的监管落地,各类数据处理者应以“防患于未然,绸缪于未雨”作为工作准则,建立良好的数据合规文化,应对全球范围的数据监管浪潮。
扫描二维码可查看
附件:《网络数据安全管理条例》对比表
作者简介
蔡鹏 律师
北京办公室 合伙人
业务领域:网络安全和数据保护,知识产权权利保护,合规和调查
行业领域:电信和互联网,信息和智能技术,医疗健康
肖莆羚令 律师
北京办公室 知识产权部
苏阳阳
北京办公室 知识产权部
高维钊
北京办公室 知识产权部
唐静思
北京办公室 知识产权部
声明:本文来自中伦视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。