作者/吴斯旻
在《数据安全法》施行仅2个多月、《个人信息保护法》刚刚落地生效之际,为回应网络数据法治化治理的执法和适法需求,一部更趋完备、更具可操作性的法律适用细则正呼之欲出。
11月14日,国家网信办发布《网络数据安全管理条例(征求意见稿)》(下称“征求意见稿”),该征求意见稿共计9章75条,以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等上位法为依据,明确建立数据分类分级保护制度,并进一步细化了以大型互联网平台运营者为代表的数据处理者对重要数据和核心数据的保护要求,以及相关的网络安全审查情形,其征求意见的截止时间为2021年12月13日。
早在今年6月,此次征求意见的《网络数据安全管理条例》就被列在国务院2021年度立法工作计划当中,但当时拟定的名称为《数据安全管理条例》。北京市京师律师事务所律师杜广普在接受第一财经采访时称,此次更名,体现了立法过程中的“抓大放小”,即针对互联网平台经营者等数据处理者先行立法,突出了近期监管部门的治理重点,也便于该条例更快落地。
北京师范大学网络法治国际中心执行主任吴沈括进一步对第一财经表示,该征求意见稿中有关个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等方面的细化规定,对于互联网平台经营者的合规风控工作将产生广泛指引意义。待其落地之后,可以对互联网产业和数字生态、数字经济带来深度的、生态性的重组和改造。
建立数据分类分级保护制度
征求意见稿提出,国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
其中,国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
中国信息通信研究院云计算与大数据研究所人工智能部工程师呼娜英对第一财经称,作为正在施行的两部上位法,网安法的网络安全等级保护制度中已提出了数据分类,数安法中则提出重要数据保护目录以及核心数据两大重要概念。征求意见稿是在网安法、数安法的基础上,进一步明确,国家要针对个人信息权益进行重点保护。
在数据安全法第三章第二十一条中,原则性规定了数据分类分级的依据为在经济社会发展中的重要程度和遭到篡改、泄露等情形时的危害程度。其中,“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”被列为国家核心数据,征求意见稿对于“核心数据”的定义与之保持一致。
但对于“重要数据”的范畴,数据安全法并未做出具体界定。
征求意见稿在上述法律的基础上进行细化。其中明确,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据,共包括7类,如在密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据为代表的出口管制数据;电信、能源、金融等重点行业和领域安全生产、运行的数据;国家基础设施、关键信息基础设施建设运行及其安全数据等。
中国人民大学数字经济跨学科交叉平台首席专家李三希对第一财经表示,此类数据的共同特征是与产业数字化转型及高质量发展密切相关,将有助于我国产业链供应链的自主安全发展。
由于不同行业、不同地区数据分类分级的具体规则和考虑因素差异巨大,重要数据具体目录和具体分类分级保护制度的制定权限被予以下放。征求意见稿称,按照国家数据分类分级要求,各地区、各部门应对本地区、本部门以及相关行业、领域的数据进行分类分级管理。
大型互联网平台面临更严“数据出境”监管
考虑到港股市场的强大活力以及中国针对跨境数据安全的监管加强,相较于网信办于7月10日发布的《网络安全审查办法(修订草案征求意见稿)》,征求意见稿进一步细化并补充了网络安全审查的对象,并增设了大型互联网平台的义务。
根据征求意见稿第十三条,数据处理者赴中国香港上市,影响或者可能影响国家安全的,应当按照国家有关规定,申报网络安全审查。
而在上述《网络安全审查办法(修订草案征求意见稿)》中,对于数据出境的安全审查仅包含“对于处理一百万人以上个人信息的数据处理者赴国外上市的”,并未涉及赴中国香港上市的情形。
网络安全领域资深学者、中国社会科学院经济学博士方燕告诉第一财经,在全球复杂多变的形势下,内地有更多IPO的企业纷纷去中国香港上市,征求意见稿弥补了此前《网络安全审查办法(修订草案征求意见稿)》中的不完备之处,即数据安全审查原则不仅限于“数据出国”,也涵盖“数据出境”。
事实上,在 10月29日印发的《数据出境安全评估办法(征求意见稿)》中,已经将需申报安全评估的对象,从开展数据出国活动的数据处理者延伸至开展数据出境活动的数据处理者,这与该征求意见稿所指对象一致。
此外,对于数据跨境安全管理方面,征求意见稿第十三条还对大型互联网平台运营者提出安全审查要求,即“大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。”
李三希指出,相比企业及平台运营者而言,国家网信部门或主管部门对国内外的数据安全保护政策都更为清晰,通过向相关监管部门申报的方式,可以帮助出海企业规避相关风险。同时,做好事前备案工作也有助于企业应对国际形势变化。
但对于该条目的监管主体——“大型互联网平台运营者”,多名受访人士指出,或值得进一步商榷。
方燕认为,在“其他影响或者可能影响国家安全的数据处理活动”中,如果仅针对互联网企业,其主体设定或偏窄。比如,一些具有一定规模的电信运营商、智能终端制造商等也在境外设立了研发中心或运营中心,并同样掌握海量数据,这类对象也应被纳入安全审查。
杜广普则认为,征求意见稿中界定的“大型互联网平台运营者”这一概念,有一定的不合理之处。
根据征求意见稿第七十三条,“大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者”。
“从上述定义可以看出,大型互联网平台经营者需要同时满足4个维度的条件。其中,前三个条件,即用户、信息和社会动员方面的判定可能较为容易一些,而第四点‘市场支配地位’相对可能较难判断。”杜广普称。
他进一步称,根据当前的立法及实践,“市场支配地位”主要是《反垄断法》项下的术语。判断经营者是否具有市场支配地位,通常是由反垄断执法机构或法院在具体个案中结合相关证据,在准确界定相关市场之后,综合考量多种因素进行认定或推定,具有比较高的专业性和难度。此外,即使一个经营者在一个案件中被认定具有市场支配地位,这种认定也可能随着时间的推移、经营者内外部环境变化而发生变化。
“由此可见,‘大型互联网平台经营者’这一重要‘身份’的认定具有不确定性,实际操作上可能会面临比较大的挑战。”杜广普称。
除了“大型互联网平台运营者”这一概念,呼娜英还表示,在个人信息保护方面,征求意见稿也有一些措辞上或需要进一步统一或解释,比如,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,其与个保法中规定的处理敏感个人信息的事前影响评估,应是基于同一种事前评估的本意,建议统一措辞。
“总体上来看,征求意见稿对于互联网平台运营者,尤其是大型互联网平台运营者设立了较多监管措施,有利于细化并落实三部上位法。但其中有些条目内容或存在与此前法律法规不相一致的地方,征求意见稿中更新创设的表述有待进一步厘清与明确。”呼娜英称。