在《數據安全法》施行僅2個多月、《個人信息保護法》剛剛落地生效之際,為回應網絡數據法治化治理的執法和適法需求,一部更趨完備、更具可操作性的法律適用細則正呼之欲出。11月14日,國家網信辦發布《網絡數據安全管理條例(徵求意見稿)》(下稱“徵求意見稿”)。
該徵求意見稿共計9章75條,以《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等上位法為依據,明確建立數據分類分級保護制度,並進一步細化了以大型互聯網平台運營者為代表的數據處理者對重要數據和核心數據的保護要求,以及相關的網絡安全審查情形,其徵求意見的截止時間為2021年12月13日。
早在今年6月,此次徵求意見的《網絡數據安全管理條例》就被列在國務院2021年度立法工作計劃當中,但當時擬定的名稱為《數據安全管理條例》。北京市京師律師事務所律師杜廣普在接受第一財經採訪時稱,此次更名,體現了立法過程中的“抓大放小”,即針對互聯網平台經營者等數據處理者先行立法,突出了近期監管部門的治理重點,也便於該條例更快落地。
北京師範大學網絡法治國際中心執行主任吳沈括進一步對第一財經表示,該徵求意見稿中有關個人信息保護、重要數據安全、數據跨境安全管理、互聯網平台運營者義務等方面的細化規定,對於互聯網平台經營者的合規風控工作將產生廣泛指引意義。待其落地之後,可以對互聯網產業和數字生態、數字經濟帶來深度的、生態性的重組和改造。
建立數據分類分級保護制度
徵求意見稿提出,國家建立數據分類分級保護制度。按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度,將數據分為一般數據、重要數據、核心數據,不同級別的數據採取不同的保護措施。
其中,國家對個人信息和重要數據進行重點保護,對核心數據實行嚴格保護。
中國信息通信研究院雲計算與大數據研究所人工智能部工程師呼娜英對第一財經稱,作為正在施行的兩部上位法,網安法的網絡安全等級保護制度中已提出了數據分類,數安法中則提出重要數據保護目錄以及核心數據兩大重要概念。徵求意見稿是在網安法、數安法的基礎上,進一步明確,國家要針對個人信息權益進行重點保護。
在數據安全法第三章第二十一條中,原則性規定了數據分類分級的依據為在經濟社會發展中的重要程度和遭到篡改、泄露等情形時的危害程度。其中,“關係國家安全、國民經濟命脈、重要民生、重大公共利益等數據”被列為國家核心數據,徵求意見稿對於“核心數據”的定義與之保持一致。
但對於“重要數據”的範疇,數據安全法並未做出具體界定。
徵求意見稿在上述法律的基礎上進行細化。其中明確,重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據,共包括7類,如在密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據為代表的出口管制數據;電信、能源、金融等重點行業和領域安全生產、運行的數據;國家基礎設施、關鍵信息基礎設施建設運行及其安全數據等。
中國人民大學數字經濟跨學科交叉平台首席專家李三希對第一財經表示,此類數據的共同特徵是與產業數字化轉型及高質量發展密切相關,將有助於我國產業鏈供應鏈的自主安全發展。
由於不同行業、不同地區數據分類分級的具體規則和考慮因素差異巨大,重要數據具體目錄和具體分類分級保護制度的制定權限被予以下放。徵求意見稿稱,按照國家數據分類分級要求,各地區、各部門應對本地區、本部門以及相關行業、領域的數據進行分類分級管理。
大型互聯網平檯面臨
更嚴“數據出境”監管
考慮到港股市場的強大活力以及中國針對跨境數據安全的監管加強,相較於網信辦於7月10日發布的《網絡安全審查辦法(修訂草案徵求意見稿)》,徵求意見稿進一步細化並補充了網絡安全審查的對象,並增設了大型互聯網平台的義務。
根據徵求意見稿第十三條,數據處理者赴中國香港上市,影響或者可能影響國家安全的,應當按照國家有關規定,申報網絡安全審查。
而在上述《網絡安全審查辦法(修訂草案徵求意見稿)》中,對於數據出境的安全審查僅包含“對於處理一百萬人以上個人信息的數據處理者赴國外上市的”,並未涉及赴香港上市的情形。
網絡安全領域資深學者、中國社會科學院經濟學博士方燕告訴第一財經,在全球複雜多變的形勢下,內地有更多IPO的企業紛紛去香港上市,徵求意見稿彌補了此前《網絡安全審查辦法(修訂草案徵求意見稿)》中的不完備之處,即數據安全審查原則不僅限於“數據出國”,也涵蓋“數據出境”。
事實上,在 10月29日印發的《數據出境安全評估辦法(徵求意見稿)》中,已經將需申報安全評估的對象,從開展數據出國活動的數據處理者延伸至開展數據出境活動的數據處理者,這與該徵求意見稿所指對象一致。
此外,對於數據跨境安全管理方面,徵求意見稿第十三條還對大型互聯網平台運營者提出安全審查要求,即“大型互聯網平台運營者在境外設立總部或者運營中心、研發中心,應當向國家網信部門和主管部門報告。”
李三希指出,相比企業及平台運營者而言,國家網信部門或主管部門對國內外的數據安全保護政策都更為清晰,通過向相關監管部門申報的方式,可以幫助出海企業規避相關風險。同時,做好事前備案工作也有助於企業應對國際形勢變化。
但對於該條目的監管主體——“大型互聯網平台運營者”,多名受訪人士指出,或值得進一步商榷。
方燕認為,在“其他影響或者可能影響國家安全的數據處理活動”中,如果僅針對互聯網企業,其主體設定或偏窄。比如,一些具有一定規模的電信運營商、智能終端製造商等也在境外設立了研發中心或運營中心,並同樣掌握海量數據,這類對象也應被納入安全審查。
杜廣普則認為,徵求意見稿中界定的“大型互聯網平台運營者”這一概念,有一定的不合理之處。
根據徵求意見稿第七十三條,“大型互聯網平台運營者是指用戶超過五千萬、處理大量個人信息和重要數據、具有強大社會動員能力和市場支配地位的互聯網平台運營者”。
“從上述定義可以看出,大型互聯網平台經營者需要同時滿足4個維度的條件。其中,前三個條件,即用戶、信息和社會動員方面的判定可能較為容易一些,而第四點‘市場支配地位’相對可能較難判斷。”杜廣普稱。
他進一步稱,根據當前的立法及實踐,“市場支配地位”主要是《反壟斷法》項下的術語。判斷經營者是否具有市場支配地位,通常是由反壟斷執法機構或法院在具體個案中結合相關證據,在準確界定相關市場之後,綜合考量多種因素進行認定或推定,具有比較高的專業性和難度。此外,即使一個經營者在一個案件中被認定具有市場支配地位,這種認定也可能隨着時間的推移、經營者內外部環境變化而發生變化。
“由此可見,‘大型互聯網平台經營者’這一重要‘身份’的認定具有不確定性,實際操作上可能會面臨比較大的挑戰。”杜廣普稱。
除了“大型互聯網平台運營者”這一概念,呼娜英還表示,在個人信息保護方面,徵求意見稿也有一些措辭上或需要進一步統一或解釋,比如,數據處理者利用生物特徵進行個人身份認證的,應當對必要性、安全性進行風險評估,其與個保法中規定的處理敏感個人信息的事前影響評估,應是基於同一種事前評估的本意,建議統一措辭。
“總體上來看,徵求意見稿對於互聯網平台運營者,尤其是大型互聯網平台運營者設立了較多監管措施,有利於細化並落實三部上位法。但其中有些條目內容或存在與此前法律法規不相一致的地方,徵求意見稿中更新創設的表述有待進一步釐清與明確。”呼娜英稱。