引言
歷時3年,《網(wǎng)絡數(shù)據(jù)安全管理條例》(下稱“《網(wǎng)數(shù)條例》”)終將于2025年1月1日起生效。在數(shù)據(jù)保護領(lǐng)域的法規(guī)標準迭出、監(jiān)管機構(gòu)交錯的大背景下,《網(wǎng)數(shù)條例》提出的關(guān)鍵詞是聚焦重點、合規(guī)減負、監(jiān)管協(xié)同。本文將著重介紹《網(wǎng)數(shù)條例》下需關(guān)注的合規(guī)行動。一、重要數(shù)據(jù):終于平穩(wěn)落定
1. 企業(yè)如何履行“重要數(shù)據(jù)”的識別申報義務?
答:政府確定目錄→企業(yè)自行識別→企業(yè)申報→政府確認。重要數(shù)據(jù)一貫采取自上而下的路徑,先由監(jiān)管機構(gòu)定調(diào)、再由企業(yè)落地。《網(wǎng)數(shù)條例》免除了其《征求意見稿》中的重要數(shù)據(jù)備案義務,但仍要求企業(yè)申報重要數(shù)據(jù)、由監(jiān)管機構(gòu)予以確認。這一方面為企業(yè)增設了合規(guī)義務,另一方面則增加了重要數(shù)據(jù)的可確定性。保護重要數(shù)據(jù)的第一步是識別重要數(shù)據(jù),而企業(yè)面臨的老大難問題正是“什么是重要數(shù)據(jù)”。《網(wǎng)數(shù)條例》在重要數(shù)據(jù)的定義中提出了定性要件,至于具體標準,則交由各地區(qū)、各部門確定重要數(shù)據(jù)具體目錄。其后,由企業(yè)據(jù)此識別自己掌握的重要數(shù)據(jù),并向監(jiān)管機構(gòu)進行申報。最后,由監(jiān)管機構(gòu)確認重要數(shù)據(jù),并告知企業(yè)或公開發(fā)布。此外,《網(wǎng)數(shù)條例》提出,企業(yè)如果處理1000萬人以上個人信息,則應遵守重要數(shù)據(jù)處理者的兩類義務,但并未擴展至所有義務,也未將“1000萬以上個人信息”與“重要數(shù)據(jù)”直接劃等號。實踐中,可能仍有賴于部門規(guī)定(如《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》)、地方規(guī)定(如《中國(北京)自由貿(mào)易試驗區(qū)數(shù)據(jù)出境管理清單(負面清單)(2024版)》)進行細致的界定。2. 誰可以擔任“網(wǎng)絡數(shù)據(jù)安全負責人”?答:專業(yè)知識和管理工作經(jīng)歷+管理層成員+有權(quán)向主管機構(gòu)匯報。三大法均提及網(wǎng)絡安全負責人、數(shù)據(jù)安全負責人、個人信息保護負責人,而企業(yè)的實踐難題在于誰來擔任這些負責人。《網(wǎng)數(shù)條例》要求重要數(shù)據(jù)的處理者設置“網(wǎng)絡數(shù)據(jù)安全負責人”,且對該負責人提出了具體要求,包括:(1)具備網(wǎng)絡數(shù)據(jù)安全專業(yè)知識和相關(guān)管理工作經(jīng)歷,(2)屬于企業(yè)的管理層成員,(3)有權(quán)直接向有關(guān)主管部門報告網(wǎng)絡數(shù)據(jù)安全情況。由此可見,網(wǎng)絡數(shù)據(jù)安全負責人必須由企業(yè)的管理層成員擔任,例如,分管數(shù)據(jù)安全的高管。該負責人本身應具備相關(guān)知識與經(jīng)歷,向上應被賦權(quán)向監(jiān)管機構(gòu)匯報情況,向下應設置專業(yè)團隊及人員共同支撐。此外,《網(wǎng)數(shù)條例》沒有明確規(guī)定網(wǎng)絡數(shù)據(jù)安全負責人的個人責任,對于企業(yè)的違法行為,仍由“直接負責的主管人員”和“其他直接責任人員”承擔相應的個人責任。3. 重要數(shù)據(jù)生命周期管理中應重點關(guān)注哪些環(huán)節(jié)?答:涉及第三方的流轉(zhuǎn)環(huán)節(jié):提供、委托處理、共同處理、出境、轉(zhuǎn)移。相較于企業(yè)內(nèi)部的重要數(shù)據(jù)處理,當重要數(shù)據(jù)在企業(yè)與第三方之間流轉(zhuǎn),則天然增加了風險。因此,《網(wǎng)數(shù)條例》重點關(guān)注提供、委托處理、共同處理、出境、轉(zhuǎn)移這些環(huán)節(jié)。(1)提供、委托處理、共同處理:提供、委托處理、共同處理重要數(shù)據(jù)時企業(yè)應事先進行風險評估,除非是為履行法定義務。風險評估的內(nèi)容與數(shù)據(jù)出境風險自評估較為相似,但并不需要取得監(jiān)管批準,而是需在向主管部門報送年度風險評估報告時包含相關(guān)風險評估情況。評估內(nèi)容具體對比如下表:此外,參考《個人信息保護法》(下稱“《個保法》”)的規(guī)定,《網(wǎng)數(shù)條例》要求企業(yè)在提供、委托處理重要數(shù)據(jù)時,應與接收方進行合同約定,對接收方進行監(jiān)督,并保留處理情況記錄至少3年。
(2)出境:《網(wǎng)數(shù)條例》重申,企業(yè)出境重要數(shù)據(jù)前應通過國家網(wǎng)信部門的安全評估。此外,企業(yè)在向主管部門報送年度風險評估報告時,應包括網(wǎng)絡數(shù)據(jù)出境情況。(3)轉(zhuǎn)移:企業(yè)如果發(fā)生合并、分立、解散、破產(chǎn)等事件,可能影響重要數(shù)據(jù)安全,則應向主管部門報告重要數(shù)據(jù)處置方案、接收方的名稱/姓名和聯(lián)系方式等,以免重要數(shù)據(jù)落入無人保障的真空狀態(tài)。4. 如何通過開展重要數(shù)據(jù)風險評估把握監(jiān)管脈絡?答:自評估+合規(guī)整改+監(jiān)管報送。“自評估+監(jiān)管報送”是數(shù)據(jù)保護領(lǐng)域常見的監(jiān)管方式,履行報送義務后自然就知道如何保護重要數(shù)據(jù)。《網(wǎng)數(shù)條例》細化了《數(shù)據(jù)安全法》關(guān)于重要數(shù)據(jù)的風險評估、報告內(nèi)容及監(jiān)管報送的要求。企業(yè)開展風險評估、撰寫報告,其實也是同步合規(guī)整改的過程,合規(guī)要點包括:數(shù)據(jù)及處理活動的基本情況、企業(yè)采取的組織措施和技術(shù)措施、第三方數(shù)據(jù)流轉(zhuǎn)情況、安全事件風險及處置;大型網(wǎng)絡平臺需額外注意關(guān)鍵業(yè)務和供應鏈安全。二、網(wǎng)絡平臺:監(jiān)管走向深入
1. 如何理解“網(wǎng)絡平臺服務提供者”的適用范圍?答:法規(guī)未明確,實踐中應當具備外接第三方產(chǎn)品和服務、面向公眾的屬性。《網(wǎng)數(shù)條例》未對“網(wǎng)絡平臺服務提供者”作出明確定義,其適用范圍主要取決于對“網(wǎng)絡”范圍的解釋。《網(wǎng)絡安全法》項下的“網(wǎng)絡”覆蓋范圍較為寬泛。本處的“網(wǎng)絡”究竟采廣義解釋(互聯(lián)網(wǎng)、局域網(wǎng)、內(nèi)網(wǎng)等均被包含在內(nèi))還是狹義解釋(僅涉及面向公眾開放的互聯(lián)網(wǎng))已引發(fā)討論,但從抓重點的立法本意而言不宜做擴大解釋。以下主體屬于《網(wǎng)數(shù)條例》項下的“網(wǎng)絡平臺服務提供者”或需適用相關(guān)規(guī)定,且將受到特別關(guān)注:● 大型網(wǎng)絡平臺服務提供者:僅就字面解讀,其需同時滿足“注冊用戶5000萬以上或者月活躍用戶1000萬以上”“業(yè)務類型復雜”“網(wǎng)絡數(shù)據(jù)處理活動對國家安全、經(jīng)濟運行、國計民生等具有重要影響”三個要件。實踐中,用戶量可能會成為判斷企業(yè)是否落入“大型網(wǎng)絡平臺服務提供者”范圍的主要因素。一方面,用戶量為量化標準,較容易判斷;另一方面,達到用戶量標準通常意味著其具有“重要影響力”,在平臺功能日益聚合化的當下亦不難認定“業(yè)務類型復雜”。例如,即便是垂類的電商平臺,亦融合了銷售、廣告、支付、物流等諸多業(yè)務。放眼全球,歐盟的平臺治理亦以較為限定的大型網(wǎng)絡平臺為主要抓手,對“守門人”和“超大型在線平臺”進行重點監(jiān)管。● 預裝應用程序的智能終端等設備生產(chǎn)者:例如手機、車機、電腦等智能終端設備生產(chǎn)者將被視為網(wǎng)絡平臺服務提供者,督促第三方產(chǎn)品和服務提供者加強網(wǎng)絡數(shù)據(jù)安全管理。● 提供應用程序分發(fā)服務的網(wǎng)絡平臺服務提供者:作為應用程序分發(fā)平臺,需開展應用程序及網(wǎng)絡數(shù)據(jù)安全相關(guān)核驗,并在發(fā)現(xiàn)不符合強制要求時采取警示、不予分發(fā)、暫停分發(fā)或者終止分發(fā)等措施。2. 為何對網(wǎng)絡平臺服務提供者施以額外的嚴格義務?答:不履行網(wǎng)安義務+濫用數(shù)據(jù)優(yōu)勢+平臺“力量”膨脹。《網(wǎng)數(shù)條例》的官方解讀對此作出答復,理解源于對網(wǎng)絡平臺服務提供者的監(jiān)管實踐:(1)基礎原因:平臺不履行網(wǎng)絡數(shù)據(jù)安全義務;(2)進階原因:平臺濫用數(shù)據(jù)優(yōu)勢從事法律、行政法規(guī)禁止的活動。尤其是后者,可以看出監(jiān)管部門已充分認識到平臺的優(yōu)勢地位以及其對社會秩序的巨大影響。法律、社群規(guī)范、市場、架構(gòu)(技術(shù))是社會控制的主要手段。在當今時代,平臺通過網(wǎng)絡技術(shù)手段深深嵌入(甚至是重塑)人們的生活,影響著人們衣食住行的各個維度。這一點在大型網(wǎng)絡平臺處展現(xiàn)得更為明顯,正如《網(wǎng)數(shù)條例》第46條所道“三條路徑”,數(shù)據(jù)、算法和平臺規(guī)則助推平臺“力量”膨脹,自然也成為監(jiān)管的主要切入點。相較于歐盟《數(shù)字市場法》和《數(shù)字服務法》等相對“大一統(tǒng)”的平臺監(jiān)管框架,我國現(xiàn)階段的平臺監(jiān)管要求散落在不同立法之中。《網(wǎng)數(shù)條例》作為其中一塊拼圖,劃定了網(wǎng)數(shù)角度針對平臺監(jiān)管的重點。3. 網(wǎng)絡平臺服務提供者的哪些監(jiān)管要求值得被特別關(guān)注?答:(1)所有網(wǎng)絡平臺:第三方產(chǎn)品和服務的監(jiān)督及責任承擔+用戶標簽刪除功能+網(wǎng)絡身份認證。(2)大型網(wǎng)絡平臺:社會責任報告+數(shù)據(jù)跨境管理+禁止濫用數(shù)據(jù)、算法和平臺規(guī)則。整體而言,《網(wǎng)數(shù)條例》對網(wǎng)絡平臺服務提供者的監(jiān)管態(tài)度較為嚴格:● 第三方產(chǎn)品和服務的監(jiān)督及責任承擔:第三方產(chǎn)品和服務提供者違法違約處理數(shù)據(jù),對用戶造成損害的,網(wǎng)絡平臺服務提供者、第三方產(chǎn)品和服務提供者、預裝應用程序的智能終端等設備生產(chǎn)者應當依法承擔相應責任。鑒于實踐中平臺往往會接入諸多第三方產(chǎn)品和服務,本項要求可能會擴大平臺的責任范圍。此外,根據(jù)《民法典》第176條,民事主體依照法律規(guī)定或當事人約定承擔民事責任。因此,《網(wǎng)數(shù)條例》(僅為行政法規(guī))規(guī)定的前述責任當指行政責任,而非民事責任。● 針對個人特征的用戶標簽刪除功能:本處是對《個保法》第24條第二款(保障個人在自動化決策信息推送中的拒絕權(quán))的延伸規(guī)定。此前,《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定》就曾要求算法推薦服務提供者為用戶提供該等用戶標簽的選擇或刪除功能。但在實踐中,本項要求存在一定落地阻力:既涉及技術(shù)困難,也包括可能會對精準營銷業(yè)務產(chǎn)生重大影響。● 網(wǎng)絡身份認證:我國早在《網(wǎng)絡安全法》就已為網(wǎng)絡運營者設置身份認證義務,《網(wǎng)數(shù)條例》將在此基礎上按照“政府引導、用戶自愿”的原則進一步推廣網(wǎng)絡身份認證。除以上要求外,大型網(wǎng)絡平臺服務提供者將適用加重義務:● 個人信息保護社會責任報告:本處對《個保法》第58條第四款作出細化,將報告發(fā)布周期由“定期”明確為“每年度”,并規(guī)定了報告的主要披露事項,可見本項義務將切實走向落地。● 數(shù)據(jù)跨境管理、禁止濫用數(shù)據(jù)、算法和平臺規(guī)則:本處主要是重復現(xiàn)有法律法規(guī)要求的宣示性規(guī)定,再次強調(diào)大型網(wǎng)絡平臺服務提供者的前述義務要求,表明監(jiān)管部門日后可能會對其采取更為嚴厲的執(zhí)法行動。4. 如何看待網(wǎng)絡數(shù)據(jù)安全保險的發(fā)展前景?基于網(wǎng)絡數(shù)據(jù)對個人、企業(yè)、社會、國家安全的重要意義,一旦發(fā)生數(shù)據(jù)泄漏等安全事件,可能會引發(fā)較大規(guī)模的損害,網(wǎng)絡平臺服務提供者即面臨承擔巨額損害賠償?shù)娘L險,由此,事先購買網(wǎng)絡數(shù)據(jù)安全保險的意義則凸顯出來。《網(wǎng)數(shù)條例》亦明確提出鼓勵保險公司開發(fā)相關(guān)險種、鼓勵網(wǎng)絡平臺服務提供者等投保。不過需注意的是,在現(xiàn)行中國法項下,責任保險的承保范圍不包括行政罰款,可能會一定程度上限制網(wǎng)絡數(shù)據(jù)安全保險的推廣。三、個人信息:強調(diào)、明確及優(yōu)化
1. 已存在個人信息保護專項立法的情況下,個人信息保護章節(jié)意義何在?
答:“強調(diào)(突出監(jiān)管重點)”“明晰(方便推進落地)”“優(yōu)化(貼合實際情況)”。《網(wǎng)數(shù)條例》系行政法規(guī),基于《個保法》及其實施三年來的經(jīng)驗,對個人信息保護要求進行“強調(diào)”“明晰”及“優(yōu)化”。具體而言:(1)強調(diào):通過重申、整合《個保法》及相關(guān)法律法規(guī)的重點內(nèi)容,強調(diào)個人信息處理全生命周期中的重點監(jiān)管環(huán)節(jié)及相應要求,包括告知、同意、個人信息權(quán)利的行使等;(2)明確:明確個別事項的合規(guī)要求,以便企業(yè)推進落地,例如明確網(wǎng)絡數(shù)據(jù)處理者響應個人信息轉(zhuǎn)移請求的要求及限制,要求網(wǎng)絡數(shù)據(jù)處理者落實信息收集/共享“雙清單”;(3)優(yōu)化:在《個保法》的基礎上,結(jié)合個人信息保護監(jiān)管的實踐經(jīng)驗,優(yōu)化個別事項的合規(guī)要求,以使個人信息保護要求更加貼合實際,例如允許網(wǎng)絡數(shù)據(jù)處理者在難以確定保存期限的情況下,向個人告知保存期限的確定方法。答:“同意”及相關(guān)要求、轉(zhuǎn)移權(quán)的行使、“雙清單”、保存期限披露方式。《網(wǎng)數(shù)條例》通過專門條款對同意及相關(guān)要求/概念(單獨同意、重新同意、必要性)進行梳理、強調(diào),突出了“同意”在各類合法性基礎中的重要地位。● 即便在“同意”情形下,“必要性”仍是基本原則。超出“提供產(chǎn)品或者服務所必需”而收集的個人信息,即便獲得個人同意,仍有違“必要性”原則。即,同意不是萬能的。● 明確定義“單獨同意”,但應如何獲取單獨同意仍有待觀察。《網(wǎng)數(shù)條例》將“單獨同意”定義為“個人針對其個人信息進行特定處理而專門作出具體、明確的同意”。有觀點認為通過“獨立勾選框”獲得單獨同意的模式將成為過去式。但是,僅從文本層面,我們理解尚無法作出此類解釋。● 關(guān)注“同意”后的持續(xù)性義務。獲得個人同意后,網(wǎng)絡數(shù)據(jù)處理者不得超出個人同意的范圍處理個人信息。當個人信息的處理目的、方式、種類發(fā)生變更時,網(wǎng)絡數(shù)據(jù)處理者應重新取得個人同意。在滿足四項限制性條件的情況下,網(wǎng)絡數(shù)據(jù)處理者應當響應個人信息轉(zhuǎn)移請求:(一)能夠驗證請求人的真實身份;(二)請求轉(zhuǎn)移的是本人同意提供的或者基于合同收集的個人信息;(三)轉(zhuǎn)移個人信息具備技術(shù)可行性;(四)轉(zhuǎn)移個人信息不損害他人合法權(quán)益。相較于保障個人權(quán)利,轉(zhuǎn)移權(quán)對于消除鎖定效應、促進市場競爭的意義將更為深遠。作為我國數(shù)據(jù)基礎制度建設的頂層設計,“數(shù)據(jù)二十條”明確提出“保障數(shù)據(jù)來源者享有獲取或復制轉(zhuǎn)移由其促成產(chǎn)生數(shù)據(jù)的權(quán)益”,與歐盟《數(shù)據(jù)法》項下用戶的數(shù)據(jù)獲取及利用權(quán)益異曲同工。因其自帶的沖突性和使命感,料想轉(zhuǎn)移權(quán)的落地將會是緩慢卻又堅定的過程。技術(shù)層面,個人行使轉(zhuǎn)移權(quán)的范圍,應僅包括網(wǎng)絡數(shù)據(jù)處理者收集的、有關(guān)其個人的原始數(shù)據(jù),而不包括經(jīng)加工、處理后的衍生數(shù)據(jù);主要針對面向個人直接收集的個人信息,即以同意或“為訂立、履行合同所必需”作為合法性基礎所收集的個人信息。《網(wǎng)數(shù)條例》第21條第二款規(guī)定,“網(wǎng)絡數(shù)據(jù)處理者按照前款規(guī)定向個人告知收集和向其他網(wǎng)絡數(shù)據(jù)處理者提供個人信息的目的、方式、種類以及網(wǎng)絡數(shù)據(jù)接收方信息的,應當以清單等形式予以列明。”該款內(nèi)容系對于《關(guān)于開展信息通信服務感知提升行動的通知》中個人信息保護“雙清單”要求的法定化,使這一義務對網(wǎng)絡數(shù)據(jù)處理者普遍適用,規(guī)范了收集、共享個人信息的披露形式要求。網(wǎng)絡數(shù)據(jù)處理者需注意調(diào)整隱私政策等告知文本。《網(wǎng)數(shù)條例》關(guān)注到部分場景下,要求網(wǎng)絡數(shù)據(jù)處理者確定確切的個人信息保存期限可能存在困難,故允許僅明確保存期限的確定方式,如此將會更加貼合實踐做法。3. 境外網(wǎng)絡數(shù)據(jù)處理者處理境內(nèi)自然人個人信息,如何設立及向監(jiān)管機關(guān)報送境內(nèi)機構(gòu)/代表信息?答:首先判斷是否符合《個保法》第53條要求;若符合,根據(jù)《網(wǎng)數(shù)條例》進行報送。根據(jù)《個保法》及《網(wǎng)數(shù)條例》規(guī)定,境外網(wǎng)絡數(shù)據(jù)處理者處理境內(nèi)自然人個人信息,若屬于“以向境內(nèi)自然人提供產(chǎn)品或者服務為目的”,或為“分析、評估境內(nèi)自然人的行為”,需在中國境內(nèi)設立專門機構(gòu)或指定代表,負責處理個人信息保護相關(guān)事務,并將有關(guān)機構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報送所在地設區(qū)的市級網(wǎng)信部門。目前,符合條件的境外網(wǎng)絡數(shù)據(jù)處理者完成機構(gòu)設立和報送工作的時間線、具體規(guī)則尚不清晰。實踐中,一些境外網(wǎng)絡數(shù)據(jù)處理者可能持觀望態(tài)度,特別是在中國境內(nèi)所獲實質(zhì)利益有限的情況下。