在《数据安全法》实施仅2个多月,《个人信息保护法》刚刚生效时,为了响应网络数据法治的执法和法律适用需求,一个更完整、更可操作的法律适用规则即将出台。
1114月14日,国家网信办发布了《网络数据安全管理条例(征求意见稿)》“征求意见稿”),草案共9章75条,以《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》为基础,明确建立数据分类分级保护制度,进一步细化以大型互联网平台运营商为代表的数据处理者对重要数据和核心数据的保护要求,以及相关的网络安全审查,截止日期为2021年12月13日。
早在今年6月,征求意见的《网络数据安全管理条例》就被列入国务院2021年立法工作计划,但当时制定的名称是《数据安全管理条例》。北京京师律师事务所律师杜广普在接受中国商业新闻采访时表示,更名反映了立法过程“抓大放小”,也就是说,对于互联网平台运营商等数据处理者,首先立法,突出了近期监管部门的治理重点,也便于本条例更快落实。
北京师范大学网络法治国际中心执行主任吴沈括进一步告诉中国商业新闻,个人信息保护草案、重要数据安全、数据跨境安全管理、互联网平台运营商义务等详细规定,对互联网平台运营商的合规风险控制工作具有广泛的指导意义。实施后,可以为互联网产业、数字生态和数字经济带来深入的生态重组和转型。
建立数据分类分级保护制度
根据草案,国家建立了数据分类和分级保护制度。根据数据对国家安全、公共利益或个人和组织合法权益的影响和重要性,将数据分为一般数据、重要数据和核心数据,并采取不同的保护措施。
其中,国家重点保护个人信息和重要数据,严格保护核心数据。
中国信息通信研究所云计算与大数据研究所人工智能部工程师呼娜英告诉《中国商业新闻》,作为正在实施的两部分,网络安全法的网络安全等级保护系统提出了数据分类,数字安全法提出了两个重要概念:重要数据保护目录和核心数据。草案是在网络安全法和数字安全法的基础上,进一步明确国家应重点保护个人信息权益。
《数据安全法》第三章第二十一条原则上规定,数据分类分类的依据是经济社会发展中的重要性和篡改和泄露的危害。“国家安全、国民经济命脉、重要民生、重大公共利益等数据”征求意见稿被列为国家核心数据“核心数据”定义与之一致。
但对于“重要数据”数据安全法没有具体界定范畴。
草案在上述法律的基础上进行了细化。明确重要数据是指篡改、破坏、泄露、非法获取、非法使用、可能危害国家安全、公共利益的数据,包括密码、生物、电子信息、人工智能、电信、能源、金融、国家基础设施、关键信息基础设施及其安全数据等7类。
中国人民大学数字经济跨学科交叉平台首席专家李三希告诉中国商业新闻,这些数据的共同特点与产业数字化转型和高质量发展密切相关,这将有助于中国产业链供应链的独立和安全发展。
由于不同行业和地区数据分类分类的具体规则和考虑因素存在巨大差异,重要数据的具体目录和具体分类分类保护制度的制定权被下放。草案称,根据国家数据分类分类要求,各地区和部门应对区域、部门及相关行业和领域的数据进行分类和分类管理。
大型互联网平台面临联网平台“数据出境”监管
考虑到香港股市的强大活力和中国对跨境数据安全的监管,与7月10日发布的《网络安全审查办法》(修订草案草案)相比,草案进一步细化和补充了网络安全审查对象,增加了大型互联网平台的义务。
根据征求意见稿第十三条,数据处理者赴中国香港上市,影响或者可能影响国家安全的,应当按照国家有关规定,申报网络安全审查。
在上述《网络安全审查办法》(修订草案草案)中,数据出境安全审查仅包括“处理100万人以上个人信息的数据处理出国上市”,在香港上市不涉及。
中国社会科学院网络安全高级学者、经济学博士方燕告诉《中国商业新闻》,在全球复杂多变的形势下,大陆有更多IPO企业到中国香港上市,草案弥补了网络安全审查措施(修订草案草案)的不完整性,即数据安全审查原则不限于“数据出国”,也涵盖“数据出境”。
事实上,在 10月29日发布的《数据出境安全评估办法(草案)》中,需要申请安全评估的对象已经从数据处理器延伸到数据出境活动的数据处理器,这与草案中提到的对象一致。
此外,在数据跨境安全管理方面,草案第十三条还对大型互联网平台运营商提出了安全审查要求,即“在境外设立总部、运营中心、R&D中心的大型互联网平台运营商,应当向国家网信部门和主管部门报告。”
李三希指出,与企业和平台运营商相比,国家网络和信息化部门或主管部门对国内外数据安全保护政策更加明确。通过向相关监管部门申报,可以帮助海外企业规避相关风险。同时,提前备案也有助于企业应对国际形势的变化。
但是,本条目的监管主体——“大型互联网平台运营商”,许多受访者指出,或值得进一步讨论。
方燕认为,在“其他可能影响国家安全的数据处理活动”其中,如果只针对互联网企业,其主体设置或狭窄。例如,一些具有一定规模的电信运营商和智能终端制造商也在海外设立了研发中心或运营中心,并掌握了大量数据。这些对象也应包括在安全审查中。
杜广普则认为,征求意见稿中界定的“大型互联网平台运营商”这个概念有些不合理。
征求意见稿第七十三条,“大型互联网平台运营商是指具有强大社会动员能力和市场主导地位的用户超过5000万、处理大量个人信息和重要数据的互联网平台运营商”。
“从上述定义可以看出,大型互联网平台运营商需要同时满足四个维度的条件。其中,前三个条件,即用户、信息和社会动员,可能更容易判断‘市场主导地位’很难判断。”杜广普称。
根据目前的立法和实践,他进一步表示,“市场主导地位”主要是《反垄断法》项下的术语。判断经营者是否具有市场主导地位,通常是由反垄断执法机构或法院在具体个案中结合相关证据,在准确界定相关市场之后,综合考量多种因素进行认定或推定,具有比较高的专业性和难度。此外,即使一个经营者在一个案件中被认定具有市场主导地位,这种认定也可能随着时间的推移、经营者内外部环境变化而发生变化。
“由此可见,‘大型互联网平台运营商’这一重要‘身份’实际不确定,实际操作可能面临较大挑战。”杜广普称。
除了“大型互联网平台运营商”呼娜英还表示,在个人信息保护方面,草案也有一些措辞或需要进一步统一或解释,如数据处理者利用个人身份认证的生物特征,应进行必要性、安全风险评估,以及个人保护法规定的敏感个人信息影响评估,应基于相同的初衷,建议统一措辞。
“总的来说,草案为互联网平台运营商,特别是大型互联网平台运营商建立了更多的监管措施,有利于细化和实施三部上级法律。但部分项目的内容可能与以往的法律法规不一致,草案中更新创建的声明需要进一步澄清和澄清。”呼娜英称。