其次,在跨境报备豁免中,《网数条例》增加了“履行法定职责或者法定义务”这一情形,极大便利了各类主体在跨境交易中的数据传输需求,解决了当下痛点问题。
第三,《网数条例》正式稿在征求意见稿的基础上删除了一些较为繁琐的义务性条款,如“结构化查询”以及“平台规则重大修订时需征求社会公众意见甚至经过第三方机构和监管部门同意”的要求。这些变动简化了企业的合规流程,降低了操作难度和成本。
第四,对于大型平台及重要数据处理者而言,年度审计或评估的要求也有所调整。正式稿取消了必须由外部机构执行的规定,赋予企业更大的自主权来选择适合自身的评估方式。
第六,《网数条例》对企业在使用自动化采集技术过程中可能遇到的问题提供了指导。根据法案规定,当自动化采集不可避免地收集到非必要的个人信息或未依法取得个人同意的信息从技术上难以实现删除或匿名化时,网络数据处理者应当停止除存储和采取必要安全保护措施之外的任何处理行为。这一规定为诸多新技术、新应用的合规开发指明了方向,如大模型训练中通过爬虫等方式获取海量数据但无法有效剥离非必要信息的情形等,在避免数据滥用风险的同时也保障了企业的正常运营和技术进步。
2、“网络安全审查”的消失和“国家安全审查”的唤醒
此前,在征求意见稿中引起企业广泛讨论的一项规定是增加了《网络安全审查条例》之外的网络安全审查情形。然而,在正式版本中,这一条款被删减,将网络安全审查的事实依据完全归置于《网络安全审查条例》之下,从而缓解了部分赴港上市企业对此方面的担忧。
3、法律衔接与术语统一
正式稿在措辞方面进行了统一与优化工作。例如,把征求意见稿中“共享”一词修改为“提供”,与《个人信息保护法》的表述保持一致,其目的在于消除法律术语方面的歧义,进而确保法规具备严谨性以及一致性。
二、关于重要数据
1、重要数据的界定和细化
重要数据,是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
在此基础上,正式版本的《网数条例》进一步发展了重要数据的定义。它延续了2023年推荐性指南《信息安全技术重要数据处理安全要求(征求意见稿)》的思路,并进行了更为细致的规定。在原有基础上增加了“特定领域、特定群体、特定区域或者达到一定精度和规模”描述内容。这意味着重要数据的认定并非基于数据的固有属性,而是要综合考虑不同业务领域、不同区域以及数据主体等多种因素动态识别。这种定义方式与当前在汽车行业、工信领域、数据出境、安全审查等多个领域或场景下对重要数据外延的差异化规定相互呼应,体现了法规对不同行业和场景的适应性。
例如,北京市近期发布的自贸区数据出境负面清单就给出了一个关于“一定规模”的具体例子。在该清单中,重要数据被明确界定为涉及一千万人以上的个人信息、一百万人以上的敏感个人信息或十万人以上的特别敏感个人信息(如金融账户、诊疗信息等)。
此外,与征求意见稿相比,正式版本的一大变化是,参照重要数据保护规则适用的个人信息数量门槛从一百万人提升至一千万人。并且,适用的义务规则也进行了调整,达标的处理者增强义务仅限于任命网络数据安全负责人和网络数据安全管理机构,以及在企业发生合并、分立、解散、破产等情况下的报告义务。
2、重要数据的监管机构
在《网数条例》征求意见稿中,重要数据的监管涉及多个部门,常见表述为“网信部门和主管、监管部门”。这种多头监管模式本质上类似于“九龙治水”,不仅使企业的合规成本显著攀升,还可能造成因监管机构不明晰而导致的各种“消耗”问题。在正式稿中,监管职责被归口于“主管部门”,一定程度上将监管进行了集中。
3、数据处理者合规义务:不止于重要数据和个人信息
在《网数条例》颁布之前,人们普遍认为对于非个人信息及非重要数据的监管尚处于空白状态。尽管《数据安全法》第二十七条和第二十九条包含了一些有关制度和流程方面的要求,但据我们观察,这些规定实践中难以落地,缺乏实际的可操作性以及明确的指引作用。在《网数条例》中,明确规制的义务主体为网络数据的处理者,而网络数据定义较为宽泛,包含了一般数据(排除个人信息和重要数据)。为便于读者参考,我们特拟以下表进行总结:
三、关于个人信息保护
1、个人信息跨境:新增“履行法定职责与法定义务”豁免情形
对于个人信息跨境,在《个人信息保护法》第三十八条以及《促进和规范数据跨境流动规定》第五条豁免情形的基础上,《网数条例》第三十五条新增了“为履行法定职责或者法定义务”这一“可以向境外提供个人信息”的情形。
2、“集中公开展示”+“双清单”
*同时涉及多份个人信息处理规则(同时制定《隐私政策》《未成年人个人信息处理》等)、或同时涉及生效中的个人信息处理规则和已失效的历史个人信息处理规则时,建议通过一个界面(含嵌入形式界面)进行集中展示;
*避免用户仅可通过注册界面或仅可通过客服咨询等方式查找个人信息处理规则。
3、“法律责任变化”+“APP特殊合规义务”
2)APP特殊合规义务:
*“提供产品或者服务所必需”:在APP合规方面,建议优先划分“基本业务功能”和“扩展业务功能”,并以此细化区分各个功能下的个人信息收集是否为提供产品或者服务所必需;
*“频繁征求同意”:在APP合规方面,《网数条例》未明确频繁应对标准的前提下,建议可参考不具有强制约束力的《移动互联网应用程序(App)收集使用个人信息自评估指南》等规定中提供的“48小时内问询超过1次”的频繁认定标准。
4、个人信息存储:自行设定方法
《个人信息保护法》第十七条要求个人信息处理规则需要包含“个人信息保存期限”内容的告知,但实操中个人信息主体往往面临着保存期限较难确定的问题。《网数条例》明确了此种情形之下,数据处理者应当以合理的方式,自行确定保存期限及其方法,并予以明确告知。
5、个人信息委托处理、对外提供和共同处理
对于《个人信息保护法》第二十一条、二十三条和二十条下的个人信息委托处理、对外提供、共同处理三类行为,《网数条例》进行了以下重点内容的新增:
6、携带权适用条件进一步明确
对于个人信息可携带权问题,与征求意见稿相比,《网数条例》正式稿有以下变化:
1)增加“转移个人信息具备技术可行性”的适用条件:司法裁判中关于可携带权的多个争议认定中也强调了此适用条件,《网数条例》的规定,进一步明确了落地标准。
2)由“提供转移服务”修改为“提供访问、获取途径”:该点减轻了企业的合规负担,数据处理者在响应该类行权请求时,可进行更为灵活的安排与设置。
3)不增加额外成本作为行权准则。对于请求次数等明显超出合理范围的收费,由“收取合理费用”修改为“根据转移个人信息的成本收取必要费用”。在此,处理者应当有针对性地留存证明材料,并结合成本制定费用收取标准,以免发生争议。
7、个人信息合规审计
对于个人信息保护合规审计问题,此前国家网信办已发布《个人信息保护合规审计管理办法(征求意见稿)》,后续该文件会对于个人信息保护合规审计问题进行细化规定。对此,《网数条例》虽未进一步细化,但规定了多种评估、审计机制之间的协调问题,即个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估要加强衔接,避免重复评估、审计。该点对于减轻企业合规负担具有重要意义。
8、域外适用:适用情形衔接+报送部门确定
1)适用情形:《网数条例》第二条第二款衔接了《个人信息保护法》第三条第二款的规定,无新增内容,仍需依据《个人信息保护法》的情形进行适用性判断;
2)报送的具体监管部门:《网数条例》第二十六条明确了《个人信息保护法》第五十三条境外网络数据处理者在境内设置专门机构或者指定代表的报送监管部门,并指明该类主体应当向市级网信部门报送。类似于GDPR下的DPO设置,对于落入上述适用范围的境外网络数据处理者而言,建议重视此项合规义务,尽快在中国境内专门机构或者指定代表,明确其个人信息保护具体职责,并向有关机构备案。
三、关于对网络平台服务提供者的监管要求
总体上看,相比于征求意见稿,《网数条例》在“平台监管”章节的调整最大。新规删除了较多针对于平台的合规义务,而将侧重点放在了网络平台处理网络数据时的安全保护义务。当下对于大型平台的监管,是各国监管机构面临的重要问题之一,《网数条例》也做出了有效回应。
(一)强化大型网络平台监管
在明确网络平台服务提供者的主体责任的基础上,《网数条例》延续了此前征求意见稿对于网络平台的分级监管思路,进一步提出“大型网络平台”的概念,并吸纳欧盟《数字市场法》(DigitalMarketAct,DMA)对于“守门人(gatekeeper)”赋予前置行为义务的监管方案,对大型网络平台服务提供者提出了更为严格的合规要求。
1、什么是“大型网络平台”?
《网数条例》中定义的“大型网络平台”,是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。从上述定义上看,我国对于大型网络平台的界定采用了“定量+定性”的思路,即:
(1)定量要求:注册用户5000万以上或者月活跃用户1000万以上。
(2)定性要求:①业务类型复杂;②网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响。
2、大型网络平台服务提供者有哪些特殊合规义务?
根据《网数条例》,大型网络平台服务提供者不得利用网络数据、算法以及平台规则等从事下列活动:
①通过误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据;
②无正当理由限制用户访问、使用其在平台上产生的网络数据;
③对用户实施不合理的差别待遇,损害用户合法权益;
④法律、行政法规禁止的其他活动。
其中,第①项是对《个人信息保护法》中“不得通过误导、欺诈、胁迫等方式处理个人信息”的重申,第④项则为兜底性规定,以下我们将主要就第②、③项合规要求开展分析。
(1)不得无正当理由限制用户访问、使用其在平台上产生的网络数据
应当明确的是,本项的“用户”不仅涵盖个人用户,也应理解为包含企业用户。基于此,本项要求不仅是对《个人信息保护法》中个人信息主体有关权利的重申,也进一步明确平台内经营者作为企业用户对于其在平台上产生的数据享有的访问和使用的权利。
对比考察域外立法实践,DMA中对守门人提出了类似要求。即守门人应当免费向企业用户提供有效、高质量且持续性的数据实时访问和使用。但对比《网数条例》而言,DMA为守门人设置了更加沉重的负担。如在DMA下,大型网络平台服务提供者还应当免费提供数据实时访问和使用、保障数据访问和使用的有效性、高质量和持续性等合规要求。
(2)不得对用户实施不合理的差别待遇,损害用户合法权益
在《网数条例》之前,我国法下的“差别待遇”主要是指反垄断法下的差别待遇或网络不正当竞争行为,具体如下:
点击可查看大图
此外,《网数条例》还特别强调了大型网络平台的公共属性及其所负有的透明度义务,要求大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。
(二)细化网络平台企业主体责任
四、《网数条例》下的监管与罚则
具体而言:
(一)国家数据管理部门将承担网络数据安全职责
《网数条例》第四十七条对网络数据安全和监管工作提出了分工要求。值得注意的是,《网数条例》特别针对国家数据管理部门提出了具体工作职责,指出国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责。
我们理解,《网数条例》专门提出国家数据管理部门的网络数据安全职责,一方面可以看出国家对数据利用、数据要素流通的重视,另一方面也可以看出国家对于数据安全与数据要素流通并重的态度。
(二)细化行业主管部门的监督职责
*明确本行业、本领域网络数据安全保护工作机构;
*统筹制定并组织实施本行业、本领域网络数据安全事件应急预案;
*定期组织开展本行业、本领域网络数据安全风险评估;
*对网络数据处理者履行网络数据安全保护义务情况进行监督检查;
*指导督促网络数据处理者及时对存在的风险隐患进行整改。
(三)明确网信部门统筹开展网络数据安全应急处置工作
我们理解,该规定意味着网络数据监管领域数据安全应急处置机制的落地,对于数据安全应急监管提供了重要的法律依据。
(四)进一步优化了数据安全监督检查措施
(五)首次提出网信部门有权对境外组织、个人的网络数据处理活动进行监管
(六)进一步细化法律责任
虽然《网数条例》针对大型网络平台规定了诸多特殊义务,却并未为其设置单独的罚则。然而,我们认为,一旦大型网络平台出现违规行为,例如违规处理个人信息,若按照《个人信息保护法》中以营业额为基准确定罚款,极有可能直接突破《网数条例》所设定的最高罚款额度。
(七)引入首违不罚、轻微不罚的行政处罚原则
“首违不罚”“轻微不罚”是《行政处罚法》针对行政处罚重要的处罚原则。《网数条例》第五十九条引入了“首违不罚”“轻微不罚”原则,明确网络数据处理者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,可以依法从轻、减轻或者不予行政处罚。这是数据立法领域首次明确前述原则,体现了《网数条例》与《行政处罚法》的有效衔接,也体现了监管部门包容审慎的监管态度。
实践中,“首违不罚”和“轻微不罚”主要以清单式方式明确具体情形,数据监管领域对于前述原则的落地仍有待观望监管实践。对于网络数据处理者而言,我们建议对于“首违不罚”和“轻微不罚”原则仍应保持谨慎态度,并主动做好主动合规动作。如确实存在违规行为可以从轻、减轻或者不予行政处罚的情形,亦可以积极行使权力,争取不罚。
结语
在互联网和人工智能时代,网络数据覆盖了经济生活中的方方面面。故《网数条例》对于各类组织、企业而言,将成为在数字经济领域继“三法一条例”之后的重要合规依据。颁布后的《网数条例》也体现了国家和监管部门在如今的经济环境下,主动为企业减负,增强数据要素市场,建立高效、便利数据流通机制的决心。
扫描二维码可查看
附件:《网络数据安全管理条例》对比表
作者简介
蔡鹏律师
北京办公室合伙人
业务领域:网络安全和数据保护,知识产权权利保护,合规和调查