构建更适应产业发展的网络数据安全治理规则︱法经兵言

国庆假期前,国务院常务会议正式通过《网络数据安全管理条例》(下称《条例》),将于2025年1月1日正式生效。至此,酝酿了近三年的《条例》终于正式出台。《条例》共计9章64条,明确了网络数据安全管理的原则与一般规定,并对个人信息保护、重要数据安全、网络数据跨境安全管理、网络平台服务提供者义务、监督管理责任等方面进行了细化规定。

相较于3年前公布的征求意见稿而言,《条例》进行了较大调整,整体在细化规定的同时也更加简练,调整了遵守重要数据处理相关要求的门槛标准,并删除“大型互联网平台运营者修订平台规则、隐私政策等需经过评估以及主管部门同意”等对平台主体市场经营活动涉及过度干预的内容,在守住安全底线的基础上,尽可能将市场主体的经营行为放置于市场规则之下。整体而言,《条例》所规定的内容体现了对近年来数据产业发展变化的回应,旨在促进产业高质量发展与高水平安全的平衡,明确数据安全管理要求与平台合规义务,强调数据安全法律体系的协调与监管部门的协同,具有系统性、创新性与时代性。

明确法律规则,构建数据安全合规法律体系

随着数字经济深入发展与数字技术的不断迭代,网络数据规模飞速增长、流动越发频繁,网络诈骗、数据不正当竞争、重要数据泄露等事件频发,进一步扩大了数据安全风险,危害公众利益与国家安全。

当前,我国已初步建立了以《网络安全法》《数据安全法》《个人信息保护法》三部法律为基础的数据安全法律框架,并在此框架内出台了《App违法违规收集使用个人信息行为认定方法》《互联网信息服务算法推荐管理规定》《网络安全审查办法》等多部部门规章,涉及数据安全多领域。《条例》的出台则补齐了行政法规的空缺,在数据安全领域形成了较为完整的“法律—行政法规—部门规章”法律位阶。

一方面,《条例》落实上位法相关规定,遵循数据分类分级保护的基本原则,细化了个人信息、重要数据以及数据跨境的安全管理规则,加强了数据安全法律规范之间的衔接,提升了数据安全合规法律体系的系统性。另一方面,《条例》发挥了行政法规适应实践发展需要的灵活性,针对数据处理新情况,结合相关部门规章,进行了规则设计,例如第16条针对公共数据领域,规定为国家机关、关键信息基础设施运营者或者其他公共基础设施、公共服务系统提供服务的数据安全义务;第18条针对数据不正当竞争问题,对使用自动化工具访问、收集网络数据提出合规要求;第19条针对生成式人工智能,要求网络数据处理者加强对训练数据和训练数据处理活动的安全管理,并采取有效措施应对风险。

《条例》在贯彻数据安全领域监管原则的同时,在修订过程中进行了简化,监管依据更加充分,合规义务更加清晰,最终呈现了更为明确且系统的管理规则与合规义务。

精准处理措施,为合规提供指引减轻负担

一是细化个人信息“同意规则”。

《民法典》与《个人信息保护法》确立了“知情同意”的个人信息处理基础原则,然而在实践中囿于用户认知有限、处理规则庞杂、协议反复推送、拒绝则停止服务等情况,“同意规则”逐渐被滥用,流于形式。

对此,《条例》进一步细化个人信息“同意规则”,将网络数据处理者基于个人同意处理个人信息应当遵守的具体要求进行了整合,并增加了“不得在个人明确表示不同意处理其个人信息后,频繁征求同意”的规定。此外,《条例》回应了数据爬取等技术带来的个人信息保护困境,对于自动化采集技术采集非必要个人信息和未依法取得个人同意的个人信息的问题,《条例》规定网络数据处理者应当删除个人信息或者进行匿名化处理。同时,《条例》明确了个人信息转移请求的实施条件,并规定请求转移个人信息次数等明显超出合理范围的,网络数据处理者可以根据转移个人信息的成本收取必要费用。可见《条例》在进一步优化“同意规则”的同时,充分考虑了网络数据处理者的数据流通需求与数据处理成本。

二是明确重要数据处理者门槛。

2021年征求意见稿规定“处理100万人以上个人信息就需遵守重要数据处理者合规义务”,而《条例》将数量调整为1000万人,即处理1000万人以上个人信息即为重要数据处理者。按照《条例》规定还应遵守两项规定,一是明确网络数据安全负责人和安全管理机构;二是因合并、分立、解散、破产等可能影响重要数据安全时需向相关主管部门报告。同时,《条例》也对重要数据处理者不同情况下的风险评估内容进行了规定。整体而言,《条例》从重要数据的认证、重要数据处理者的定义与相关义务和风险评估内容都为重要数据处理者提供了具有可操作性的指引。

三是促进网络数据跨境流动。

数字经济已经成为当前全球经济社会发展的重要支柱和国际竞争的核心领域,数据作为新型生产要素,其跨境流动与价值释放是提升数字经济国际竞争力的关键。《条例》在总则中即表明,要促进网络数据依法合理有效利用,积极参与网络数据安全相关国际规则和标准的制定,促进国际交流与合作。对于数据跨境流动,《条例》配合今年3月出台的《促进和规范数据跨境流动规定》,明确列举了网络数据处理者可以向境外提供个人信息的八种情形,在提及“为订立、履行个人作为一方当事人的合同”时,并未对合同类型进行列举,明确合同不局限于《促进和规范数据跨境流动规定》所示的跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等八种类型,便于数据跨境流动。

加强协同治理,形成多主体多部门数据安全治理合力

值得注意的是,《条例》专门设置了“网络平台服务提供者义务”与“监督管理”两个章节,一方面压实网络平台主体责任,另一方面推动监管行为规范化。这两个章节的设置充分符合平台经济主体多元化的特征与平台经济常态化监管的走向,对于数据安全治理,不仅需要监管部门规范监管、协同监管,还需要网络平台落实责任与义务,方能形成治理合力。

其一,合理压实平台责任。

数字经济时代,网络平台已经成为网络空间治理的关键节点,既发挥着推动整个互联网生态发展演变的支撑作用,也承载着公权力介入互联网治理的辅助者角色。《条例》设专章规定了互联网平台运营者应当履行的数据安全相关义务,并加入了关于利用网络数据、算法以及平台规则相关内容。在《互联网平台分类分级指南(征求意见稿)》的基础上,《条例》正式明确大型网络平台的定义:一是注册用户5000万以上或者月活跃用户1000万以上;二是业务类型复杂;三是网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响。从数据安全的角度,针对当前我国数字平台发展的特点,取消了市值判断标准,重点关注用户和影响领域。并且相较于征求意见稿,删除了对于大型平台相关规则修订需经评估和监管部门同意的规定,进一步减轻了平台合规负担,但何为“业务类型复杂”和“重要影响”仍待澄清。

其二,强调监管协同,提升监管效能。

由于数据安全涉及部门众多,经常出现多头监管、重复检查等问题,在某种程度上也增加了数据安全风险,增加合规负担。对此,《条例》专设“监督管理”章节,规范有关部门执法活动,例如第51条规定有关主管部门在网络数据安全监督检查中不得访问、收集与网络数据安全无关的业务信息,获取的信息只能用于维护网络数据安全的需要;第52条要求加强协同配合、信息沟通,避免不必要的检查和交叉重复检查;第53条规定有关主管部门及其工作人员在履行职责中的保密义务。以上规定有助于有关主管部门“加强衔接”和“互相采信”,提升监管执法效率,也能够通过明确的规则,降低相关主体的合规成本,为相关主体处理网络数据确立明确的监管预期。

(陈兵系南开大学竞争法研究中心主任、法学院副院长;董思琰系南开大学法学院博士研究生、竞争法研究中心研究助理)