《网络数据安全管理条例》深度解析���:数字化时代的安全坚盾
2024-10-15
一���、背景和概述
(一)出台背景
2024年9月30日���,国务院总理李大大签署第790号国务院令���,正式公布《网络数据安全管理条例》(以下简称“数安条例”)���,将自2025年1月1日起施行。这标志着数据安全管理领域迎来首部行政法规���,填补了该领域的法规空白。
《数安条例》是在2017年施行的《中华人民共和国网络安全法》(以下简称“网安法”)以及2021年先后施行的《中华人民共和国数据安全法》(以下简称“数安法”)和《中华人民共和国个人信息保护法》(以下简称“个保法”)(三者合称“三大基本法”)基础上制定的。这三部法律共同构建了我国网络信息安全保护领域的基础性法律框架。近年来���,一系列相关条例���、地方性法规���、部门规章也相继出台���,如《网络安全审查办法》���、《汽车数据安全管理若干规定(试行)》���、《数据出境安全评估办法》等。《数安条例》的出台为三大基本法的具体实施提供了更为详细的规定和指导。
( 二)本文概述
高效的安全管理制度需要有针对性���、抓住主要矛盾���,即将工作重点聚焦在高风险领域。这一理念贯穿《数安条例》始终。《数安条例》全文分为九个章节���,共64条。其结合监管部门前期在App专项治理���、数据出境���、汽车数据安全管理等工作中暴露出来的数据安全高风险领域���,主要聚焦个人信息保护���、重要数据安全���、数据跨境流动���、网络平台等关键问题���,对上位法进行了有效的补充���、细化和完善。
本文将《数安条例》的主要内容归为三个大类���:高风险的数据类型���、高风险的处理活动���、高风险的处理主体���,并逐一进行重点解读。同时���,本文还将介绍《数安条例》的适用范围和一般义务���、监督管理和法律责任等内容。需要说明的是���,对于《数安条例》中与三大基本法等现有规定并无实质差别的部分���,本文将不作赘述。
二���、适用范围和一般义务
(一)适用范围
在地理区域方面���,《数安条例》第2条将三大基本法中关于法域适用的相关规定进行整合���,既包括传统的域内适用���,又包括域外适用。其中第2条第3款与第54条相呼应���,但两者各有侧重���:前者强调对境外有害处理活动的责任追究���,而后者则明确在此项工作中各行政机构的分工协助���,并结合《个保法》第42条规定���,强调防范和应对措施。
在客体和主体方面���,《数安条例》将规范对象限定为“网络”数据和“网络”数据处理活动���,主体客体限定为“网络”数据处理者。相比之下���,其上位法《数安法》的适用范围扩展至所有“数据”。具体来说���,“网络数据”的定义相较于“数据”有两个方面的限定���:(1)将数据类型限定为“电子”���,而排除“非电子”类数据;(2)将数据处理和产生的途径限定在“通过网络”这个范围���,而非所有其他线下渠道。
这样的限定虽然理论上缩小了《数安条例》的适用范围���,但与当前数字时代的数据安全管理工作的重点相契合���,体现了数据安全管理制度与安全风险的更精准匹配。实际上���,“电子”和“网络”涵盖的范围非常广。在当今时代���,电子化���、网络化���、智能化已经逐渐主导我们社会���,深刻改变着我们的生产方式���、生活方式和社会治理方式。随着信息技术和人们生产生活的交汇融合���,不以“电子”形式记录的信息在实践中已经少之又少。其次���,《数安条例》中的“网络”并非仅指互联网���,而是涵盖了更广泛的概念���,包括其他任何形式的网络。这意味着���,无论是在公共网络还是私有网络���,只要涉及到数据的处理和安全问题���,都会被纳入《数安条例》的适用范围。从风险角度来看���,电子化的联网数据相对于在线下以物理形式记录的数据面临着更高的泄露���、篡改���、毁损的可能性。因此���,《数安条例》将安全管理制度聚焦在“网络数据”的做法正是顺应数字时代的新特点���,以便更好地迎接数字时代的新挑战。
(二)一般义务
《数安条例》第8至11条规定了网络数据处理者通用的一般义务。具体解读如下���:
1. 第8条第1款重申了三大基本法对非法利用���、取得���、提供网络数据的禁止性规定���,第2款则将为该类活动提供帮助也列入禁止范围���,为近年来因电信诈骗而导致频发的帮助信息网络犯罪活动提供了行政法层面的补充规定。
2. 第9条规定了数据安全保护责任���,其中详细列出“加密���、备份���、访问控制���、安全认证”等技术措施���,并强调网络数据处理者对所处理网络数据的安全应承担“主体责任”。
3. 第10条规定了提供网络产品和服务的安全义务���,明确了在发现网络产品���、服务存在安全缺陷���、漏洞时应立即采取补救措施���,并规定了在涉及危害国家安全���、公共利益时的24小时内报告义务(这与《网络产品安全漏洞管理规定》中关于网络产品安全漏洞报告时限保持一致)。
4. 第11条在《数安法》第23条和第29条的基础上���,进一步细化了网络数据处理者在数据安全事件应急响应中的具体责任���,包括通知利害关系人的义务(包括通知的具体方式)和涉嫌违法犯罪线索的报案责任。
三���、高风险的数据类型
数据分类分级是数据安全管理的基础性工作。只有明确哪些数据敏感���、面临的风险高���,才能合理分配资源���,确保数据得到更有效的保护。《数安条例》对于如下几类高风险的数据类型提出了更严格的安全保护要求���:个人信息���、重要数据���、政务数据。
(一)个人信息
《数安条例》第21条事实上是对《个保法》第7条和第17条关于个人信息处理的公开透明原则的进一步细化���,以适应网络环境的特殊性。该条款要求个人信息处理规则(在实践中主要体现为网站或APP的隐私政策或个人信息保护协议)不仅要公开展示���,而且要置于醒目位置���,并且内容需要明确具体���、清晰易懂。特别值得注意的是���,本条还要求为处理不满十四周岁未成年人个人信息时制定专门的个人信息处理规则。
《数安条例》第22条是对《个保法》中关于基于“同意”这一合法性基础收集个人信息相关要求的细化���,明确禁止如下行为���:超范围收集;误导���、欺诈���、胁迫等手段取得同意;频繁征求同意。此外���,在第62条(七)明确了“单独同意”的定义。
《数安条例》第23条明确了处理者在个人信息主体行使《个保法》第四章项下的各项权利时所对应的义务���,即及时受理个人请求���,并提供便捷的方法和途径来支持个人行使权利���,同时要求不得设置不合理条件来限制个人的合理请求。
《数安条例》第24条主要解决特定情况下履行个人信息保护义务的一些难点问题���,为了便于理解���,以下通过案例进行解读���:
自动化采集技术采集到非必要个人信息���:某社交媒体平台使用自动化工具来分析用户数据���,以提供个性化内容。在这个过程中���,可能会无意中收集到用户的敏感个人信息���,如健康状况。根据本条款���,该平台需要删除或匿名化这些非必要的个人信息。
未依法取得个人同意的个人信息处理���:某在线购物网站在用户不知情的情况下���,收集了用户的浏览历史和购买习惯。如果用户没有明确同意这种数据的收集���,根据本条款���,网站需要删除或匿名化这些信息。
个人注销账号后的信息处理���:当某个用户决定注销其在某服务平台的账号时���,如果该平台存储了用户的个人信息���,根据本条款���,平台需要在用户注销账号后删除或匿名化其个人信息。
法律���、行政法规规定的保存期限未届满时的处理���:一家银行根据法律规定需要保存交易记录一定年限。如果这些记录中包含个人信息���,且保存期限未满���,但用户要求删除其信息���,根据本条款���,银行可以继续保存这些信息���,但必须停止除存储和采取必要安全保护措施之外的处理。
技术上难以删除或匿名化处理个人信息的情况���:在分布式数据库或区块链技术使用过程中���,个人信息可能被广泛分布且难以彻底删除。根据本条款���,处理者应停止除存储和必要安全保护之外的处理活动。
《数安条例》第25条是对《个保法》第45条项下“可携带权”的扩展和细化���,在内容方面与欧盟《通用数据保护条例》(GDPR)的第20条可携带权(Right to Data Portability)基本一致。相对于我国的规定���,GDPR增加内容是���:(1)要求转移数据需是结构化的���、通用的和机器可读的格式���,(2)可携带权不适用于为公共利益或行使法定权利所进行的处理活动���,(3)可携带权不影响遗忘权的适用。
《数安条例》第28条首次将1000万人这个个人信息的数量级与重要数据联系在一起���,即处理1000万人以上个人信息的网络数据处理者应当比照履行处理重要数据的网络数据处理者的义务(除了风险评估以外)。在此之前���,其他法规中对个人信息数量也有类似处理���,总结如下表格。
(二) 重要数据
《数安条例》第12条规定了处理者在提供���、委托处理个人信息和重要数据活动中的义务。这些义务在《个保法》第21条和第56条中已有所体现(《个保法》第21条仅提及“委托”���,未涉及“提供”)。《数安条例》第12条将处理个人信息所对应的相关义务适用于处理重要数据的情况下���,以保持法律适用的一致性。
《数安条例》第30条在《数安法》23条的基础上详细规定了网络数据安全管理机构的职责���,包括制定管理制度���、操作规程���、应急预案等。该条款还要求网络数据安全负责人具备网络数据安全专业知识和相关管理工作经历。此外���,对于“掌握有关主管部门规定的特定种类���、规模的重要数据”的处理者���,其数据安全负责人和关键岗位人员需要进行安全背景审查并加强培训。
《数安条例》第31条和第33条均规定了风险评估的具体要求。虽然都涉及风险评估���,但两者存在区别���:第31条指的是高风险处理活动(提供���、委托处理���、共同处理)下的风险评估���,更侧重场景特殊性(“高风险活动评估”)���,类似《个保法》第55条的个人信息保护影响评估;第33条是指的是年度定期评估���,更侧重常规性(“定期评估”)���,类似《个保法》第54条项下的个人信息合规审计。两个评估的具体内容区别详见如下。
1. 高风险活动评估。第31条所要求的评估要点严格围绕着“提供���、委托处理���、共同处理”这些处理活动的相关风险而设计。数据出境属于上述处理活动在跨境传输场景中的一个具体体现���,因此第31条的“高风险活动评估”与数据出境风险自评估在实际内容方面一脉相承。这一点可以从第31条与《数据出境安全评估办法》第5条的评估要点逐条对比中明显体现���:
2. 定期评估。第33条明确了重要数据处理者在进行定期风险评估时需要包括的具体内容���,如���:网络数据处理者的基本信息;处理重要数据的目的���、种类���、数量���、方式���、范围���、存储期限���、存储地点等;网络数据安全管理制度及实施情况等。此外���,该条款还提出了处理重要数据的大型网络平台服务提供者需要额外说明关键业务和供应链网络数据安全等情况(大型网络平台服务提供者的其他义务详见下文第五章)。
《数安条例》第32条与《个保法》22条相呼应���,两者均要求处理者在发生重大公司股权结构变化情况下(合并���、分立���、解散���、破产等)的利害关系人告知义务。其区别是���:《数安条例》要求告知省级以上有关主管部门数据处置方案���、接收方的名称或者姓名和联系方式等(还包括采取安全保障措施要求);《个保法》要求告知个人信息主体接收方的名称或者姓名和联系方式等。
(三)政务数据
《数安条例》第15至17条从第三方服务者的角度规定了其为公共类信息系统提供服务时的特殊义务���,旨在加强对政务数据或准政务数据的保护。以下表格从第三方服务者提供服务的形式���、接受服务主体���、监管要求三个方面将上述条款进行分解对比���:
通过以上表格可见���,在第15条和17条中���,无论第三方服务者完全受托还是以自有信息系统提供服务���,只要服务主体是国家机关���,其将面临更严格的网络数据安全保护监管要求���,说明其与政务数据的接触面更大���,因而风险更高。而第16条所对应的服务主体并非完全是国家机关���,因此涉及数据还包括准政务数据���,而且服务形式相对松散���,所以监管要求较低。
四���、高风险的处理活动
(一)数据跨境流动
根据数据的全生命周期���,数据的处理活动可以分为收集���、存储���、使用���、加工���、传输���、提供���、公开���、删除等。其中向第三方提供属于高风险活动���,因为数据脱离了原处理者的控制(这与第12条为提供���、委托处理活动规定特定保护义务背后的逻辑类似)。而数据的跨境提供则面临更高风险���,因为数据不仅脱离了原处理者���,而且脱离了原法域的控制���,导致数据保护的法律环境发生变化���,可能面临不同的法律体系���、安全标准和隐私保护水平。这也是近年来各国政府不断加强对数据跨境流动监管力度的原因。
《数安条例》第五章“网络数据跨境安全管理”基本重述了三大基本法���、《数据出境安全评估办法》���、《促进和规范数据跨境流动规定》等现行法规中关于数据出境的监管内容。唯一新增的内容是《数安条例》第39条���,即明确了国家有权采取技术措施保障网络数据跨境流动的安全���,并禁止直接或间接规避该类措施的行为。这样一来���,国家可以通过技术和法律双重手段���,来增强数据跨境安全管理的有效性。
(二)自动化工具和生成式人工智能
近年来���,自动化工具和生成式人工智能等创新信息技术的应用越来越广泛。但因其涉及大规模数据处理���、缺乏透明度���、算法偏见等问题���,会给网络数据安全造成相对高的威胁���,属于高风险的处理活动。《数安条例》第18条和第19条对此类处理活动提出了严格的监管要求。
《数安条例》第18条规定要求网络数据处理者在使用自动化工具(如网络爬虫技术���、扫描器等)之前应当评估这些工具对网络服务可能带来的影响���,这包括对网络性能���、服务稳定性���、用户隐私等方面的潜在影响���,并明确禁止使用自动化工具非法侵入他人网络和干扰网络服务的正常运行。
《数安条例》第19条要求网络数据处理者在提供生成式人工智能服务时在两个方面加强安全管理:(1)对训练数据的安全管理���:这包括训练数据的来源���、质量���、存储等方面的安全管理;(2)对训练数据处理活动的安全管理���:涉及数据处理过程中的各个环节���,如数据清洗���、标注���、模型训练等。同时���,本条款还要求采取有效措施处置网络数据安全风险。这些规定与《生成式人工智能服务管理暂行办法》和相关标准《生成式人工智能服务安全基本要求》中的内容相呼应。
五���、高风险的处理主体
(一)网络平台服务提供者
在三大基本法中���,高风险处理者这个角色一直由关键信息基础设施运营者来担任���,然而《数安条例》对此鲜有着墨���,部分原因是2021年的《关键信息基础设施安全保护条例》对此已有详述。而网络平台服务提供者因其在数据流动中的关键枢纽地位���,收集和存储了大量用户数据���,对平台上的各个交易主体具有强大控制力���,如果其安全措施不足或者管理不善���,则会造成网络数据泄露或滥用的巨大风险。因此���,网络平台服务提供者在高风险处理者这个地位上与关键信息基础设施运营者类似。
“网络平台服务提供者”这个概念是由《数安条例》首次提出���,似乎与《网络安全审查办法》中的“网络平台运营者”和《电子商务法》中的“电子商务平台经营者”概念相似。虽然这些概念在理论上可能存在一定差异���,但建议企业在合规实践中参照各自对应的法律义务遵守。
《数安条例》第40条与第41条均要求平台不仅要作为商业实体运营���,还要对其平台上的活动承担监管责任。这两条的区别是���:前者采用法律手段���,后者采用技术手段;前者是事后追责���,后者是事先预防。
1. 第40条规定了网络平台服务提供者和智能终端设备生产者对第三方产品和服务的数据安全管理责任���,以及相关责任承担机制。具体而言���,前者需要通过协议约束第三方���,并履行督促义务���,否则承担连带责任。这种制度设计借鉴了《电子商务法》中电子商务平台经营者与平台内经营者之间的责任关系���,促进了平台与入驻商家的协同管理。同时���,立法者也意识到这种安排可能会给平台企业带来较大财务压力���,因此首次提出了鼓励保险公司开发网络数据损害赔偿责任险种���,鼓励平台企业投保。借助这种有效的风险转移工具���,企业既可以获得保障���,增强信心���,从而促进数字经济的健康发展���,又可以在进行数据处理和管理时更加注重合规性。
2. 《数安条例》第41条要求在应用程序分发过程中进行网络数据安全相关核验并采取相应措施。该规定已在多次监管活动中得到实施���,例如���,2014年的《关于在打击治理移动互联网恶意程序专项行动中做好应用商店安全检查工作的通知》强调了对应用商店的审核义务���,2020年的《关于开展纵深推进App侵害用户权益专项整治行动的通知》明确指出将重点整治应用分发平台上未明示App运行所需权限列表及用途���、收集使用个人信息的内容等问题。
《数安条例》第42条规定了通过自动化决策方式进行信息推送时的责任与义务。该条款在内容上与《个保法》第24条基本保持一致���,但《数安条例》第42条将适用主体限制在网络平台服务提供者。对此���,笔者认为值得商榷���,原因如下���:(1)第42条的内容表述体现了其主要围绕个人信息处理场景进行讨论���,如“向个人推送”���,“个人特征”等���,因此其也应适用于个人信息处理者;(2)为确保自动化决策的透明度和结果公平���、公正���,不仅网络平台服务提供者���,非网络平台服务提供者���,也应当履行上述责任与义务。
《数安条例》第44条首次引入“大型网络平台服务提供者”这一概念并明确其应承担发布个人信息保护社会责任报告的义务。第62条给出该概念的明确定义。这与《个保法》第58条相呼应。为明确两个规定之间关系���,笔者将上述两个条款从概念到内容对比如下���:
虽然上述两个概念可能在理论上具有一定差异���,但建议企业在合规实践中参照各自对应的法律义务遵守。
《数安条例》第46条规定了大型网络平台服务提供者在使用网络数据���、算法和平台规则时的禁止性行为。其内容与我国《反不正当竞争法》���、《消费者权益保护法》以及欧盟的《数字市场法》(Digital Markets Act)都存在关联���:
第(1)项���,禁止误导性做法���:这与《反不正当竞争法》中禁止商业欺诈行为的精神一致。两者都旨在维护公平竞争的市场环境。DMA也要求平台的排名和展示机制应当公平透明。
第(2)项���,数据访问权���:这与《消费者权益保护法》中关于消费者知情权和选择权的规定相呼应。而DMA要求守门人(Gatekeeper)平台允许商业用户访问他们在平台上生成的数据。
第(3)项���,禁止差别待遇���:这呼应了《反不正当竞争法》中关于禁止差别待遇的规定,尤其是在大型平台可能滥用市场支配地位的情况下。也体现了《消费者权益保护法》中保护消费者公平交易权的精神。同样���,DMA禁止守门人对同类服务或产品实施差别待遇。
该条款可以被看作是在数字经济时代对现有法律框架的补充和细化���,也显示了中国在数字市场监管方面与国际趋势的某些共同点。它特别针对大型网络平台���,反映了监管机构对平台经济中可能出现的新型不公平竞争行为的关注���,旨在通过法律规范来调整和约束平台的权力���,保护用户权益���,维护公平竞争的市场环境。
(二)面向社会提供产品���、服务的网络数据处理者
“面向社会提供产品���、服务的网络数据处理者”虽然不具备“网络平台服务提供者”所具有的平台地位���,但其公众属性仍然会对网络数据安全构成威胁。为此���,《数安条例》第20条要求其公布投诉���、举报方式等信息���,并及时受理和处理相关投诉���、举报���,强调了社会监督在网络数据安全管理中的重要性。
六���、监督管理和法律责任
(一)监督管理
《数安条例》第七章除了重述《数安法》第6条中规定的各部门具体职责以外���,主要明确了国家网信部门的统筹协调地位和各行业���、领域的有关主管部门的具体监管职责。笔者将上述部门在第48至52条项下所对应的主要职责���、具体措施���,以及总结评价以表格形式体现如下。
综上���,国家网信部门起到统筹和协调的作用���,负责国家层面的风险监控与信息发布���,确保跨部门协作���,而各行业���、领域主管部门负责日常监督���,强调定期评估和紧急预案的制定与实施���,确保行业内数据安全���,此外还需遵循公正���、保密等操作原则。这一整套监管机制明确了不同主管部门的分工和责任���,以确保数据安全得到有效管理与保护。
(二)法律责任
《数安条例》第八章规定了违反相关条款的处罚措施。笔者将上述部门在第55至57条规定的所违反条款及其内容���、所对应的行政措施和罚款范围以表格形式体现如下。
通过以上表格对比可以看出该条例在法律责任方面采取了分级处罚的策略。具体来说���:第55条主要针对违反一般网络数据义务的行为;第57条聚焦于违反与重要数据相关的网络数据义务;第56条则专门处理违反涉及国家安全的网络数据义务。这种处罚机制体现了"过罚相当"的原则���,即随着违法行为危害程度的增加���,相应的处罚力度也逐步加重���,反映了监管手段与风险程度相匹配的监管逻辑。
七���、结语
综上���,《数安条例》体现了法律手段与技术手段相结合���、管理强度与风险高低相匹配的原则。这种制度设计不仅有利于提高监管效率���,也能够促进企业根据自身实际情况采取适当的安全措施。在未来的实践中���,监管部门和企业都应当秉持这一原则���,共同构建安全���、可信���、有序的网络空间。
《数安条例》的颁布实施���,标志着我国数据安全法律体系的进一步完善。它不仅填补了现有法律框架中的空白���,也为未来的网络安全管理提供了更加明确和具体的指导。在数字经济快速发展的背景下���,该条例的出台将有效规范各类数据处理者的行为���,提升的安全性和合规性。
本文作者���:
声明���:
本文由k8凯发天生赢家·一触即发律师事务所律师原创���,仅代表作者本人观点���,不得视为k8凯发天生赢家·一触即发律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容���,请注明出处。
