2021年11月14日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》(以下簡稱“《網(wǎng)安條例》”),并向社會公開征求意見。《網(wǎng)安條例》共九章七十五條,涵蓋了個人信息保護(hù)、互聯(lián)網(wǎng)平臺運(yùn)營者義務(wù)等多方面。
《網(wǎng)安條例》是根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱“《網(wǎng)安法》”)《中華人民共和國數(shù)據(jù)安全法》(以下簡稱“《數(shù)安法》”)《中華人民共和國個人信息保護(hù)法》(以下簡稱“《個保法》”)等法律制定,是對其上位法的細(xì)化和補(bǔ)充,也可以被看作是《數(shù)安法》和《個保法》的實(shí)施細(xì)則。
根據(jù)《網(wǎng)安條例》,在中華人民共和國境內(nèi)利用網(wǎng)絡(luò)開展數(shù)據(jù)處理活動,以及網(wǎng)絡(luò)數(shù)據(jù)安全的監(jiān)督管理和部分境外處理我國境內(nèi)公民和組織數(shù)據(jù)的活動,適用《網(wǎng)安條例》。
此外,《網(wǎng)安條例》明確規(guī)定,自然人因個人或者家庭事務(wù)開展數(shù)據(jù)處理活動的不在適用范圍內(nèi)。
《個保法》第五條規(guī)定,處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則。《網(wǎng)安條例》第十九條則逐條解釋了何為合法、正當(dāng)、必要和誠信原則。具體解釋為:
處理的個人信息是提供服務(wù)所必需的,或者是履行法律、行政法規(guī)規(guī)定的義務(wù)所必需的;
限于實(shí)現(xiàn)處理目的最短周期、最低頻次,采取對個人權(quán)益影響最小的方式;
不得因個人拒絕提供服務(wù)必需的個人信息以外的信息,拒絕提供服務(wù)或者干擾個人正常使用服務(wù)。
根據(jù)《網(wǎng)安條例》,數(shù)據(jù)處理者、互聯(lián)網(wǎng)平臺運(yùn)營者和大型互聯(lián)網(wǎng)平臺運(yùn)營者在處理數(shù)據(jù)活動時(shí)應(yīng)當(dāng)遵循《網(wǎng)安條例》,其中,大型互聯(lián)網(wǎng)平臺運(yùn)營者是指用戶超過五千萬、處理大量個人信息和重要數(shù)據(jù)、具有強(qiáng)大社會動員能力和市場支配地位的互聯(lián)網(wǎng)平臺運(yùn)營者。
《網(wǎng)安條例》在第七十三條第十款中對于大型互聯(lián)網(wǎng)平臺運(yùn)營者的定義是對《個保法》第五十八條“提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者”的解釋說明。因此,五千萬用戶數(shù)量成為了判斷該運(yùn)營者是否被認(rèn)定為“大型互聯(lián)網(wǎng)平臺運(yùn)行者”的重要指標(biāo)。
根據(jù)《網(wǎng)安條例》第四十三條,“平臺規(guī)則、隱私政策制定或者對用戶權(quán)益有重大影響的修訂,互聯(lián)網(wǎng)平臺運(yùn)營者應(yīng)當(dāng)在其官方網(wǎng)站、個人信息保護(hù)相關(guān)行業(yè)協(xié)會互聯(lián)網(wǎng)平臺面向社會公開征求意見,征求意見時(shí)長不得少于三十個工作日。”
我們認(rèn)為,此條內(nèi)容的提出將直接改變現(xiàn)有的隱私政策及平臺規(guī)則的運(yùn)行模式,將從一定程度上限制了平臺運(yùn)營者對于信息收集和處理的使用,使企業(yè)自身在滿足相關(guān)法律合規(guī)的同時(shí),接受民眾和用戶的監(jiān)督并聽取意見。
《網(wǎng)安條例》的第四章為針對重要數(shù)據(jù)處理者單獨(dú)設(shè)立的章節(jié),是對《數(shù)安法》第四章的重要補(bǔ)充。其第二十九到第三十三條規(guī)定了重要數(shù)據(jù)處理者的法定責(zé)任,其責(zé)任主要包含備案、培訓(xùn)、采購、安全評估和流轉(zhuǎn)批準(zhǔn)。其中備案是指在識別重要數(shù)據(jù)十五個工作日內(nèi)向設(shè)區(qū)的市級網(wǎng)信部門備案;培訓(xùn)是指每年需要組織開展全員數(shù)據(jù)安全教育培訓(xùn),數(shù)據(jù)安全相關(guān)的技術(shù)和管理人員每年教育培訓(xùn)時(shí)間不得少于二十小時(shí);流轉(zhuǎn)批準(zhǔn)是指數(shù)據(jù)處理者共享、交易、委托處理重要數(shù)據(jù)的,應(yīng)當(dāng)征得設(shè)區(qū)的市級及以上主管部門同意,主管部門不明確的,應(yīng)當(dāng)征得設(shè)區(qū)的市級及以上網(wǎng)信部門同意。
數(shù)據(jù)評估是指每年對數(shù)據(jù)的定期評估和進(jìn)行場景評估。定期評估內(nèi)容包括了數(shù)據(jù)處理情況、風(fēng)險(xiǎn)應(yīng)對及處置方式、安全管理及備份制度、合規(guī)情況、數(shù)據(jù)出境安全評估情況、數(shù)據(jù)安全的投訴及處理情況和國家網(wǎng)信及有關(guān)部門明確的其他數(shù)據(jù)安全情況。
場景評估是指對于共享、交易、委托處理、向境外提供重要數(shù)據(jù)的場景進(jìn)行評估,如評估結(jié)果為可能危害國家安全、經(jīng)濟(jì)發(fā)展和公共利益,則不得共享、交易、委托處理、向境外提供數(shù)據(jù)。
《網(wǎng)安條例》作為一部行政法規(guī),以《個保法》《數(shù)安法》《網(wǎng)安法》為上位法,落實(shí)和執(zhí)行了上位法關(guān)于數(shù)據(jù)安全所設(shè)立的制度,給出了這些制度可實(shí)施的路徑。但是值得我們關(guān)注的是,在細(xì)節(jié)問題的銜接上和綜合結(jié)構(gòu)的考慮上《網(wǎng)安條例》還需要進(jìn)一步完善,真正做到成為上位法的有效補(bǔ)充和細(xì)化。對此我們將保持關(guān)注。
