来源:中国经营报
原标题:“大型互联网平台”迎更强监管!数据安全管理条例即将出台
征求意见稿明确建立数据分类分级保护制度,进一步细化了以大型互联网平台运营商为代表的数据处理器对重要数据和核心数据的保护要求,以及相关的网络安全审查。
在《数据安全法》实施仅两个多月,《个人信息保护法》刚刚生效的情况下,为了应对网络数据合法化的执法和法律适用需求,一部更加完整、可操作的法律适用规则呼之欲出。
11月14日,国家网信办发布《网络数据安全管理规定》。征求意见稿共9章75条。以《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等上位法为基础,明确建立数据分类分级保护制度,进一步细化以大型互联网平台运营商为代表的数据处理者对重要数据和核心数据的保护要求,以及相关的网络安全审查。
早在今年6月,此次征求意见的《网络数据安全管理条例》就被列入国务院2021年立法工作计划,但当时起草的名称是《数据安全管理条例》。北京史静律师事务所律师杜光普在接受《第一财经日报》采访时表示,此次更名体现了立法过程中的“抓大放小”,即首次针对互联网平台运营者等数据处理者进行立法,凸显了近期监管部门的治理重点,也有利于该规定更快实施。
北京师范大学国际网络法治中心执行主任吴沈括进一步对第一财经表示,征求意见稿中关于个人信息保护、重要数据安全、跨境数据安全管理、互联网平台运营者义务等方面的详细规定,将对互联网平台运营者的合规和风险控制工作具有广泛的指导意义。其落地后,可以给互联网行业、数字生态、数字经济带来深度的、生态的重构和变革。
建立数据分类和分级保护制度。
征求意见稿提出,国家应当建立数据分类和分级保护制度。根据数据对国家安全、公共利益或者个人和组织合法权益的影响和重要性,将数据分为一般数据、重要数据和核心数据,并对不同级别的数据采取不同的保护措施。
其中,国家重点保护个人信息和重要数据,严格保护核心数据。
中国信息通信研究院云计算与大数据研究所人工智能部工程师胡告诉第一财经,作为正在实施的两部上位法,在《网络安全法》的网络安全等级保护体系中提出了数据分类,在《数字安全法》中提出了重要数据保护目录和核心数据两个重要概念。征求意见稿在《互联网安全法》和《数字安全法》的基础上,进一步明确国家重点保护个人信息权益。
《数据安全法》第三章第二十一条原则规定,数据分类分级的依据是在经济社会发展中的重要程度和被篡改、泄露时的危害程度。其中,“涉及国家安全、国家经济命脉、重要民生、重大公共利益等的数据。”被列为国家核心数据,征求意见稿中“核心数据”的定义与之一致。
但对于“重要数据”这一范畴,数据安全法并没有做出具体的定义。
征求意见稿在上述法律的基础上进行细化。明确重要数据是指一旦被篡改、破坏、泄露或者非法获取、使用,可能危害国家安全和公共利益的数据,包括以密码、生物、电子信息、人工智能等领域对国家安全和经济竞争力有直接影响的科技成果为代表的出口管制数据等7类;电信、能源、金融等重点行业和领域安全生产运行数据;国家基础设施、关键信息基础设施及其安全数据等的建设和运行情况。
中国人民大学跨领域数字经济平台首席专家李三喜对第一财经表示,此类数据的共同特点是与行业的数字化转型和高质量发展密切相关,将有助于中国产业链供应链的自主安全发展。
由于不同行业、不同地区数据分类分级的具体规则和考虑因素差异很大,制定重要数据具体目录和具体分类分级保护制度的权限已经下放。征求意见稿提出,按照国家数据分类分级要求,各地区、各部门应当对本地区、本部门以及相关行业和领域的数据进行分类分级。
大型互联网平台面临更严格的“数据退出”监管。
考虑到港股市场旺盛的生命力和我国对跨境数据安全监管的加强,与7月10日网信办发布的《网络安全审查办法》相比,征求意见稿对网络安全审查的对象进一步细化和补充,增加了大型互联网平台的义务。
根据征求意见稿第十三条,数据处理器赴中国香港上市,影响或者可能影响国家安全的,应当按照国家有关规定申请网络安全审查。
但在上述网络安全审查措施中,对出境数据的安全审查仅包括“处理百万人以上个人信息的数据处理者出国上市”,不涉及在中国香港上市。
网络安全领域资深学者、中国社科院经济学博士闫芳对第一财经表示,在世界复杂多变的形势下,更多在内地IPO的公司到中国香港上市。征求意见稿弥补了以往网络安全审查办法中的不完整性,即数据安全审查原则不限于“数据出国”,还涵盖了“数据出国”。
事实上,在10月29日发布的《数据出境安全评估办法》中,申报安全评估的对象已经从从事数据出境活动的数据处理者扩展到从事数据出境活动的数据处理者,与征求意见稿所指的对象一致。
此外,在跨境数据安全管理方面,征求意见稿第十三条还对大型互联网平台经营者提出了安全审查要求,即“大型互联网平台经营者在境外设立总部或者运营中心、RD中心的,应当向国家网信部和主管部门备案。”
李三喜指出,相比企业和平台运营商,国家网信部门或主管部门在国内外都有更明确的数据安全保护政策。通过向相关监管部门报告,可以帮助离岸企业规避相关风险。同时,提前做好备案工作,也有助于企业应对国际形势的变化。
但也有不少受访者指出,这一项的监管主体——“大型互联网平台经营者”可能值得进一步探讨。
闫芳认为,在“其他影响或者可能影响国家安全的数据处理活动”中,如果只是针对互联网企业,其主体是设定的或者是狭义的。比如一些有一定规模的电信运营商和智能终端厂商,也在海外设立了RD中心或运营中心,他们也拥有大量的数据。此类物体也应包括在安全审查中。
杜光普认为,征求意见稿中定义的“大型互联网平台经营者”的概念存在一定的不合理性。
根据征求意见稿第七十三条,“大型互联网平台经营者,是指拥有5000万以上用户,处理大量个人信息和重要数据,具有较强社会动员能力和市场支配地位的互联网平台经营者”。
“从上面的定义可以看出,大型互联网平台的运营者需要同时满足四个维度的条件。其中,前三个条件,即用户、信息和社会动员可能比较容易判断,而第四点‘市场支配地位’可能比较难判断。”杜光普说。
他进一步表示,根据现行立法和实践,“市场支配地位”主要是《反垄断法》中的一个术语。判断一个经营者是否具有市场支配地位,通常是由反垄断执法机构或者法院结合具体案件中的相关证据来认定的。在准确界定相关市场后,要综合考虑各种因素进行认定或推定,专业性很强,难度很大。此外,即使在一个案件中确定一个经营者具有市场支配地位,这种确定也可能随着时间的推移和经营者内外部环境的变化而变化。
“由此可见,‘大型互联网平台经营者’这一重要‘身份’的认定具有不确定性,在实际操作中可能面临比较大的挑战。”杜光普说。
除了“大型互联网平台运营者”的概念,胡还表示,在个人信息保护方面,征求意见稿中有一些措辞可能需要进一步统一或说明。例如,数据处理者使用生物特征进行个人身份认证的,应当对必要性和安全性进行风险评估,风险评估应当与《个人保护法》规定的处理敏感个人信息的事前影响评估基于相同的事前评估初衷。建议统一措辞。
“总体来看,征求意见稿对互联网平台经营者,尤其是大型互联网平台经营者设置了更多的监管措施,有利于三部上位法的细化和落实。但其中部分条款内容可能与之前的法律法规不一致,征求意见稿中新创设的表述需要进一步明确和澄清。”胡对说:
