2021年11月14日,国家互联网信息办公室(下称“国家网信办”)发布了《关于<网络数据安全管理条例(征求意见稿)>公开征求意见的通知》,根据国务院2021年立法计划,国家网信办会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》(下称“《数安条例》”),向社会公开征求意见。《数安条例》全文共九章、七十五条,对网络数据相关的法律问题做了细化规定,与2019年5月28日国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》相比,有了更加全面的细化和提升。《数安条例》虽未正式通过,但从目前国家对于数据和个人信息保护的强化监管趋势来看,该部门规章的立法进程将会加速,据称其有望在年后出台。
《数安条例》的制定,其主要目的在于落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。若该规范性文件能够顺利出台,将对我国数据合规产生重大和深远的影响。
本系列文章,将以《数安条例》的各章为单元,结合目前现有的法律体系进行比较和分析,以期能够对我国数据安全管理现行体系做个梳理,并对司法实务、行政执法和企业合规有所裨益。
《数安条例》第一章总则,合计7条,主要涉及立法目的、适用范围、政策导向、分类分级制度、数据处理者的义务、数据共享及交易管理制度等。
一、立法目的
《网络安全法》第1条开宗明义,明确规定要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,覆盖国与国交往的各个领域,其原则和精神也应当适用于网络空间。各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利应当得到尊重。
《数据安全法》则明确了数据安全与数据治理的分类分级管理和保护机制。随着数据成为国家战略和重要生产要素,数据与土地、劳动力、资金、技术生产要素的融合将助力我国数字产业化和产业数字化,其中不可或缺的是数据的社会治理问题。从法律的角度设立具备前瞻性和规范性的数据保护法,体现了数据在国民经济发展的重要性和紧迫性。
而《个人信息保护法》作为“百年未有之大变局”的制度回应,个人信息保护法外引域外立法智慧,内接本土实务经验,熔“个人信息权益”的私权保护与“个人信息处理”的公法监管于一炉,统合私主体和公权力机关的义务与责任,兼顾个人信息保护与利用,奠定我国网络社会和数字经济的法律之基。
《数安条例》则是上述三大法律相关规定的具体细化,从实务层面来看更加具有可操作性,便于司法和行政机关执法,同时也是对涉及网络数据的个人和组织的全面监管和保护。
二、适用范围
《数安条例》的规范内容是“网络数据处理活动”,其中第七十三条第(一)项规定“网络数据(简称数据)是指任何以电子方式对信息的记录”,这一点与《数据安全法》第三条规定“本法所称数据,是指任何以电子或者其他方式对信息的记录”不完全一致,属于包含与被包含的关系。《数安条例》的“数据”针对的是任何以电子方式对信息的记录,而《数据安全法》的“数据”除了上述记录之外,还包括其他方式对信息的记录,范围更大,即不论呈现形式(电子形式/其他形式)、收集方式(线上/线下)、数据内容(重要数据/敏感数据/个人数据/其他数据),凡对信息的记录均是数据。因此,《数安条例》的此“数据”,非《数据安全法》的彼“数据”,故国家网信办制定的规范性文件中的“数据”,应当是指“网络数据”。
• 《数安条例》的适用范围如下:
三、政策导向
• 数据开发利用与保障数据安全并重
建立对数据安全和开发利用的正确认知,对于二者自身而言都具有重要意义。过分强调数据安全将阻碍对数据价值的合理利用,降低数据的作用与功能发挥。而一味追求数据的开发利用,则可能会诱发对数据的不当甚至违法使用,损害数据主体权益,甚至国家安全和公共利益。国家制定与数据相关的规范性文件,所追求的是数据安全和开发利用并重的立法目的,在二者动态平衡与协同发展的辩证关系下,保障数据安全治理和数据开发利用。
• 各类创新和人才培养,开展合作、宣传教育和培训
实施国家大数据战略,旨在全面推进我国大数据发展和应用,加快建设数据强国,推动数据资源开放共享,释放技术红利、制度红利和创新红利,促进经济转型升级。推动实施国家大数据战略,有利于加快完善我国数字基础设施,有利于推进数据资源整合和开放共享,有利于保障我国数据安全,更好服务我国经济社会发展和改善人民生活。
《数据安全法》明确了国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,通过各种机构和组织的力量,将与此相关的专业和课程设立起来,并集中师资力量,提供快速而全面高效的人才培养模式。在此过程中,人才只有在流动过程中才能发挥更大的积极作用,因此,对于人才流动和合作采取了鼓励、促进的态度。《数安条例》与之一脉相承,也在总则中对此做了规定。
四、数据分类分级保护
《网络安全法》第二十一条规定了“网络安全等级保护制度”,《数据安全法》同样是第二十一条作出了“国家建立数据分类分级保护制度”的规定。数据分级分类是建立数据全生命周期安全防护体系的重要基础,也是数据安全治理的核心任务之一。数据分级保护与分类保护两者相辅相成,数据分类把具有共同属性的数据归并在一起,数据分级根据数据所具有的后果性标准构建技术保护体系,最后通过数据类别将其纳入对应的数据分级体系中。
• 有关分类分级的法律规定如下:
从上述法律层面对于分类分级的规定来看,《网络安全法》仅提到了“数据分类”;《数据安全法》首次明确国家建立分类分级保护制度,并提到了分类分级的依据,提出了核心数据的概念;而《个人信息保护法》则明确了对个人信息分类管理。《数安条例》在此基础上进一步明确了数据分类的一般原则,将数据分成三大类,分别是:一般数据、重要数据(重点保护)和核心数据(严格保护)。自下而上,采取更加严格的保护措施。
• 《数安条例》规定重要数据的具体范围:
1. 未公开的政务数据、工作秘密、情报数据和执法司法数据;
2. 出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;
3. 国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;
4. 工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;
5. 达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;
6. 国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;
7. 其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
• 《数安条例》对重要数据和核心数据的特别规定(以下摘录便于整体掌握和把控该两类数据的合规要求):
需要说明的是,《数安条例》对于个人信息,也是属于重点保护的对象,在第五条第二款作为明确规定,“国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。”在多处条文中,将一定数量的个人信息(分为两种:十万人以上和一百万人以上)与重要数据采取同样的保护措施,并在第三章中单列了“个人信息保护”,体现了在某些情况下“个人信息”等同于“重要数据”,如《数安条例》第二十六条规定,“数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。”
• 除了法律的概括性规定之外,部门规章、行业标准和地方性规章,则在上述法律规定基础上,结合本地区、相关行业和领域,对数据分类尝试性做了更多的细化规定。具体如下:
另外,各行各业也在生产经营过程中,对于企业数据的分类标准做了有益的探索,力求结合行业特征及合规需求,对数据进行企业分类标准,作为企业内部合规的依据:
五、数据处理者的义务(一般性规定)
《数安条例》第六条规定,“数据处理者对所处理数据的安全负责,需要履行数据安全保护义务,接受政府和社会监督,承担社会责任。”这是对于数据处理者承担责任的一般性规定。
• 数据安全管理制度&技术保护机制
《数据安全法》第二十七条规定,“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。”这是《数安条例》第六条第二款关于建立完善数据安全管理制度和技术保护机制规定的上位法依据。
另外,《数安条例》第十六条中规定,“国家机关应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。”第三十二条规定,“年度数据安全评估报告的内容包括:……数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性;……。”上述规范性文件显示,各类数据处理者在开展数据处理活动中,必须建立起全流程数据安全管理制度,以便对数据进行有效的管理和保护。
六、数据共享和交易管理制度
• 公共数据开放、共享,促进开发利用,监督管理
《数安条例》对公共数据的定义,是指国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据,以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。
该定义包括了以下三个要素:首先,主体包括了两类,分别是国家机关和法律、行政法规授权的具有管理公共事务职能的组织,以及其他组织;其次,行为是履行公共管理职责或者提供公共服务过程,或其他组织提供公共服务;最后,前者所收集、产生的各类数据,以及后者收集、产生的涉及公共利益的各类数据。
• 对于公共数据的定义,在不同的规范性文件中表述不一致,不过与《数安条例》对于公共数据定义中涉及的三要素基本一致:
除了附则中的定义及第七条规定的推动公共数据开放、共享,依法对公共数据实施监督管理外,《数安条例》第五十二条专条规定,“国务院有关部门履行法定职责需要调取或者访问互联网平台运营者掌握的公共数据、公共信息,应当明确调取或者访问的范围、类型、用途、依据,严格限定在履行法定职责范围内,不得将调取或者访问的公共数据、公共信息用于履行法定职责之外的目的。互联网平台运营者应当对有关部门调取或者访问公共数据、公共信息予以配合。”这也是对于公共数据调取、访问和使用的限制,并规定了互联网平台运营者配合调取或者访问的义务。
从上述各省市相关数据条例可以看出,各地区均通过统一的数据平台实现数据的汇集、存储、共享和开放,并对公共数据实行目录管理,明确了公共数据的分类、格式、属性、更新时限、共享和开放及适用要求等内容。
在公共数据共享方面,各地区以共享为原则,不共享为例外。对于公共数据开放,多地将其分为无条件开放、有条件开放和不予开放三种类型。数据使用者可以通过本地区统一的数据平台查询、获取无条件开放的公共数据。对于有条件开放的公共数据,数据使用者应通过开放平台向数据提供者提出申请。《上海市数据条例》中将公共数据按照开放类型分为无条件开放、有条件开放和非开放三类。涉及个人隐私、个人信息、商业秘密、保密商务信息或者法律、法规规定不得开放的,列入非开放类;对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据,列入有条件开放类;其他公共数据列入无条件开放类。
七、数据交易管理制度
《数据安全法》第十九条规定,“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。”《数安条例》第七条第二款规定,“国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。”
从国家立法层面上看,数据交易相关制度还在制定过程中,而从地方立法层面来看,已经有不少省市先行,无论是立法还是实践层面都在推广数据交易活动。如《上海市数据条例》第二节专门规定了数据交易,涉及数据交易流程、加强监管、保护数据和信息、禁止性规定、设立数据交易所、自主定价等。而其他省市的地方性法规规定比较原则,主要涉及平台设立、促进交易、基本规则等内容。
《网络数据安全管理条例(征求意见稿)》解读之总则篇
作者:吴旭华来源:天册律师事务所

2021年11月14日,国家互联网信息办公室(下称“国家网信办”)发布了《关于<网络数据安全管理条例(征求意见稿)>公开征求意见的通知》,根据国务院2021年立法计划,国家网信办会同相关部门研究起草《