速评《网络数据安全管理条例(征求意见稿)》:十一大亮点

来源:北京植德律师事务所

文章摘要
引言 继2021年11月1日《个人信息保护法》实施后,国家互联网信息办公室(简称“网信办”)隔13天后,于2021年11月14日在官网发布了《网络数据安全管理条例(征求意见稿)》(简称“《条例》”)。

引言
继2021年11月1日《个人信息保护法》实施后,国家互联网信息办公室(简称“网信办”)隔13天后,于2021年11月14日在官网发布了《网络数据安全管理条例(征求意见稿)》(简称“《条例》”)。在此之前,网信办于2021年还分别发布了《网络安全审查办法(修订草案征求意见稿)》(2021年7月10日)、《互联网信息服务算法推荐管理规定(征求意见稿)》(2021年8月27日)、《数据出境安全评估办法(征求意见稿)》(2021年10月29日)。而早在2019年5月28日,网信办还发布了《数据安全管理办法(征求意见稿)》,但一直未出台。值得关注的是,国家市场监督管理总局于2021年10月 29日,还发布了《互联网平台分类分级指南(征求意见稿)》《互联网平台落实主体责任指南(征求意见稿)》。
可以看出,我国数据法顶层设计完成后(《国家安全法》《网络安全法》《数据安全法》和《个人信息保护法》),网信办及相关监管单位正在快马加鞭的完成相关配套规则的出台,以便更好落实法律的要求。
亮点一:明确了核心数据、单独同意等重要数据法概念
《条例》第七十三条明确了实践中大家普遍需要明确的数据法概念。例如明确了重要数据的定义(“重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。”并进行了列举)核心数据的定义(“核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据”)、委托处理的定义(“委托处理是指数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。”)、单独同意的定义(“单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意”),等等。
上述概念的明确,对于企业在完成相关整改工作过程中,有重要的指导作用。例如在数据分类分级方面,在具体APP页面整改方面。实务中,对于单独同意到底该怎么做,从《个人信息保护法》实施后的隐私政策实证分析来看,主要集中在三个方面,分别是确认协议、具体场景下的文案确认、弹框提示。而本次《条例》中的定义,强调的是“对每项个人信息取得个人同意”,“不包括一次性针对多项个人信息、多种处理活动的同意”。该定义,对于弹框的次数可能会造成影响,即多项个人信息、多种处理活动的同意,不能一次性在弹框中进行呈现的方式完成授权同意,可见监管的严格态势。
此外,值得关注的是《个人信息保护法》一共在六处提到了“单独同意”。《条例》在六处也提到了“单独同意”,大部分与《个人信息保护法》的要求重叠,但是也有两处值得关注,即第三十六条第二款“收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。”以及第四十九条“互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的,应当对推送信息的真实性、准确性以及来源合法性负责,并符合以下要求:(一)收集个人信息用于个性化推荐时,应当取得个人单独同意;”前者简化“单独同意”的次数,同时明确在该场景下可以在收集端对个人信息出境进行授权。那么其他场景也可以这么做吗?似乎没有明确规定,则还是要结合具体场景触发才能弹框获得授权。
后者则在个性化推荐这一收集目的上,明确要求单独同意。该做法相比《个人信息保护法》提出了更高的要求,同时进行了细化。《个人信息保护法》第二十四条第二款规定,“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式”。我们认为《个人信息保护法》的条款设计属于“选择性退出(Opt-out)”,而《条例》采取了“选择性加入(Opt-in)”的模式,默认不应向用户进行个性化推荐。这一要求若未来在正式稿中被确认,实务中通过仅仅同意隐私政策即自动打开个性化推荐的做法,将明确为不可以。这一做法对企业自动化营销将造成一定影响。
亮点二:适用范围聚焦于“网络数据”
《条例》第二条、第七十四条,明确了《办法》适用的范围。其中第二条规定,“在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例:(一)以向境内提供产品或者服务为目的;(二)分析、评估境内个人、组织的行为;(三)涉及境内重要数据处理;(四)法律、行政法规规定的其他情形。自然人因个人或者家庭事务开展数据处理活动,不适用本条例。”第七十三条第二款第一项规定,“(一)网络数据(简称数据)是指任何以电子方式对信息的记录。”第七十四条规定,“涉及国家秘密信息、核心数据、密码使用的数据处理活动,按照国家有关规定执行。”
《数据安全法》、《个人信息保护法》的适用范围并不限于“网络数据”, 还包括线下的数据、个人信息。但本次《条例》则聚焦于“网络数据”的调整和规范。从《条例》的章节也可以看出,对网络数据主要从“一般规定”、“个人信息保护”、“重要数据安全”、“数据跨境安全管理”、“互联网平台运营者义务”、“监督管理”等六个维度进行具体规范和要求。为此,在理解各章节的不同数据类型时,要以“网络数据”作为主线和基础去理解,准确理解《条例》的适用范围。
值得关注的有两点,一方面《网络安全法》第七十六条第二款第(四)项,规定了“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。”相比上述条例中的概念(“网络数据是指任何以电子方式对信息的记录。”),基本上一致,前者更突出生命周期的描述(但是这种生命周期的描述也不够完整,可能不足以覆盖实务中复杂的处理场景和环节),而后者的描述则更加彻底。另一方面,在域外管辖方面,相比《个人信息保护法》第三条,增加了“涉及境内重要数据处理;”完善了网络数据的域外管辖效力。
亮点三:明确了国家层面三类数据分类要求,突出了重点保护和严格保护的不同数据客体内容
《条例》第五条规定,“国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。”
该条,相比《数据安全法》第二十一条,“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”进一步将数据分为一般数据、重要数据和核心数据三类。同时突出了对于个人信息、重要数据的“重点保护”态度,以及核心数据的“严格保护”态度。严格保护相比重点保护,要更进一步。
亮点四:新技术开展数据处理活动的监管力度进一步加强
第八条规定,“任何个人和组织开展数据处理活动应当遵守法律、行政法规,尊重社会公德和伦理,不得从事以下活动:…任何个人和组织知道或者应当知道他人从事前款活动的,不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。”以及第五十四条规定,“ 互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的,应当按照国家有关规定进行安全评估。”
从上述规定可以看出,技术服务商(包括互联网接入、服务器托管、网络存储、通讯传输)、广告服务商、第三方支付等主体,不管是个人还是组织,都不得在“知道”或者“应当知道”时,提供支持,如严重违反,其可能面临“帮助信息网络犯罪活动罪”的刑事红线风险。2021年10月18日,最高人民检察院发布2021年1月至9月全国检察机关主要办案数据。“从数据看,“四大检察”“十大业务”都取得新进展。从起诉罪名看,排在第一位的是危险驾驶罪263281人,同比上升30.6%;排在第二位的是盗窃罪150922人,同比上升6.7%;排在第三位的是诈骗罪82105人,同比下降10.9%;排在第四位的是帮助信息网络犯罪活动罪79307人,同比上升21.3倍;排在第五位的是开设赌场罪63238人,同比上升40%[1]”。《刑法》第二百八十七条之二明确规定,“【帮助信息网络犯罪活动罪】明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”
而《条例》第五十四条,相比《数据安全管理办法(征求意见稿)》“第二十四条 网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应以明显方式标明“合成”字样;不得以谋取利益或损害他人利益为目的自动合成信息。”一方面增加了“虚拟现实”新技术的列举,另一方面,则在新技术进行数据处理方面,增加了“安全评估”的法定义务要求,相比“标明合成字样”,明确要求更高。至于这里的“安全评估”,到底是自己评估,类似数据出境的风险自评估、《个人信息保护法》要求完成的个人信息安全影响评估,还是类似网络安全审查、数据出境安全评估等由第三方监管单位(如网信办)组织的安全评估,目前还不明确,有待进一步相关规定的出台。
亮点五:细化了网络安全审查的情形、增加了多处“报告”内容,进一步加强网络安全监管
相比《网络安全审查办法(修订草案征求意见稿)》第五条第六条的规定,第五条,“运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。”第六条,“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”《条例》在第十三条列举了四种网络安全审查的情形,更为丰富和具体。
这四大情形中,增加了2处,即第一项和第三项,分别是“汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的。”,和“数据处理者赴香港上市,影响或者可能影响国家安全的。”前者对重要互联网平台进行资本运作上的关注,弥补了相关漏洞,后者则补充了之前大家普遍关心的“赴香港上市”是否“就没有必要进行网络安全审查”的疑问,结论是并非当然豁免。此外,《条例》还修订了《网络安全审查办法(修订草案征求意见稿)》“掌握超过100万用户个人信息的运营者赴国外上市”的表述,改为“处理一百万人以上个人信息的数据处理者赴国外上市的”,把“掌握”改为“处理”,更为统一表述。
此外,《条例》还增加了多处向网信办和主管部门“报告”的情形。分别是发生安全事件和处置完毕后的报告义务(第十一条)、大型互联网平台运营者在境外设立总部或者运营中心、研发中心的报告义务(第十三条)、数据处理者因为合并、重组、分立等,涉及重要数据和一百万以上个人信息的,数据处理者发生解散、被宣告破产等情况的,需要履行报告义务(第十四条),处理重要数据或者赴境外上市的数据处理者定期提交数据安全评估报告的义务(第三十二条),向境外提供个人信息和重要数据的数据处理者定期提交数据出境安全报告的义务(第四十条)。
亮点六:违法爬虫条款进一步修订
《条例》第十七条规定,“数据处理者在采用自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的,数据处理者应当停止访问、收集数据行为并采取相应补救措施。”而《数据安全管理办法(征求意见稿)》第十六条规定,“ 网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止。”
《数据安全管理办法(征求意见稿)》第十六条曾引起热议,即对于“自动化访问收集流量超过网站日均流量三分之一”这一条较难有实操性,而且实践中,容易触发。《条例》在第十七条中,删除了该争议条款,将原来“不得妨碍网站正常运行”调整为“评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能”,不得“影响网络服务正常功能,或者侵犯他人知识产权等合法权益”,同时要遵守“法律、行政法规或者行业自律公约”的内容。《条例》相比《数据安全管理办法(征求意见稿)》,对于违法爬虫的内容进一步进行了完善,明确赋予“行业自律公约”法律强制性规范的效力。这一规定与此前的司法裁判观点一脉相承(参见“百度诉奇虎不正当竞争案”(2017)京民终487号、(2013)一中民初字第13657号案民事判决书)。但是从法律责任条款来看,并未对该第十七条设置专门的处罚条款,仍有待其他法律法规进行调整,如《刑法》《著作权法》《反不正当竞争法》等法律法规,以及相关司法解释进行规制。
值得关注的是,2021年8月17日,国家市场监督管理总局发布了《禁止网络不正当竞争行为规定(公开征求意见稿)》,其中第十三条规定,“经营者不得利用数据、算法等技术手段,通过影响用户选择或者其他方式,实施流量劫持、干扰、恶意不兼容等行为,妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行。”,以及第二十条规定,“经营者不得利用技术手段,非法抓取、使用其他经营者的数据,并对其他经营者合法提供的网络产品或者服务的主要内容或者部分内容构成实质性替代,或者不合理增加其他经营者的运营成本,减损其他经营者用户数据的安全性,妨碍、破坏其他经营者合法提供的网络产品或者服务的正常运行。”第三十五条规定,“经营者违反本规定第十三、十四、十五、十六、十七、十八、十九、二十、二十一、二十二条的,由市场监管部门依据反不正当竞争法第二十四条的规定处罚。”而《反不正当竞争法》第二十四条规定了,“经营者违反本法第十二条规定妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的,由监督检查部门责令停止违法行为,处十万元以上五十万元以下的罚款;情节严重的,处五十万元以上三百万元以下的罚款。”为此,因为自动化访问所导致的相关后果,在反不正当竞争的规则中,有较多可以借鉴和关注的条款。
亮点七:《条例》进一步加强数据处理者对个人信息主体的“透明度要求”
《个人信息保护法》第七条规定,“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。”《条例》在多个层面加强“透明度”的要求:
如,“数据处理者应当公布…责任人信息,每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况,接受社会监督。”(《条例》第十八条)
如,“…个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。个人信息处理规则应当包括但不限于以下内容:(一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等…(四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;(五)向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等;…”(《条例》第二十条 )
上述透明度要求,对于正在修订隐私政策的数据处理者来说,是非常重要的指引。实务中,大家普遍关心是否要以清单形式列明每项功能处理个人信息的相关内容,其中处理个人信息的频次、时机、保存地点,值得关注;此外,大家也非常关心第三方SDK收集个人信息的频次、时机是否要披露的问题,目前不同数据处理者的隐私政策存在披露不一致的情形;而对于向第三方提供个人信息的情形,数据接收方的信息实践中在隐私政策中披露内容也存在较大差异性,从条例来看,目前没有写得很清楚。但《个人信息保护法》第二十三条明确了“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类”。
亮点八:个人信息权益的实现、落实和保护,得到进一步细化和加强
《条例》第二十二到第二十四条,就个人信息主体的查阅权、复制权、更正权、补充权、限制处理权、删除权、数据可携权进行了细化。其中,特别突出了“十五个工作日”的处理时间,对于不便捷的情形进行了排除,如“不得以时间、位置等因素对个人的合理请求进行限制”查询权,“不得设置不合理条件”限制复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销的功能。
而《信息安全技术个人信息安全规范》也明确了响应个人信息主体注销账户完成“人工”核查和处理的时间不超过15个工作日,响应个人信息主体权利,做出答复、合理解释、告知纠纷解决途径的时间为30天,在验证个人信息主体身份后,应及时响应个人信息主体提出的请求(备注:查询权、更正权、删除权、撤回授权同意权、注销权、数据可携权),应在30天内或法律法规规定的期限内作出答复及合理解释,并告知个人信息主体外部纠纷解决途径。应该说《条例》吸收了《信息安全技术个人信息安全规范》部分的做法,但是也提出了更高的时间反馈要求。
其中尤其值得关注的是,第二十四条数据可携权的具体落实条款,即:“ 符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;(二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;(三)能够验证请求人的合法身份。数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。”
亮点九:进一步细化数据安全负责人的职责,完善重要数据处理者的相关法定义务
《汽车数据安全管理若干规定》第三条中,“涉及个人信息主体超过10万人的个人信息”即构成汽车数据中的重要数据。而在其他领域,按照《条例》第二十六条的规定,数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。为此,这一条对于各行各业的数据处理者,如何更好履行重要数据处理者的义务,影响较为深远。
《数据安全法》并未明确数据安全负责人的职责,但在《条例》第二十八条中,进行了细化。其中值得关注的是其最后一款的规定,“数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。”该条参考了欧盟GDPR,未来该条的落实有待进一步关注。即如何保障数据安全负责人一方面在数据处理者中领取薪酬报酬,另一方面,对于发现的问题,有动力和有积极性直接向监管部门反映安全情况。
此外,相比《数据安全法》第三十条(重要数据处理风险评估义务)、第三十一条(重要数据出境安全管理义务),《条例》还对重要数据处理者的法定义务进行了细化:如数据处理者识别重要数据后,需要向网信部门进行备案(《条例》第二十九条);重要数据的处理者,还应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时(《条例》第三十条);重要数据的处理者,应当优先采购安全可信的网络产品和服务(《条例》第三十一条 )。 数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意(第三十三条)。国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估(《条例》第三十四条 )。
亮点十:进一步明确和细化了数据出境的相关情形、条件和义务
首先,明确了“处理个人信息达到国家网信部门规定数量的个人信息处理者”的具体个人信息数量要求,对于个人信息处理者未来进行个人信息出境,需要完成安全评估工作。
《个人信息保护法》第四十条规定,“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”对于这里的“处理个人信息达到国家网信部门规定数量的个人信息处理者”,在《条例》中进行了进一步明确。《条例》第三十七条规定,“ 数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估:(一)出境数据中包含重要数据;(二)关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息;(三)国家网信部门规定的其它情形。法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”
其次,细化了数据出境的相关条件
《个人信息保护法》第三十八条是个人信息出境的主要条件,对应《条例》第三十五条,其中,对于个人信息保护认证模式下的出境方式,《条例》相比《个人信息保护法》的“按照国家网信部门的规定经专业机构进行个人信息保护认证”,细化为“数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;”为此解决了两个问题,第一个是专业机构必须是网信办认定的,其他的机构不行;第二个是数据接收方也要进行个人信息保护认证,不限于数据处理者,为此明确了认证的对象。
此外,对于“数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的情形”,不需要经过《条例》第三十五条所列举的相关条件。
最后,《条例》在《个人信息保护法》的基础上,进一步细化了数据处理者向境外提供数据应当履行以下义务(《条例》第三十九条 )
例如“存留相关日志记录和数据出境审批记录三年以上;”“个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。”“任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务”(《条例》第四十一条)。
亮点十一:进一步通过多维度加强对互联网平台运营者的监管
《条例》在以下几个方面进一步加强了对互联网平台运营者的监管,如:
1、建立与数据相关的平台规则、隐私政策和算法策略披露制度(《条例》第四十三条);
2、平台规则、隐私政策制定或者对用户权益有重大影响的修订,需要履行法定公示期,并列明采纳和不采纳的情况,不采纳的原因等(《条例》第四十三条);实务中,很多互联网平台运营者并未公示历史版本,更不会就修订条款的原因,不采纳的原因进行公示,该条是一项对个人信息主体重大利好的条款;
3、日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,需要第三方评估,监管部门同意(《条例》第四十三条);
4、互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任;第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿(《条例》第四十四条);实务中,很多互联网平台运营者在隐私政策中,明确第三方接入者独立承担数据安全责任,未来将面临挑战;
5、个性化推荐进一步规范:“设置易于理解、便于访问和操作的一键关闭个性化推荐选项,允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数”;“允许个人删除定向推送信息服务收集产生的个人信息”(《条例》第四十九条);
6、大型互联网平台运营者需要每年完成第三方的年度审计(《条例》第五十三条);值得关注的是,大型互联网平台运营者的参考标准,可以查阅国家市场监督管理总局于2021年10月 29日的发布《互联网平台分类分级指南(征求意见稿)》。其中,第八条规定,“【安全审计】超大型平台经营者应定期委托第三方独立机构对本指南所规定的主体责任遵守情况进行审计,并由第三方独立机构发布书面审计报告。报告应包括以下内容:(一)接受审计的超大型平台的名称、地址和联系方式;(二)开展审计活动的机构组织的名称和地址;(三)审计主要结论;(四)实现合规的操作建议。”第三十五条规定,“【本指南的适用】本指南中所界定的超大型平台经营者,应当依法依规采取相关措施,履行本指南所列各项义务,落实平台主体责任。除超大型平台经营者之外的其他平台经营者,应当依法依规采取相关措施,履行本指南第十至三十四条所列各项义务,落实平台主体责任。”对于大型互联网平台,从《互联网平台分类分级指南(征求意见稿)》来看,似乎不需要履行安全审计的义务。但是结合《条例》,其还是免了第三方的年度审计要求。
7、其他义务条款。
小结
《条例》的出台,是对《网络安全法》《数据安全法》和《个人信息保护法》等数据法的进一步细化,以“网络数据”为主线,加强了对于网络数据领域中个人信息、重要数据、核心数据的规范要求,回应了实务中很多热点、疑难问题。
该《条例》的出台,不仅影响有大量个人信息的个人信息处理者,也会影响有大量重要数据的重要数据处理者,在具体落实上述数据法的法定义务过程中,《条例》将如同指南针,丰富数据处理者的法定义务的落地措施。
但是《条例》仍然有一些问题需要进一步探讨。如何理解《条例》中报告和备案的差异性以及各自不同情形下完成的时间(事前还是事后)?数据处理者公布责任人信息,是否合适?之前《个人信息保护法》删除了个人信息负责人的姓名,只披露联系方式,是否要继承?数据处理者在举证证明“个人同意行为有效性存在争议”时,该如何举证才能得到监管和法院的认可?如何理解该条款与《个人信息保护法》第六十九条(过错推定条款)、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第四条(人民法院不支持信息处理者的相关已经征得自然人同意的抗辩)的关系?如何判断数据处理者满足了《条例》的相关“合理”要求?(《条例》第二十二条、第二十三条、第二十四条、第四十六条)如何看待《条例》与其他部门规章之间的关系?对于不同规制主体采取了差异性的监管要求?(如对于大型互联网平台需要履行安全审计的义务。)如何理解《条例》第54条所称“新技术”的范围?这样一条制度设计在确保数据安全的同时,是否会一定程度上阻碍科技发展与技术迭代?
[1] 最高检发布1至9月全国检察机关主要办案数据www.spp.gov.cn/spp/xwfbh/wsfbt/202110/t20211018_532387.shtml

技术驱动法律,专业成就未来