11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》(以下简称《条例》)。
受访专家指出,《条例》明确了中国数据监管“三法合一”思路,执行、细化、补充了《网络安全法》、《数据安全法》和《个人信息保护法》三部上位法的规定,进一步增强了数据安全法律体系的完备性和可操作性。
《条例》对数据分类分级、个人信息保护、个人行权、互联网平台运营者义务做出了较为细致的规定。
其中对日活用户超过一亿的大型互联网平台运营者课以更多义务:平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。这也意味着大型平台规则等的变更不再是平台自己的事情,而具备一定的公共属性,需要经过评估以及主管部门同意。
对于近期讨论热度极高的互联互通、算法策略披露、个性化推荐等,《条例》也都有了回应。
数据分类分级:制订重要数据目录并报备
该《条例》级别高,被列入国务院2021年立法计划。今年数据、网络安全等相关政策密集,但是中国信息安全研究院副院长左晓栋指出,和今年其他文件比,《条例》规格更高,相当于航空母舰。尤其是伴随着《数据安全法》和《个人信息保护法》的落地,《条例》将作为数据管理的重要实施规则。
《条例》明确了数据分类分级保护制度,将数据分为一般数据、重要数据和核心数据三级。
重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括:未公开的政务数据、工作秘密、情报数据和执法司法数据;出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据等。
核心数据则是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。
《条例》规定各地区、各部门对本地区、本部门以及相关行业、领域的数据进行分类分级管理,并制订重要数据和核心数据目录,并报国家网信部门。
重要数据与核心数据处理的要求也更为细化。处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。
此外,重要数据的处理者应当明确数据安全负责人,成立数据安全管理机构;向网信部门备案;制定数据安全培训计划以及向网信部门提供年度数据安全评估报告。
个人信息处理:以最短周期、最低频次方式
“合法、正当、必要”是处理个人信息的基本原则,《条例》对此进行了细化,包括要求“限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式”。
清律律师事务所首席合伙人熊定中告诉21世纪经济报道记者,周期多短算短、频次多低算低等的落地仍存在很大的弹性。
大成律师事务所高级合伙人邓志松告诉记者,“最短周期”是对“必要”存储时间的解释。例如,国标GB/T 35283-2020《个人信息安全规范》中“个人信息存储时间最小化”的要求包括“个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间”及“超出上述个人信息存储期限后,应对个人信息进行删除或匿名化处理”。
互联网隐私专家王磊认为,对APP隐私合规实际执法的时候,会根据具体的场景判断是否为最低频次,比如每次点击某个图标都收集一IMEI,会被判定为违规,但如果只第一次收集,则不算是违规。
《个人信息保护法》赋予了个人查阅、复制、更正、删除等权利,《条例》中规定了个人信息处理者应当对个人行权提供支持。
值得注意的是,《条例》细化了删除权的场景,对于“因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息”,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理。
熊定中解释道,比如做数字营销的企业去抓取淘宝平台特定商品的购买者评论,里面可能带有买家的个人信息。这种企业或许没打算利用收集的个人信息识别到特定自然人,只是做群体画像用以研判市场趋势,但按照这条规定,应当限期删除。“这在实践中会增加非常高的运营成本,极难落地。”他强调。
此外,智能网联汽车在行驶中收集的车外人员信息也属于该条规定的情形。
平台义务:应建立算法策略披露制度
“互联网平台治理涉及到很多方面的问题,各国也都在从不同角度进行探索。《条例》聚焦于互联网平台治理领域影响数据安全或与数据收集、使用有关的问题。”左晓栋指出。
《条例》设专章规定了互联网平台运营者应当履行的数据安全相关义务,包括披露数据相关的平台规则、隐私政策和算法策略制度,不得利用数据以及平台规则实施不正当竞争或限制,即时通信平台间数据互通,履行个性化推荐安全义务等。
平台规则、隐私政策等的制订、变更不再是平台自己的事情,而需面向社会征求意见,大型平台还需经第三方评估取得行政同意。
而对于日活用户超过一亿的大型互联网平台运营者,其平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
21世纪经济报道记者整理各公司财报数据发现,日活用户超一亿的平台包括微信、淘宝、支付宝、抖音、今日头条、百度App、快手、拼多多、微博、爱奇艺等。这也意味着这些大型平台的运营者以后要变更平台规则等,或许将更为慎重。
但是何为“第三方”,不少专家表示《条例》规定得仍模糊。熊定中认为,个人信息保护法中规定的是网信部门“支持有关机构开展个人信息保护评估、认证服务”。从“支持”变成“认定”,是否有超出个保法授权范围之外的嫌疑,值得探讨。
不仅对个人信息处理、数据处理做出规定,《条例》还对算法推荐、互联互通等深层问题提出要求。
大数据杀熟、差异定价等行为被禁止。《条例》要求:不得利用平台收集掌握的用户数据,无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为;不得在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新等。
邓志松认为,这体现了竞争法与数据相关法律的衔接。如此设置,一方面是因为,促进数据开发利用、保障数据依法有序自由流动是《数据安全法》的立法目的之一,而前述行为阻碍了这一目的的实现,有必要予以规制;另一方面,也是因为《数安法》中出现了竞争法与数据法的衔接条款,而平台经济领域数据相关的反竞争行为数量越来越多,关注度也越来越高,有必要在数据相关法律中予以强调。
对于近期讨论热度极高的“互联互通”,《条例》也有回应:互联网平台运营者面向公众提供即时通信服务的,应当按照国务院电信主管部门的规定,为其他互联网平台运营者的即时通信服务提供数据接口,支持不同即时通信服务之间用户数据互通,无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。
如若该条保留至《条例》正式通过,则意味着对即时通信平台运营者数据互通的要求更为刚性。
此外,对于个性化推荐,《条例》要求保证推送信息的真实、准确和来源合法,且需获得个人单独同意,需支持一键关闭推荐或删除信息。
(作者:王俊,杨景宜 编辑:林虹)