國慶假期前,國務院常務會議正式通過《網絡數據安全管理條例》(下稱《條例》),將於2025年1月1日正式生效。至此,醞釀了近三年的《條例》終於正式出台。《條例》共計9章64條,明確了網絡數據安全管理的原則與一般規定,並對個人信息保護、重要數據安全、網絡數據跨境安全管理、網絡平台服務提供者義務、監督管理責任等方面進行了細化規定。
相較於3年前公布的徵求意見稿而言,《條例》進行了較大調整,整體在細化規定的同時也更加簡練,調整了遵守重要數據處理相關要求的門檻標準,並刪除「大型網際網路平台運營者修訂平台規則、隱私政策等需經過評估以及主管部門同意」等對平台主體市場經營活動涉及過度干預的內容,在守住安全底線的基礎上,儘可能將市場主體的經營行為放置於市場規則之下。整體而言,《條例》所規定的內容體現了對近年來數據產業發展變化的回應,旨在促進產業高質量發展與高水平安全的平衡,明確數據安全管理要求與平台合規義務,強調數據安全法律體系的協調與監管部門的協同,具有系統性、創新性與時代性。
明確法律規則,構建數據安全合規法律體系
隨著數字經濟深入發展與數位技術的不斷疊代,網絡數據規模飛速增長、流動越發頻繁,網絡詐騙、數據不正當競爭、重要數據泄露等事件頻發,進一步擴大了數據安全風險,危害公眾利益與國家安全。
當前,我國已初步建立了以《網絡安全法》《數據安全法》《個人信息保護法》三部法律為基礎的數據安全法律框架,並在此框架內出台了《App違法違規收集使用個人信息行為認定方法》《網際網路信息服務算法推薦管理規定》《網絡安全審查辦法》等多部部門規章,涉及數據安全多領域。《條例》的出台則補齊了行政法規的空缺,在數據安全領域形成了較為完整的「法律—行政法規—部門規章」法律位階。
一方面,《條例》落實上位法相關規定,遵循數據分類分級保護的基本原則,細化了個人信息、重要數據以及數據跨境的安全管理規則,加強了數據安全法律規範之間的銜接,提升了數據安全合規法律體系的系統性。另一方面,《條例》發揮了行政法規適應實踐發展需要的靈活性,針對數據處理新情況,結合相關部門規章,進行了規則設計,例如第16條針對公共數據領域,規定為國家機關、關鍵信息基礎設施運營者或者其他公共基礎設施、公共服務系統提供服務的數據安全義務;第18條針對數據不正當競爭問題,對使用自動化工具訪問、收集網絡數據提出合規要求;第19條針對生成式人工智慧,要求網絡數據處理者加強對訓練數據和訓練數據處理活動的安全管理,並採取有效措施應對風險。
《條例》在貫徹數據安全領域監管原則的同時,在修訂過程中進行了簡化,監管依據更加充分,合規義務更加清晰,最終呈現了更為明確且系統的管理規則與合規義務。
精準處理措施,為合規提供指引減輕負擔
一是細化個人信息「同意規則」。
《民法典》與《個人信息保護法》確立了「知情同意」的個人信息處理基礎原則,然而在實踐中囿於用戶認知有限、處理規則龐雜、協議反覆推送、拒絕則停止服務等情況,「同意規則」逐漸被濫用,流於形式。
對此,《條例》進一步細化個人信息「同意規則」,將網絡數據處理者基於個人同意處理個人信息應當遵守的具體要求進行了整合,並增加了「不得在個人明確表示不同意處理其個人信息後,頻繁徵求同意」的規定。此外,《條例》回應了數據爬取等技術帶來的個人信息保護困境,對於自動化採集技術採集非必要個人信息和未依法取得個人同意的個人信息的問題,《條例》規定網絡數據處理者應當刪除個人信息或者進行匿名化處理。同時,《條例》明確了個人信息轉移請求的實施條件,並規定請求轉移個人信息次數等明顯超出合理範圍的,網絡數據處理者可以根據轉移個人信息的成本收取必要費用。可見《條例》在進一步優化「同意規則」的同時,充分考慮了網絡數據處理者的數據流通需求與數據處理成本。
二是明確重要數據處理者門檻。
2021年徵求意見稿規定「處理100萬人以上個人信息就需遵守重要數據處理者合規義務」,而《條例》將數量調整為1000萬人,即處理1000萬人以上個人信息即為重要數據處理者。按照《條例》規定還應遵守兩項規定,一是明確網絡數據安全負責人和安全管理機構;二是因合併、分立、解散、破產等可能影響重要數據安全時需向相關主管部門報告。同時,《條例》也對重要數據處理者不同情況下的風險評估內容進行了規定。整體而言,《條例》從重要數據的認證、重要數據處理者的定義與相關義務和風險評估內容都為重要數據處理者提供了具有可操作性的指引。
三是促進網絡數據跨境流動。
數字經濟已經成為當前全球經濟社會發展的重要支柱和國際競爭的核心領域,數據作為新型生產要素,其跨境流動與價值釋放是提升數字經濟國際競爭力的關鍵。《條例》在總則中即表明,要促進網絡數據依法合理有效利用,積極參與網絡數據安全相關國際規則和標準的制定,促進國際交流與合作。對於數據跨境流動,《條例》配合今年3月出台的《促進和規範數據跨境流動規定》,明確列舉了網絡數據處理者可以向境外提供個人信息的八種情形,在提及「為訂立、履行個人作為一方當事人的合同」時,並未對合同類型進行列舉,明確合同不局限於《促進和規範數據跨境流動規定》所示的跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等八種類型,便於數據跨境流動。
加強協同治理,形成多主體多部門數據安全治理合力
值得注意的是,《條例》專門設置了「網絡平台服務提供者義務」與「監督管理」兩個章節,一方面壓實網絡平台主體責任,另一方面推動監管行為規範化。這兩個章節的設置充分符合平台經濟主體多元化的特徵與平台經濟常態化監管的走向,對於數據安全治理,不僅需要監管部門規範監管、協同監管,還需要網絡平台落實責任與義務,方能形成治理合力。
其一,合理壓實平台責任。
數字經濟時代,網絡平台已經成為網絡空間治理的關鍵節點,既發揮著推動整個網際網路生態發展演變的支撐作用,也承載著公權力介入網際網路治理的輔助者角色。《條例》設專章規定了網際網路平台運營者應當履行的數據安全相關義務,並加入了關於利用網絡數據、算法以及平台規則相關內容。在《網際網路平台分類分級指南(徵求意見稿)》的基礎上,《條例》正式明確大型網絡平台的定義:一是註冊用戶5000萬以上或者月活躍用戶1000萬以上;二是業務類型複雜;三是網絡數據處理活動對國家安全、經濟運行、國計民生等具有重要影響。從數據安全的角度,針對當前我國數字平台發展的特點,取消了市值判斷標準,重點關注用戶和影響領域。並且相較於徵求意見稿,刪除了對於大型平台相關規則修訂需經評估和監管部門同意的規定,進一步減輕了平台合規負擔,但何為「業務類型複雜」和「重要影響」仍待澄清。
其二,強調監管協同,提升監管效能。
由於數據安全涉及部門眾多,經常出現多頭監管、重複檢查等問題,在某種程度上也增加了數據安全風險,增加合規負擔。對此,《條例》專設「監督管理」章節,規範有關部門執法活動,例如第51條規定有關主管部門在網絡數據安全監督檢查中不得訪問、收集與網絡數據安全無關的業務信息,獲取的信息只能用於維護網絡數據安全的需要;第52條要求加強協同配合、信息溝通,避免不必要的檢查和交叉重複檢查;第53條規定有關主管部門及其工作人員在履行職責中的保密義務。以上規定有助於有關主管部門「加強銜接」和「互相採信」,提升監管執法效率,也能夠通過明確的規則,降低相關主體的合規成本,為相關主體處理網絡數據確立明確的監管預期。
(陳兵系南開大學競爭法研究中心主任、法學院副院長;董思琰系南開大學法學院博士研究生、競爭法研究中心研究助理)