《网数条例》的15个关键词
文摘
2024-10-04 09:02
越南
2024年9月30日,国务院总理李强签署发布第790号国务院令,公布《网络数据安全管理条例》(以下简称《条例》),自2025年1月1日起施行。中国各层级和和各位阶的“立法”之卷,诞生在个人信息保护领域,三天一小法,两月一中法,半年一大法,时不时地各类各地标准也忍不住来出炉。这至少说明中国的数据立法人还是活力满满感地存在的。但需要十分注意的一点是,立法虽多,但总体上套娃复述过多,创新条款仍十分有限,立法“营养”有待观察。大部分的在后立法,看似洋洋洒洒,但很多条款只是复制粘贴在先立法条款。同时,立法考究性不强,个别措辞的变化没有深刻的内涵,过于放大解读的情况下对实务借鉴不强。这些年已经养成看新规的习惯能力——基本上扫一眼就知道有没有创新条款,大部分冗余条款其实可以直接略过。以第一章“总则”和第二章“一般规定”共二十条为例,如果使用对比版查阅,会发现“细节感”满满,修订内容满屏皆是。但实际上,这些条款内容要么是在其它法律法规中早就已经有了规定的援引,要么就仅是变化字眼表达。比如这一次,第一条中增加了“促进网络数据依法合理有效利用”表述,倒是可被“数据要素”行业作为宣传使用,但在实务中几乎没有任何价值。再比如,第十八条本意是规制爬虫等自动化工具,但这些条款内容在实践中已然是非常明确,不值得新规再加以规定。如果真要在条款中加一个新点,倒不如说说哪些行为是可以被豁免的来的实际。我对条例制定的必要性还是有些疑惑的,“条例”是解决专门问题的法规,但在数据保护已经有如此多法规情况下,是否仍有必要立该法?条例约束的对象是网络数据,而不是线下的数据,如电子化的数据。但“网络”是否仅指狭义的互联网,还是广义的广播电视网、移动网以及“终端设备直连卫星服务”网,甚至是局域网、内部网等。仍需要根据实践来评估——虽然这种评估看起来最终可能是个伪命题。关键词三:告知内容集中公开展示实施告知时,“个人信息处理规则应当集中公开展示”。但“集中公开展示”还没有实务明确,其逻辑和网络产品服务的场景是有冲突的,弹窗或注册告知中是否就需要将产品中隐私政策或单项处理规则都集中一次性告知?还是仅指隐私政策不得散落到注册协议且需单一规则呈现?首次明确了“保存期限难以确定的,应当明确保存期限的确定方法”,即保存期限可以不直接以数字方式确认。这符合实践中复杂的不同场景中不同字段的存储期限差异,为实践铺了非常好的路。告知内容中的收集和共享行为,“应当以清单等形式予以列明”,这应当算是双清单第一次正式从监管实践被归集入法律条款之中。
“因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。”从一个找法律漏洞的角度来看,这句话的反语是指“自动化采集中未经同意采集数据,删除掉即可豁免违法”。这个条款对于现有生成式人工智能预训练中从公开渠道爬取数据而采集个人信息,提供了有效的法律豁免。问题是在于,是需要主动采取措施发现,还是仅需要用户通知后处理。用户抢夺拉开帷幕。个人信息转移权在个人信息保护法三年以来一直没有落地,在于真的很违反商业逻辑,企业基本上没有动力。条例事实上明确了,当其它网络数据处理者具备转移条件的情况下,转移出平台不得拒绝转移。这些条件包括移入平台能够验证身份、转移基于同意或合同履行合法性基础的内容,具备技术可行性,不损害他人权益。问题在于,如果企业对用户进行画像,这些画像如果基于同意而处理,是否位于可主张转移的范围?从条款来看,个人认为不属于转移范围,一是条例只是针对“采集”的原生数据,不包括“处理”后的衍生数据,这些数据具备由平台进行价值投入的智力资产的商业价值属性。这样的规定和GDPR关于“这项权利不涉及组织自己根据上述数据创建的数据”的逻辑是一模一样的。当然,用户是否可以利用个人信息副本权,从而架空上述转移限制呢?此时,咬文嚼字似乎变得有些意义了。
条例没有明确对于按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需而处理的个人信息是否可以纳入转移权,但征求意见中的《数据安全技术 个人信息转移技术要求》认为此条件下,个人信息转移的行使通常仅限于以个人信息主体为一方当事人所订立、履行合同所必需而处理的个人信息。基于以下合法性基础处理的个人信息不适用个人信息转移请求:一是为履行法定职责或者法定义务所必需;二是为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;三是依照《个人信息保护法》规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。虽然条例没有明确,但死者的生前安排仍可属于可转移的范围,并具有可行性。GDPR要求数据可移植性权利允许数据主体以结构化、常用和机器可读的格式获取其个人数据,且限于自动化处理的数据(必须仅限于电子文件,没有纸质类文件)。但条例下的规则没有对此“自动化”进行约束,因此此项规则可能会成为日后用户滥用转移权的突破口,需要引起企业的重视;结构化和机器的方式应当是使用CSV,XML和JSON等开放格式提供个人数据。原则上不得收费。但请求转移个人信息次数等明显超出合理范围的,网络数据处理者可以根据转移个人信息的成本收取必要费用。至于处理期限,条例没有明确,GDPR明确不得无故拖延,并且最迟在收到请求后一个月内处理。英国的一些组织已经通过 midata 和类似计划提供数据可移植性,允许个人以可移植和安全的方式查看、访问和使用他们的个人消费和交易数据。个人信息保护法规定,在中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。条例对此进行了重申。个人建议可以仿照英国ICO一样,在企业或办事处设立后,向其联系方式发送注册函要求申报,而不是给企业留一个可报可不报的坑。英国ICO之所以这么积极,当然还有要求交纳数据保护费用的财政激励的原因在内。条例明确,网络数据处理者处理1000万人以上个人信息的,须遵守重要数据处理者的相关规定。这是一个新的数据值。条例要求“网络数据处理者应当按照国家有关规定识别、申报重要数据。对确认为重要数据的,相关地区、部门应当及时向网络数据处理者告知或者公开发布。网络数据处理者应当履行网络数据安全保护责任。”从上述条款来看,似乎识别的义务在处理者而不是被动等通知。这和规范和促进数据流动规定的总体逻辑仍然是保持一致。奇怪的是,同一条款,在第三十七条的跨境数据中又复述了一下。这其实也是实践中外资诟病最多的,因为在此识别逻辑下,企业实质无法通过自评估识别是否属于重要数据,这无疑会让企业时刻等待“楼上永不掉下的鞋子”。而且重要数据有一个非常关键的问题在于它可能会随着场景和主体的变化而发生质变。一类数据(如人脸识别数据)在普通企业中并不属于重要数据,而一旦这类数据进入特定企业(如整车厂)就可能会演变成重要数据。相比于《促进和规范数据跨境流动规定》,条例的规定简直是更模糊了,似乎没有太多新意,略过。包括“预装应用程序的智能终端等设备生产者”(手机或者汽车)也被认定为一类“网络平台”。而且当“第三方产品和服务提供者违反法律、行政法规的规定或者平台规则、合同约定开展网络数据处理活动,对用户造成损害的,网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者应当依法承担相应责任。”但需要知道的是,民事责任不能由条例规定,此处所称的责任应当指的是行政责任的处理。大型网络平台是指注册用户5000万以上或者月活跃用户1000万以上的平台,我理解“业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台”不是“注册用户5000万以上或者月活跃用户1000万”的平级条件,而是自然递进关系。网络平台服务提供者通过自动化决策方式向个人进行信息推送的,应当“为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能”。这一条款的规定是首次在法规层面明确个人画像标签的管理要求,但是目前几乎全部网络平台的标签管理均是统一适用的标签,而不是特定用户的标签管理。这一规定如果能落地,将非常大的影响、改造网络平台的服务端及前端交互,成本比较高。网信部门仍然只有管理监督职权,“汇总、研判、共享、发布网络数据安全风险相关信息”,看起来没有“解答”普通公众问题的义务。条例加入了“有关主管部门在网络数据安全监督检查中不得访问、收集与网络数据安全无关的业务信息,获取的信息只能用于维护网络数据安全的需要,不得用于其他用途”条款,以体现出企业对政府执法行为不过份拿数据,避免引发国际社会的安全担忧。条例要求“合理确定检查频次和检查方式,避免不必要的检查和交叉重复检查。”这点应该挺受用的,企业再有三头六臂,也很难看到锅从哪里来,疲于应对不同监管之间的检查,特别是不统一标准的检查。
数据何规
个人信息保护、网络、数据安全及AI治理。
