2024年10月26日,由上海市协力律师事务所和同济大学法学院、上海市人工智能社会治理协同创新中心、上海赛博网络安全产业创新研究院共同主办,协力律师事务所数字经济与数据合规专委会承办的“《网络数据安全管理条例》研讨会”成功举办。来自上海理论和实务界的近二十位知名法学专家、一线企业法律工作者及资深律师等业内权威人士齐聚一堂,聚焦《网络数据安全管理条例》(以下简称《网数条例》)出台背景、核心内容、监管变化趋势及对企业合规工作的影响等议题进行深入交流与探讨,现场气氛热烈。研讨会由上海市协力律师事务所高级合伙人江翔宇主持,上海社科院互联网研究中心主任、研究员惠志斌、同济大学法学院副教授陈吉栋、华东政法大学副研究员王镭、邓白氏亚太区合规负责人袁芸、花旗证券IT负责人鲁爽、合合信息数据业务部副总经理洪光、先正达个人信息保护官李少颖、上海君悦律师事务所合伙人胡峰、数据何规主理人何琛、赛博研究院施东奇等15位嘉宾作了分享发言和讨论。
自2021年11月《网数条例》公开征求意见以来,历经近三年时间,在立法背景方面有了较大变化,其内容相较于最初的征求意见稿已有了诸多调整。作为行政法规,与《网络安全法》《个人信息保护法》《数据安全法》形成了更为完善的数据法律体系。此次“《网络数据安全管理条例》研讨会”旨在通过深度的交流碰撞,更全面、深入、准确地理解《网数条例》,准确把握其实施后对企业数据合规工作所带来的挑战与应对。
一、主题一总则/一般规定/附则
研讨会分为三个环节。在主题一总则/一般规定/附则环节,嘉宾对《网数条例》征求意见稿发布三年以来中国网络数据安全领域监管实践和企业数据合规实操进行了回顾,对网络数据收集、生产、和处理的概念界定、监管力度呈现从严还是宽松趋势、重要数据场景区分及从精度和规模对重要数据进行判断的标准、AICG领域重点问题等进行讨论。并一致认为《网数条例》的出台释放较为明显的监管信号,即对网络数据安全领域的监管从偏重安全转向兼顾安全和发展的平衡阶段,重视与国际规则和国际标准相衔接。
二、个人信息保护/重要数据安全
在主题二个人信息保护/重要数据安全环节,嘉宾对《网数条例》中个人信息保护、重要数据安全相关规定进行重点分析。对于个人信息保护章节,嘉宾认为《网数条例》就个人信息处理的告知义务、授权同意规则等进行了重申和细化,基于已有实践对企业数据处理活动提出了更为具体且明确的规范要求。与此同时,个人信息保护章节的部分规则也给未来企业的合规实践带来了一定探索空间,各位嘉宾就不同网络数据处理者间个人信息可携权限制的不同理解与解释、处理一千万以上个人信息的网络数据处理者适用重要数据相关规则对部分企业的影响等问题展开充分讨论,这对未来企业的合规实践具有重要的指导意义。对于重要数据安全章节,各位嘉宾一致认可重要数据的认定和管理工作的重要性,且《网数条例》对重要数据处理者的管理逐渐从技术规制转为对处理者组织架构的管理,这与行业实践及业务需求是相匹配的。第四章加强了对重要数据的风险监管,不仅对企业重要数据风险评估提出更加明确的认定标准和监管要求,兼顾实质影响和形式要件,并且规定了数据安全负责人和网络数据安全管理机构的责任制度,从国家安全和企业合规角度都是颇具实际意义和可延伸性的规则,给市场主体和地方主管部门对重要数据的识别和管理提供了广阔的探索空间。
三、跨境/网络平台/监督管理/法律责任
在主题三跨境/网络平台/监督管理/法律责任环节,嘉宾就网络平台服务提供者义务、有关部门监督执法等重点问题展开讨论。对于网络平台服务提供者义务章节,《网数条例》对平台企业的责任承担明确规定为“相应责任”,并非“连带责任”,这在一定程度上减轻了平台企业的压力,但该条款与《电商法》下平台经营者“先行赔付”责任如何衔接、举证责任如何分配、平台能否基于业务合规无过错主张免责等,仍有待进一步探索。此外,各位嘉宾还就“用户标签”删除规则、“大型网络平台服务提供者” 的认定标准等展开进一步的分析与讨论,因为这不可避免地会对平台企业合规工作标准产生影响,因此对相关规则的落实与细化无疑具有重要实践意义。对于监督管理章节,与谈嘉宾一致认为,一方面,《网数条例》明确了网信部门的监督管理职责,执法权的赋予促进监督管理工作的有序开展,同时对部门之间协调配合提出更高要求,需合理规定检查频次和方式,建立评估、审计报告的互认机制,平衡执法效率和企业合规成本;另一方面,《网数条例》规定了企业在执法过程中的配合义务,不仅强化了企业在数据安全管理中的责任角色,更确保了执法机构在维护网络数据安全时的有效性和权威性。
本次网络数据条例研讨会的成功举办,彰显了法律工作者在推动数据合规领域专业交流与发展的积极态度与贡献,收获了与谈各方的一致认可。协力也将继续秉持专业精神,通过不懈的探索与实践,深耕网络数据安全合规领域法律服务。
