《数字法治》
《数字法治》由最高人民法院主管、人民法院出版社主办,最高人民法院民事审判第三庭、研究室、审判管理办公室协办,作为全国性数字法治领域唯一的学术期刊,已与“中国知网”和“北大法宝”就数字出版开展合作,是人大复印报刊资料重要转载期刊。
编者按:为顺应时代发展新趋势、实践发展新要求、人民群众新期待,加强对重大理论观点、实践热点、实务难点的研究和阐释,及时解疑释惑、广泛凝聚共识、有效总结经验,《数字法治》在刊发纸质文章外,特在公号开设“原创时评”栏目,在此面向广大专家学者发出诚挚邀约,以期共同搭建数字法治领域智识共享的新平台。今日推送栏目第一篇——对外经济贸易大学数字经济与法律创新研究中心主任许可关于“数安条例”的最新解读文章,敬请关注!
理解《网络数据安全管理条例》
一个演变的视角
许可
对外经济贸易大学数字经济与法律创新研究中心主任
2024年9月24日,历经多年酝酿的《网络数据安全管理条例》(以下简称《数安条例》)终于出台。自2021年国家网信办发布《网络数据安全条例(征求意见稿)》算起,已经三年,自其前身2019年《数据安全管理办法(征求意见稿)》算起,更是满了五年。
五年间,从大数据到元宇宙,再到生成式人工智能,我国数字科技产业不断迭代;从《数据安全法》《个人信息保护法》《反电信网络诈骗法》,到《关键信息基础设施安全保护条例》《未成年人网络保护条例》,我国网络法律法规粲然大备;从网络信息内容安全和App专项治理,到平台反垄断和算法规制,再到网络安全审查、数据跨境流动管理和反网络暴力,我国网络执法实践日渐深化。
在此背景下,回顾《数安条例》的形成历程,比较征求意见稿和生效版的异同,进而把握其发展脉络,发现其间的演变趋势,不但是理解这部重要法规的肯綮,也是反思与展望我国网络法治的津梁。
一、理念之变:从传统监管到监管与技术、产业同频共振
如何因应新技术、新应用带来的法律挑战,是网络法核心问题。在《生成式人工智能服务管理暂行办法》中,监管者给出了明确的回答:针对技术特点及其服务应用,不断创新发展与之相适应的科学监管方式。这一综合考量技术和产业自身特点的监管思路充分体现在《数安条例》的生效版中。
举其荦荦大者,生效版第24条规定:“因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。法律、行政法规规定的保存期限未届满,或者删除、匿名化处理个人信息从技术上难以实现的,网络数据处理者应当停止除存储和采取必要的安全保护措施之外的处理。”该条一方面考虑到利用爬虫技术、物联网设备、人工智能工具等数据采集方式对个人信息收集的影响,基于“法律不强人所难”的原则,将个人信息收集的违法性判断时点后移到采集之后;另一方面,该条将匿名化处理明确作为删除的替代方案,亦是对《个人信息保护法》下“删除义务”的扩张解释。
又如,征求意见稿第41条曾规定:“境内用户访问境内网络的,其流量不得被路由至境外。”但实践中,不论是外资公司还是中资企业,都因全球业务布局和网络安全而有必要采用全球IT架构,从而在全球多地部署数据中心和灾备中心,相关数据流动存在技术的合理性。这一条款显然过于严苛,最终被删除。
再如,征求意见稿第49条曾规定,大型网络平台服务提供者应当按照国家有关规定,为其他网络平台的通信服务提供接口,支持不同通信服务之间的用户网络数据互通。这一规范立意良善,可惜其主要袭用了电信运营商互联互通的规范,而与互联网技术扞格不入。与电信服务统一的身份识别体系(码号体系)且无需对方同意即可拨打电话、发送短信的机制不同,互联网应用各自建立自身的用户ID账号体系,无法相互识别,并不具备跨平台点对点通信的基础。此外,互联网服务还包括用户关系管理系统、群组管理系统、数据收发系统,涉及不同平台之间的技术规范、标准体系、密码策略的联通,不但需要各方开展技术规范转换和改造,还可能增加数据无序流动和泄露风险。也正基于此,生效版将其删除。
二、路径之变:从“由上而下的监管”到“上下协同的治理”
数据安全监管究竟是从上而下的命令服从,还是公私之间的激励相容?对此,《数据安全法》第9条业已指出:“推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境”。《数安条例》进一步拓展了这一协同共治的思路,通过一系列上下协力的制度设计,推动数据安全治理机制的实现。
体现这一变化的,莫过于重要数据的识别和管理。根据《数据安全法》,重要数据采取目录管理,由各地区、各部门按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录。问题在于,重要数据属于典型的不确定法律概念,不论是“重要性”,还是影响的“国家安全、公共利益”,都难以准确划定。加之在世界数字化转型的背景下,数据类型、内容、形式漫漶无边,重要数据目录的厘清困难重重。征求意见稿第73条通过“概括+列举+兜底”的范围界定,恰恰反映了重要数据范围广、种类多、无法穷尽的特点。然而,重要数据制度的有效性是以其有限性为前提的,过于宽泛的界定必然让数据分类分级失去意义。
为此,生效版改弦易辙,从国家机关自上而下的目录制定,转换为自下而上的目录形成。对网络数据处理者而言,其应当主动识别、申报重要数据;对相关地区、部门而言,其应当及时确认重要数据范围,并向网络数据处理者告知或公开发布,否则将无需作为重要数据予以保护。不仅如此,生效版还删除了征求意见稿第33条“数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意”的条款,代之以“网络数据处理者自行或委托第三方开展风险评估,并向主管部门报送”的义务。通过上述分工,重要数据保护成为公私多方的共同事务,由国家单方面的控制转变为相互冲突的利益得以调和并采取联合行动的持续过程。
三、锚点之变:从“事前严管、事后追责”到“全链路合规”
近年来,我国网络监管呈现从事后追责向事前监管的“红移轨迹”,但如何在维护市场秩序和激发市场活力之间寻求平衡,考验着监管智慧。较诸征求意见稿,生效版不但更为审慎地制定监管检查的强制措施条款,降低违法企业及其主管人员、其他直接责任人员的处罚金额,而且还以个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等过程性监管为锚点,引导企业自我合规,在数据管理流程之中消弭可能的风险。
作为互联网常态化监管的关键一环,生效版在“一般规定”一章中,特别增设“网络数据处理者对网络数据安全的主体责任”。其实质是基于处理者所拥有的“数据—技术”二元优势,贯彻包容审慎监管的原则,既要求处理者加强数据安全的自我管理、发挥预防式治理的效能,又为处理者预留空间,充分尊重平台自治,尽量消除过度监管、不当干预的政府痼疾。生效版第六章“网络平台服务提供者义务”是处理者主体责任的鲜明体现。该章删除了征求意见稿中“大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意”的表述,转而要求“其每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况等”,展现出敦促企业积极合规的立法意图。更重要的是,该章不但进一步压实了数据处理者的主体责任,而且要求其通过平台规则或合同形式明确第三方网络数据安全管理义务,未尽到相应督促落实义务、造成用户损害的,将依法承担相应责任。无疑,这是《电子商务法》第38条网络平台经营者安全保障义务在数据安全领域的新拓展。
随着《数安条例》的出台,我国“四法三条例”的网络法体系初步成型。可是,徒法不足以自行,如何发挥其固根本、稳预期、利长远的重要作用,不仅需要严格规范公正诚信的执法,也有待以《数安条例》为基础,尽快清理、废止既有部门规章、规范性文件、国家标准中与之抵牾的规则,才能不负《数安条例》的良法美意。
编辑:邢峻彬
