探寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。
![]()
点击 "合规社" > 点击右上角“···” > 设为星标⭐
对网数条例的初步理解研究
作者 | 江翔宇
《网络数据安全管理条例(征求意见稿)》公布后经过了将近三年的讨论与修订,国务院在2024年8月30日第40次常务会议上正式通过了《网络数据安全管理条例》(下称“网数条例”、“正式稿”),将在2025年1月1日开始正式施行。《条例》旨在规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益。笔者对正式稿进行了初步学习,有以下几点认识。
从网数条例的内容条款上对企业的直接影响或需立即落地的工作相对有限。绝大多数的条款对于企业和从业者而言均比较熟悉,并未明显施加市场预期之外的义务,很多规定出现于之前的规章、标准、指南等文件,行业内也作为最佳实践已经在实质遵循,因此总体来说对市场主体落实难度不大。正如《答记者问》中指出网数条例坚持总体国家安全观,统筹发展和安全,既加强网络数据安全保护,又鼓励和促进网络数据依法合理有效利用。相对于征求意见稿,正式稿对市场主体比较友好,体现了注重数据合规流通利用的导向。同时,目前从法律从业者角度,网络安全、数据安全、数据合规的关系越来越模糊;条例中很多内容与数据合规的要求竞合。
网数条例以《网络安全法》《数据安全法》《个人信息保护法》三法为立法依据,补上了法律和部门规章之间的立法空白,很多规定具有积极意义,例如一般数据的处理者的义务、重要数据的内涵、敏感个人信息的界定、数据跨境安全管理的明确规定、网络平台服务提供者的义务、行政处罚标准等。《答记者问》中明确提到网数条例坚持问题导向,聚焦个人信息、重要数据、网络数据跨境流动等方面突出问题,有针对性地健全制度措施,以及对三法相关制度规定予以细化、补充、完善。
网数条例作为行政法规,以三法为立法依据,在立法层级上低于法律,高于规章,在三部法律和大量的网信办等主管部门各种规章之间形成了一个新的立法层级,即行政法规,从这个意义上具有重要意义。具体表现为一是对三法的实施细则,将法律的原则性内容制定操作性规定,同时又将此前大量的规章甚至更低层级的规定上升到行政法规层面,提升了一个立法层级,这恐怕是网数条例最大的意义之一。《民法典》第一百五十三条规定“违反法律、行政法规的强制性规定的民事法律行为无效。但是,该强制性规定不导致该民事法律行为无效的除外。” 《民法典》第一百五十三条规定的“强制性规定”,是相对于任意性规定而言的,是不允许人们依自己的意思加以变更或排除适用的规定。[1]强制性规定要求民事法律行为的当事人必须从事或不从事某一行为,从形式上看,一般包含“应当”“必需”“不得”“禁止”等字样。违反强制性规定的民事法律行为可能被认定为无效,但《民法典》第一百五十三条同时规定了“但书”条款,即并非所有违反法律、行政法规的强制性规定的民事法律行为均无效,《最高人民法院关于适用<中华人民共和国民法典>合同编通则若干问题的解释》第十六条即对“但书”条款进行了细化。[2]网数条例在效力层级上属于行政法规,故原则上违反网数条例所规定的强制性规定的法律行为应被认定为无效,除非符合“但书”条款所豁免的情形。因此,对网数条例中在强制性规定范畴内的义务设定需特别注意,宜明确在网数条例中对哪些规定的违反可能会导致民事法律行为因违反“强制性规定”而被认定为无效的情形。对此,基于规避风险、从严把握的考量,笔者认为在开展网络数据处理相关业务时,应重点关注相关民事法律行为是否违反了如下条款: | 内容 |
第八条 | 任何个人、组织不得利用网络数据从事非法活动,不得从事窃取或者以其他非法方式获取网络数据、非法出售或者非法向他人提供网络数据等非法网络数据处理活动。 任何个人、组织不得提供专门用于从事前款非法活动的程序、工具;明知他人从事前款非法活动的,不得为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助。 |
第十六条 | 网络数据处理者为国家机关、关键信息基础设施运营者提供服务,或者参与其他公共基础设施、公共服务系统建设、运行、维护的,应当依照法律、法规的规定和合同约定履行网络数据安全保护义务,提供安全、稳定、持续的服务。 前款规定的网络数据处理者未经委托方同意,不得访问、获取、留存、使用、泄露或者向他人提供网络数据,不得对网络数据进行关联分析。 |
第十八条 | 网络数据处理者使用自动化工具访问、收集网络数据,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。 |
第二十二条 | 网络数据处理者基于个人同意处理个人信息的,应当遵守下列规定: (一)收集个人信息为提供产品或者服务所必需,不得超范围收集个人信息,不得通过误导、欺诈、胁迫等方式取得个人同意; (二)处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的单独同意; (三)处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意; (四)不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息; (五)不得在个人明确表示不同意处理其个人信息后,频繁征求同意; (六)个人信息的处理目的、方式、种类发生变更的,应当重新取得个人同意。 法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。 |
第二十三条 | 个人请求查阅、复制、更正、补充、删除、限制处理其个人信息,或者个人注销账号、撤回同意的,网络数据处理者应当及时受理,并提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求。 |
第四十六条 | 大型网络平台服务提供者不得利用网络数据、算法以及平台规则等从事下列活动: (一)通过误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据; (二)无正当理由限制用户访问、使用其在平台上产生的网络数据; (三)对用户实施不合理的差别待遇,损害用户合法权益; (四)法律、行政法规禁止的其他活动。 |
网数条例对个人信息和重要数据的处理进行了专门规定。如第十二条的“对网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况进行监督。向其他网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录,应当至少保存3年。网络数据接收方应当履行网络数据安全保护义务,并按照约定的目的、方式、范围等处理个人信息和重要数据。两个以上的网络数据处理者共同决定个人信息和重要数据的处理目的和处理方式的,应当约定各自的权利和义务。”同时网数条例也分专章对个人信息保护和重要数据做了专章具体规定,请见下文分析。
虽然网数条例正式稿对网络数据处理者的直接影响似乎较小,但是作为行政法规,在具体条文中的法律规定依然有不少问题值得关注。笔者根据个人理解作一个初步梳理分析:
第九条规定“网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求,在网络安全等级保护的基础上,加强网络数据安全防护,建立健全网络数据安全管理制度安全管理制度”,这一条特别强调在等保的基础上加强数据安全保护,建立数据安全管理制度,突出了等保的重要性。(二)对重要数据的概念和重要数据处理者的义务作出了高位阶的规定。1.第六十二条以附则形式对重要数据的概念进行规定,“重要数据,是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。”鉴于三法中对重要数据均未做具体规定,而在下级规定中仅有《汽车数据安全管理若干规定(试行)》等个别行业性规定对重要数据[3]做出规定,因此网数条例在行政法规层级对重要数据的概念内涵明确规定具有重要法律意义。2.《答记者问》中专门提到网数条例从几个方面对重要数据的处理者作出要求,一是第二十九条明确制定重要数据目录的要求,规定网络数据处理者识别、申报重要数据义务。二是第三十条规定网络数据安全负责人和网络数据安全管理机构责任。三是第三十一条要求提供、委托处理、共同处理重要数据前进行风险评估,并明确重点评估内容,这一点应该是新的评估要求,值得重点关注。四是第三十三条要求重要数据的处理者每年度对其网络数据处理活动开展风险评估,并明确风险评估报告内容,此前工信部《工业和信息化领域数据安全风险评估实施细则(试行)》对此有类似要求。3.值得注意的是第二十八条规定网络数据处理者处理1000万人以上个人信息的,也应当遵守本条例第三十条、第三十二条对处理重要数据的网络数据处理者作出的规定。网数条例此次明确提出了一个“重要数据处理者”的概念,并作出相应的特别规定。对应的概念是一般数据处理者,网数条例的第二章“一般规定”即为对一般数据处理者的义务的规定。1.附则对敏感个人数据作出明确列举,与《个人信息保护法》规定一致,第二十二条规定“处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的单独同意”。2.对“单独同意”界定,附则规定了(七)单独同意,是指个人针对其个人信息进行特定处理而专门作出具体、明确的同意。3.第二十五条规定了个人数据可携权的要求,即对符合下列条件的个人信息转移请求,网络数据处理者应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径:(一)能够验证请求人的真实身份;(二)请求转移的是本人同意提供的或者基于合同收集的个人信息;(三)转移个人信息具备技术可行性;(四)转移个人信息不损害他人合法权益。——具备技术可行性具有现实意义。4.该条还规定“请求转移个人信息次数等明显超出合理范围的,网络数据处理者可以根据转移个人信息的成本收取必要费用。”此处只提到次数超出合理范围,实践中还有可能超过法定保存期等情况。(五)第十八条对数据爬虫作出了原则性的规定和限制,但应不限于数据爬虫方式。1.该条规定网络数据处理者使用自动化工具访问、收集网络数据,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。目前数据爬虫在法律上并无对合法合规标准做明确的规定,此次依然是仅做原则性规定。2.该条还规定“因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。”换言之,如果未经许可爬取个人数据的,应当删除或做匿名化处理,如此处理后的法律责任笔者理解应该是豁免的。这一点具有实践意义,因为数据爬虫的行为实在太过普遍,合规把握难度极大。(六)对AIGC的提供者目前最难解决的语料数据合规作出原则性规定,并未作出具体的限制,仅原则性要求加强安全管理,防范和处置数据安全风险,实际上影响很小。如从积极角度观察,有可能为后续立法和司法角度提供了放松空间,如第十九条规定“提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险”。网数条例第五章将数据跨境问题单独作为一章,虽然已经有《促进和规范数据跨境流动规定》(下称“322新规”)铺垫,但是依然意义重大,从仅次于法律的立法层级规定了数据出境的正面标准清单,有利于营商环境的提升。在第三十五条数据出境的合规条件中相对于322新规增加了一款“(六)为履行法定职责或者法定义务,确需向境外提供个人信息”,进一步放宽了数据出境的要求,但也有待于对此处“法”的范围以及在不同行业中的具体把握,具有一定不确定性。1.《网数条例》第六章“网络平台服务提供者”义务一章相对于征求意见稿调整较多,删除了较多针对于平台的合规义务,这也反映了平台监管在网数条例征求意见至今三年以来的监管思路和政策变迁历程,目前平台监管已经进入常态化,平台合规义务的规定不是网数条例的主要任务,网数条例对网络平台的监管重点是网络平台处理网络数据时的安全保护合规义务。2.附则对大型网络平台界定为“指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。”但是对何为“业务类型复杂”“重要影响”的定性判断并无具体标准,实践中将依然可能个案解决。3.网数条例第四十条规定了网络平台服务提供者的第三方产品和服务的管控义务,即应当通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务。第四十条还规定,对于第三方产品和服务提供者的数据处理活动对用户造成损害的,网络平台服务提供者应当依法承担相应的责任,这意味着网络平台服务提供者的责任限定于其自身过错情况下的相应责任,而非连带或先行赔付等责任。4.第四十六条对大型网络平台服务提供者的行为底线作出规定,要求不得利用网络数据、算法以及平台规则等从事下列活动:(一)通过误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据;(二)无正当理由限制用户访问、使用其在平台上产生的网络数据;(三)对用户实施不合理的差别待遇,损害用户合法权益;(四)法律、行政法规禁止的其他活动。此规定应属于典型的法律上“强制性规定”如笔者前述,网数条例的重要意义在于其极高的立法层级,因此其设定的行政处罚值得细细研究。限于时间原因,本文对此不作具体分析,后续再做深入研究。[1] 最高人民法院民事审判第一庭编:《最高人民法院民事审判第一庭裁判观点·民事合同卷(上)》,人民法院出版社2023年版,第7-8页。
[2] 第十六条 合同违反法律、行政法规的强制性规定,有下列情形之一,由行为人承担行政责任或者刑事责任能够实现强制性规定的立法目的的,人民法院可以依据民法典第一百五十三条第一款关于“该强制性规定不导致该民事法律行为无效的除外”的规定认定该合同不因违反强制性规定无效:
(一)强制性规定虽然旨在维护社会公共秩序,但是合同的实际履行对社会公共秩序造成的影响显著轻微,认定合同无效将导致案件处理结果有失公平公正;
(二)强制性规定旨在维护政府的税收、土地出让金等国家利益或者其他民事主体的合法利益而非合同当事人的民事权益,认定合同有效不会影响该规范目的的实现;
(三)强制性规定旨在要求当事人一方加强风险控制、内部管理等,对方无能力或者无义务审查合同是否违反强制性规定,认定合同无效将使其承担不利后果;
(四)当事人一方虽然在订立合同时违反强制性规定,但是在合同订立后其已经具备补正违反强制性规定的条件却违背诚信原则不予补正;
(五)法律、司法解释规定的其他情形。
法律、行政法规的强制性规定旨在规制合同订立后的履行行为,当事人以合同违反强制性规定为由请求认定合同无效的,人民法院不予支持。但是,合同履行必然导致违反强制性规定或者法律、司法解释另有规定的除外。
依据前两款认定合同有效,但是当事人的违法行为未经处理的,人民法院应当向有关行政管理部门提出司法建议。当事人的行为涉嫌犯罪的,应当将案件线索移送刑事侦查机关;属于刑事自诉案件的,应当告知当事人可以向有管辖权的人民法院另行提起诉讼。
[3] 重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据。
江翔宇,上海市协力律师事务所高级合伙人,华东政法大学法学博士。
