9月30日,当全国人民沉浸在股市暴涨和国庆长假的喜悦中时,国务院发布了《网络数据安全管理条例》。
坊间有评论称,该条例是网安法、数安法和个保法三法的实施条例。室长以为不然:该条例重心在数据安全和个人信息保护,不在网络安全,故可视为数安法和个保法的二法联合实施条例,但不宜视为网安法的实施条例(网安法的范围宽于前述二法)。请读者诸君明察。
又,室长于前几年总结中国人工智能立法特点时,提出一个概念叫”层累式立法”,意指中国立法有一显著特点,就是新法总是用大量篇幅重复、重申、重述先前法律的既有规则,而对关键的新增规则以及对既有规则的修改却惜字如金,语焉不详,总体呈现出层层垒叠、臃肿低效的局面。
层累式立法的优点是有利于立法的连续性和稳定性,缺点是浪费了宝贵的立法资源,降低了法律的适用效率。与其花费大量篇幅重复既有规则,不如舍弃重复内容,把有限的篇幅用于把新增的规则和对既有规则的修改讲清楚。
读完网络数据安全条例全文的感觉是,又见层累式立法!怎见得,有诗为证:
洋洋洒洒数千言,有效信息两三行。
一到适用关键处,字里行间费思量。
“两三行”当然是夸张的说法,但通过删除重复、重申、重述现有规定的条款,确实可以大幅缩减篇幅。后附室长删除重复既有规则后的《网络数据安全管理条例》,供熟悉数据安全法律的读者诸君参考。不熟悉数据安全法律的读者,请谨慎使用。
室长
匆匆于丙中洛
9/30
附:浓缩版《网络数据安全管理条例》
第一章 总 则
略
第二章 一般规定
第十条 网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求;发现网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告。
第十二条 网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况进行监督。向其他网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录,应当至少保存3年。……
第十六条 ……
前款规定的网络数据处理者未经委托方同意,不得访问、获取、留存、使用、泄露或者向他人提供网络数据,不得对网络数据进行关联分析。
第十七条 为国家机关提供服务的信息系统应当参照电子政务系统的管理要求加强网络数据安全管理,保障网络数据安全。
第十八条 网络数据处理者使用自动化工具访问、收集网络数据,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。
第三章 个人信息保护
第二十四条 因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。……
第二十五条 对符合下列条件的个人信息转移请求,网络数据处理者应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径:
(一)能够验证请求人的真实身份;
(二)请求转移的是本人同意提供的或者基于合同收集的个人信息;
(三)转移个人信息具备技术可行性;
(四)转移个人信息不损害他人合法权益。
请求转移个人信息次数等明显超出合理范围的,网络数据处理者可以根据转移个人信息的成本收取必要费用。
第二十六条 中华人民共和国境外网络数据处理者处理境内自然人个人信息,依照《中华人民共和国个人信息保护法》第五十三条规定在境内设立专门机构或者指定代表的,应当将有关机构的名称或者代表的姓名、联系方式等报送所在地设区的市级网信部门;网信部门应当及时通报同级有关主管部门。
第二十八条 网络数据处理者处理1000万人以上个人信息的,还应当遵守本条例第三十条、第三十二条对处理重要数据的网络数据处理者(以下简称重要数据的处理者)作出的规定。
第四章 重要数据安全
第三十条 ……
网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历,由网络数据处理者管理层成员担任,有权直接向有关主管部门报告网络数据安全情况。
掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者,应当对网络数据安全负责人和关键岗位的人员进行安全背景审查,加强相关人员培训。审查时,可以申请公安机关、国家安全机关协助。
第三十一条 重要数据的处理者提供、委托处理、共同处理重要数据前,应当进行风险评估,但是属于履行法定职责或者法定义务的除外。
风险评估应当重点评估下列内容:
(一)提供、委托处理、共同处理网络数据,以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要;
(二)提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险,以及对国家安全、公共利益或者个人、组织合法权益带来的风险;
(三)网络数据接收方的诚信、守法等情况;
(四)与网络数据接收方订立或者拟订立的相关合同中关于网络数据安全的要求能否有效约束网络数据接收方履行网络数据安全保护义务;
(五)采取或者拟采取的技术和管理措施等能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险;
(六)有关主管部门规定的其他评估内容。
第三十二条 重要数据的处理者因合并、分立、解散、破产等可能影响重要数据安全的,应当采取措施保障网络数据安全,并向省级以上有关主管部门报告重要数据处置方案、接收方的名称或者姓名和联系方式等;主管部门不明确的,应当向省级以上数据安全工作协调机制报告。
第三十三条 重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关。
风险评估报告应当包括下列内容:
(一)网络数据处理者基本信息、网络数据安全管理机构信息、网络数据安全负责人姓名和联系方式等;
(二)处理重要数据的目的、种类、数量、方式、范围、存储期限、存储地点等,开展网络数据处理活动的情况,不包括网络数据内容本身;
(三)网络数据安全管理制度及实施情况,加密、备份、标签标识、访问控制、安全认证等技术措施和其他必要措施及其有效性;
(四)发现的网络数据安全风险,发生的网络数据安全事件及处置情况;
(五)提供、委托处理、共同处理重要数据的风险评估情况;
(六)网络数据出境情况;
(七)有关主管部门规定的其他报告内容。
处理重要数据的大型网络平台服务提供者报送的风险评估报告,除包括前款规定的内容外,还应当充分说明关键业务和供应链网络数据安全等情况。
……
第五章 网络数据跨境安全管理
第三十五条 符合下列条件之一的,网络数据处理者可以向境外提供个人信息:
……
(六)为履行法定职责或者法定义务,确需向境外提供个人信息;
……
第六章 网络平台服务提供者义务
第四十条 网络平台服务提供者应当通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务,督促第三方产品和服务提供者加强网络数据安全管理。
预装应用程序的智能终端等设备生产者,适用前款规定。
第三方产品和服务提供者违反法律、行政法规的规定或者平台规则、合同约定开展网络数据处理活动,对用户造成损害的,网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者应当依法承担相应责任。
……
第七章 监督管理
第五十二条 有关主管部门在开展网络数据安全监督检查时,应当加强协同配合、信息沟通,合理确定检查频次和检查方式,避免不必要的检查和交叉重复检查。
个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接,避免重复评估、审计。重要数据风险评估和网络安全等级测评的内容重合的,相关结果可以互相采信。
第八章 法律责任
第五十五条 违反本条例第十二条、第十六条至第二十条、第二十二条、第四十条第一款和第二款、第四十一条、第四十二条规定的,由网信、电信、公安等主管部门依据各自职责责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处100万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款。
第五十六条 违反本条例第十三条规定的,由网信、电信、公安、国家安全等主管部门依据各自职责责令改正,给予警告,可以并处10万元以上100万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款;拒不改正或者情节严重的,处100万元以上1000万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款。
第五十七条 违反本条例第二十九条第二款、第三十条第二款和第三款、第三十一条、第三十二条规定的,由网信、电信、公安等主管部门依据各自职责责令改正,给予警告,可以并处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处50万元以上200万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处5万元以上20万元以下罚款。
第九章 附 则
第六十二条 本条例下列用语的含义:
……
(八)大型网络平台,是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。