来源:律商观点
作者:周杨,刘瑞华丨竞天公诚律师事务所
前言
自2016年以来,《网络安全法》《数据安全法》《个人信息保护法》(“三法”)和《关键信息基础设施保护条例》构建了中国“三法一条例”的基本立法框架。针对前述三法中述及的以及近年来作为监管关注的诸如数据分类分级、数据跨境流动、个人信息处理活动等具体制度一直有待一部行政法规展开和细化。
早在2021年,《网络数据安全管理条例》(“《条例》”)即发布了征求意见稿向社会征求意见。征求意见稿显露了监管机构彼时对于重要数据、跨境数据处理活动、赴境外上市处理活动的额外关注和重点监管,也引发了社会广泛关注和担忧。随着个人信息保护检查和通报常态化、数据跨境审批备案工作逐步标准化、重要数据的识别工作亦展开多轮试点或调研,监管机构对于数据管理具备了更为全局的视野和周到的考量。
2024年9月30日,国务院发布《网络数据安全管理条例》。《条例》从行政法规层级补充了现有立法框架,构建了“法律-行政法规-部门规章”的全位阶法律规范体系。更重要的是,相比征求意见稿内容,正式稿《条例》删除了大量严厉的数据处理活动规则,整体显示了更为柔性、灵活和全面的规范态度,重点完善重要数据的处理规则,与个人信息监管构成“对称平衡”的范式,统筹了三法的相关关系,展开和细化了相关制度的具体实施规则。
基于上述,本文试图从数据类型、数据处理者身份、数据处理活动出发,讨论《条例》在“三法一条例”基础的义务整合和补充,及其所形成的“三法二条例”法律框架。
一、网络数据类型
(一) 规管数据形式
依据《条例》第六十二条定义,“网络数据,是指通过网络处理和产生的各种电子数据”。对比《个人信息保护法》[1]和《数据安全法》[2]的定义,网络数据首先将其规制的数据类型限制在“电子数据”范畴内,对于非电子形态的数据则在所不问。
相应的,《数据安全法》和《个人信息保护法》中“个人信息的处理”“重要数据的处理者”“个人信息处理者”等表述,《条例》提炼整合了“网络数据处理者”这一重要概念,并在该概念基础上对不同数据类型及相应数据处理活动的处理者义务进行了规范。
(二) 规管数据类型
《条例》仍确认了以数据分类分级为基础开展网络数据保护工作。《条例》并未新增新型数据类型,仍沿袭和明确了“个人信息”“重要数据”等经典概念,并涉及了诸多数据类型,包括个人信息、重要数据、政务数据、一般数据、核心数据、国家秘密和工作秘密。其中个人信息并未作出定义,应继续沿用《个人信息保护法》定义,即“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。针对重要数据的概念,《条例》首次进行了行政法规层级的定义。同时,《条例》整合了《个人信息保护法》《数据安全法》的相关排除项,排除了多项数据类型。在此前提下,我们理解“网络数据”这一概念范畴应当包括但不限于《条例》述及的电子形式的个人信息、重要数据、政务数据以及其他《条例》排除数据类型下的一般数据。
1. 重要数据:《条例》首次在行政法规层面明确“重要数据”定义,即“重要数据,是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。”该定义与GB_T 43697-2024《数据安全技术 数据分类分级规则》(“《分类分级规则》”)的规定几乎保持一致,但值得注意的是,《条例》并未作出类似《分类分级规则》中的排除项,即并未在行政法规层面明确认为“仅影响组织自身或公民个体的数据一般不作为重要数据”。我们理解该定义实际上再次否认了对于重要数据的明确边界,回归从数据本身可能造成的影响后果方面把握重要数据范围。
2. 排除核心数据、国家秘密和工作秘密:《条例》明确确定核心数据、国家秘密和工作秘密不受《条例》规制。
• 有关“核心数据”,《分类分级规则》中作出过概念规定,明确核心数据是重要数据影响政治安全级别的数据类型——即“对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据”。
• 有关“国家秘密”,《中华人民共和国保守国家秘密法》的定义为“关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项”,该法第十三条[3]对于国家秘密的确认方法亦划定明确范围,将国家秘密限于“涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益”。尽管国家秘密的概念同样以危害后果确定,区分为“绝密、机密、秘密三级”,但国家秘密采用“国家秘密标志”制度[4]监管,网络数据处理者可以依据不同标识明确区分所接触的数据是否属于国家秘密。
• 有关“工作秘密”,《中华人民共和国保守国家秘密法》对其范围进行了初步界定,即“机关、单位对履行职能过程中产生或者获取的不属于国家秘密但泄露后会造成一定不利影响的事项”。根据《中国法治》杂志《关于新修订保守国家秘密法的几个重要问题》的总结,“工作秘密”主要范围包括审判工作秘密、检察工作秘密、警务秘密以及政府机关内部事务信息、过程性信息以及行政执法案卷信息等可以不予公开的信息。
二、网络数据处理者义务主体
《条例》第六十二条定义条款明确,“网络数据处理者,是指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织”。尽管提炼了“网络数据处理者”这一统筹性概念,《条例》实际上仔细梳理了《个人信息保护法》《数据安全法》中相关主体类别:
• 从所处理的数据类型入手,《条例》所关注的数据处理主体类别实际包括了“个人信息处理者”和“重要数据处理者”两大核心义务主体,并在重要数据处理者主体下提炼出“掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者”和“处理重要数据的大型网络平台服务提供者”等。
• 从所涉及的数据处理场景入手,《条例》所关注的数据处理主体还包括了“国家机关”和“网络平台服务提供者”,后者并进一步细化为“大型网络平台服务提供者”“预装应用程序的智能终端等设备生产者”“提供应用程序分发服务的网络平台服务提供者”等。
三、网络数据处理者义务
针对各不同数据处理主体,《条例》在三法基础上整合并确立了不同的网络数据处理者义务,我们尝试简要梳理如下:
(一) 普遍义务
《条例》第二章规定了网络数据处理者的一般义务,该章节面面俱到但点到为止。对比《条例》征求意见稿,值得关注的普遍义务包括:
1. 禁止性义务:禁止性义务在三法基础上明显吸收了《刑法》及相关司法解释中对于侵犯公民个人信息罪、帮助信息网络犯罪活动罪的相关规定和表述,涵盖了包括窃取、以其他非法方式获取、非法出售、非法提供网络数据等禁止性行为,并首次在网络数据使用环节明确要求“不得利用网络数据从事非法活动”。
2. 网络数据安全保护义务:确立了以网络安全等级保护基础上的网络数据安全防护,捋顺了三法之间在安全保护义务上的以网络安全为底座,以数据分类分级为抓手,管控不同数据类型的安全处理逻辑。
3. 网络产品、服务安全风险报告义务:该义务首先为网络数据处理者提供网络产品、服务引入了符合国家标准作为强制性要求,并明确了相关网络产品、服务出现安全缺陷、漏洞且有可能涉及危害国家安全、公共利益时网络数据处理者在24小时内向有关主管部门的报告义务。
4. 网络数据安全事件应急处置义务:该义务要求网络数据处理者应当建立健全网络数据安全事件应急预案并在发生网络数据安全事件时立即启动预案、按规定报告主管业务部门、通知相关权益受损方、对涉嫌犯罪活动依规定报案,并明确了网络数据处理者应当“配合开展侦查、调查和处置工作”。相比《条例》征求意见稿,在通知相关权益受损方时,取消了“公告通知”的合法性基础。
5. 网络数据第三方传输义务:该义务在借鉴个人信息传输义务的基础上,规制了重要数据的第三方传输义务。具体约束行为包括对外提供、委托处理个人信息和重要数据活动,所应遵循的义务包括了签署合同义务、监督接收方义务以及为期3年的处理情况记录。值得一提的是,在《个人信息保护法》中,对于对外提供个人信息,并未明确签署合同义务及监督接收方义务,该义务可视为对个人信息第三方传输义务的重要补充。
6. 国家安全审查义务:《条例》第十三条规定,“网络数据处理者开展网络数据处理活动,影响或者可能影响国家安全的,应当按照国家有关规定进行国家安全审查”。该条款相比《条例》征求意见稿发生了相当大的调整,明确删除了“数据处理者赴香港上市,影响或者可能影响国家安全的”审查情形,将大大安抚赴港上市上市企业和中介机构的担忧。但也需要注意,无论是《条例》还是《网络安全审查办法》,始终保留“影响或者可能影响国家安全”的数据处理活动将面临“依职权审查[5]”的法定审查情形,换言之,若赴港上市上市企业的数据处理活动影响或者可能影响国家安全的,仍有可能面临网络安全审查。
7. 网络数据接收方义务:针对不同处理活动下的网络数据接收方,《条例》规定了不同的情形下的网络数据接收方义务。同时,《条例》中部分提供服务的受托处理者在其身份上也应视同接收网络数据的义务方,我们在此一并列举:
• 对外提供和委托处理个人信息和重要数据时,网络数据接收方应当履行网络数据安全保护义务,并按照约定的目的、方式、范围等处理个人信息和重要数据。
• 因合并、分立、解散、破产等原因需要转移网络数据的,网络数据接收方应当继续履行网络数据安全保护义务。
• 为国家机关、关键信息基础设施运营者提供服务,或者参与其他公共基础设施、公共服务系统建设、运行、维护的,应当依照法律、法规的规定和合同约定履行网络数据安全保护义务,提供安全、稳定、持续的服务。且未经委托方同意,不得访问、获取、留存、使用、泄露或者向他人提供网络数据,不得对网络数据进行关联分析。
• 为国家机关提供服务的信息系统应当参照电子政务系统的管理要求加强网络数据安全管理,保障网络数据安全。
(二) 个人信息处理者义务
《条例》第三章专章规定了网络数据处理者处理个人信息的相关义务。从内容上看,《条例》对《个人信息保护法》及相关配套规范和标准的内容均有吸纳,并主要在以下方面体现了变动:
1. 处理超过1000万个人信息的网络数据处理者,应当履行重要数据处理者义务中的重要数据安全保护责任和重要数据处理者主体变动报告义务(具体见下文第(三)部分)。该规定实际上释明了个人信息和重要数据的边界不会发生混淆,即超过规定数量的个人信息其性质仍然为个人信息,但需要依照《条例》要求履行特定义务。
2. 个人信息告知义务中有关个人信息保护规则内容的充实,体现了《条例》对相关规范性文件、执法案例和个人信息处理披露方面违规重灾区的吸收和关注:
• 确认个人信息保护规则依据网络数据处理者意愿制定,并非强制性要求(未成年人个人信息处理规则除外);
• 明确要求个人信息保护规则的展示位置和表述方式;
• 明确要求个人信息保护规则中需要披露处理敏感个人信息(如处理)的必要性以及对个人权益的影响;
• 允许无法确认保存期限的情况出现,但应明确保存期限的确定方法;
• 注销账号的方式应作为个人信息保护规则的必备部分;
• 确认个人信息保护规则中应当以“双清单”形式披露收集和对外提供个人信息的情况;“双清单”的具体内容规范可参考工信部《关于开展信息通信服务感知提升行动的通知》的相关要求;
• 确认处理不满十四周岁未成年人个人信息必须具备专门的个人信息处理规则,衔接和补充了《儿童个人信息网络保护规定》和《未成年人网络保护条例》的规定。
3. “同意”规则的细化,对实践中存在普遍困惑的争议进行了整合和反馈:
• 对“单独同意”作出了明确定义“指个人针对其个人信息进行特定处理而专门作出具体、明确的同意”。在实践中,单独同意往往被理解为“单独形式的告知”与“单独动作”的结合;
• 强调了处理个人信息的必要性原则,即使以“同意”作为合法性基础处理个人信息,也应基于“提供产品或者服务所必需”;
• 未依法取得个人同意的个人信息应当依法予以删除或者进行匿名化处理;
• 从行政法规层面确认了违规红线:(1) 不得超范围收集个人信息; (2)不得通过误导、欺诈、胁迫等方式取得个人同意;(3)不得在个人明确表示不同意处理其个人信息后,频繁征求同意。
4. 个人信息删除义务的整合,在个人信息删除权之外,赋予了无须个人请求行使权利而网络数据处理者必须履行的删除义务,在下列情形下,网络数据处理者应当删除个人信息或者进行匿名化处理。法律、行政法规规定的保存期限未届满,或者删除、匿名化处理个人信息从技术上难以实现的,网络数据处理者应当停止除存储和采取必要的安全保护措施之外的处理:
• 因使用自动化采集技术等无法避免采集到非必要个人信息;
• 未依法取得个人同意的个人信息;
• 个人注销账号的情形。结合《条例》中将个人注销账号纳入个人信息请求权,以及注销账号后的处理方式的规定,该新增规定实质上为监管执法热点“注销权”的形式提供了法定依据。
5. 其他:除上述内容外,《条例》对于有关个人信息转移请求的实施方式,境外网络数据处理者处理境内自然人个人信息的具体报送监管部门,以及个人信息合规审计义务,再次进行了整合和处理。
(三) 重要数据处理者义务
《条例》第四章发布了万众瞩目的重要数据处理者义务,其核心主要包括了重要数据识别对接机制的建立、重要数据安全保护责任构建、重要数据处理者主体变动报告,以及重要数据处理者的两项评估义务,即重要数据传输风险评估义务和处理网络数据年度风险评估。
1. 重要数据识别申报义务
一方面,《条例》延续了《数据安全法》自上而下的重要数据目录制定方式,另一方面,《条例》沿袭《促进和规范数据跨境流动规定》的要求,确立了网络数据处理者应当按照国家有关规定识别、申报重要数据的新增法定义务。至此,网络数据处理者应当严密关注有关规定,自主识别和申报重要数据,与重要数据目录形成对接机制,在该机制下,监管机构将全面动态管控各行业、领域的重要数据。
2. 重要数据安全保护责任(千万量级个人信息处理者须履行该义务)
• 明确网络数据安全负责人和网络数据安全管理机构,二者并行存在;网络数据安全负责人由《条例》赋予了网络数据安全负责人直接向有关主管部门报告网络数据安全情况的独立监督权利,并明确规定了其任职资格应同时具备(1)由管理层成员担任;(2)具备网络数据安全专业知识和相关管理工作经历;(3)对于“掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者”,《条例》要求对网络数据安全负责人和关键岗位的人员进行安全背景审查,加强相关人员培训。实践中,对于安全背景审查事项一般网络数据处理者实际上无法把握审查尺度,因此《条例》特别规定,“审查时,可以申请公安机关、国家安全机关协助”。
• 明确重要数据安全保护责任的基本框架,即首先在“在网络安全等级保护的基础上,加强网络数据安全防护”,并(一)制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案;(二)定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动,及时处置网络数据安全风险和事件;(三)受理并处理网络数据安全投诉、举报。
3. 重要数据处理者主体变动报告(千万量级个人信息处理者须履行该义务)
《条例》规定,重要数据的处理者因合并、分立、解散、破产等可能影响重要数据安全的,应当采取措施保障网络数据安全,并向省级以上有关主管部门报告重要数据处置方案、接收方的名称或者姓名和联系方式等;主管部门不明确的,应当向省级以上数据安全工作协调机制报告。
4. 重要数据传输风险评估义务
重要数据类比个人信息对其第三方传输(对外提供、委托处理、共同处理)活动规定了风险评估义务(属于履行法定职责或者法定义务的豁免评估),并对风险评估的重点内容进行了列举。该重点评估内容与数据出境安全评估的实质内容基本雷同[6],也为重要数据传输风险评估内容工作的开展提示了借鉴思路。
5. 重要数据处理者处理网络数据年度风险评估
《条例》第三十三条规定了重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关。值得注意的是,该项评估义务对象并非仅包括重要数据,而是对重要数据处理者所处理的全部网络数据,包括但不限于《条例》述及的个人信息、重要数据、政务数据以及其他《条例》排除数据类型下的一般数据的情况进行全面评估。
根据《条例》的规定,评估内容涵盖了网络数据处理者基本情况;重要数据和个人信息的处理情况,并尤其关注处理重要数据的目的、种类、数量、方式、范围、存储期限、存储地点;相关网络数据安全保护义务的落实情况;网络数据安全风险及其处置情况;重要数据传输风险评估义务的落实情况;网络数据出境情况。若重要数据处理者为大型网络平台服务提供者的,则应额外充分说明关键业务和供应链网络数据安全等情况。
(四) 网络平台服务提供者义务
相比《条例》征求意见稿,网络平台服务提供者义务回归了网络数据处理主题,不再涉猎有关平台运营规则等方面的讨论。在网络平台服务提供者概念下,细分了“大型网络平台服务提供者”“预装应用程序的智能终端等设备生产者”“提供应用程序分发服务的网络平台服务提供者”,《条例》对主体的区分目的更倾向于在复杂的直接面向自然人提供服务的服务主体中找到有力监管抓手。
1. 网络平台服务提供者,对接入平台的第三方产品和服务提供者履行网络数据安全管理责任承担督促义务。
2. 预装应用程序的智能终端等设备生产者,比照网络平台服务提供者,对其智能终端预装应用程序的服务提供者履行网络数据安全管理责任承担督促义务。
3. 提供应用程序分发服务的网络平台服务提供者(通常理解为应用市场),对应用市场拟上架应用程序承担网络数据安全核验义务。
4. 大型网络平台服务提供者,通过发布《个人信息保护社会责任报告(年度)》,引入社会监督机制监督其网络数据安全保护义务。《条例》同时澄清了大型网络平台服务提供者概念,即指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。
四、特殊的网络数据处理活动关注
除了上文述及的对数据处理者一般义务的关注外,《条例》对于部分特殊的网络数据处理活动亦提供了合规依据。我们认为此类特别关注主要体现在:
(一) 回应爬虫数据的合规边界
沿袭《条例》征求意见稿的规定,《条例》对于自动化访问、收集网络数据的合规要求核心仍为“不得非法侵入他人网络,不得干扰网络服务正常运行”[7]。
(二) 关注AI和算法数据利用合规
《条例》从行政法规层面对于生成式人工智能的数据利用原则进行了明确,即“提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险”。
同时,《条例》对于大型网络平台服务者利用算法处理数据特别给出了明确限制,要求不得利用算法等其他手段非法处理网络数据、损害自然人用户权益[8]。
(三) 整合数据跨境活动的管理规范
《条例》在新设国家网信部门将统筹协调有关部门建立国家数据出境安全管理专项工作机制基础上,充分吸纳了《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》和《促进和规范数据跨境流动规定》的现有规定和实践经验,重新梳理了个人信息和重要数据出境的合规路径,也重申了数据出境安全评估的严肃评估结论,即“通过数据出境安全评估后,网络数据处理者向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等”。
1. 重要数据出境
《条例》第三十七条[9]明确重要数据出境应当通过数据出境安全评估。但在跨境场景下,延续了《促进和规范数据跨境流动规定》的表述,“未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估”。事实上,这一规定与本条前半段,及“重要数据安全”一章所表述“网络数据处理者按照国家有关规定识别、申报重要数据”义务结合理解,似乎再次论述了网络数据自主识别和申报重要数据与监管部门发布重要数据目录所形成的对接机制的合理性,即网络数据处理者虽有义务自主识别和申报重要数据,但监管部门仍将依职权对其申报的重要数据进行审查并最终决定是否纳入重要数据具体目录并向网络数据处理者告知或发布,换言之,重要数据的认定最终仍应以监管部门公布的重要数据具体目录为准。
2. 个人信息出境
《条例》第三十五条和三十六条整合了《促进和规范数据跨境流动规定》中对个人信息出境的合规路径的规定,包括:
(1) 通过国家网信部门组织的数据出境安全评估;
(2) 按照国家网信部门的规定经专业机构进行个人信息保护认证;
(3) 符合国家网信部门制定的关于个人信息出境标准合同的规定;
(4) 为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息;
(5) 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;
(6) 为履行法定职责或者法定义务,确需向境外提供个人信息;
(7) 紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;
(8) 法律、行政法规或者国家网信部门规定的其他条件;
(9) 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
值得关注的是,上述第(6)项合规路径为新增规定,即“为履行法定职责或者法定义务,确需向境外提供个人信息”。在今年3月公布的《促进和规范数据跨境流动规定》中,添加了上述第(3)(4)(7)项有关《个人信息保护法》合法性基础作为新增豁免网络数据处理者申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的豁免事由,但并未将“履行法定职责或者法定义务”作为豁免事由予以考虑。在过去的广泛讨论中,不乏听见无法确认该等“法定职责”或者“法定义务”是否包含境外法律法规为网络数据处理者所确定的“法定”范围,如境外网络数据处理者依据其所在国法律法规要求收集中国境内网络数据的情形。在《条例》的新增中,我们仍未看见有关该疑问的确切回复。
五、从罚则观察监管关注重点
如上文洋洋洒洒,《条例》对于不同类型的网络数据处理者的各式数据处理活动均进行了规范,企业着手完善合规工作则应在充分理解《条例》细节的基础上,立足监管视野考虑建立监管防线。这一全局视野来自于《条例》“法律责任”章节。
《条例》第八章“法律责任”共7条。其中第55条、第56条、第57条规定较为详细,针对违反《条例》所规定的特定合规义务设置了明确的法律责任;第58条作为兜底条款,将违反《条例》其他合规要求的法律责任交由三法等法律法规处理;第59条则充分借鉴吸收《行政处罚法》的“包容、教育”理念,对于网络数据处理者主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正的,依照《行政处罚法》的规定从轻、减轻或者不予行政处罚;第60条与“三法”保持一致,要求国家机关正确履行网络数据安全保护义务;第61条规定了因违反《条例》而可能承担民事责任、行政责任,以及刑事责任。但整体而言,由于部分行为违反《条例》的行为仍将同时触及三法罚则,因此,在行政责任的认定上仍存在令人困惑的适用方式。
1. 《条例》第55条:与三法混同适用罚则的网络数据处理活动,处理个人信息的网络数据处理者最高可能仍面临5000万元罚款并可能导致吊销主体资格。
与本条对应的监管内容可用如下表格表示:
根据《条例》第55条,网络数据处理者未履行上述合规义务,可能面临的行政责任:
由网信、电信、公安等主管部门依据各自职责责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处100万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款。
需要注意的是,针对表格中的部分合规义务,在三法中亦设置了相应的处罚条款,因此需要整体看待。
其中,针对第(1)(10)项义务的违反,同样可能引起《个人信息保护法》第66条[11]规定的适用,如情节严重,可能受到五千万元以下或者上一年度营业额百分之五以下罚款处罚。针对第(4)项义务的违反,如单位主体超出合理限度访问、收集网络数据,非法侵入他人网络,干扰网络服务正常运行的,则可能引起《网络安全法》第63条[12]规定的适用,即由公安机关没收违法所得,处十万元以上一百万元以下罚款,直接负责的主管人员和其他直接责任人员则可能面临行政拘留和最高一百万元的罚款处罚。
2. 《条例》第56条:国家安全审查,最高面临1000万元罚款并可能面临停业后果。
《条例》第56条专门规范了国家安全审查义务(《条例》第13条),该条与《网安法》第35条、第65条,《数安法》第24条[13]及《网络安全审查办法》第20条遥相呼应。
根据《条例》第56条,网络数据处理者开展网络数据处理活动,影响或者可能影响国家安全,未按规定进行国家安全审查的,由网信、电信、公安、国家安全等主管部门依据各自职责责令改正,给予警告,可以并处10万元以上100万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款;拒不改正或者情节严重的,处100万元以上1000万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款。
根据《网安法》第65条,关键信息基础设施的运营者使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
根据《网络安全审查办法》,除了“依职权审查[14]”外,“掌握超过100万用户个人信息的网络平台运营者赴国外上市”和“关键信息基础设施运营者采购网络产品和服务的”,需主动申报网络安全审查。
应当看到,作为开展网络数据处理活动的国家安全防线,《条例》对违反此项要求设置了最高1000万元的罚款,需要引起前述主体的高度重视,不可心存侥幸。
3.《条例》第57条:除出境活动外的重要数据处理,最高面临200万元罚款并可能面临停业后果;承担重要数据部分处理者义务的个人信息网络数据处理者最高可能仍面临5000万元罚款并可能导致吊销主体资格。
与本条对应的监管内容可用如下表格表示:
根据《条例》第57条,网络数据处理者违反上述合规义务,拒不改正或者造成大量数据泄露等严重后果的,可能面临最高200万元罚款处罚,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处5万元以上20万元以下罚款。
根据《网安法》第六十三条第三款,违反本法第二十七条[16]规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
需要注意的是,由于第(2)(4)项义务涉及个人信息处理者,因而同样可能引起《个人信息保护法》第66条[17]规定的适用,如情节严重,可能受到五千万元以下或者上一年度营业额百分之五以下罚款处罚并可能面临停业。
4.《条例》第58条:适用三法罚则的其他网络数据处理责任,处理个人信息的网络数据处理者最高可能仍面临5000万元罚款并可能导致吊销主体资格。
针对其余合规要求,《条例》并没有详尽规定法律后果,而是交由其他法律法规处理。
针对第(1)(2)(3)(13)项义务的违反,可能触发《数安法》第45条[19],相关网络数据处理者可能面临五万元以上五十万元以下罚款,拒不改正或者造成大量数据泄露等严重后果的,可能被处以最高二百万元罚款处罚。
针对第(4)(5)项义务的违反,可能触发《网安法》第59条第一款[20],拒不改正或者导致危害网络安全等后果的,可能面临一万元以上十万元以下罚款处罚,直接负责的主管人员可能面临五千元以上五万元以下罚款处罚。
针对第(6)(7)(8)(9)(10)(11)(14)项义务的违反,可能触发《个人信息保护法》第66条,如情节严重,相关网络数据处理者可能受到五千万元以下或者上一年度营业额百分之五以下罚款处罚。
第(12)项义务对应的是《条例》第30条、第32条,因此,如违反此项义务,应当同样适用《条例》第57条的规定。
针对第(15)(16)项义务的违反,可能适用《网安法》第66条[21]、《数安法》第46条[22]、《数安法》第48条[23],因此,如情节严重,可能面临最高一千万元罚款处罚。
结语
通读《条例》,原以为其仅是对三法及相关配套规则的重申和梳理;细读《条例》,却发现其潜含着许多重要且细微的规则变化,导致本文篇幅和撰写时间远超预期。作为从业者,我们看到了《条例》所要求更为全面的合规视野,需要站在全部电子数据合规处理的基础上重点考虑个人信息和重要数据,且需要更为深入地揣摩和理解《条例》相关变化背后监管关切;作为企业的服务者,我们也建议企业遵从《条例》的立法逻辑,整体对待企业现有数据,做好数据分类分级工作,准确判断网络数据合规的工作抓手,“抓大且不放小”,及时更新网络数据合规基线,细致且有针对性地展开网络数据合规管控工作。
注 释:
作者介绍
周杨 合伙人
竞天公诚律师事务所
邮箱:zhou.yang@jingtian.com
业务领域:网络与数据安全、人工智能、数据资产与数据交易
加入竞天公诚之前,周杨律师曾就职于国内著名互联网企业法律合规部及国内知名律师事务所网络安全和数据合规业务团队,针对新经济产品合规已有十余年丰富经验。
周杨律师于2014年开始聚焦于网络安全和数据保护领域,受托处理了包括金融、房地产、能源、游戏、电子商务、零售和人工智能在内诸多行业领域的数据合规专项法律服务,在数据资产及流动情况的摸排及合规差异诊断、数据分类分级、数据跨境合规、集团数据共享合规、儿童数据保护合规、境外数据专项合规(GDPR/CCPA)、个人信息保护审计和网络安全审查方面具有丰富经验,在数十家企业的专项数据合规服务项目中,周杨律师为客户提供了高效且贴合实际的解决方案。
周杨律师参与了包括TC260主导的《信息安全技术 互联网平台及产品服务隐私协议要求》在内等国家标准编纂工作,并参与编撰中国网络空间安全协会主编的《关键信息基础设施安全保护通识》《全球个人信息保护报告》《东明国家数字治理制度建设与政策研究课题》《数据安全治理体系与能力建设研究课题》《中美欧数字经济政策研究及中国对策建议》等文件,发表专业领域文章数十篇。
周杨律师以其专业、勤勉的工作态度,及其对于新兴业务卓越的理解能力和项目领导能力获得了客户的诸多好评,荣获《钱伯斯大中华区指南2024》推荐律师,The Legal 500 2023及2024年度数据保护领域特别推荐律师,2023年度《商法》律师新星,“2023亚太商业女性法律大奖”提名,并荣登2023律商联讯「40岁以下精英」中国内地榜单和「2023年度LEGALBAND菁英榜:新经济律师20强」榜单。