活水随处满，东风逐时新：《网络数据安全管理条例》解读（下）

总体上看，相比于征求意见稿，《网数条例》在“平台监管”章节的调整最大。新规删除了较多针对于平台的合规义务，而将侧重点放在了网络平台处理网络数据时的安全保护义务。当下对于大型平台的监管，是各国监管机构面临的重要问题之一，《网数条例》也做出了有效回应。

（一）强化大型网络平台监管

在明确网络平台服务提供者的主体责任的基础上，《网数条例》延续了此前征求意见稿对于网络平台的分级监管思路，进一步提出“大型网络平台”的概念，并吸纳欧盟《数字市场法》（Digital Market Act，DMA）对于“守门人（gatekeeper）”赋予前置行为义务的监管方案，对大型网络平台服务提供者提出了更为严格的合规要求。

1、什么是“大型网络平台”？

《网数条例》中定义的“大型网络平台”，是指注册用户5000万以上或者月活跃用户1000万以上，业务类型复杂，网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。从上述定义上看，我国对于大型网络平台的界定采用了“定量+定性”的思路，即：

（1）定量要求：注册用户5000万以上或者月活跃用户1000万以上。

（2）定性要求：①业务类型复杂；②网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响。

需要注意的是，《网数条例》并未就“业务类型复杂”及“网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响”这两个关键要件进行澄清。满足定量要求的企业在识别自身是否构成大型网络平台时，仍面临着一定的不确定性。结合此前《未成年人网络保护条例》中规定的“未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者的具体认定办法，由国家网信部门会同有关部门另行制定”，我们理解，未来国家相关部门可能就此“大型网络平台”的具体认定制定专门规则。如该等规则在《网数条例》生效前仍未发布的，基于审慎开展业务经营的考量，我们建议，企业在满足上述定量要求时即需要履行大型网络平台的相关义务，以避免引发相应的合规风险。

2、大型网络平台服务提供者有哪些特殊合规义务？

根据《网数条例》，大型网络平台服务提供者不得利用网络数据、算法以及平台规则等从事下列活动：

① 通过误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据；

② 无正当理由限制用户访问、使用其在平台上产生的网络数据；

③ 对用户实施不合理的差别待遇，损害用户合法权益；

④ 法律、行政法规禁止的其他活动。

其中，第①项是对《个人信息保护法》中“不得通过误导、欺诈、胁迫等方式处理个人信息”的重申，第④项则为兜底性规定，以下我们将主要就第②、③项合规要求开展分析。

（1）不得无正当理由限制用户访问、使用其在平台上产生的网络数据

应当明确的是，本项的“用户”不仅涵盖个人用户，也应理解为包含企业用户。基于此，本项要求不仅是对《个人信息保护法》中个人信息主体有关权利的重申，也进一步明确平台内经营者作为企业用户对于其在平台上产生的数据享有的访问和使用的权利。

对比考察域外立法实践，DMA中对守门人提出了类似要求。即守门人应当免费向企业用户提供有效、高质量且持续性的数据实时访问和使用。但对比《网数条例》而言，DMA为守门人设置了更加沉重的负担。如在DMA下，大型网络平台服务提供者还应当免费提供数据实时访问和使用、保障数据访问和使用的有效性、高质量和持续性等合规要求。

（2）不得对用户实施不合理的差别待遇，损害用户合法权益

在《网数条例》之前，我国法下的“差别待遇”主要是指反垄断法下的差别待遇或网络不正当竞争行为，具体如下：

点击可查看大图

就《网数条例》规定而言，该条针对差别待遇的规制范围并未实质超出反垄断及反不正当竞争视域下的规制。而《网数条例》并未针对本条设置罚则，而是明确对于其未设置罚则的违反该条例的相关行为，应由主管部门依照有关规定追究法律责任。基于此，我们理解，大型平台服务提供者在具体履行本项合规要求时，可以前述列举的反垄断及反不正当竞争层面的“不合理差别待遇”行为的构成要件为基准，合理确定自身针对用户设置不同交易条件、服务条件的合规边界。

此外，《网数条例》还特别强调了大型网络平台的公共属性及其所负有的透明度义务，要求大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告，报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。

（二）细化网络平台企业主体责任

在“网络平台服务提供者义务”这一章节中，《网数条例》特别强调了网络平台服务提供者对于自身平台中的相关商品和服务的管理义务。具体而言，网络平台服务提供者应当通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务，并采取措施督促第三方产品和服务提供者加强网络数据安全管理。此外，预装应用程序的智能终端等生产者，对于预装的应用程序，同样需承担上述网络数据安全管理要求。

值得关注的是，此前征求意见稿中要求互联网平台运营者就第三方产品和服务对用户的损害承担先行赔偿义务，即当第三方产品和服务对用户造成损害时，用户可以要求互联网平台运营者先行赔偿。我们理解，这种先行赔偿义务并未将过错作为归责要件，实质上排除了“避风港规则”的适用空间，一旦发生相关损害，无论互联网平台运营者是否具有过错，均应依用户要求先行赔偿。而在《网数条例》中，当接入平台的第三方产品和服务对用户造成损害的，网络平台服务提供者仅需“依法承担相应赔偿责任”。我们理解，在《网数条例》下，网络平台服务提供者仍可援用“避风港规则”，仅当自身存在过错时才需就第三方产品和服务造成的损害承担相应责任。

此外，《网数条例》还重申了应用程序分发平台对于应用程序的核验与处置要求，将《移动互联网应用程序信息服务管理规定》中的相关规定上升至行政法规层面的监管要求。对于通过自动化决策方式向个人进行信息推送的，网络平台服务提供者还应当设置易于理解、便于访问和操作的个性化推荐关闭选项，为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。

相较于征求意见稿，《网数条例》在监督管理与法律责任方面亦做了较大的调整。整体来看，《网数条例》进一步强调了由网信部门统筹、相关主管部门在各自职责范围内负责的分工与协同的网络数据监督管理机制。在法律责任方面，《网数条例》与《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等相关法律进行了有效衔接，既体现了监管部门“一以贯之”的监管态势，又可体察到此领域“包容审慎”的监管机制，为相关主体和企业提供了纠错空间。

具体而言：

（一）国家数据管理部门将承担网络数据安全职责

《网数条例》第四十七条对网络数据安全和监管工作提出了分工要求。值得注意的是，《网数条例》特别针对国家数据管理部门提出了具体工作职责，指出国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责。

作为国家数据管理部门，国家数据局于2023年挂牌成立，其主要承担推进数据要素有序流通、数据基础制度建设等数据管理职责，亦先后发布相关文件以履行其数据管理工作职责，如基于“数据二十条”发布的具体细化政策规则等。

我们理解，《网数条例》专门提出国家数据管理部门的网络数据安全职责，一方面可以看出国家对数据利用、数据要素流通的重视，另一方面也可以看出国家对于数据安全与数据要素流通并重的态度。

（二）细化行业主管部门的监督职责

在《数据安全法》《个人信息保护法》等的规定下，行业主管部门在其行业、领域内的承担着重要的监管职责。实践中，相关领域主管部门通过发布行业的数据安全管理规定，以履行其监管职责，如工业和信息化领域、金融领域等。《网数条例》第四十八条在相关法律的基础上，对行业主管部门的网络数据安全管理职责进一步的进行了细化，对主管部门提出了诸多主动的数据安全管理要求，以督促行业主管部门落实网络数据安全监管职责。具体包括：

* 明确本行业、本领域网络数据安全保护工作机构；

* 统筹制定并组织实施本行业、本领域网络数据安全事件应急预案；

* 定期组织开展本行业、本领域网络数据安全风险评估；

* 对网络数据处理者履行网络数据安全保护义务情况进行监督检查；

* 指导督促网络数据处理者及时对存在的风险隐患进行整改。

我们理解，《网数条例》对主管部门管理职责的细化不仅对主管部门提出了更高的管理要求，同时也意味未来监管的垂直化、专业化和透明化，亦可更好的督促企业能够提前做好相关网络数据安全的合规工作。

（三）明确网信部门统筹开展网络数据安全应急处置工作

《数据安全法》提出国家建立数据安全应急处置机制。《网数条例》进一步明确了国家网信部门统筹协调有关主管部门履行网络数据安全事件的应急处置职责的要求，包括及时汇总、研判、共享、发布网络数据安全风险相关信息，同时加强网络数据安全信息共享、网络数据安全风险和威胁监测预警以及网络数据安全事件应急处置工作。

我们理解，该规定意味着网络数据监管领域数据安全应急处置机制的落地，对于数据安全应急监管提供了重要的法律依据。

（四）进一步优化了数据安全监督检查措施

征求意见稿对主管部门开展网络数据安全监督检查的措施进行了规定，《网数条例》在征求意见稿的基础上针对监督检查措施进行了进一步优化。在网络数据安全监督检查中，主管部门不仅可以要求相关人员进行说明，同时还可以查阅复制相关文件和记录，以及检查网络数据安全措施运行情况和网络数据处理活动有关的设备、物品等。从前述规定可以看出，主管部门在监督检查中可以采取的措施范围较大，这就要求相关企业应进一步提高数据合规意识，提升数据合规能力，以更好地应对主管部门的监督检查。

《网数条例》进一步强调了有关主管部门在网络数据安全监督检查获取的信息只能用于维护网络数据安全的需要，不得访问、收集与网络数据安全无关的业务信息。该规定对相关企业应对主管部门的监管检查过程中的不规范执法行为提供了重要的法律依据，据此切实保护企业的合法权益。此外，《网数条例》在征求意见稿的基础上，新增了有关主管部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密的保密义务。

同时，《网数条例》亦为相关企业应对主管部门的监督检查进行了一定程度的“松绑减负”。法案不仅要求有关主管部门在开展网络数据安全监督检查时，应当加强协同配合、信息沟通，合理确定检查频次和检查方式，避免不必要的检查和交叉重复检查，并指出重要数据风险评估和网络安全等级测评的内容重合的，相关结果可以互相采信。

（五）首次提出网信部门有权对境外组织、个人的网络数据处理活动进行监管

《网数条例》第五十四条提出，国家网信部门会同有关主管部门可以依法对境外的组织、个人从事的相关网络数据处理活动采取相应的必要措施，这是首次在法律法规层面明确提出网信部门针对境外组织、个人的监管职责。

此前《数据安全法》和《个人信息保护法》仅在法律层面明确了针对相关境外数据活动的法律适用。《网数条例》提出针对境外组织、个人的监管，进一步厘清了《数据安全法》和《个人信息保护法》的适用范围。

（六）进一步细化法律责任

在法律责任方面，《网数条例》在《网络安全法》《数据安全法》《个人信息保护法》的基础上，进一步针对网络数据领域的具体违规行为的罚则进行了细化，明确了相关网络数据处理者的法律责任。同时，《网数条例》加强了与《网络安全法》《数据安全法》《个人信息保护法》在罚则规定的关联，对于《网数条例》中未规定的罚则，监管部门仍将依据上位法对相关违规企业进行处罚。《网数条例》设置的罚则具体梳理如下：

点击可查看大图

虽然《网数条例》针对大型网络平台规定了诸多特殊义务，却并未为其设置单独的罚则。然而，我们认为，一旦大型网络平台出现违规行为，例如违规处理个人信息，若按照《个人信息保护法》中以营业额为基准确定罚款，极有可能直接突破《网数条例》所设定的最高罚款额度。

（七）引入首违不罚、轻微不罚的行政处罚原则

“首违不罚”“轻微不罚”是《行政处罚法》针对行政处罚重要的处罚原则。《网数条例》第五十九条引入了“首违不罚”“轻微不罚”原则，明确网络数据处理者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的，可以依法从轻、减轻或者不予行政处罚。这是数据立法领域首次明确前述原则，体现了《网数条例》与《行政处罚法》的有效衔接，也体现了监管部门包容审慎的监管态度。

实践中，“首违不罚”和“轻微不罚”主要以清单式方式明确具体情形，数据监管领域对于前述原则的落地仍有待观望监管实践。对于网络数据处理者而言，我们建议对于“首违不罚”和“轻微不罚”原则仍应保持谨慎态度，并主动做好主动合规动作。如确实存在违规行为可以从轻、减轻或者不予行政处罚的情形，亦可以积极行使权力，争取不罚。

在互联网和人工智能时代，网络数据覆盖了经济生活中的方方面面。故《网数条例》对于各类组织、企业而言，将成为在数字经济领域继“三法一条例”之后的重要合规依据。颁布后的《网数条例》也体现了国家和监管部门在如今的经济环境下，主动为企业减负，增强数据要素市场，建立高效、便利数据流通机制的决心。

《网数条例》将在明年正式实施，我们建议有关企业应当在这段“过渡期”内，积极识别自身合规义务，主动评估自身的合规工作。特别是数据合规领域，对于流程性文件的全面性和准确性要求较高，合规工作并非“一蹴而就”，企业需要长时间的专业储备和高效准备。为应对未来趋严趋细的监管落地，各类数据处理者应以“防患于未然，绸缪于未雨”作为工作准则，建立良好的数据合规文化，应对全球范围的数据监管浪潮。