首页
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
更多
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
极简《网数条例》评析,看这15个关键词就够了
学术
2024-10-01 19:51
江西
文/麻策律师
这是一部立了很多年的法!
2024年9月30日,国务院总理李强签署发布第790号国务院令,公布《网络数据安全管理条例》(以下简称《条例》),自2025年1月1日起施行。
关键词一:立法的“营养”
中国各层级和和各位阶的“立法”之卷,诞生在个人信息保护领域,三天一小法,两月一中法,半年一大法,时不时地各类各地标准也忍不住来出炉。这至少说明中国的数据立法人还是活力满满感地存在的。
但需要十分注意的一点是,立法虽多,但总体上套娃复述过多,创新条款仍十分有限,立法“营养”有待观察。
大部分的在后立法,看似洋洋洒洒,但很多条款只是复制粘贴在先立法条款。同时,立法考究性不强,个别措辞的变化没有深刻的内涵,过于放大解读的情况下对实务借鉴不强。
这些年已经养成看新规的习惯能力——基本上扫一眼就知道有没有创新条款,大部分冗余条款其实可以直接略过。以第一章“总则”和第二章“一般规定”共二十条为例,如果使用对比版查阅,会发现“细节感”满满,修订内容满屏皆是。但实际上,这些条款内容要么是在其它法律法规中早就已经有了规定的援引,要么就仅是变化字眼表达。
比如这一次,第一条中增加了“促进网络数据依法合理有效利用”表述,倒是可被“数据要素”行业作为宣传使用,但在实务中几乎没有任何价值。
再比如,第十八条本意是规制爬虫等自动化工具,但这些条款内容在实践中已然是非常明确,不值得新规再加以规定。如果真要在条款中加一个新点,倒不如说说哪些行为是可以被豁免的来的实际。
关键词二:规制范围
我对条例制定的必要性还是有些疑惑的,“条例”是解决专门问题的法规,但在数据保护已经有如此多法规情况下,是否仍有必要立该法?
条例约束的对象是网络数据,而不是线下的数据,如电子化的数据。但“网络”是否仅指狭义的互联网,还是广义的广播电视网、移动网以及“
终端设备直连卫星服务
”网,甚至是局域网、内部网等。仍需要根据实践来评估——虽然这种评估看起来最终可能是个伪命题。
关键词三:告知内容集中公开展示
实施告知时,“个人信息处理规则应当集中公开展示”。但“集中公开展示”还没有实务明确,其逻辑和网络产品服务的场景是有冲突的,弹窗或注册告知中是否就需要将产品中隐私政策或单项处理规则都集中一次性告知?还是仅指隐私政策不得散落到注册协议且需单一规则呈现?
关键词四:保存期新出路
首次明确了“保存期限难以确定的,应当明确保存期限的确定方法”,即保存期限可以不直接以数字方式确认。这符合实践中复杂的不同场景中不同字段的存储期限差异,为实践铺了非常好的路。
关键词五:双清单正式入法
告知内容中的收集和共享行为,“应当以清单等形式予以列明”,这应当算是双清单第一次正式从监管实践被归集入法律条款之中。
关键词六:自动化采集的删除
“因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。”从一个找法律漏洞的角度来看,这句话的反语是指“自动化采集中未经同意采集数据,删除掉即可豁免违法”。
这个条款对于现有生成式人工智能预训练中从公开渠道爬取数据而采集个人信息,提供了有效的法律豁免。
问题是在于,是需要主动采取措施发现,还是仅需要用户通知后处理。
关键词七:转移权合法性基础
用户抢夺拉开帷幕。个人信息转移权在个人信息保护法三年以来一直没有落地,在于真的很违反商业逻辑,企业基本上没有动力。
条例事实上明确了,当其它网络数据处理者具备转移条件的情况下,转移出平台不得拒绝转移。
这些条件包括移入平台能够验证身份、转移基于同意或合同履行合法性基础的内容,具备技术可行性,不损害他人权益。
问题在于,如果企业对用户进行画像,这些画像如果基于同意而处理,是否位于可主张转移的范围?从条款来看,
个人认为不属于转移范围,一是条例只是针对“采集”的原生数据,不包括“处理”后的衍生数据,这些数据具备由平台进行价值投入的智力资产的商业价值属性。
这样的规定和GDPR关于“这项权利不涉及组织自己根据上述数据创建的数据”的逻辑是一模一样的。当然,用户是否可以利用个人信息副本权,从而架空上述转移限制呢?此时,咬文嚼字似乎变得有些意义了。
条例没有明确对于按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需而处理的个人信息是否可以纳入转移权,但征求意见中的《数据安全技术 个人信息转移技术要求》认为此条件下,个人信息转移的行使通常仅限于以个人信息主体为一方当事人所订立、履行合同所必需而处理的个人信息。
基于以下合法性基础处理的个人信息不适用个人信息转移请求:一是为履行法定职责或者法定义务所必需;二是为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;三是依照《个人信息保护法》规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。虽然条例没有明确,但死者的生前安排仍可属于可转移的范围,并具有可行性。
关键词八:转移权落地及收费
GDPR要求数据可移植性权利允许数据主体以结构化、常用和机器可读的格式获取其个人数据,且限于自动化处理的数据(必须仅限于电子文件,没有纸质类文件)。
但条例下的规则没有对此“自动化”进行约束,因此此项规则可能会成为日后用户滥用转移权的突破口,需要引起企业的重视
;结构化和机器的方式应当是使用CSV,XML和JSON等开放格式提供个人数据。
原则上不得收费。但请求转移个人信息次数等明显超出合理范围的,网络数据处理者可以根据转移个人信息的成本收取必要费用。
至于处理期限,条例没有明确,GDPR明确不得无故拖延,并且最迟在收到请求后一个月内处理。
英国的一些组织已经通过 midata 和类似计划提供数据可移植性,允许个人以可移植和安全的方式查看、访问和使用他们的个人消费和交易数据。
关键词九:海外代表通报
个人信息保护法规定,在中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。条例对此进行了重申。
个人建议可以仿照英国ICO一样,在企业或办事处设立后,向其联系方式发送注册函要求申报,而不是给企业留一个可报可不报的坑。
英国ICO之所以这么积极,当然还有要求交纳数据保护费用的财政激励的原因在内。
关键词十:1000万以上
条例明确,网络数据处理者处理1000万人以上个人信息的,须遵守重要数据处理者的相关规定。这是一个新的数据值。
关键词十一:重要数据识别
条例要求“网络数据处理者应当按照国家有关规定识别、申报重要数据。对确认为重要数据的,相关地区、部门应当及时向网络数据处理者告知或者公开发布。网络数据处理者应当履行网络数据安全保护责任。”从上述条款来看,似乎识别的义务在处理者而不是被动等通知。这和规范和促进数据流动规定的总体逻辑仍然是保持一致。
奇怪的是,同一条款,在第三十七条的跨境数据中又复述了一下。
这其实也是实践中外资诟病最多的,因为在此识别逻辑下,企业实质无法通过自评估识别是否属于重要数据,这无疑会让企业时刻等待“楼上永不掉下的鞋子”。而且重要数据有一个非常关键的问题在于它可能会随着场景和主体的变化而发生质变。一类数据(如人脸识别数据)在普通企业中并不属于重要数据,而一旦这类数据进入特定企业(如整车厂)就可能会演变成重要数据。
关键词十二:跨境数据
相比于《
促进和规范数据跨境流动规定》,条例的规定简直是更模糊了,似乎没有太多新意,略过。
关键词十三:网络平台责任
包括“预装应用程序的智能终端等设备生产者”(手机或者汽车)也被认定为一类“网络平台”。而且当“第三方产品和服务提供者违反法律、行政法规的规定或者平台规则、合同约定开展网络数据处理活动,对用户造成损害的,网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者应当依法承担相应责任。”但需要知道的是,民事责任不能由条例规定,此处所称的责任应当指的是行政责任的处理。
大型网络平台是指注册用户5000万以上或者月活跃用户1000万以上的平台,我理解“业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台”不是“注册用户5000万以上或者月活跃用户1000万”的平级条件,而是自然递进关系。
关键词十四:用户标签管理
网络平台服务提供者通过自动化决策方式向个人进行信息推送的,应当“为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能”。
这一条款的规定是首次在法规层面明确个人画像标签的管理要求,但是目前几乎全部网络平台的标签管理均是统一适用的标签,而不是特定用户的标签管理。
这一规定如果能落地,将非常大的影响、改造网络平台的服务端及前端交互,成本比较高。
关键词十五:网信职责
网信部门仍然只有管理监督职权,“汇总、研判、共享、发布网络数据安全风险相关信息”,看起来没有“解答”普通公众问题的义务。
条例加入了“有关主管部门在网络数据安全监督检查中不得访问、收集与网络数据安全无关的业务信息,获取的信息只能用于维护网络数据安全的需要,不得用于其他用途”条款,以体现出企业对政府执法行为不过份拿数据,避免引发国际社会的安全担忧。
条例要求“合理确定检查频次和检查方式,避免不必要的检查和交叉重复检查。”这点应该挺受用的,企业再有三头六臂,也很难看到锅从哪里来,疲于应对不同监管之间的检查,特别是不统一标准的检查。
-作者微信:macelawyer-
http://mp.weixin.qq.com/s?__biz=MzI5Nzc5MTI3MQ==&mid=2247534517&idx=1&sn=e59f88fcdbca82014033e967d47091f7
网络法实务圈
公司法务人员、法律实务人士、网络法探索者关注的网络法实务平台; 电商法、网络安全法、个人信息保护、数据合规、电子存证、网络诉讼、网络广告合规……关于网络法实务的大本营 在互联网时代,我们一起进化为网络法律人
最新文章
首例!网游“龙之谷”诉游乐园商标侵权案:商标获保护,判赔160万元
《黑神话:悟空》背后的文化产业促进法律保障
价格错误引发“砍单”纠纷的实务解决路径探讨
“搬运”已公示的单位录用名单信息,构成侵权吗?
智能网联汽车准入与上路通行试点将很快进入测试评估环节,通过者予以准入许可 | 工信部备工业一司郭守刚
德国法院作出里程碑式判决:非商业性人工智能训练数据不构成版权侵权!
官方通报“境外企业以汽车智驾为由非法测绘”,多方连夜回应
漏洞频发、故障率高 应系统排查英特尔产品网络安全风险
网盘隐私竟被陌生人查看?并非手机号注销就完事!
涉网店类销售假冒注册商标的商品罪主观故意的认定
律师优先关注,个人信息保护合规审计师职业认证,星期六开课
花300元就能“克隆”一个网站?“仿冒网站”乱象如何治理?
一张图读懂!《工业互联网与电力行业融合应用参考指南(2024年)》
《阴阳师》商业诋毁案定锤!法院:滥用比较广告构成商业诋毁,判赔100万元 | 附判决
制造征信焦虑引流获客,“助贷主播”变装重来
个人信息数据被盗取! | 网信部门依法处罚
第一案!APP标识仅剩余颜色、布局设计要素组合不具有特有性和显著性 | 附判决书
揭露!对全球互联网用户无差别监听:美国炒作“伏特台风”行动计划真相
无限期封禁!严厉打击“非法荐股”等非法证券活动
《公共数据资源登记管理暂行办法》《公共数据资源授权运营实施规范(试行)》征求意见
游戏玩家非官方渠道充值诉请退还?法院:应自担风险
网购消费者“仅退款”:被判返还商家货款
境外创建虚假投资平台:23人被判刑!
数字藏品买卖合同纠纷案 | 附数字藏品交易平台法律蓝皮书
网红“东北雨姐”虚假宣传,厂家罚款671.76万元,停产停业!
百度胜诉!涉“Carlife”智能车载系统不正当竞争纠纷案 | 附判决
盒马App运营方被上海市场监管部门立案:修改运费规则只公示两天?
中央网信办部署开展“清朗·规范网络语言文字使用”专项行动
游戏账号交易,买卖需谨慎
TikTok被美国14个州和地区起诉:指控剥削年轻用户、欺骗公众! | 附起诉状
《广东省数据条例》公开征求意见
最高院案例 | 信息网络传播权纠纷的管辖争议与“拉管辖”问题解决(附案例原文)
附判决 | 35类“为他人商品作推销”服务与注册在其他商品类别后“销售商品行为”的区分
印发!《国家数据标准体系建设指南》
“爬虫”软件获取视频资源免广告!法院:超过正当竞争边界,判赔十万!
事关直播带货,浙江最新明确!
韩政府就TikTok是否违反个人信息法开展检查
个人信息换取免费礼品?这种“买卖”做不得!
中国发布《人工智能能力建设普惠计划》
工信部通报21款存在侵害用户权益行为的APP及SDK
欧盟法院最新裁定:禁止网络平台无节制使用个人数据用于定向广告
收售网络社交平台账号营利,这种转让行为有效吗?
5起利用AI工具编造谣言典型案例!
《关于在科研活动中规范使用人工智能技术的诚信提醒》
跨境电商遭信用卡拒付?法院提醒:提交有效抗辩材料,避免钱货两空!
中央网信办部署开展“清朗·整治违规开展互联网新闻信息服务”专项行动
网络环境下侵犯著作权罪违法所得的确定与审查要点
外卖中放置 “好评返现”卡属于违法行为!
极简《网数条例》评析,看这15个关键词就够了
重磅!国务院正式发布《网络数据安全管理条例》,9章64条于2025年1月1日起施行!
分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
原创标签
时事
社会
财经
军事
教育
体育
科技
汽车
科学
房产
搞笑
综艺
明星
音乐
动漫
游戏
时尚
健康
旅游
美食
生活
摄影
宠物
职场
育儿
情感
小说
曲艺
文化
历史
三农
文学
娱乐
电影
视频
图片
新闻
宗教
电视剧
纪录片
广告创意
壁纸头像
心灵鸡汤
星座命理
教育培训
艺术文化
金融财经
健康医疗
美妆时尚
餐饮美食
母婴育儿
社会新闻
工业农业
时事政治
星座占卜
幽默笑话
独立短篇
连载作品
文化历史
科技互联网
发布位置
广东
北京
山东
江苏
河南
浙江
山西
福建
河北
上海
四川
陕西
湖南
安徽
湖北
内蒙古
江西
云南
广西
甘肃
辽宁
黑龙江
贵州
新疆
重庆
吉林
天津
海南
青海
宁夏
西藏
香港
澳门
台湾
美国
加拿大
澳大利亚
日本
新加坡
英国
西班牙
新西兰
韩国
泰国
法国
德国
意大利
缅甸
菲律宾
马来西亚
越南
荷兰
柬埔寨
俄罗斯
巴西
智利
卢森堡
芬兰
瑞典
比利时
瑞士
土耳其
斐济
挪威
朝鲜
尼日利亚
阿根廷
匈牙利
爱尔兰
印度
老挝
葡萄牙
乌克兰
印度尼西亚
哈萨克斯坦
塔吉克斯坦
希腊
南非
蒙古
奥地利
肯尼亚
加纳
丹麦
津巴布韦
埃及
坦桑尼亚
捷克
阿联酋
安哥拉