通力法评 | 数据安全立法的总结与创新——详解《数据安全管理办法》(征求意见稿)

作者：通力律师事务所   潘永建 | 朱晓阳

注: 本篇文章独家授权威科先行法律信息库发布, 欢迎微信个人用户转发; 未经许可, 微信公众号不得转载。

管理办法中主要对1)适用范围; 2)个人信息和重要数据保护; 3)网络运营者在数据活动中的义务; 4)违法数据活动的法律责任等主要方面做出了规定。上述内容在现行法律中均有规定。例如, 个人信息的保护之规定散见于网络安全法及其他法律法规, 《网络安全法》《个人信息和重要数据出境安全评估办法(征求意见稿)》《信息安全技术 数据出境安全评估指南(征求意见稿)》等对重要数据的保护作出规定, 网络运营者在数据使用过程中的义务及相关违法责任也在现行网络安全法律中均有广泛规定。

管理办法并不仅仅是对现行法律的罗列和重复, 而是在对现行法律进行梳理基础上的一次创新和补强。管理办法中新增了许多目前法律没有要求的网络运营者的义务; 增强了网络安全法对于重要数据及个人信息的保护义务并扩大了义务主体的范围, 同时顺应网络技术的发展, 对网络爬虫及“洗稿”等现行法律尚未涉及的前沿问题作出了规定。

值得注意的是, 目前管理办法及《个人信息和重要数据出境安全评估办法(征求意见稿)》等均尚属征求意见稿, 在正式稿颁布之前仍存变数。管理办法的正式稿可能会受到其他尚未生效的法律法规征求意见稿的影响, 反之亦然或相互影响。但无论如何, 管理办法的创新和改进值得关注。

网络安全法律从业者对于“个人信息”及“重要数据”这两类数据已耳熟能详, 但是似乎很少有人能够说清“数据”的内涵和外延, 即现行法律下是否还存在除两类数据之外的其他类型“数据”?

管理办法将“网络数据”定义为“通过网络收集、存储、传输、处理和产生的各种电子数据”。该定义与网络安全法对网络数据的定义完全一致, 但“数据”的内涵及外延究竟如何, 现行法律付诸阙如, 管理办法亦未做出明确界定。纵观现行法律法规, 仅有“个人信息”及“重要数据”这两类数据被明确提及, 那么这是否意味着“数据”仅包括个人信息及重要数据这两类呢?笔者认为, 答案显然是否定的。首先, 《信息安全技术 数据出境安全评估指南》(征求意见稿)中将“重要数据”定义为“相关组织、机构和个人在境内收集、产生的不涉及国家秘密, 但与国家安全、经济发展以及公共利益密切相关的数据”, 而管理办法也规定“涉及国家秘密信息……的数据活动, 按照国家有关规定执行”。因此重要数据中显然不包括国家秘密。其次, 管理办法中对于重要数据的定义将“企业生产经营和内部管理信息及个人信息”排除在重要数据的定义之外。综合上述分析, 可以推断, 目前中国法律体系下至少可以将数据分为以下几类: 国家秘密、个人信息、重要数据及“企业生产经营和内部管理信息”及其他尚不构成重要数据的数据(暂称为“非重要数据”)。

在现行法律体系下, 国家秘密的监管主要受到《保守国家秘密法》等法律的规制。与网络安全法律直接相关的, 也是直接受到网络安全法律规制的数据便是个人信息与重要数据这两类。探讨两类数据相关法律问题的前提是明确其定义。

2.1. 个人信息的定义

管理办法沿用了《网络安全法》对“个人信息”作出的定义, 即“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。个人信息的定义散见于多部法律法规中, 我们对现行主要法律法规对“个人信息”的定义做了总结, 请见以下表1。

表1: “个人信息”的定义对比

从上表可以看出, 在《网络安全法》生效之前的两高司法解释和《网络安全法》生效之后发布的个人信息国标均将“反映特定自然人活动情况的各种信息”纳入了“个人信息”的范畴。此处的“个人信息”包括两大类, 一类个人信息是由信息本身的特殊性能够识别出特定自然人, 另一类个人信息是由特定自然人在其活动中产生的信息, 包括个人位置信息、个人通话记录、个人浏览记录等。而管理办法对“个人信息”的定义沿用了《网络安全法》的定义, 并不包括“反映特定自然人活动情况的各种信息”, 这在一定程度上限缩了个人信息的范围。

能够单独识别到自然人的个人信息很好理解, 但问题在于上述所有法律法规均将“与其他信息结合”而能够识别到特定自然人的信息也定义为个人信息。随之而来的问题是, 此处的“与其他信息结合”为定性而非定量的规定, 那么对于“个人信息”究竟要求结合其他信息到何种程度方可达到法定的“可识别”标准从而构成法律法规所规定的个人信息?换言之, 如果一条信息结合其他5条信息可以识别到某个特定自然人, 而另一条信息需结合50条其他信息才能识别到该特定自然人, 那么这两条信息是否都属于个人信息?如果答案是肯定的, 那么对这两条个人信息的保护是否因其各自所需结合其他信息而实现可识别的程度不同而有所不同?很显然, 如果一条信息识别到特定自然人所需要结合的其他信息越多, 那么其本身构成个人信息的可能性就越低, 从而得到的法律保护也应该越弱。对于信息的结合程度, 欧盟GDPR规定需要结合客观因素进行考量, 例如结合其他信息识别个人所需的时间及处理数据时的可用技术等, 但我国法律到目前为止尚未有类似的规定。我们期待管理办法的正式稿或其他法律能够对该问题有进一步的详细规定。

2.2. 重要数据的定义

自《网络安全法》生效以来, 可以说“重要数据”一直是一把悬在网络运营者头上的达摩克利斯之剑。《网络安全法》已经明确规定了关键信息基础设施运营者对重要数据的本地存储及跨境传输评估义务, 而《个人信息和重要数据出境安全评估办法(征求意见稿)》将这一义务扩大至全部网络运营者, 但该法规又迟迟未能出台。因此, 虽然《网络安全法》已经生效两年, 现行法律中对于究竟哪些数据属于重要数据仍然缺乏明确的指引。

管理办法将“重要数据”定义为“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据, 如未公开的政府信息, 大面积人口、基因健康、地理、矿产资源等。”对比而言, 2017年8月发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》中将“重要数据”定义为“相关组织、机构和个人在境内收集、产生的不涉及国家秘密, 但与国家安全、经济发展以及公共利益密切相关的数据”。

与《信息安全技术 数据出境安全评估指南(征求意见稿)》中的定义不同的是, 管理办法中将“后果分析”这一要件直接加入了重要数据的定义中, 明确了重要数据的认定主要是基于对于可能损害结果的判断, 同时管理办法采用了“直接影响…….”的表述, 因而与《信息安全技术 数据出境安全评估指南》(征求意见稿)相比, 管理办法限缩了重要数据的范围。同时, 管理办法也明确将一般情况下的“企业生产经营和内部管理信息”和“个人信息”排除在重要数据的范畴之外。

值得注意的是, 《信息安全技术 数据出境安全评估指南(征求意见稿)》中, 附录A中详细列举了26个行业中的重要数据类型, 但其中列举的重要数据包含了特定类型的个人信息, 也包括可以构成管理办法下“企业生产经营和内部管理信息”的数据。因此, 管理办法与《信息安全技术 数据出境安全评估指南(征求意见稿)》在重要数据的认定上存在差异。对此差异, 我们认为在对重要数据的认定方式上, 除了明确具体的数据类型外, 还需要结合数据量及数据的组合/聚合方式进行综合判断。例如, 我们理解管理办法中排除的“企业生产经营和内部管理信息”应当是针对企业的孤立的数据而言, 如果某个企业的“生产经营和内部管理信息”数量巨大, 或者其“生产经营和管理信息”通过聚合或其他形式的组合方式, 使得该等信息的泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的, 仍然有可能构成重要数据。管理办法中的“一般”二字应该也是为该等情形而做出的保留性规定。

我们认为, 相较现行法律法规, 管理办法对重要数据的认定更为科学、合理。相信管理办法与《信息安全技术 数据出境安全评估指南》经过协调并正式出台后, 两者的结合将在重要数据保护方面对网络运营者提供具有更明确且较可操作的指引。

管理办法将数据活动界定为“在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动”, 这同时也划定了管理办法的适用范围。数据的收集、存储、传输、处理、使用等环节相对比较容易理解; 但是鉴于网络的无国界性, 如何界定“在中华人民共和国境内利用网络”开展数据活动或成难题。例如, 目前许多境外经营者通过设置中文页面、支持人民币支付方式、提供中文售前售后服务等方式, 面向中国消费者开展经营活动(甚至明确招揽中国消费者), 但其网站/APP、服务器、其他网络设备、网络基础设施、公司实体地址均完全位于境外。在此情形下, 中国境内消费者通过该网站或APP可以完成交易的全过程, 境外经营者也通过网站或APP收集、存储、传输、处理及使用了中国消费者的个人信息, 但这种情形是否属于“在中华人民共和国境内利用网络”开展数据活动?管理办法及其他现行法律法规均未对这一问题给出答案, 我们期待管理办法的正式稿能对此类问题进行明确。

就具体的数据活动而言, 管理办法第二章规制“数据收集”, 第三章规制“数据处理使用”。下文中, 我们结合现有法律法规对数据活动的相关规定, 对管理办法的相关规定进行简要解读。

3.1. 数据收集

管理办法的第二章为“数据收集”, 主要规定了网络运营者收集个人信息过程中应尽的责任与义务。相较于目前已生效的关于个人信息保护的法律, 管理办法对某些要求作出细化规定, 从实际操作层面为网络运营者完善个人信息保护制度提出了指引; 同时也根据时代的变化发展提出了一些全新的要求。具体变更内容我们以表格形式进行了总结对比(见表2)。以下我们重点解析管理办法新提出的规则和要求: 

3.1.1.  网络运营者应区分渠道分别制定隐私政策。网络经营者若通过网站、应用程序收集个人信息的, 需分别制定并公开相应的隐私政策。网络运营者的网站、应用程序受众不同, 功能不同, 所收集的个人信息以及后续的处理方式亦有不同。这一要求意味着网络运营者需区分收集个人信息的不同渠道和情形, 有针对性地起草隐私政策。管理办法正式生效后将不允许网络运营者采用一套适用于其全部渠道的“万金油”隐私政策。

3.1.2.  网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围, 对个人信息主体采取歧视行为, 包括服务质量、价格差异等。该规定与我们通常理解中的“消费歧视”并不完全相同, 因为该规定仍旨在于限制网络运营者收集个人信息的目的和方式, 不得对授权范围不同的个人信息主体采取歧视待遇, 如限制提供服务的范围、提高价格等。

3.1.3.  网络运营者以间接方式收集个人信息者应承担同等义务。管理办法第14条首次提出, “网络运营者从其他途径获得个人信息, 与直接收集个人信息负有同等的保护责任和义务”。这意味着即使非由网络运营者直接收集的个人信息, 该网络运营者也需确保个人信息主体的权利受到保护, 如审查直接收集者是否在收集时取得了信息主体的同意、个人信息的处理和使用应符合与信息主体之间的约定等。实践中, 目前有企业认为从第三方获取个人信息, 由于非由其直接收集个人信息, 相关法律责任及义务是无需遵循关于“收集、使用个人信息”的相关规定的。这些企业应警醒管理办法第14条的规定, 进一步改善从第三方获取的个人信息合规工作。

3.1.4.  收集重要数据、个人敏感信息需备案并明确数据安全责任人。管理办法第15条、第17条首次提出, 网络运营者以“经营为目的”收集重要数据或个人敏感信息的, 应(1)向所在地网信部门备案; (2)明确数据安全责任人。通常而言, 法律意义上的“以经营为目的”指的是“直接产生利益”, 与增值电信服务中的“经营性互联网信息服务”相类似。以此类推, 我们认为“以经营为目的收集重要数据或个人敏感信息”应当指企业可以直接利用所收集的重要数据或个人敏感信息产生经济利益。符合该定义的经营者可能包括大数据分析公司、数据经纪人等商业化的数据收集、开发和挖掘者。但管理办法中“以经营为目的”的具体含义还有待于其正式稿或监管部门的进一步解释。

3.1.5.  规范网络爬虫等新型数据安全问题。管理办法第16条将爬虫手段严格限制在“不影响网站正常运行”的范围内。并且, 当爬虫行为严重影响网站运行、网站要求停止自动化访问收集时, 应当停止爬虫行为。该条款对于提供搜索服务、信息整合发布类平台的经营者提出了更为严格具体的要求。该类经营者应考虑以适当频率发起内容请求, 避免过高的请求频率引发网络安全事故。

2 管理办法与现行法律法规的对比 - 数据收集环节

3.2. 数据处理使用

管理办法的第三章规制“数据处理使用”, 主要规定了网络运营者使用、处理、个人信息; 跨境传输数据及管理相关第三方过程中应尽的责任与义务。第三章对网络运营者提出了较多的新要求, 且针对新兴数据应用场景如“定向推送”“洗稿”等首次作出了规定。具体变更内容我们以表格形式进行了总结对比(见表3)。下文中, 我们重点解析一些新提出的规则和要求: 

3.2.1.  管理办法第23条首次对“定向推送”做出了规定。网络运营者利用用户数据和算法推送新闻信息、商业广告等, 即可被认定为定向推送。值得注意的是, 管理办法并不禁止网络运营者进行定向推送, 但要求在推送信息上标明“定推”字样, 且需为用户提供停止接受定向推送信息的功能。用户选择停止接收定向推送信息时, 应当停止推送, 并删除已经收集的设备识别码等用户数据和个人信息。

此外, 管理办法规定开展定向推送活动应遵守法律、行政法规, 尊重社会公德、商业道德、公序良俗, 诚实守信, 严禁歧视、欺诈等行为。随着大数据时代的到来, 算法系统所导致的歧视逐渐为公众所认知及重视。定向推送中的歧视行为可能会伤害用户个人的情感、导致用户财产受损、甚至可能严重影响用户个人的正常生活。管理办法首次涉及算法技术应用, 对定向推送行为提出原则性要求固然具有“划时代意义”, 但具体如何落实不仅需要法律法规的细化规定, 也需要网络运营者在技术方面进行针对性的调整与革新。

值得注意的是, 之前公安部等三部门联合发布的《互联网个人信息安全保护指南》中规定, “完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用, 可事先不经用户明确授权”。这一要求虽然与管理办法并不矛盾, 但两者如何进行结合与衔接还需网络运营者进一步考虑与规划。

3.2.2.  管理办法还首次从网络安全的角度对自动化洗稿进行了明确规制。2018年, 国家版权局等四部门联合启动“剑网2018”专项行动, 对媒体通过“洗稿”抄袭剽窃、篡改删减原创作品的侵权行为进行了重点打击。“洗稿”即指利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息。管理办法从监管角度限制了“洗稿”的展现方式和目的, 要求网络运营者对此类合成的信息标明“合成”字样, 且不得以谋取利益或损害他人利益为目的自动合成信息。

3.2.3. 管理办法强化了网络运营者对接入其平台的第三方应用需尽到的管理义务。管理办法第30条规定, 若第三方应用发生数据安全事件对用户造成损失的, 网络运营者应当承担部分或全部责任, 除非网络运营者能够证明无过错。该项规定对网络运营者提出了极为严苛的要求, 相关平台的经营者应收紧第三方应用上线的条件与资质要求, 并加强对平台内应用数据安全方面的管理与监督。

3.2.4. 管理办法对重要数据的发布、共享、交易和境外传输提出了更高的要求。现行法律中仅涉及了重要数据的本地存储及跨境传输的安全评估, 并未提及重要数据的“发布、共享、交易”等, 而管理办法试图将这些涉及重要数据的环节也纳入法律的管理体系。对于重要数据境外传输, 《网络安全法》规定关键信息基础设施运营者向境外传输重要数据的, 应当进行安全评估; 《个人信息和重要数据出境安全评估办法(征求意见稿)》将需要进行安全评估的主体从关键信息基础设施运营者扩大到了所有网络运营者。管理办法同样将涉及重要数据的相关义务扩大至全部网络运营者, 同时在上述两个法规要求的安全评估的基础上, 还要求应当报行业主管监管部门同意。除重要数据的境外传输之外, 发布、共享、交易重要数据亦要求进行安全评估并报行业主管监管部门同意。就重要数据而言, 管理办法无疑在深度和广度上均加重了网络运营者的相关义务。

值得探讨的是, 管理办法对于重要数据需报行业主管监管部门同意的规定是否创设了一项新的行政许可?作为上位法的《网络安全法》对于关键信息基础设施运营者向境外提供重要数据这一事项作出了规定, 但未就此事项设定行政许可或授权地方性法规或规章对其作出进一步规定。根据行政许可的设定规则, 对于法律已经规定的事项, 下位法不得增设行政许可。对关键信息基础设施运营者使用重要数据及关键信息基础设施运营者以外的其他网络运营者使用、向境外传输重要数据等事项, 现行法律未予规定。在此情形下, 管理办法创设的新许可如何符合《行政许可法》值得进一步思考。

3.2.5. 管理办法新增了一条此前《网络安全法》中从未出现过的规定。管理办法的第29条规定, 境内用户访问境内互联网的流量不得被路由到境外。管理办法及网信办并未对该条的起草理由及具体含义做出解释。我们理解该条可能与第28条的重要数据有一定的关联, 境内用户在访问境内互联网时会产生数据的传输与交换, 这其中当然也可能包括重要数据。如果该等访问流量被路由到境外, 则可能产生重要数据未经安全评估和主管部门同意即被传输到境外的风险。此外, 流量路由到境外还可能会造成线路拥塞, 导致流量被窃取、监听, 禁止流量路由到境外可以防止路由泄露、流量误导和流量劫持。我们期待管理办法能在最终稿中对本条进行解释和完善。

表3 管理办法与现行法律法规的对比 - 数据处理使用环节

如上所述, 管理办法既是对现行网络安全重要问题的一次“阶段性总结”, 也对网络安全监管作出创新尝试, 其将对所有的网络运营者产生广泛而深远的影响。我们期待管理办法的正式稿对包括本文探讨的相关问题等作出进一步修改与完善, 为网络运营者的合法合规运营提供更为明确且具可操作性的指引。

作者：

长按下图识别二维码关注我们

© 通力律师事务所

本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。

点击“阅读原文”，直达通力官网了解更多资讯！