,距《数据安全法》生效仅两个多月,刚刚生效。更多适用于法律的可操作规则即将出现。11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》(以下简称《征求意见稿》)。征求意见稿共9章75条。以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等上位法为依据,明确建立数据分类分级保护制度,进一步细化以大型互联网平台运营商为代表的数据处理者对重要数据、核心数据以及相关网络的保护要求。安全审查情况,征求意见截止日期为2021年12月13日。早在今年6月,本次征求意见的《网络数据安全管理条例》就被列入国务院2021年立法工作计划,但当时拟定名称是《数据安全管理条例》。北京市京师律师事务所律师杜光普在接受第一财经记者采访时表示,此次更名体现了立法过程中的“抓大放小”,即首先对数据处理者进行立法。例如互联网平台运营商,突出了近期监管部门的治理重点,也有利于法规的更快落地。北京师范大学国际互联网法治研究中心执行主任吴申阔进一步告诉第一财经记者,个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等方面的细则规定征求意见稿中对互联网平台经营者的合规风控工作具有广泛的指导意义。它落地后,可以为互联网产业、数字生态、数字经济带来深度、生态的重组和变革。建立数据分类分级保护制度征求意见稿提出,国家建立数据分类分级保护制度。根据数据对国家安全、公共利益或个人和组织合法权益的影响和重要性,将数据分为一般数据、重要数据和核心数据,不同级别的数据采取不同的保护措施。其中,国家重点保护个人信息和重要数据,严格保护核心数据。中国信息通信研究院云计算与大数据研究所人工智能部工程师胡娜英告诉第一财经记者,作为正在实施的两部更高级别的法律,数据分类已经被提出在《网络安全法》的网络安全等级保护体系中。在《数据安全法》中,提出了重要数据保护目录和核心数据两个重要概念。征求意见稿以《互联网安全法》和《数字安全法》为依据,进一步明确国家要重点保护个人信息权益。《数据安全法》第三章第二十一条原则上规定,数据分类分级的依据是在经济社会发展中的重要程度和被篡改、泄露等危害程度。其中,“关系国家安全、国计民生命脉、重要民生、重大公共利益的数据”被列为国家核心数据,征求意见稿中对“核心数据”的定义与其保持一致。但是,《数据安全法》并未具体界定“重要数据”的范畴。征求意见稿在上述法律的基础上进行了细化。明确重要数据是指一旦被篡改、毁坏、泄露或者被非法获取、使用,可能危害国家安全和公共利益的数据,包括密码学、生物、电子信息、人工等7大类以直接影响国家安全和经济竞争力的科技成果数据为代表的情报出口管制数据;电信、能源、金融等重点行业和领域安全生产经营数据;国家基础设施、关键信息基础设施建设运营及其安全数据等。中国人民大学数字经济交叉学科平台首席专家李三喜告诉第一财经记者,这类数据的共同特点是与产业密切相关数字化转型和高质量发展,将助力我国产业链供应链自主安全发展。由于不同行业、不同地区在数据分类分级的具体规则和考量方面存在巨大差异,下放制定重要数据具体目录和具体分类分级保护制度的权限。根据征求意见稿,按照国家数据分类分类要求,各地区、各部门要对本地区、本部门及相关行业、领域的数据进行分类分级管理。大型互联网平台面临更严格的“数据出境”监管考虑到香港股市的旺盛生命力和国家加强对跨境数据安全的监管,与国家互联网信息办公室7月10日发布的《网络安全审查办法(修订草案征求意见稿)》相比,征求意见稿进一步细化和补充了网络安全审查的对象,增加了大型互联网平台的义务。根据征求意见稿第十三条,数据处理者在中国香港上市,影响或者可能影响国家安全的,应当按照国家有关规定申请网络安全审查。上述《网络安全审查办法(修订草案征求意见稿)》中,数据出境安全审查仅包括“处理百万人以上个人信息的数据处理者在境外上市”,不涉及在中国香港上市。方岩,网络安全领域资深学者,博士。中国社科院经济学博士告诉第一财经记者,在复杂多变的全球形势下,越来越多内地企业赴港上市。文件的不完善之处在于,数据安全审查的原则不仅限于“数据出境”,还涵盖“数据出境”。事实上,在10月29日发布的《数据出境安全评估办法(征求意见稿)》中,安全评估的对象已经从开展数据出境活动的数据处理者扩展到开展数据出境活动的数据处理者,这与草案所指的相同目的。此外,在数据出境安全管理方面,征求意见稿第13条还对大型互联网平台运营者提出了安全审查要求,即“大型互联网平台运营者在境外设立总部、运营中心、研发中心应当向国家网信部门和主管部门报告。”李三喜指出,与企业和平台运营商相比,国家网信部门或主管部门对国内外数据安全保护的政策更为明确。可以帮助境外企业规避相关风险,同时提前做好备案工作也有助于企业应对国际形势的变化,但对于本次入境的监管主体——“大型互联网平台运营商”,多位受访者指出,可能值得进一步讨论。方岩认为,在“其他数据处理影响或可能影响国家安全的活动”,如果仅针对互联网公司,其主题设置可能会比较狭窄。例如,一些具有一定规模的电信运营商和智能终端厂商也在海外设立了研发中心或运营中心,也拥有海量数据。此类对象也应包括在安全审查中。杜光普认为,征求意见稿中界定的“大型互联网平台运营商”概念有些不合理。根据征求意见稿第七十三条,“大型互联网平台运营商,是指拥有5000万用户以上,处理大量个人信息和重要数据,具有较强社会动员能力和市场支配地位的互联网平台运营商。““从以上定义可以看出,大型互联网平台运营商需要同时满足四个维度的条件。其中,前三个条件,即用户、信息和社会动员可能更容易判断,而第四点‘市场支配地位’可能相对难以判断。”杜光普说道。他进一步表示,根据目前的立法和实践,“市场支配地位”主要是《反垄断法》下的一个词。认定经营者是否具有市场支配地位,通常是反垄断执法机构或法院结合具体案件中的相关证据,在准确界定相关市场后,综合考虑各种因素认定或推定,具有相对专业性和难度高。此外,即使在案件中认定经营者具有市场支配地位,这种认定也可能随着时间的推移和经营者内外部环境的变化而发生变化。“由此可见,对‘互联网平台大运营商’重要‘身份’的认定具有不确定性,在实际运营中可能面临较大挑战。”杜光普说道。除了“大型互联网平台运营商”的概念,胡娜英还表示,在个人信息保护方面,征求意见稿中的一些措辞可能需要进一步统一或解释。例如,数据处理者使用生物识别技术进行个人身份认证必要时,应对必要性和安全性进行风险评估,评估意图应与《个人信息处理法》规定的处理敏感个人信息的事前影响评估相同。人身保护法,建议统一措辞。“总的来说,征求意见稿对互联网平台经营者,特别是大型互联网平台经营者设置了更多的监管措施,有利于三上法的细化和实施。但是,部分条款可能与此前的法律法规存在不一致之处,征求意见稿中新增的表述需要进一步明确和明确。胡娜英说。
