在《數(shù)據(jù)安全法》施行僅2個多月、《個人信息保護法》剛剛落地生效之際,為回應(yīng)網(wǎng)絡(luò)數(shù)據(jù)法治化治理的執(zhí)法和適法需求,一部更趨完備、更具可操作性的法律適用細則正呼之欲出。
11月14日,國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》(下稱“征求意見稿”),該征求意見稿共計9章75條,以《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等上位法為依據(jù),明確建立數(shù)據(jù)分類分級保護制度,并進一步細化了數(shù)據(jù)處理者對重要數(shù)據(jù)和核心數(shù)據(jù)的保護要求,以及相關(guān)的網(wǎng)絡(luò)安全審查情形,其征求意見的截止時間為2021年12月13日。
作為正在施行的兩部上位法,《網(wǎng)安法》的網(wǎng)絡(luò)安全等級保護制度中已提出了數(shù)據(jù)分類,《數(shù)安法》中則提出重要數(shù)據(jù)保護目錄以及核心數(shù)據(jù)兩大重要概念。征求意見稿是在《網(wǎng)安法》、《數(shù)安法》的基礎(chǔ)上,進一步明確,國家要針對個人信息權(quán)益進行重點保護。
在《數(shù)據(jù)安全法》第三章第二十一條中,原則性規(guī)定了數(shù)據(jù)分類分級的依據(jù)為在經(jīng)濟社會發(fā)展中的重要程度和遭到篡改、泄露等情形時的危害程度。
但對于“重要數(shù)據(jù)”的范疇,《數(shù)據(jù)安全法》并未做出具體界定。征求意見稿在上述法律的基礎(chǔ)上進行了細化。
建立數(shù)據(jù)分類分級保護制度
征求意見稿提出,國家建立數(shù)據(jù)分類分級保護制度。按照數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權(quán)益的影響和重要程度,將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù),不同級別的數(shù)據(jù)采取不同的保護措施。
其中明確,重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數(shù)據(jù),共包括7類,如在密碼、生物、電子信息、人工智能等領(lǐng)域?qū)野踩?、?jīng)濟競爭實力有直接影響的科學技術(shù)成果數(shù)據(jù)為代表的出口管制數(shù)據(jù);電信、能源、金融等重點行業(yè)和領(lǐng)域安全生產(chǎn)、運行的數(shù)據(jù);國家基礎(chǔ)設(shè)施、關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)運行及其安全數(shù)據(jù)等。
由于不同行業(yè)、不同地區(qū)數(shù)據(jù)分類分級的具體規(guī)則和考慮因素差異巨大,重要數(shù)據(jù)具體目錄和具體分類分級保護制度的制定權(quán)限被予以下放。
征求意見稿稱,按照國家數(shù)據(jù)分類分級要求,各地區(qū)、各部門應(yīng)對本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的數(shù)據(jù)進行分類分級管理。
根據(jù)《意見稿》,處理個人信息應(yīng)當取得個人同意的,數(shù)據(jù)處理者應(yīng)當遵守以下規(guī)定:
按照服務(wù)類型分別向個人申請?zhí)幚韨€人信息的同意,不得使用概括性條款取得同意;
處理個人生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息應(yīng)當取得個人單獨同意;
處理不滿十四周歲未成年人的個人信息,應(yīng)當取得其監(jiān)護人同意;
不得以改善服務(wù)質(zhì)量、提升用戶體驗、研發(fā)新產(chǎn)品等為由,強迫個人同意處理其個人信息;
不得通過誤導、欺詐、脅迫等方式獲得個人的同意;
不得通過捆綁不同類型服務(wù)、批量申請同意等方式誘導、強迫個人進行批量個人信息同意;
不得超出個人授權(quán)同意的范圍處理個人信息;
不得在個人明確表示不同意后,頻繁征求同意、干擾正常使用服務(wù)。
尤其是針對個人生物特征,《意見稿》特別提出,數(shù)據(jù)處理者利用生物特征進行個人身份認證的,應(yīng)當對必要性、安全性進行風險評估,不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式,以強制個人同意收集其個人生物特征信息。
更嚴“數(shù)據(jù)出境”監(jiān)管
此外,《意見稿》對數(shù)據(jù)處理者申報網(wǎng)絡(luò)安全審查的情況也作出說明,包括:
匯聚掌握大量關(guān)系國家安全、經(jīng)濟發(fā)展、公共利益的數(shù)據(jù)資源的網(wǎng)聯(lián)平臺運營者實施合并、重組、分立,影響或者可能影響國家安全的;
處理一百萬人以上個人信息的數(shù)據(jù)處理者赴國外上市的;
數(shù)據(jù)處理者赴香港上市,影響或者可能影響國家安全的;
其他影響或者可能影響國家安全的數(shù)據(jù)處理活動。大型互聯(lián)網(wǎng)平臺運營者在境外設(shè)立總部或者運營中心、研發(fā)中心,應(yīng)當向國家網(wǎng)信部門和主管部門報告。
明確處罰力度
以互聯(lián)網(wǎng)平臺運營者應(yīng)當建立與數(shù)據(jù)相關(guān)的平臺規(guī)則等義務(wù)為例,《意見稿》指出如平臺違反,由有關(guān)部門責令改正,予以警告;拒不改正,處五十萬元以上五百萬元以下罰款,對直接負責的主管人員和其他直接負責人員,處五萬元以上五十萬元以下罰款;
如互聯(lián)網(wǎng)平臺運營者利用數(shù)據(jù)以及平臺規(guī)則等,進行了違規(guī)活動,“由有關(guān)主管部門責令改正,給予警告;拒不改正的,處上一年度銷售額百分之一以上百分之五以下的罰款;情節(jié)嚴重的,可以責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。
歐洲此前的GDPR(《通用數(shù)據(jù)保護條例》),處罰力度非常高,高到足夠引起所有的公司重視。每次違反條例最高處罰金額為該公司年度營業(yè)額的 4%,或者 2000 萬歐元,取決于哪個數(shù)值更大。
我國對于數(shù)據(jù)保護的決心與力度正在加強:在《意見稿》發(fā)布之前,我國《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律也有關(guān)于數(shù)據(jù)安全管理的規(guī)定,但法律界人士表示,以上法律在罰款等條款上沒有具體的規(guī)定。而此次《意見稿》對此進行了細化。
因而可以預見,征求意見稿對于互聯(lián)網(wǎng)平臺運營者,尤其是大型互聯(lián)網(wǎng)平臺運營者設(shè)立了較多監(jiān)管措施,有利于細化并落實三部上位法。
征求意見稿中有關(guān)個人信息保護、重要數(shù)據(jù)安全、數(shù)據(jù)跨境安全管理、互聯(lián)網(wǎng)平臺運營者義務(wù)等方面的細化規(guī)定,對于數(shù)字平臺經(jīng)營的合規(guī)風控工作將產(chǎn)生廣泛指引意義。其落地之后,也將對互聯(lián)網(wǎng)產(chǎn)業(yè)、數(shù)字生態(tài)、數(shù)字經(jīng)濟帶來深度的、生態(tài)性的重組和改造。