查看原文
其他

《网络数据安全管理条例(征求意见稿)》系列解读之框架篇

宁宣凤 吴涵 等 金杜研究院 2022-11-22

引言

2021年11月14日下午,国家互联网信息办公室(“国家网信办”)在政府官方网站上全文发布了《网络数据安全管理条例(征求意见稿)》(“《条例》”)。自我国网络安全与数据合规领域主要的上位法《中华人民共和国网络安全法》(“《网络安全法》”)、《中华人民共和国数据安全法》(“《数据安全法》”)和《中华人民共和国个人信息保护法》(“《个人信息保护法》”)全部正式生效后,《条例》成为网络数据安全领域首个面向全社会公开征求意见的行政法规级文件。

本文作为团队就《条例》的规则理解与系列解读的开篇,将在联系、对比和梳理相关上位法以及配套性法规的基础上,对《条例》的适用范围、核心规则以及责任条款进行重点介绍,一方面协助大家梳理《条例》与上位法核心思路的衔接,另一方面也结合实践提出对规则解释与适用层面的具体思考。

本文结构


一、《条例》的效力位阶与立法思路

二、《条例》的关键概念对比

三、《条例》的适用范围与规范对象

四、《条例》的核心规则与重点问题

五、《条例》规定的法律责任

 《条例》的效力位阶与立法思路

根据2021年6月11日发布的《国务院2021年度立法工作计划》,国家网信办组织负责起草的《数据安全管理条例》就属于拟制定、修订的28件行政法规之一。[1]由此可见,《条例》作为中央政府既定的立法规划之一,它的效力位阶应当是一部效力仅次于法律的“行政法规”。而《条例》第一条规定:“为了规范网络数据处理活动,……,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定本条例。”由此可见,《条例》作为《网络安全法》《数据安全法》和《个人信息保护法》的配套行政法规,将对三部法律中规定的原则性规范和制度进行内容和流程方面的细化规定。《条例》的制定出台将弥补此前网络数据安全管理领域法律规则体系中行政法规层级制度的缺失,逐步完善 “法律-行政法规-部门规章、地方性法规以及规范性文件”全位阶的法律规则体系

在规则的制定思路与具体内容的层面上,此次《条例》与2019年同为国家网信办制定和公布的《数据安全管理办法(征求意见稿)》有一定的承继关系。《条例》起草和公布的背景是三部上位法律已经最终颁布并生效,且《条例》规定的要求显然更加丰富,但《条例》与《数据安全管理办法(征求意见稿)》仍呈现出类似的立法思路。比如将“个人信息保护”和“重要数据安全”作为规定的两个主要方面,提炼同样作为数据安全管理中相同或者相近的基本制度和管理规则作为一般规则,并着眼于数据的全生命周期环节的风险管控,以及有别于部分域外立法中区分个人数据、非个人数据的单独立法,形成了统一立法思路。

此外,值得注意的是,国家网信办进一步将《数据安全法》第十三条中“统筹数据安全与发展,以发展促安全、以安全保发展”的立法价值理念作为此次《条例》第三条的价值取向,同时提出“促进数据开发利用与保障数据安全并重、保障数据依法有序自由流动”,进一步突出了在数据安全基础上有序促进数据合理有效利用的立规目标。

《条例》的关键概念对比

(一)  “网络数据”与“数据

此次《条例》重点关注“网络数据安全”,因此将“网络数据”与“数据”进行了区分。事实上,这并不是首次在网络与数据相关法律法规中对“网络数据”进行定义。下表列举了散落在不同规范性文件中的相同或者相近定义:

通过对比《数据安全法》所定义的“数据”和《条例》所定义的“网络数据”可知,“网络数据”在“数据”的基础上删去了“以其他方式所记录的信息”。同时有别于《网安法》及《数据安全管理办法(征求意见稿)》中以网络作为载体的定义,“网络数据”在《条例》中的定义中删除与网络必然关联的要求,更加突出电子化的形式特点。 但考虑到对于“网络”定义和认知的不断深入(详细分析请见本文第三部分),该定义的修改在实践中可能不会造成过多的实质性影响。

(二)  “数据处理者”

“数据处理者”以及“重要数据的处理者”等定义此前曾出现于《数据安全法》中,但《数据安全法》并未明确定义“数据处理者”的法定概念。本次《条例》参考《个人信息保护法》中对于个人信息处理者的定义,定义“数据处理者”为 “在数据处理活动中自主决定处理目的和处理方式的个人和组织”。该定义突出了“自主决定处理目的和处理方式”这一核心要义,即“处理者”对于处理行为有较强的控制能力,并根据有控制力的处理来构建数据的安全责任体系。“数据处理者”多次出现在数据安全领域的相关法律法规之中,而本次《条例》的释义进一步确定了这一重要概念的边界。这不仅让《条例》乃至数据安全领域的相关法规和使用范围更加明确,也构成了规定“数据处理者”责任和义务的前提。

值得注意的是,“数据处理者”定义将影响深远,如“网络安全审查”等不同义务主体范围都依赖于数据处理者的定义。同时如何证明企业是否具备自主决定处理目的和处理方式,不仅要求企业从对客协议中明确自身身份,在企业内部数据融合、对外数据共享、上市活动等不同场景中还需要考虑企业股权架构、决策机制等更多细节。我们理解,对于“数据处理者”概念的理解将越来越倾向于实质性的判断,即实施数据处理活动的主体对于数据本身的控制力、影响力和决定性地位。如此一来,数据作为企业的一种特殊类型的“资产”性质愈发凸显,而仅通过做上市主体与数据处理法律实体的分拆,将不太能成为规避上市活动中数据安全监管的可行方式。

(三)  “公共数据”与“公共信息”

除上述外,《条例》对于 “公共数据”和“公共信息”的概念进行了区分。其中,“公共数据”强调其收集主体为公共职能部门或被授权组织,收集和产生的过程与提供公共服务有关,而收集的内容涉及公共利益。经对比观察,本次《条例》中所采取的定义与此前上海和浙江在相关地方性法规中采用的定义基本一致。考虑到《条例》较高的法律位阶,统一对“公共数据”的定义有利于在全国范围内继续推动对公共数据的开发服务,释放公共数据价值。

而“公共信息”则指的是“数据处理者在提供公共服务过程中收集、产生的具有公共传播特性的信息。包括公开发布信息、可转发信息、无明确接收人信息等”。由此可见,公共信息的主要特点是具有公开性和非个人属性。这一定义也在《条例》相关规定中得到体现,如《条例》第四十五条指出“个人通信的信息按照个人信息保护要求严格保护,非个人通信的信息按照公共信息有关规定进行管理”。但考虑到《数据安全法》或者《条例》均将“数据”的法律概念定性为以某种形式的对信息的记录,将“公共数据”和“公共信息”进行并列的概念描述,或许难免产生一定的混淆可能性。此外,《中华人民共和国民法典》和《个人信息保护法》中均提及有“公开信息”的表述,其所指代的对象与《条例》中“公共信息”的内涵是否存在重合可能也有待进一步明确。

《条例》对上述概念的区分也体现了执法者对于法律概念的理解和把握,更是对治理对象的区分,并将有利于后续对日趋复杂的数据处理活动进行精细化管理。

(四)  “重要数据”

在《网安法》及《数安法》等不同法律法规中都对重要数据的处理者提出严格的监管要求,因此“重要数据”的范围一直以来是业内讨论的焦点,也受到企业的重点关切。本次《条例》中对“重要数据”这一法律概念在法规层面赋予了其正式定义,通过描述性规则确定了部分典型的“重要数据”类型,包括出口管制数据、关键信息基础设施、通信、能源等重点行业领域数据、达到高精度/规模的国家基础数据等。此外,《条例》还给出了一个兜底定义,即“其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据”。可见,“重要数据”这一概念的范围依旧十分广泛。依据《数据安全法》的要求,“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录”。因此,《条例》的出台将为后续各地区和各部门制定重要数据目录提供指引性依据,同时“重要数据”的基本概念范畴也随着《条例》的出台得以最终落地。

 《条例》的适用范围与规范对象

《条例》第二条是对适用范围与规范对象的规定。具体而言,《条例》的适用范围主要包含境内和境外开展数据处理活动两个部分。此外,与上位法保持一致,《条例》将基于个人或者家庭事务等自然人开展的数据处理活动,排除至规范的对象范畴之外。

(一) 如何理解在境内“利用网络”开展数据处理活动?

关于《条例》对于境内数据处理活动的监管范围,相比于《数据安全法》第二条规定,《条例》将其明确地限缩和定义在了“利用网络”开展的数据处理活动这一特定情形。这一前提条件的设定,符合《条例》主要适用于网络数据安全领域管理的法规定位。那么,接下来的问题在于,如何理解“利用网络”的这一限制性条件?是否仅局限于我们常说的利用公开互联网和信息系统处理数据的情况?

首先,可以明确的是,“利用网络”前提条件在法律法规中早有涉及。在《数据安全管理办法(征求意见稿)》第二条所规定的适用范围中,即明确说明:“在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动……适用本办法。”由此我们初步理解,此次《条例》中对于境内部分的适用范围承袭的是此前《数据安全管理办法(征求意见稿)》的相关规定,两者均将境内通过网络进行的数据处理活动作为法规监管和规范的对象。

其次,对于“网络”二字所涵盖适用边界的理解,需要联系《网络安全法》并以相关法律定义、规则作为理解该条的上位法依据。在《网络安全法》第七十六条的定义条款中,“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。我们日常使用的网络一词,有狭义和广义之分,狭义的网络是指互联网(Internet),广义的网络还包括相对封闭的局域网和工业控制系统。随着信息技术的发展,互联网、局域网和工业控制系统的物理界限越来越模糊,它们所面临的安全风险和威胁的手段、方式是类似的,它们的安全保护也适用于相同的规则。因此,对“网络”的理解,我们建议应当秉持广义的概念,即将互联网、局域网和工业控制系统等信息系统作为其基本内涵。[2]

最后,根据《条例》第二条第一款,“在中华人民共和国境内利用网络开展数据处理活动……,适用本条例。”对于境内数据处理活动限制在“利用网络”这一概念的解析上,一方面,与前述关键概念“网络数据”的内涵相关联,纳入《条例》监管范畴的所为处理的数据形态需为“以电子形式记录的信息”;另一方面,从行为主体的角度解读,可能既包括在境内建设、运营、维护和使用网络的“网络运营者”(《网络安全法》第二条),也包括能够自主决定网络数据处理活动目的、方式的“数据处理者”(《数据安全法》第二条、《个人信息保护法》第七十三条第(一)项)。

至此,《条例》在契合国家网信部门主管职责范围的基础上,将三部上位法中对于适用主体和对象的概念进行充分的融合贯通,进一步廓清了对《条例》适用范围的规定。与此同时,如前所述随着信息技术的发展,利用网络进行电子形态的数据处理活动实则已经相当普遍,在后续的相关配套性部门规章或者其他主管部门牵头制定的法规规章,还应当注重与客观上存在的特定地区、特定行业或者经济部门在数据处理和数据安全监管中的特殊性相兼顾,形成规则体系上的衔接配合。

(二) 如何理解《条例》境外适用效力和“涉及境内重要数据处理”?

在法规的域外适用效力规则的衔接方面,《条例》第二条第二款在延续和承接《个人信息保护法》第三条第二款规定的两大基本域外适用的情形,即“以向境内自然人提供产品或者服务为目的”和“分析、评估境内自然人的行为”的基础上,进行了保留和扩充。这是考虑到数据,尤其是重要数据的处理也可能面向境内的组织提供的情形,或者涉及分析、评估境内组织的行为。前述情形的境外数据处理活动不可避免的可能存在安全风险,但《条例》在进行前述的情形扩张时,也需要考虑到《数据安全法》第二条第二款中对于《数据安全法》本身域外适用效力的规定,存在“损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的”的限定条件。

而关于《条例》域外适用范围规则中最为突出的变化是,相比于《数据安全法》第二条第二款,《条例》第二条第二款第(三)项将“涉及境内重要数据处理”作为一种新的情形加以规定。对此,根据立法原理需要对该情形寻找上位法依据。如上述,《数据安全法》第二条第二款规定:“在境外开展数据处理活动,损害国家安全、公共利益或者公民、组织合法权益,依法追究法律责任。”立法者将这条作为《数据安全法》中保留的必要域外效力的相关规定,这一观点可以从官方的草案立法说明中得出[3];但该条在《条例》中却成为了在第七十二条中规定的“法律责任”条款。

从文义解释的角度来看,“依法追究法律责任”中的“法”可能来自于《国家安全法》《反间谍法》《保守国家秘密法》乃至《刑法》等基于保护管辖原则所援引的其他相关法律,而不仅意味着唯一指向《数据安全法》这一部法律。如将其作为适用范围的规则加以规定,则可以认为《数据安全法》被赋予了必要的域外适用效力,前提是境外数据处理活动产生了相关损害结果;但如果根据《条例》第七十二条的规定作狭义解释,仅将其作为“法律责任”的一种形态进行解释,则可能导致《条例》的相关规定缺乏域外适用的相关上位法依据,不可避免地在规则的规范演绎上存在一定的瑕疵。

我们理解,《条例》之所以如此规定,有可能是为了尽可能将域外适用的情形加以完整规定,在《条例》第二条第二款第(一)、(二)项已经将主要适用于“个人信息保护”的场景进行列举后,考虑到境外处理境内重要数据活动本身的客观或是潜在安全风险,《条例》或才将域外适用延展到“涉及境内重要数据处理”的情形。而对于《数据安全法》中规定的其他数据处理活动导致损害国家利益、社会公共利益或者公民、组织合法权益的情形,可以为《条例》第二条第二款第(四)项所囊括。

(三) 豁免性规定

《条例》第二条第四款规定,自然人因个人或者家庭事务开展数据处理活动,不适用本条例。该条将《个人信息保护法》第七十二条之规定加以延续和承袭,同时将自然人因个人或者家庭事务进行的“个人信息处理活动”扩展为“数据处理活动”。总而言之,在网络数据安全管理领域内,自然人私人领域内因个人或者家庭的事务所进行的数据处理活动,虽然可能符合网络数据处理的概念,但由于其可能产生的安全风险与社会影响十分有限,因此成为《条例》中规定的适用豁免情形。

 《条例》的核心规则与重点问题

(一) 网络数据安全管理的企业合规义务

“网络数据安全”涵盖了多个法律保护客体,其中又涉及不同类型的数据处理者,例如互联网平台运营者,境外上市的数据处理者等。鉴于此,《条例》中对数据处理者的各类合规义务进行了全面和细致的规定,其中一共提及“评估”22次,“报告”16次。为进一步明确相关责任主体的合规义务,下表梳理了有关数据处理者履行的记录、评估、审查、报告、审计和备案等各种不同类型的合规义务的规则要求。

(点击查看大图)

我们注意到,国家网信办在此次公开征求意见的《条例》中规定的一部分的义务形式,如对海外研发中心的报告义务,以及对人工智能、深度合成的新型数据处理技术的评估义务等,一定意义上回应了当前科技社会发展的热点问题与关切,为未来的执法工作留出了充分的空间。

事实上,关于人工智能、AI算法和深度学习等前沿科技的法规监管,一直属于国家网信部门的关心领域范畴之内。此前,关于人工智能技术的法规监管多停留在“显著标识”或者“禁止准入”义务层面,如《数据安全管理办法(征求意见稿)》第二十四条、《互联网信息服务算法推荐管理规定(征求意见稿)》第九条、《网络信息内容生态治理规定》第二十三条。而与此次《条例》所规定的安全评估义务保持一致的,可见于国家网信办、文化和旅游部、国家广播电视总局于2019年发布的《网络音视频信息服务管理规定》之第十条,即“网络音视频信息服务提供者基于深度学习、虚拟现实等新技术新应用上线具有媒体属性或者社会动员功能的音视频信息服务,或者调整增设相关功能的,应当按照国家有关规定开展安全评估。”此外,国家网信办还在《关于加强互联网信息服务算法综合治理的指导意见》中提出“算法安全评估”的相关要求。但接下来有待明确的是《条例》与相关下位的部门规范性文件中规则的协调问题,如:需开展的评估对象为新技术、算法,还是用作新技术设计开发的数据?以及相关评估开展的材料、流程等程序性要求。

总体而言,《条例》对此前已存在于其他法律法规的义务做了汇总和细化,为数据处理者开展合规工作建设提供了具体指引。

(二) 境外上市活动中“网络安全审查”的申报要求与风险预判义务

《条例》中将此前在2021年《网络安全审查办法(修订草案征求意见稿)》中规定的“运营者”赴国外上市需申报或者接受网络安全审查的条件,在行政法规层面进行了梳理与明确。根据《条例》第十三条,在涉及境外上市活动中涉及“处理一百万人以上个人信息的数据处理者赴国外上市”和“数据处理者赴香港上市,影响或者可能影响国家安全”两种情形的任一时,应当按照国家有关规定,申报网络安全审查。从规定执行层面,该条规定了应当申报网络安全审查的具体情形,并且在一定程度上回应了此前市场上对赴境外上市所需履行的网络安全、数据安全义务存在的疑问。

不过,在《条例》中规定的两种情形中,仍然可能存在以下两个有可能待相关部门作出细化或者通过相关文件解释以澄清的潜在疑惑。

首先,对于赴国外上市的场景下,将义务主体的描述从《网络安全审查办法(修订草案征求意见稿)》中使用的“掌握超过一百万用户个人信息的运营者”,更改为“处理一百万人以上个人信息的数据处理者”,能够解决“掌握”不作为一项法律概念而可能带来的规则理解的不确定性。不过,从理解上而言,无论是根据《数据安全法》还是《个人信息保护法》,“处理”作为一个专有法律名词,其展现形式或者内涵表述实则十分广泛,包括了“收集、存储、使用、加工、传输、提供、公开”等各种形式下对数据的处理行为。因此这也将带来大量的数据处理者和受托处理数据的受托人都将成为此种场景下的义务主体,进而可能导致相关主管部门网络安全审查压力骤增的现实问题。为解决上述问题,在不更改条文本身的前提下,我们是否可以尝试基于规则目的进行一定的限缩解释,将此处 “处理”二字,解释为仅限于“数据处理者”自主决定目的、方式的数据处理情形。如此则可以将大量受托处理数据的受托人(尽管受托人与数据处理者在法律概念上不等同,但在其他场合下,该受托人仍可能构成数据处理者,只是其可以自主决定处理目的、方式的数据处理活动所涉及的个人信息始终不会超过一百万人)赴国外上市的情景排除在触发条件之外。事实上,考虑上市活动数据安全监管规则设立的初衷,作如前述的限缩解释具有立法目的上的合理性。一般而言,对于能够自主决定数据处理目的、方式的上市主体,其作为“数据处理者”情形下的数据处理活动,自然相比于其作为受托人时对于国家安全、数据安全的潜在影响将更大,因此也将成为网络安全审查制度所优先或者重点考虑的情形。

其次,对于赴港上市的场景下,拟上市主体提前预判对国家安全的影响可能成为一项前置性义务。《条例》中规定,对于影响或者可能影响国家安全的赴港上市活动,应当申报网络安全审查。但可能的问题在于企业如何更好地把握“影响或者可能影响国家安全”的判断。此时,一般有两种解决方式:其一,企业在赴港上市前与上市相关主管部门(如证监会)充分沟通,而主管部门之间通过内部有效的执法信息共享的基础上,由国家网信部门在必要时介入与上市主体的沟通与协助判断,提供相应的行政指导;其二,企业在赴港上市过程中,经过内部自身或者聘请专业第三方机构通过网络和数据安全自评估等方式,提前进行风险判断,以协助企业在上市合规过程中一并完成网络数据安全义务的履行。

关于网络安全审查内容,我们将在后续的《<网络数据安全管理条例(征求意见稿)>系列解读之网络安全审查篇》中作进一步解读。

(三) “分类分级”成为网络数据安全管理的基础性规则

《条例》在第五条中规定:“国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。”数据分类分级制度设计和运行的机理主要在于数据处理活动的风险程度与安全管理措施水平相适应。《条例》将数据分类分级制度作为总则中的一个条款进行重申,可见其作为一项基础规则的地位和重要性。

遵循数据分类分级的基本制度,《数据安全法》将根据数据本身在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据划分为“一般数据”“重要数据”和“核心数据”三个基本类别或者等级,并且首次对“核心数据”进行了概念定义,即关系国家安全、国民经济命脉、重要民生、重大公共利益等数据。虽然对于“重要数据”“核心数据”本身属于等级概念范畴还是类别概念范畴有过不少讨论,但《条例》在《数据安全法》的基础上进一步明确:“对重要数据进行重点保护,对核心数据实行严格保护”。此外,值得注意的是,《条例》中规定与重要数据并列实行重点保护的还有“个人信息”而非“敏感个人信息”。由此,我们理解在数据分类分级的制度框架内,有关主管部门可能认为个人信息与重要数据的重要性或者保护的等级要求相近,而核心数据则需依法实行在前述基础上更为严格的保护措施。

关于重要数据、核心数据的一系列具体制度、规则和细节性要求,我们将在后续的《<网络数据安全管理条例(征求意见稿)>系列解读之数据安全篇》进行详细解读。

(四) 个人信息保护中大量的监管经验总结提升为法规

《条例》在第三章中规定了专门适用于个人信息保护的规则。通过研读这些具体规则,除了与《个人信息保护法》的相关规定进行衔接和细化之外,我们发现不少在行政执法的实践层面总结提炼出的具体要求,尤其是App个人信息保护监管领域中的成熟做法,已经为《条例》所合理吸收和采纳。值得关注的如:

  • 依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响;

  • 以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;

  • 提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制;

  • 不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。

关于《条例》中所涉及的个人信息保护具体法规要求,我们将在团队后续文章《<网络数据安全管理条例(征求意见稿)>系列解读之个人信息保护篇》中呈现观点。

 《条例》规定的法律责任

总体而言,《条例》罚则部分主要在上位法的框架内,对于违反法律法规、危害或者可能影响数据安全的数据处理活动进行了行政责任层面的细节化、具体化规定。从责任条款的约束对象而言,《条例》重点对:1)数据处理者不履行数据安全保护义务的(第六十条、第六十一条、第六十二条);2)数据处理者违反数据跨境安全管理相关规定的(第六十四条、第六十五条、第六十六条);3)关键信息基础设施的运营者违反相关法律法规的(第六十三条);4)互联网平台运营者违反相关法律法规的(第六十七、第六十八条、第六十九条);以上四类对象和情形进行了行政法规层面的数据安全处罚规定。此外,《条例》还对数据处理者相关行为应当依法应当承担的民事责任、治安管理处罚责任和刑事责任予以提示性规定。

关于罚则部分,值得我们稍作探讨和研究的问题可能在于,如果数据处理者的违法行为的直接表现形式为违反来源于《网络安全法》设立的具体规则,《条例》是否可以因其对于数据安全的影响或者危害,施以《数据安全法》或者《个人信息保护法》下的罚则规定?例如,《条例》第十条规定,数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞,或者威胁国家安全、危害公共利益等风险时,应当立即采取补救措施。从字面上看,该条的上位法依据直接来源于《网络安全法》第二十二条,根据《网络安全法》第六十条,网络运营者违反该义务,拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。但是依据《条例》第六十条,违反该项义务的数据处理者和直接负责人可能分别承担最高二百万元和二十万元的罚款。这是否代表着超出授权范围了?事实上前述规定也并非完全没有依据,因为依据《数据安全法》第二十九条和第四十五条,发现数据安全缺陷、漏洞等风险未立即采取补救措施,且拒不改正或者造成大量数据泄露等严重后果的,可以处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

产生上述问题的根本原因在于《条例》所依据的三部上位法中各自规定相关主体的法律责任承担的形式和范围客观上的不一致。由于《网络安全法》较早先于其余两部法律颁布并施行,事实上也正是在《网络安全法》执法过程中所积累经验或者面临问题的吸收和优化下,本次《条例》以数据安全作为法规保护的核心利益,在网络安全、数据安全之间架设了一道责任规定层面的天然的连接桥梁。

结语

总体看来,作为关键的配套性法规,《条例》主要针对前述三部法律中的相关要求和规定进行了法规层面上的细化和展开,厘清了法规中所涉的若干关键概念,明确了网络数据安全管理领域中的特定问题,逐步形成了网络数据安全管理领域内的规则体系。

我们将在团队后续针对《网络数据安全管理条例(征求意见稿)》的系列解读文章中,分别就“网络安全审查”“网络安全” “个人信息保护”“重要数据安全”“数据跨境”以及“互联网平台义务”等六个分篇章中进行更为具体详细的解读,以飨读者。同时,我们期待在市场与监管的良好沟通与互动中,共同推进网络数据安全管理条例的规则落地。

向下滑动阅览

脚注:

[1] 中国政府网:《国务院2021年度立法工作计划》,http://www.gov.cn/zhengce/content/2021-06/11/content_5617194.htm 最后访问日期:2021年11月18日。

[2] 杨合庆主编:《中华人民共和国网络安全法解读》,中国法制出版社,2017年4月第1版,第158-159页。

[3] 全国人大网:《关于<中华人民共和国数据安全法(草案)>的说明》http://www.npc.gov.cn/npc/c30834/202106/2ecfc806d9f1419ebb03921ae72f217a.shtml,最后访问日期:2021年11月17日。



本文作者

宁宣凤

合伙人

合规业务部

susan.ning@cn.kwm.com

业务领域:反垄断与反不正当竞争,以及网络安全与数据合规

在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。

吴涵

合伙人

合规业务部

wuhan@cn.kwm.com

业务领域:网络安全、数据合规与治理


吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。

姚敏侣

律师助理

合规业务部

感谢实习生邹奕对本文做出的贡献。


责任编辑:赵天园

编辑:单珊


网络安全、数据合规与治理团队专题


人工智能:

数据合规:

网络安全:


我知道你  在看  哦


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存