《网络数据安全管理条例》征求意见 —— 问答(一)
2021年11月14日,国家互联网信息办公室颁布了《网络数据安全管理条例(征求意见稿)》(“《管理条例》”),对网络数据安全管理公开征求意见。《管理条例》内容丰富,涵盖网络数据安全多方面内容,其中不乏新提出的监管思路。
本文拟对《管理条例》的立法层级、适用范围、数据处理者社会责任承担、数据分类保护、数据交易税收的相关疑问,进行分析解答。
一、 《管理条例》是什么层级法律?
【答】
《管理条例》法律效力属于部门规章,专章规定了个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务。《管理条例》是对《个人信息保护法》、《数据安全法》和《网络安全法》在部门规章层面的细化,也是对部门规范性文件的指导。
网络数据安全监管方面,国家网信办亦颁布了较多部门规范性文件。例如,对于互联网用户的公众账户的管理,颁布了《互联网用户公众账号信息服务管理规定》;针对移动互联网应用程序(APP)信息服务,颁布了《移动互联网应用程序信息服务管理规定》等。
二、 哪些网络数据处理活动需要遵守《管理条例》?
【答】
(一)《管理条例》的长臂管辖
《管理条例》规范的是网络数据处理活动及其监督管理,适用范围遵循长臂管辖原则,即除了境内利用网络开展数据处理活动,以及网络数据安全的监督管理,境外处理中国境内的个人和组织数据相关活动,亦适用《管理条例》。《管理条例》项下的境外活动主要包括以下内容:
(1)以向境内提供产品或者服务为目的;
(2)分析、评估境内个人、组织的行为;
(3)涉及境内重要数据处理;
(4)法律、行政法规规定的其他情形。
但是,自然人因个人或者家庭事务开展数据处理活动,不适用本条例。
类似地,《个人信息保护法》下个人信息适用范围也适用长臂管辖原则。较之于《数据安全法》,《管理条例》增加了在境外处理境内个人和组织数据的活动,即除了处理个人信息,增加了组织信息。什么是组织?《管理条例》未具体规定。目前法律框架下的法律实体包括公司、个人独资企业、合伙企业、个体工商户、社会团体等。民事主体合意成立的实体,如契约型基金,是否也是组织?
(二)自然人因个人或家庭事务处理数据不适用《管理条例》
本条第二款规定,自然人因个人或家庭事务处理数据活动,不适用本条例。如何理解对本款内容?
个人或家庭事务具体指什么事务?个人或家庭事务可以理解为非组织相关的事务。如果自然人是信息处理者的实际控制人,自然人因个人家庭事务,成为适用《管理条例》的信息处理法律实体的实际控制人的机率几乎为零。例如《管理条例》规定,处理100万人的个人信息处理者赴国外上市,应申报网络安全审查。假如《管理条例》中规定的数据处理者包括数据处理者的实际控制人是自然人情形,数据处理者处理100万个人信息很难被判定为处理个人或家庭事务,即使某个自然人直接或控制其他方处理100万人的个人信息。
三、 数据处理者对数据保护是否承担社会责任?
【答】
《管理条例》要求数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任,但并未强制数据处理者公开数据保护履行社会责任的具体义务,如定期发布数据安全保护社会责任报告等。具体以何种形式接受政府和社会监督,可以理解为相关信息以一定形式传达至社会公众,使公众能对数据处理者进行社会监督。
《个人信息保护法》亦规定提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,有义务定期发布个人信息保护社会责任报告,接受社会监督。对于承担社会责任部分,重要互联网平台具体什么标准,待进一步规定。
有些知名网络公司已公开发布承担社会责任的报告。以360股份公司为例,360公司2020年发布了社会责任报告,公布了公司社会责任承担情况,如公司开启警企协作体系化建设,向各地公安部门提供溯源研判、威胁情报支撑服务,协助破获涉网犯罪案件近千起,坚决维护网络安全和秩序。在社会责任承担内容之一的ESG国际评级方面,360公司2020年Sustainalytics ESG评估指数为19.5,属于低风险。
四、 《管理办法》怎么对网络数据进行分类并进行保护?
【答】
(一)数据的分类
《管理条例》从网络数据安全角度,将网络数据分为一般数据、重要数据、核心数据三类。重要数据采用列举加兜底的方式进行定义。核心数据含义也较为宽泛。核心数据的保护较之于重要数据更严格。
《管理条例》规定了重要数据的概念。其他部门规章或规范性文件若无规定,可适用《管理条例》,除非部门规章以上法律另有规定。例如《关键信息基础设施安全保护条例》对关键信息基础设施规定了较为明晰的范围。该条例项下重要数据泄露的报告义务,重要数据的概念并不遵守《管理条例》的规定。然而,《数据出境安全评估办法(征求意见稿)》中的重要数据出境、《个人信息和重要数据出境安全评估办法(征求意见稿)》中重要数据的安全评估,应按《管理条例》进行判断。
(二)数据分类的差异
《管理条例》将数据分为三类,此三类数据在各行业中的具体归类,将由各地区、各部门根据规定,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。
《管理条例》正式颁布前,数据分类与等级保护已由不同部门颁布多部部门规章、规范性文件、标准等,相关规定亦与时俱进地进行了升级。其他部门规范性文件若与《管理条例》规定不同,将根据《管理条例》进行调整、清理。
信息处理者根据不同的监管要求,可能对数据进行不同的分类。例如,从信息安全保护角度,《信息安全等级保护管理办法》将信息分为五级。从工业数据角度,《工业数据分类分级指南(试行)》将工业数据分为三个等级。三部法律的相关差异如下表:
名称 | 内容 | 分析 |
《管理条例》 | 《管理条例》由国家互联网信息办公室颁布。
根据数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,分为三类。
《管理条例》要求各地区、各部门根据国家数据分类分级的要求进行相应地分类分级管理。
| 根据颁布的分类分级的相关规定,已进行的数据分类分级,将按《管理条例》的分类要求,进行再调整、平移或另行分类分级。
|
《信息安全等级保护管理办法》 | 本管理办法由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室颁布。
从信息安全保护角度,将信息分为五级。分级的标准是公民、法人和其他组织、国家安全、社会秩序和公共利益的损害情况。
在信息系统建设过程中,运营、使用单位应当按照有关技术标准同步建设符合该等级要求的信息安全设施。
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合条件的测评机构,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
| 《管理条例》将网络数据进行分类,网络数据的分类在根据本管理办法分级的基础上,信息处理者按《管理条例》的规定进行一定的调整,以同时符合《管理条例》和本管理办法的要求;或根据实际 情况,分别进行分类。
数据的等级测评按照本管理办法的规定施行。
本管理办法下的数据分级保护按本管理办法施行。 |
《工业数据分类分级指南(试行)》 | 试行指南由工业和信息化部办公厅颁布。
工业数据是工业领域产品和服务全生命周期产生和应用的数据。
根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为三个等级。
工业和信息化部负责制定工业数据分类分级制度规范,指导、协调开展工业数据分类分级的工作。 | 网络数据方面,本试行指南与《管理条例》的分类依据不同。
《管理条例》要求各地区和各部门进行相应地分类分级管理。因此,对于工业网络数据的分类,根据《管理条例》进行调整,若无法调整,则根据《管理条例》和本试行指南,分别进行分类、分级。
|
五、 数据交易有哪些征税考量?
【答】
(一)数据的属性
《管理条例》提出了建立数据交易管理制度。数据交易、数据交易机构设立、运行标准等,后续进行规定。
数据是交易标的,数据是什么?根据《电子商务数据资产评价指标体系》,数据资产是以数据为载体和表现形式,能够持续发挥作用且带来经济利益的数字化资源。数据资产属于无形资产。数据作为无形资产具有经济价值。什么是电子商务?《电子商务法》规定,电子商务是指通过互联网等信息网络销售商品或者提供服务的经营活动。金融类产品和服务不适用《电子商务法》。
根据数据是资产的概念,资产性质的数据交易,限于电子商务产生的数据。如能源公司、医疗机构等,在运营过程中产生和处理的数据,若未进行“商品”销售或“服务”提供,则不视为电子商务行为,该等数据不具有资产属性。金融机构的数据,严格意义上说不是资产。
另一方面,电子商务是基于信息网络产生的交易,其他场所交易,如数据交易机构采用信息网络方式进行,可按电子商务确定数据性质为资产。然而,《电子商务数据资产评价指标体系》由全国资产管理标准化技术委员会颁布,以该指标体系判断数据的性质,法律效力层级较低。
此外,在数据交易机构进行的数据交易,应符合法律法规等的规定。如经处理的交易信息已获得授权等。值得注意的是《个人信息保护法》不适用于匿名化的个人信息,然而,如果匿名化的信息是可识别的个人信息,《个人信息保护法》有可能适用。
(二)数据交易的税务分析
税务方面,随着数据交易的开展,可考虑针对数据交易制定相关税法规则。
数据处理者
所得税角度,企业转让数据产生的收益,将按企业适用的企业所得税政策征缴企业所得税。个人转让所得,可以考虑按转让财产所得征缴个人所得税,前提是数据资产性质的确认。
增值税角度,转让数据是否是增值税征税范围?如是,将是什么征税思路?首先,根据增值税法的相关规定,数据并非货物,亦非劳务。严格意义上,数据交易并非增值税的征税范围。其次,如果数据在公共交易场所交易,仅以数据而非代表数据的有价证券为标的进行交易,数据交易在现行税法下不是增值税的征税范围。若以代表数据价值的证券在交易所交易,则该等有价证券,可能是金融商品,因而是增值税的征税范围。但是,考虑数据的电子商务属性,则该等有价证券交易不是增值税的征税范围。再次,对公开交易场所交易的数据征税,考虑数据处理者实质上是提供劳务,按劳务进行征税,也是一种征税思路。如符合混和销售的规定,按混和销售征税;反之,按兼营销售征税。
数据提供者
所得税方面,企业合法转让数据的收益,按企业所得税相关规定征缴企业所得税。对于提供数据的个人而言,目前鲜有个人因提供相关信息从数据处理者处获益。无获益有几种可能,第一,个人同意数据处理者无偿使用个人信息。如患者同意主治医生使用其个人医疗信息用于疾病研究;第二是个人未同意,但数据处理者处理数据后获益,该等所得为违法所得,征税之源之个人,也因为是违法所得,而不是个人所得税意义上的收入。
如个人同意有偿提供信息,个人信息是否是个人财产,按转让个人财产征税?在目前电子商务的框架下,个人信息视为资产,转让资产可考虑所得按财产所得征税。然而,该等收益是否是个人所得税意义上的财产范围,尚待进一步细化。
增值税方面,个人或企业无偿提供数据,是否构成视同销售?目前税法规定的视同销售的情形,因数据可能因不是货物,不是增值税的征税范围。个人或企业有偿提供数据,怎么征税?该等交易若在数据交易所进行,且数据对应的价值已证券化,转让有价证券交易,可以考虑视按转让金融商品征税,但如不是电子商务范畴,则不是增值税的征税范围。若直接以数据进行交易,在税法没有特别规定的情形下,该等交易可能不是增值税的征税范围。
作者介绍
廖敏 上海兰迪律师事务所合伙人
美国波士顿大学税法硕士,税务师资格,企业法律顾问资格,上海法学会会员。
曾为某律师事务所律师,任职于某上市公司法务副总监、高级税务经理,四大会所税务经理。
推荐阅读
众望所归 —— 《个人信息保护法》之个人金融信息保护与征税(二)
Wolters Kluwer | 威科先行
威科先行财税信息库是威科集团(WoltersKluwer)为中国财税专业人士打造的在线信息库产品,集法规、案例、实务指南、专业解读、智能工具等于一体,为您高效检索,精准决策提供综合信息解决方案。