编者按：

本公号在刊登DPO沙龙和相关社群活动的同时，还将刊登DPO社群成员的精彩文章。本篇作者为汉坤律师事务所的朱敏律师和蔡克蒙律师。在这篇文章中，两位DPO社群成员对近期出台的各项规章标准，通过全局性的视角提供了系统性的思考，有利于大家把握“来龙去脉”。

正文：

近期个人信息和数据安全规范密集出台，包括《网络安全审查办法（征求意见稿）》、《数据安全管理办法（征求意见稿）》（“《管理办法》”）、《儿童个人信息网络保护规定（征求意见稿）》（“《儿童个人信息保护规定》”）以及《移动互联网应用基本业务功能必要信息规范》等，后续也还有不少关键性的法规文件亟待落地。

监管机构衔枚疾进，不排除有多重考量因素的作用，尤其是在特定时期需要加快相应领域立法的需求。在新规频出之际，我们也希望结合新近出台的若干规章和规范文本，阐述我们的一些想法，以期作为相关规章在征求意见阶段的一些反馈声音。本文主要从监管权限、监管思路和监管规则协调等角度作一些初步的分析和思考，后续我们将尝试从规则层面做进一步的梳理和讨论。

从《管理办法》的内容来看，该文本部分可以看成是基于国标《个人信息安全规范》（“《规范》”）及《App违法违规收集使用个人信息自评估指南》的前期实施经验所作的一次阶段性总结，把一些比较成熟的监管规则和实践以及实务中普遍关切的问题上升到立法层面，并通过规章的形式加以明确和确认。在条件成熟时将引导性的行为规则固化为具有强制力的法律规范，这也符合行政规章制定的一般规律。如此行政规章出台之后，执行和实施当中所遇到的阻力也会相对较小。

客观而言，《规范》作为一项推荐性国标，在实务中已获得了超乎其原本定位的广泛影响力和适用性，实践中似乎也很少有其他推荐性国标文件有如此的待遇。因此，在《规范》事实上已经成为一项“软法”[1]，而且《管理办法》中有关个人信息安全的规定也基本被《规范》及其2.0版本所覆盖的情况下，似乎并不足以解释是否需要再行出台一个《管理办法》。我们理解，《管理办法》应当是承载了更多的使命和“雄心”，尤其是数据安全方面的规定。

除了之前监管规则中不曾出现过网路爬虫抓取数据、定向推送、洗稿、数据出境审批以及平台运营者对第三方应用的过错推定责任等新规定而需要补充之外，另一个合理性解释，应该是按照《立法法》的规定，部门规章可以设定一定的行政处罚手段，通过将《规范》上升到部门规章层面，可以解决其作为推荐性国标并没有强制执行力的窘境，让那些已经实践验证确认行之有效的监管规则终于有了“牙齿”。

近期发布的《儿童个人信息保护规定》，除了标志着在儿童个人信息保护领域一项独立规则实现零的突破之外，赋予相关规定行政强制力也是一个重要的看点。虽然《儿童个人信息保护规定》中相当一部分内容在既有规定（尤其是《规范》）中都可以找到一些出处，但其第24条、第25条和第26条中所规定的行政管理措施和行政处罚手段，却是《规范》所不能实现的。

《网络安全法》出台以来，在网络安全、个人信息保护和数据合规领域，不同部门和机构已发布了一系列不同效力等级的文件，包括网信办等部委的规章和指引等规范性文件、各项国标、两高的司法解释、行业标准和指南以及执法行动文件等。此次《管理办法》中涉及的很多问题在上述这些文件其实已经多有涉及，因此，如何协调不同效力的规则体系之间的关系，给行业实践提供清晰的指引而不至于造成适用上的混乱甚至是冲突，就成为了一个不得不面对且日益棘手的问题。

需要考虑的是，按照立法规划，数据安全和个人信息保护两个议题已经确定会作为相对独立的立法议题并通过分别制定《数据安全法》和《个人信息保护法》来进行规制。此外，数据安全（或网络安全）与个人信息保护的立法侧重点也并不全完一致，前者更多是传统的网络安全三性（保密性、完整性和可用性）的问题，而后者更侧重保障个人自主、对个人信息的控制以及对个人信息符合个人信息主体预期的利用等问题。这次《管理办法》选择把这两个议题糅合在一起进行处理，虽然不能说完全不可以，但的确需要处理好前后立法衔接以及同一规章覆盖不同议题等情形中等立法技术问题[2]。

如前所述，如果《管理办法》部分是前期监管实践的一次阶段性总结的话，也相信其会在一定程度上在整个立法和监管规划中起到承上启下的作用，在前述完成阶段性总结的使命基础上，为后续《数据安全法》和《个人信息保护法》的起草和出台准备更丰富的监管经验和立法素材。

《管理办法》赋予了执法机关广泛的数据获取权限，其中第二十七条规定“网络运营者向他人提供个人信息前，应当评估可能带来的安全风险，并征得个人信息主体同意”，但“执法机关依法履行职责所必需”属于例外情形之一；第三十六条进一步规定“国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要，依照法律、行政法规的规定，要求网络运营者提供掌握的相关数据的，网络运营者应当予以提供。”

与《规范》第5.4条“征得授权同意的例外”中列出的具体情形[3]相比，《管理办法》的上述规定明显过于原则。“依法履行职责所必需”以及“履行维护国家安全、社会管理、经济调控等职责需要”，都是十分宽泛的表述。虽然说后者通过“国务院有关主管部门”进行了主体层级上的限定，但总体上仍赋予了监管部门相对广泛的执法裁量权。我们建议在后续定稿规范或在相关的法规规章中，对监管部门获取企业数据、个人信息的程序和权限加以规范，在实现国家安全和社会管理等利益的同时，维护程序正义，保护数据主体和收集数据企业的合法权益。

《管理办法》第二十八条无疑是本次征求意见稿中尤为引人注目的一个条款，其中规定：网络运营者发布、共享、交易或向境外提供重要数据前，应当评估可能带来的安全风险，并报经行业主管监管部门同意；行业主管监管部门不明确的，应经省级网信部门批准。向境外提供个人信息按有关规定执行。

就该事项，《网络安全法》第三十七条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

从条文来看，《网络安全法》仅仅将适用主体限定在了“关键信息基础设施运营者”，而且只需安全评估，没有规定须“报经行业主管监管部门同意”或“应经省级网信部门批准”。对于这个“突破”，到底是规章超越了上位法的授权权限新设了一个“行政许可”事项，或是增加了企业主体的义务，还是在上位法设定的权限范围内通过部门规章的形式细化了行政管理措施？这的确是很值得讨论的一个问题。当然，另一个解释路径是国家网信部门会同国务院有关部门依据《网络安全法》授权制定的评估办法中可能会明确此报批程序。

在网络安全、个人信息保护和数据合规立法领域，根据业界的普遍反映，每出台一项新的制度文件，基本都会给相关行业的企业实体增添新的义务和要求，并导致企业合规成本的不断增加。野蛮生长的草莽英雄时代，很多产业实践的确需要通过建立新的规则体系予以规制，但其中创新与约束、发展与规制、私利和公益等一系列矛盾诉求的权衡和平衡，必定是立法中非常具有挑战性却又无法回避的现实。

与传统的监督检查、定期汇报和审查批准等执法和监管方式相对应，近些年在社会经济活动的行政规制领域逐渐形成了社会共治和政府与企业合作治理的共识，并已经体现在众多的立法和执法活动中。在数据经济时代，大数据凸显其巨大的潜在利用价值，但又囿于个人信息和隐私数据保护的高度合规要求，因此合作治理和激励相容[4]的政策和监管模式，就尤其能体现其适用价值。值得欣慰的是，《规范》在其生效实施之后，在调动企业主体积极构建个人信息保护的内控合规制度、引导主动守法和降低执法成本等方面，都发挥了相当正向的作用。

本次《管理办法》第三十四条一定程度上也体现了这样的立法思路，其中规定：“国家鼓励网络运营者自愿通过数据安全管理认证和应用程序安全认证，鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序。国家网信部门会同国务院市场监督管理部门，指导国家网络安全审查与认证机构，组织数据安全管理认证和应用程序安全认证工作。”

我们有理由相信，如果有更多的类似规章和政策不断引导并形成良性推动，政府和企业各司其职，共同治理模式下的中国个人信息保护和数据安全治理环境值得期待。

法律即规则，法律体系由法律基础理论和法律具体规则构成。欧洲以基本人权理论为出发点构建了GDPR为主导的严格的个人数据处理活动法律框架。美国也以Fair Information Practice Principles（FIPP）为基础理论支撑，形成了极具美国特色的以Federal Family Educational Rights and Privacy Act (FERPA)、Children's Online Privacy Protection Act (COPPA)、Fair Credit ReportingAct (FCRA)以及Gramm-Leach-Bliley Act (GLBA，也即Financial Modernization Act of 1999)等法律为基础的部门化立法模式。

与此相对应的，我国在个人信息和隐私数据保护方面的基础理论上却显得相对滞后——虽然2009年《侵权责任法》首次在法律中确立了隐私权的法律地位，以及2017年公布的《民法总则》首次对隐私权和个人信息采取了“二元”保护模式。总体而言，2017年《网络安全法》出台以来陆续落地的一系列法规和规章文件，包括《管理办法》和《儿童个人信息保护规定》，立法和监管机构基本是以相对实用主义的路径设立了以现有互联网生态为主要规制对象的一套规则体系。随着《民法总则》人格权篇、《个人信息保护法》和《数据安全法》的陆续到位，个人信息、隐私权和数据资产等基本概念和理论框架的逐渐完备，相信我们国家可以建立一整套理论和规则协同配合的完整监管体系。

虽任重道远，但步伐坚定而清晰。

[1]有关《规范》在实务中的适用效力和实际运用，可参见许可：《<个人信息安全规范>的效力与功能》，载于《中国信息安全》2019年第四期。

[2]一个可以参考的立法案例是，2014年5月原国家食药总局曾发布《互联网食品药品经营监督管理办法》（征求意见稿），试图将食品（含食用农产品、食品添加剂）、保健食品、药品、化妆品和医疗器械进行“五位一体”的统一立法，但由于这些产品类别之间的明显差异，监管政策的多样性，尤其是药品监管的特殊性，以及处方药网售是否开禁的巨大争议等，使得统一规定不仅在立法技巧上形成极大挑战，规章通过之后的实施效果也被严重质疑。经过数次审议，该办法最终不了了之，原国家食药总局最终也选择就不同品类产品出台单行的监管规则。

[3]《规范》1.0版本第5.4条和《规范》2.0版本征求意见稿第5.7条。而且，《规范》里面除了国家安全和公共利益等事由之外，单独列明的是司法程序中的“犯罪侦查、起诉、审判和判决执行等直接相关”，而非《管理办法》中所述的“执法机关依法履行职责”。

[4]有关激励相容治理模式的讨论，可参考周汉华：《探索激励相容的个人数据治理之道》，载于《法学研究》2018年第2期。文章认为，传统法律理论认为，法律是主权者的命令，是必须遵守的规范，令行禁止是其基本特征。因此，传统立法规制方式通常是命令控制方式，表现为禁止性规范或者义务性规范，要求被管理对象不得或者必须为某些特定行为。这种规制方式有很多弊端，包括：要求很强的执法能力，否则命令会被普遍漠视；由于信息不对称，这种命令可能与市场规律脱节，遏制市场主体创新能力与守法诱因；执法部门权力过大，可能会导致选择性执法或者“执法俘获”等问题。

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

16. “108号公约”全文翻译（DPO沙龙出品）

17. 美国司法部“云法案”白皮书全文翻译（DPO社群出品）

18. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）
    

    
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

10. 第十期数据保护官沙龙纪实：数据融合可给企业赋能，但不能不问西东

11. 第十一期数据保护官沙龙纪实：企业如何看住自家的数据资产？这里有份权威的安全指南

12. 第十二期数据保护官纪实：金融数据保护，须平衡个人隐私与公共利益
    

    
    

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

10. 日本拟效仿德国：对IT巨头非法收集个人信息适用“反垄断法”

11. 扎克伯格最新愿景：将Facebook打造成“关注隐私的社交网络“

12. 德国最高数据保护官员就美国“云法案”提出警告
    

    
    

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）

11. 从Android Q看安卓系统的授权机制的三次重大演进（DPO社群成员观点）

12. APP安全认证公告和实施规则解读：治理思路的创新与多样化（DPO社群成员观点）

13. 从数据融合角度分析CNIL处罚谷歌案（DPO社群成员观点）

14. 历史和国际比较视角DPO法律制度探源（DPO社群成员观点）

15. 谷歌数据融合合规之路：从欧盟监管机构调查与处罚来看——上篇（DPO社群成员观点）

16. 数据保护官岗位角色技术能力分析（DPO社群成员观点）

17. 中国企业境外投资中儿童个人信息保护（DPO社群成员观点）

18. 企业上市过程面临的数据合规问题和相关风险：境内篇（DPO社群成员观点）

19. 企业上市过程面临的数据合规问题和相关风险：境外篇（DPO社群成员观点）
    

20. 数据保护岗位需求与能力发展（DPO社群成员观点）

21. DPO互助平台对企业数据治理实务的指导（DPO社群成员观点）

22. 对网络安全负责人岗位的思考（DPO社群成员观点）

23. 结合良好实践，细说APP自评估指南之一（DPO社群成员观点）

24. 《个人信息安全规范》的效力与功能

25. 结合良好实践，细说APP自评估指南之二（DPO社群成员观点）

26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

27. 实施已满三月，区块链新规“回头看”（DPO社群成员观点）

28. 从“布拉格提案”看美国政府的策略

29. 《欧盟GDPR合规指引》前言：从一个损毁的雕像说起

30. 对《网络安全审查办法（征求意见稿）》的几点观察