在《數(shù)據(jù)安全法》施行僅2個(gè)多月�、《個(gè)人信息保護(hù)法》剛剛落地生效之際����,為回應(yīng)網(wǎng)絡(luò)數(shù)據(jù)法治化治理的執(zhí)法和適法需求����,一部更趨完備����、更具可操作性的法律適用細(xì)則正呼之欲出。
11月14日����,國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》(下稱“征求意見稿”),該征求意見稿共計(jì)9章75條����,以《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》等上位法為依據(jù),明確建立數(shù)據(jù)分類分級(jí)保護(hù)制度�����,并進(jìn)一步細(xì)化了數(shù)據(jù)處理者對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)的保護(hù)要求����,以及相關(guān)的網(wǎng)絡(luò)安全審查情形����,其征求意見的截止時(shí)間為2021年12月13日�。
作為正在施行的兩部上位法,《網(wǎng)安法》的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度中已提出了數(shù)據(jù)分類���,《數(shù)安法》中則提出重要數(shù)據(jù)保護(hù)目錄以及核心數(shù)據(jù)兩大重要概念���。征求意見稿是在《網(wǎng)安法》、《數(shù)安法》的基礎(chǔ)上�����,進(jìn)一步明確��,國家要針對(duì)個(gè)人信息權(quán)益進(jìn)行重點(diǎn)保護(hù)�����。
在《數(shù)據(jù)安全法》第三章第二十一條中���,原則性規(guī)定了數(shù)據(jù)分類分級(jí)的依據(jù)為在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度和遭到篡改����、泄露等情形時(shí)的危害程度。
但對(duì)于“重要數(shù)據(jù)”的范疇����,《數(shù)據(jù)安全法》并未做出具體界定�。征求意見稿在上述法律的基礎(chǔ)上進(jìn)行了細(xì)化。
建立數(shù)據(jù)分類分級(jí)保護(hù)制度
征求意見稿提出���,國家建立數(shù)據(jù)分類分級(jí)保護(hù)制度�。按照數(shù)據(jù)對(duì)國家安全�����、公共利益或者個(gè)人�、組織合法權(quán)益的影響和重要程度,將數(shù)據(jù)分為一般數(shù)據(jù)��、重要數(shù)據(jù)��、核心數(shù)據(jù)���,不同級(jí)別的數(shù)據(jù)采取不同的保護(hù)措施����。
其中明確,重要數(shù)據(jù)是指一旦遭到篡改��、破壞�����、泄露或者非法獲取��、非法利用���,可能危害國家安全����、公共利益的數(shù)據(jù)���,共包括7類�,如在密碼�、生物、電子信息��、人工智能等領(lǐng)域?qū)野踩?���、?jīng)濟(jì)競(jìng)爭實(shí)力有直接影響的科學(xué)技術(shù)成果數(shù)據(jù)為代表的出口管制數(shù)據(jù)���;電信、能源����、金融等重點(diǎn)行業(yè)和領(lǐng)域安全生產(chǎn)、運(yùn)行的數(shù)據(jù)��;國家基礎(chǔ)設(shè)施�、關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)運(yùn)行及其安全數(shù)據(jù)等����。
由于不同行業(yè)、不同地區(qū)數(shù)據(jù)分類分級(jí)的具體規(guī)則和考慮因素差異巨大�,重要數(shù)據(jù)具體目錄和具體分類分級(jí)保護(hù)制度的制定權(quán)限被予以下放。
征求意見稿稱���,按照國家數(shù)據(jù)分類分級(jí)要求�,各地區(qū)��、各部門應(yīng)對(duì)本地區(qū)����、本部門以及相關(guān)行業(yè)���、領(lǐng)域的數(shù)據(jù)進(jìn)行分類分級(jí)管理。
根據(jù)《意見稿》����,處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意的,數(shù)據(jù)處理者應(yīng)當(dāng)遵守以下規(guī)定:
按照服務(wù)類型分別向個(gè)人申請(qǐng)?zhí)幚韨€(gè)人信息的同意��,不得使用概括性條款取得同意����;
處理個(gè)人生物識(shí)別、宗教信仰��、特定身份�、醫(yī)療健康、金融賬戶��、行蹤軌跡等敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意����;
處理不滿十四周歲未成年人的個(gè)人信息��,應(yīng)當(dāng)取得其監(jiān)護(hù)人同意�;
不得以改善服務(wù)質(zhì)量��、提升用戶體驗(yàn)����、研發(fā)新產(chǎn)品等為由,強(qiáng)迫個(gè)人同意處理其個(gè)人信息�����;
不得通過誤導(dǎo)����、欺詐����、脅迫等方式獲得個(gè)人的同意;
不得通過捆綁不同類型服務(wù)����、批量申請(qǐng)同意等方式誘導(dǎo)����、強(qiáng)迫個(gè)人進(jìn)行批量個(gè)人信息同意��;
不得超出個(gè)人授權(quán)同意的范圍處理個(gè)人信息����;
不得在個(gè)人明確表示不同意后,頻繁征求同意���、干擾正常使用服務(wù)��。
尤其是針對(duì)個(gè)人生物特征�����,《意見稿》特別提出���,數(shù)據(jù)處理者利用生物特征進(jìn)行個(gè)人身份認(rèn)證的,應(yīng)當(dāng)對(duì)必要性�、安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估,不得將人臉�����、步態(tài)、指紋���、虹膜����、聲紋等生物特征作為唯一的個(gè)人身份認(rèn)證方式��,以強(qiáng)制個(gè)人同意收集其個(gè)人生物特征信息�����。
更嚴(yán)“數(shù)據(jù)出境”監(jiān)管
此外���,《意見稿》對(duì)數(shù)據(jù)處理者申報(bào)網(wǎng)絡(luò)安全審查的情況也作出說明��,包括:
匯聚掌握大量關(guān)系國家安全�、經(jīng)濟(jì)發(fā)展��、公共利益的數(shù)據(jù)資源的網(wǎng)聯(lián)平臺(tái)運(yùn)營者實(shí)施合并�、重組���、分立�����,影響或者可能影響國家安全的�����;
處理一百萬人以上個(gè)人信息的數(shù)據(jù)處理者赴國外上市的�;
數(shù)據(jù)處理者赴香港上市,影響或者可能影響國家安全的��;
其他影響或者可能影響國家安全的數(shù)據(jù)處理活動(dòng)��。大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營者在境外設(shè)立總部或者運(yùn)營中心����、研發(fā)中心,應(yīng)當(dāng)向國家網(wǎng)信部門和主管部門報(bào)告�。
明確處罰力度
以互聯(lián)網(wǎng)平臺(tái)運(yùn)營者應(yīng)當(dāng)建立與數(shù)據(jù)相關(guān)的平臺(tái)規(guī)則等義務(wù)為例,《意見稿》指出如平臺(tái)違反���,由有關(guān)部門責(zé)令改正��,予以警告�;拒不改正��,處五十萬元以上五百萬元以下罰款,對(duì)直接負(fù)責(zé)的主管人員和其他直接負(fù)責(zé)人員����,處五萬元以上五十萬元以下罰款;
如互聯(lián)網(wǎng)平臺(tái)運(yùn)營者利用數(shù)據(jù)以及平臺(tái)規(guī)則等��,進(jìn)行了違規(guī)活動(dòng)�����,“由有關(guān)主管部門責(zé)令改正����,給予警告;拒不改正的�,處上一年度銷售額百分之一以上百分之五以下的罰款;情節(jié)嚴(yán)重的�,可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓����、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照���。
歐洲此前的GDPR(《通用數(shù)據(jù)保護(hù)條例》)�,處罰力度非常高��,高到足夠引起所有的公司重視�����。每次違反條例最高處罰金額為該公司年度營業(yè)額的 4%����,或者 2000 萬歐元,取決于哪個(gè)數(shù)值更大���。
我國對(duì)于數(shù)據(jù)保護(hù)的決心與力度正在加強(qiáng):在《意見稿》發(fā)布之前�����,我國《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》等法律也有關(guān)于數(shù)據(jù)安全管理的規(guī)定�,但法律界人士表示�,以上法律在罰款等條款上沒有具體的規(guī)定。而此次《意見稿》對(duì)此進(jìn)行了細(xì)化���。
因而可以預(yù)見����,征求意見稿對(duì)于互聯(lián)網(wǎng)平臺(tái)運(yùn)營者,尤其是大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營者設(shè)立了較多監(jiān)管措施�����,有利于細(xì)化并落實(shí)三部上位法����。
征求意見稿中有關(guān)個(gè)人信息保護(hù)、重要數(shù)據(jù)安全����、數(shù)據(jù)跨境安全管理、互聯(lián)網(wǎng)平臺(tái)運(yùn)營者義務(wù)等方面的細(xì)化規(guī)定���,對(duì)于數(shù)字平臺(tái)經(jīng)營的合規(guī)風(fēng)控工作將產(chǎn)生廣泛指引意義��。其落地之后�����,也將對(duì)互聯(lián)網(wǎng)產(chǎn)業(yè)����、數(shù)字生態(tài)、數(shù)字經(jīng)濟(jì)帶來深度的����、生態(tài)性的重組和改造��。
