在《數(shù)據(jù)安全法》施行僅2個多月�、《個人信息保護法》剛剛落地生效之際�,為回應網(wǎng)絡數(shù)據(jù)法治化治理的執(zhí)法和適法需求,一部更趨完備��、更具可操作性的法律適用細則正呼之欲出���。
11月14日��,國家網(wǎng)信辦發(fā)布《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》(下稱“征求意見稿”)���,該征求意見稿共計9章75條,以《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等上位法為依據(jù)�,明確建立數(shù)據(jù)分類分級保護制度�,并進一步細化了數(shù)據(jù)處理者對重要數(shù)據(jù)和核心數(shù)據(jù)的保護要求����,以及相關的網(wǎng)絡安全審查情形��,其征求意見的截止時間為2021年12月13日�。
作為正在施行的兩部上位法,《網(wǎng)安法》的網(wǎng)絡安全等級保護制度中已提出了數(shù)據(jù)分類����,《數(shù)安法》中則提出重要數(shù)據(jù)保護目錄以及核心數(shù)據(jù)兩大重要概念。征求意見稿是在《網(wǎng)安法》����、《數(shù)安法》的基礎上,進一步明確���,國家要針對個人信息權益進行重點保護����。
在《數(shù)據(jù)安全法》第三章第二十一條中��,原則性規(guī)定了數(shù)據(jù)分類分級的依據(jù)為在經(jīng)濟社會發(fā)展中的重要程度和遭到篡改��、泄露等情形時的危害程度。
但對于“重要數(shù)據(jù)”的范疇��,《數(shù)據(jù)安全法》并未做出具體界定���。征求意見稿在上述法律的基礎上進行了細化����。
建立數(shù)據(jù)分類分級保護制度
征求意見稿提出�,國家建立數(shù)據(jù)分類分級保護制度。按照數(shù)據(jù)對國家安全�、公共利益或者個人、組織合法權益的影響和重要程度����,將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)���、核心數(shù)據(jù)��,不同級別的數(shù)據(jù)采取不同的保護措施��。
其中明確���,重要數(shù)據(jù)是指一旦遭到篡改���、破壞、泄露或者非法獲取����、非法利用�,可能危害國家安全、公共利益的數(shù)據(jù)��,共包括7類����,如在密碼、生物���、電子信息���、人工智能等領域?qū)野踩⒔?jīng)濟競爭實力有直接影響的科學技術成果數(shù)據(jù)為代表的出口管制數(shù)據(jù)�;電信、能源��、金融等重點行業(yè)和領域安全生產(chǎn)����、運行的數(shù)據(jù)��;國家基礎設施��、關鍵信息基礎設施建設運行及其安全數(shù)據(jù)等����。
由于不同行業(yè)���、不同地區(qū)數(shù)據(jù)分類分級的具體規(guī)則和考慮因素差異巨大���,重要數(shù)據(jù)具體目錄和具體分類分級保護制度的制定權限被予以下放。
征求意見稿稱��,按照國家數(shù)據(jù)分類分級要求��,各地區(qū)�、各部門應對本地區(qū)、本部門以及相關行業(yè)���、領域的數(shù)據(jù)進行分類分級管理�。
根據(jù)《意見稿》����,處理個人信息應當取得個人同意的���,數(shù)據(jù)處理者應當遵守以下規(guī)定:
按照服務類型分別向個人申請?zhí)幚韨€人信息的同意,不得使用概括性條款取得同意��;
處理個人生物識別��、宗教信仰�、特定身份�、醫(yī)療健康、金融賬戶����、行蹤軌跡等敏感個人信息應當取得個人單獨同意;
處理不滿十四周歲未成年人的個人信息����,應當取得其監(jiān)護人同意;
不得以改善服務質(zhì)量��、提升用戶體驗�、研發(fā)新產(chǎn)品等為由,強迫個人同意處理其個人信息����;
不得通過誤導���、欺詐、脅迫等方式獲得個人的同意�;
不得通過捆綁不同類型服務、批量申請同意等方式誘導��、強迫個人進行批量個人信息同意��;
不得超出個人授權同意的范圍處理個人信息���;
不得在個人明確表示不同意后�,頻繁征求同意�、干擾正常使用服務。
尤其是針對個人生物特征����,《意見稿》特別提出,數(shù)據(jù)處理者利用生物特征進行個人身份認證的�,應當對必要性、安全性進行風險評估��,不得將人臉、步態(tài)�、指紋、虹膜���、聲紋等生物特征作為唯一的個人身份認證方式����,以強制個人同意收集其個人生物特征信息��。
更嚴“數(shù)據(jù)出境”監(jiān)管
此外���,《意見稿》對數(shù)據(jù)處理者申報網(wǎng)絡安全審查的情況也作出說明���,包括:
匯聚掌握大量關系國家安全�、經(jīng)濟發(fā)展、公共利益的數(shù)據(jù)資源的網(wǎng)聯(lián)平臺運營者實施合并���、重組����、分立����,影響或者可能影響國家安全的��;
處理一百萬人以上個人信息的數(shù)據(jù)處理者赴國外上市的��;
數(shù)據(jù)處理者赴香港上市����,影響或者可能影響國家安全的����;
其他影響或者可能影響國家安全的數(shù)據(jù)處理活動。大型互聯(lián)網(wǎng)平臺運營者在境外設立總部或者運營中心��、研發(fā)中心����,應當向國家網(wǎng)信部門和主管部門報告。
明確處罰力度
以互聯(lián)網(wǎng)平臺運營者應當建立與數(shù)據(jù)相關的平臺規(guī)則等義務為例���,《意見稿》指出如平臺違反���,由有關部門責令改正,予以警告����;拒不改正�,處五十萬元以上五百萬元以下罰款�,對直接負責的主管人員和其他直接負責人員,處五萬元以上五十萬元以下罰款�;
如互聯(lián)網(wǎng)平臺運營者利用數(shù)據(jù)以及平臺規(guī)則等,進行了違規(guī)活動�,“由有關主管部門責令改正,給予警告���;拒不改正的��,處上一年度銷售額百分之一以上百分之五以下的罰款���;情節(jié)嚴重的,可以責令暫停相關業(yè)務����、停業(yè)整頓、關閉網(wǎng)站���、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照。
歐洲此前的GDPR(《通用數(shù)據(jù)保護條例》)��,處罰力度非常高,高到足夠引起所有的公司重視����。每次違反條例最高處罰金額為該公司年度營業(yè)額的 4%,或者 2000 萬歐元�,取決于哪個數(shù)值更大。
我國對于數(shù)據(jù)保護的決心與力度正在加強:在《意見稿》發(fā)布之前���,我國《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律也有關于數(shù)據(jù)安全管理的規(guī)定���,但法律界人士表示,以上法律在罰款等條款上沒有具體的規(guī)定���。而此次《意見稿》對此進行了細化��。
因而可以預見��,征求意見稿對于互聯(lián)網(wǎng)平臺運營者�,尤其是大型互聯(lián)網(wǎng)平臺運營者設立了較多監(jiān)管措施���,有利于細化并落實三部上位法��。
征求意見稿中有關個人信息保護���、重要數(shù)據(jù)安全����、數(shù)據(jù)跨境安全管理�、互聯(lián)網(wǎng)平臺運營者義務等方面的細化規(guī)定,對于數(shù)字平臺經(jīng)營的合規(guī)風控工作將產(chǎn)生廣泛指引意義�。其落地之后,也將對互聯(lián)網(wǎng)產(chǎn)業(yè)��、數(shù)字生態(tài)���、數(shù)字經(jīng)濟帶來深度的��、生態(tài)性的重組和改造��。
