本报记者 曲忠芳北京报道
近日,据中国政府信息网披露,《网络数据安全管理条例》(以下简称《条例》)公布,将于2025年1月1日起施行。据司法部、国家网信办的相关负责人介绍,近年来陆续出台的《网络安全法》《数据安全法》《个人信息保护法》对数据安全和个人信息保护制度作了基本规定,为了做好法律实施,规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,有必要制定配套的行政法规。正是在这一背景下,《条例》应运而生,它对于个人信息保护、保障重要数据安全等方面进行了重点细化规定,同时进一步优化了数据跨境流动机制。
值得注意的是,《条例》对网络平台服务提供者义务作出了专门规定。对此,北京高勤律师事务所合伙人、律师王源向《中国经营报》记者指出,数字经济不同于传统经济模式的一个重要特点是“平台化”,即掌握大量网络数据的平台成为连接用户和第三方产品及服务提供者的枢纽。
明确界定“大型网络平台”概念
《条例》明晰了网络平台服务提供者义务,压实网络数据安全管理责任。
国家工业信息安全发展研究中心主任蒋艳解读称,当前网络平台利用数据实施不正当竞争、算法歧视等问题日益突出,影响用户合法权益和平台的有序发展。《条例》明晰了网络平台服务提供者的义务,压实网络数据安全管理责任。
《条例》一是明确了网络平台服务提供者、预装应用程序的智能终端等设备生产者第三方安全管理责任,要求其督促平台内第三方产品和服务提供者履行网络数据安全保护责任;二是针对当前个性化推荐服务关闭难、收集个人信息类型多、个人精准画像数据存在滥用风险等问题,《条例》强调设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能,以保障用户合法权益;三是明确大型网络平台服务提供者每年度发布个人信息保护社会责任报告,接受社会各界监督。同时要求平台不得利用数据实施不正当竞争行为,以此维护市场的公平竞争秩序。
王源指出,2021年11月起施行的《个人信息保护法》首次规定了“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的特殊义务,被业内称为“守门人条款”,但是《个人信息保护法》没有对大型网络平台服务提供者进行界定。《条例》则明确了“大型网络平台是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台”。
除明确概念外,在王源看来,《条例》仅整合了《网络安全法》《个人信息保护法》《消费者权益保护法》《反不正当竞争法》等“上位法”(指效力大的法律)规定,并没有新增义务,例如发布年度个人信息保护社会责任报告、保障跨境数据安全、不得对用户进行算法歧视等。
值得一提的是,《条例》第六章第四十条提到“国家鼓励保险公司开发网络数据损害赔偿责任险种,鼓励网络平台服务提供者、预装应用程序的智能终端等设备生产者投保”。王源提醒道,按照《条例》规定,平台方可以向保险公司购买网络数据损害赔偿责任险,但是该险种目前还在探索初期,并不是每个保险公司对网络数据所有安全风险均承保。如果说网络平台服务提供者为网络数据安全“守门人”,则应用商店这些提供应用程序分发服务的网络平台服务提供者则为“守门人”的“守门人”,需要对上架的App开发者或者运营者的网络安全和数据保护管理情况进行核验,很多手机设备厂商同时经营应用商店,且《条例》将设备厂商也纳入规制范围。整体来看,整个平台生态从业者均需要共同遵守网络数据保护义务,平台承担监管、管理、核验责任。
成为各国监管的重要抓手
“从国际案例来看,数字经济中对于大平台的监管均成为各国监管的重要抓手。”
记者随机打开几款包括交通出行、短视频、电商、移动办公等在内的多款用户数过亿的应用软件平台,发现这些平台无一例外地向用户明确而详尽地展示了平台的隐私政策、个人信息收集清单、第三方共享信息清单、个人信息处理规则等信息。《条例》第九章明确规定了相关违规行为法律责任,对于违反《条例》者依据不同条款规定给予责令改正、没收违法所得、罚款、停业整顿、吊销营业执照等不同程度的处罚。
从全球范围内来看,王源指出,中国关于大型网络平台的立法主要借鉴了欧盟《数字市场法》的规定,目前为《个人信息保护法》和《条例》中的原则性规定,主要集中在网络数据安全义务和用户权益保护。欧盟的《数字市场法》是专项立法,专门规定“守门人”义务,对“守门人”从营业额和用户数量两个方面进行界定,且有很多促进交易和数据流动、共享的条款,例如广告数据的使用要求。尽管中国互联网广告业态发达,但除了《反不正当竞争法》的一些原则性规定外,没有具体法律规定。
“从国际案例来看,数字经济中对于大平台的监管均成为各国监管的重要抓手。”王源如是说道。一个最新的例子便是,10月8日,据新华社以及彭博社、《华尔街日报》等多家美国媒体报道,美国司法部正考虑要求谷歌出售部分业务,以减弱谷歌在互联网搜索市场的垄断地位。美国司法部官员近期在一份法庭文件中向联邦地区法官提出建议,应强制谷歌公开其搜索引擎和人工智能产品的底层数据。早在2020年美国司法部就对谷歌发起反垄断调查,去年9月正式发起诉讼,到今年8月经法官裁定谷歌采取非法手段获得互联网搜索和广告市场的垄断地位。目前该案件仍处于审理流程中,预计明年春开启第二阶段审理,以确定阻止谷歌垄断的法律解决方案,有望在明年8月底前作出裁决。
除明晰了大型网络平台的责任外,王源提醒道,《条例》对于“重要数据处理者”也进行了界定。处理1000万人以上个人信息的为重要数据处理者,即使未达到大型网络平台服务提供者的人数标准,也还需要遵守《条例》关于重要数据处理者的规定,《条例》关于重要数据安全的规定细化了《数据安全法》的原则性规定,将来国家层面将逐渐强化、明确重要数据的判定,并纳入国家数据分类分级和重要数据保护机制中,一旦确定了相关行业、领域的重要数据目录,企业需要进行识别和申报。就重要数据处理者而言,企业商业经营行为和国家安全的关系更加密切。
针对如何落实《条例》要求,推动网络数据治理的问题,蒋艳建议:一是汇聚各方力量,推动《条例》纵深落地。二是推动网络数据安全规则指引、标准进一步完善。目前,数据分类分级规则、个人信息安全规范等国家标准已制定实施,重要数据安全管理、敏感个人信息保护等领域多项标准正在研制,工业和信息化、自然资源、金融、教育等领域已制定数据安全管理办法或者数据分类分级规则,为数据安全和个人信息保护工作提供指导。下一步应当鼓励有关主管部门,结合行业实际情况,加快行业领域数据安全相关规则指引、标准的制定实施,以及相关制度的试点工作,推动网络数据治理工作落地落实。三是充分发挥风险评估、检查检测等制度作用。有关部门应加强信息共享,统筹各类检查评估工作,在切实发挥检查评估工作效能的同时,减少网络数据运营者合规成本。