在《數據安全法》施行僅2個多月���、《個人信息保護法》剛剛落地生效之際,為回應網絡數據法治化治理的執法和適法需求��,一部更趨完備�、更具可操作性的法律適用細則正呼之欲出���。
11月14日,國家網信辦發布《網絡數據安全管理條例(征求意見稿)》(下稱“征求意見稿”)�����,該征求意見稿共計9章75條����,以《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等上位法為依據,明確建立數據分類分級保護制度���,并進一步細化了數據處理者對重要數據和核心數據的保護要求�,以及相關的網絡安全審查情形�����,其征求意見的截止時間為2021年12月13日��。
作為正在施行的兩部上位法,《網安法》的網絡安全等級保護制度中已提出了數據分類��,《數安法》中則提出重要數據保護目錄以及核心數據兩大重要概念�����。征求意見稿是在《網安法》����、《數安法》的基礎上����,進一步明確,國家要針對個人信息權益進行重點保護�。
在《數據安全法》第三章第二十一條中��,原則性規定了數據分類分級的依據為在經濟社會發展中的重要程度和遭到篡改���、泄露等情形時的危害程度。
但對于“重要數據”的范疇��,《數據安全法》并未做出具體界定。征求意見稿在上述法律的基礎上進行了細化�����。
建立數據分類分級保護制度
征求意見稿提出�,國家建立數據分類分級保護制度�。按照數據對國家安全����、公共利益或者個人����、組織合法權益的影響和重要程度��,將數據分為一般數據�、重要數據�����、核心數據��,不同級別的數據采取不同的保護措施。
其中明確��,重要數據是指一旦遭到篡改����、破壞����、泄露或者非法獲取、非法利用,可能危害國家安全�、公共利益的數據���,共包括7類,如在密碼���、生物�����、電子信息、人工智能等領域對國家安全���、經濟競爭實力有直接影響的科學技術成果數據為代表的出口管制數據;電信��、能源�、金融等重點行業和領域安全生產�、運行的數據�;國家基礎設施、關鍵信息基礎設施建設運行及其安全數據等��。
由于不同行業���、不同地區數據分類分級的具體規則和考慮因素差異巨大,重要數據具體目錄和具體分類分級保護制度的制定權限被予以下放����。
征求意見稿稱�,按照國家數據分類分級要求,各地區�����、各部門應對本地區��、本部門以及相關行業�����、領域的數據進行分類分級管理。
根據《意見稿》,處理個人信息應當取得個人同意的����,數據處理者應當遵守以下規定:
按照服務類型分別向個人申請處理個人信息的同意,不得使用概括性條款取得同意��;
處理個人生物識別���、宗教信仰���、特定身份�����、醫療健康、金融賬戶�、行蹤軌跡等敏感個人信息應當取得個人單獨同意;
處理不滿十四周歲未成年人的個人信息�,應當取得其監護人同意�;
不得以改善服務質量��、提升用戶體驗�����、研發新產品等為由�,強迫個人同意處理其個人信息�;
不得通過誤導、欺詐���、脅迫等方式獲得個人的同意;
不得通過捆綁不同類型服務�����、批量申請同意等方式誘導�、強迫個人進行批量個人信息同意�����;
不得超出個人授權同意的范圍處理個人信息���;
不得在個人明確表示不同意后����,頻繁征求同意���、干擾正常使用服務。
尤其是針對個人生物特征���,《意見稿》特別提出,數據處理者利用生物特征進行個人身份認證的��,應當對必要性�、安全性進行風險評估����,不得將人臉��、步態����、指紋、虹膜����、聲紋等生物特征作為唯一的個人身份認證方式�����,以強制個人同意收集其個人生物特征信息���。
更嚴“數據出境”監管
此外,《意見稿》對數據處理者申報網絡安全審查的情況也作出說明�����,包括:
匯聚掌握大量關系國家安全���、經濟發展�、公共利益的數據資源的網聯平臺運營者實施合并�、重組�����、分立����,影響或者可能影響國家安全的;
處理一百萬人以上個人信息的數據處理者赴國外上市的�����;
數據處理者赴香港上市�,影響或者可能影響國家安全的��;
其他影響或者可能影響國家安全的數據處理活動����。大型互聯網平臺運營者在境外設立總部或者運營中心�、研發中心�����,應當向國家網信部門和主管部門報告��。
明確處罰力度
以互聯網平臺運營者應當建立與數據相關的平臺規則等義務為例���,《意見稿》指出如平臺違反�����,由有關部門責令改正����,予以警告��;拒不改正,處五十萬元以上五百萬元以下罰款��,對直接負責的主管人員和其他直接負責人員����,處五萬元以上五十萬元以下罰款���;
如互聯網平臺運營者利用數據以及平臺規則等�����,進行了違規活動�,“由有關主管部門責令改正����,給予警告;拒不改正的�����,處上一年度銷售額百分之一以上百分之五以下的罰款����;情節嚴重的���,可以責令暫停相關業務�����、停業整頓��、關閉網站���、吊銷相關業務許可證或者吊銷營業執照��。
歐洲此前的GDPR(《通用數據保護條例》),處罰力度非常高��,高到足夠引起所有的公司重視��。每次違反條例最高處罰金額為該公司年度營業額的 4%�,或者 2000 萬歐元����,取決于哪個數值更大���。
我國對于數據保護的決心與力度正在加強:在《意見稿》發布之前��,我國《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律也有關于數據安全管理的規定���,但法律界人士表示,以上法律在罰款等條款上沒有具體的規定��。而此次《意見稿》對此進行了細化��。
因而可以預見���,征求意見稿對于互聯網平臺運營者�,尤其是大型互聯網平臺運營者設立了較多監管措施�����,有利于細化并落實三部上位法�。
征求意見稿中有關個人信息保護����、重要數據安全����、數據跨境安全管理��、互聯網平臺運營者義務等方面的細化規定����,對于數字平臺經營的合規風控工作將產生廣泛指引意義���。其落地之后�����,也將對互聯網產業����、數字生態���、數字經濟帶來深度的��、生態性的重組和改造。
