節前重磅文件釋放!減輕平臺義務,放寬數據流通限制

21世紀經濟報道記者 王俊 馬嘉璐 肖瀟 北京報道

國慶節前,一份網絡數據領域重磅文件釋放,《網絡數據安全管理條例》(以下簡稱《條例》)正式公佈。

這份文件已醞釀三年,2021年11月公佈徵求意見稿,對數據分類分級、個人信息保護、數據跨境、互聯網平臺運營者義務都做出了較爲細緻的規定。

這三年,互聯網行業發展以及監管環境均發生了變化。 21世紀經濟報道注意到,此次公佈的《條例》與徵求意見稿相比做了大幅調整,比如刪掉了“處理一百萬人以上個人信息的數據處理者赴國外上市需做網絡安全審查”、刪除“大型互聯網平臺運營者修訂平臺規則、隱私政策等需經過評估以及主管部門同意”等

正式公佈的《條例》明確了網絡數據處理者處理1000萬人以上個人信息的,屬於重要數據處理者;明確大型網絡平臺服務提供者應當每年度發佈個人信息保護社會責任報告;新增要求,大型網絡平臺服務提供者不得無正當理由限制用戶訪問、使用其在平臺上產生的網絡數據;新增要求,提供生成式人工智能服務的網絡數據處理者應當加強對訓練數據和訓練數據處理活動的安全管理......

整體來看,《條例》進一步減輕了平臺合規負擔,放寬了限制,促進數據流通。受訪專家稱體現了監管的靈敏性,充分促進產業發展的需求和安全平衡。

處理個人信息達1000萬門檻即爲重要數據處理者

近年來,隨時互聯網、數據要素市場的發展,網絡、數據領域文件密集,但是《條例》屬於行政法規,位階高。此前受訪專家指出,該條例相當於航空母艦的文件,細化、補充了《網絡安全法》、《數據安全法》和《個人信息保護法》三部上位法的規定。

相較於徵求意見稿,《條例》進行了很大的調整,北京師範大學法學院副教授、中國互聯網協會研究中心副主任吳沈括表示,文件做了很大的改進與優化,充分與產業發展、安全要求匹配。

具體來看,《條例》要求,網絡數據處理者向其他網絡數據處理者提供、委託處理個人信息和重要數據的,應當通過合同等與網絡數據接收方約定處理目的、方式、範圍以及安全保護義務等,並對網絡數據接收方履行義務的情況進行監督。向其他網絡數據處理者提供、委託處理個人信息和重要數據的處理情況記錄,應當至少保存3年。

隨着生成式人工智能發展,《條例》也新增了相關要求:提供生成式人工智能服務的網絡數據處理者應當加強對訓練數據和訓練數據處理活動的安全管理,採取有效措施防範和處置網絡數據安全風險。

值得注意的是,《條例》此次明確,網絡數據處理者處理1000萬人以上個人信息的,還應當遵守本條例第三十條、第三十二條對處理重要數據的網絡數據處理者作出的規定。清律律師事務所首席合夥人熊定中解釋稱,達到1000萬門檻就推定構成爲重要數據處理者。

此外,處理1000萬人以上個人信息的,還應當履行明確網絡數據安全負責人和管理機構等義務。

不得在個人明確不同意處理個人信息後,頻繁徵求同意

在《個人信息保護法》確立的基本原則和規則基礎上,《條例》根據具體場景進一步細化相關個人信息保護要求。

個人信息保護中,落實用戶同意是關鍵。《條例》要求,網絡數據處理者基於個人同意處理個人信息的,不得超出個人同意的個人信息處理目的、方式、種類、保存期限處理個人信息;不得在個人明確表示不同意處理其個人信息後,頻繁徵求同意;個人信息的處理目的、方式、種類發生變更的,應當重新取得個人同意等。

對於個人行權,《條例》針對個人信息主體需要轉移個人信息行使個人權利的問題,明確規定了實施個人信息轉移的條件,並且要求網絡數據處理者應當爲個人信息主體行使相關權益提供可落地的具體路徑。

在刪除權的落地方面,《條例》明確了“十五個工作日”的時間要求,如因業務複雜等原因,在十五個工作日內刪除個人信息確有困難的,數據處理者不得開展除存儲和採取必要的安全保護措施之外的處理,並應當向個人作出合理解釋。

與徵求意見稿相比,《條例》放寬了一些要求,比如徵求意見稿中要求處理個人信息“限於實現處理目的最短週期、最低頻次,採取對個人權益影響最小的方式”,彼時有專家指出週期多短算短、頻次多低算低等的落地仍存在很大的彈性。此次《條例》中刪除了該要求。

大型平臺不得無正當理由限制用戶訪問、使用其在平臺上產生的網絡數據

《條例》設專章規定了互聯網平臺運營者應當履行的數據安全相關義務,包括應當建立與數據相關的平臺規則、隱私政策和算法策略披露制度,及時披露制定程序、裁決程序,保障平臺規則、隱私政策、算法公平公正。

此前徵求意見稿中,對於日活用戶超過一億的大型互聯網平臺運營者,其平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂的,應當經國家網信部門認定的第三方機構評估,並報省級及以上網信部門和電信主管部門同意。

即平臺規則、隱私政策等的制訂、變更不再是平臺自己的事情,而需經評估、報相關部門同意,平臺的合規壓力較大。此次《條例》中刪減了該條款。

不過,對大型平臺如何利用網絡數據、算法、規則,《條例》做出了明確的要求,包括:不得利用網絡數據、算法以及平臺規則,通過誤導、欺詐、脅迫等方式處理用戶在平臺上產生的網絡數據;無正當理由限制用戶訪問、使用其在平臺上產生的網絡數據;不得對用戶實施不合理的差別待遇,損害用戶合法權益等。

“無正當理由限制用戶訪問、使用其在平臺上產生的網絡數據”這一條款,或將促進平臺上的中小企業公平獲取數據。

“實踐中,一些電商平臺的商家,對於自身在平臺上的數據只有付費才能使用,一些主播對於自身在平臺的流量等數據也無法掌握。”廣東財經大學法學院教授姚志偉告訴21記者。

熊定中也表示,在不少平臺的協議裡面,對於用戶使用自己的數據是有不恰當約束規定,司法實踐中也出現了平臺商家把自己的數據填到其他平臺上去,但被平臺處罰而引發糾紛的案例。從此次《條例》的規定可見,以後平臺不得無理由限制平臺的商家使用自己在平臺產生的數據。

放寬數據出境管理要求

近年來數據跨境流動所面臨的國際環境發生了較大變化,數據成爲新型生產要素,其開發利用價值被日益重視。

《條例》特別在第一章總則中指出,要統籌促進網絡數據開發利用與保障網絡數據安全,並積極參與網絡數據安全相關國際規則和標準的制定,促進國際交流與合作。

與徵求意見稿相比,《條例》對數據出境的管理要求有所放寬,體現出對安全和發展間的平衡。今年3月,國家網信辦發佈《促進和規範數據跨境流動規定》(以下簡稱《規定》),此前在徵求意見稿中列舉的落地性措施,在《規定》中已有較爲系統的安排,如申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的實施條件,數據豁免出境的標準,重要數據以及個人信息的出境要求等。《條例》注重對數據跨境的路徑、原則進行法律層面的確認,與《規定》相銜接,體現出二者的協調性。

《條例》第三十七條明確,未被告知或者公開發布爲重要數據的,不需要將其作爲重要數據申報數據出境安全評估。不過,在實踐中仍需注意,即便沒有重要數據,但如果當年出境的數據中包括了累計100萬人以上的個人信息(不含敏感個人信息)或累計1萬人以上的個人敏感信息,也應當申報數據出境安全評估。

此外,《條例》還提出,由國家網信部門統籌協調有關部門,共同建立國家數據出境安全管理專項工作機制。