节前重磅文件释放!减轻平台义务,放宽数据流通限制

21世纪经济报道记者 王俊 马嘉璐 肖潇 北京报道

国庆节前,一份网络数据领域重磅文件释放,《网络数据安全管理条例》(以下简称《条例》)正式公布。

这份文件已酝酿三年,2021年11月公布征求意见稿,对数据分类分级、个人信息保护、数据跨境、互联网平台运营者义务都做出了较为细致的规定。

这三年,互联网行业发展以及监管环境均发生了变化。 21世纪经济报道注意到,此次公布的《条例》与征求意见稿相比做了大幅调整,比如删掉了“处理一百万人以上个人信息的数据处理者赴国外上市需做网络安全审查”、删除“大型互联网平台运营者修订平台规则、隐私政策等需经过评估以及主管部门同意”等

正式公布的《条例》明确了网络数据处理者处理1000万人以上个人信息的,属于重要数据处理者;明确大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告;新增要求,大型网络平台服务提供者不得无正当理由限制用户访问、使用其在平台上产生的网络数据;新增要求,提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理......

整体来看,《条例》进一步减轻了平台合规负担,放宽了限制,促进数据流通。受访专家称体现了监管的灵敏性,充分促进产业发展的需求和安全平衡。

处理个人信息达1000万门槛即为重要数据处理者

近年来,随时互联网、数据要素市场的发展,网络、数据领域文件密集,但是《条例》属于行政法规,位阶高。此前受访专家指出,该条例相当于航空母舰的文件,细化、补充了《网络安全法》、《数据安全法》和《个人信息保护法》三部上位法的规定。

相较于征求意见稿,《条例》进行了很大的调整,北京师范大学法学院副教授、中国互联网协会研究中心副主任吴沈括表示,文件做了很大的改进与优化,充分与产业发展、安全要求匹配。

具体来看,《条例》要求,网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况进行监督。向其他网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录,应当至少保存3年。

随着生成式人工智能发展,《条例》也新增了相关要求:提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。

值得注意的是,《条例》此次明确,网络数据处理者处理1000万人以上个人信息的,还应当遵守本条例第三十条、第三十二条对处理重要数据的网络数据处理者作出的规定。清律律师事务所首席合伙人熊定中解释称,达到1000万门槛就推定构成为重要数据处理者。

此外,处理1000万人以上个人信息的,还应当履行明确网络数据安全负责人和管理机构等义务。

不得在个人明确不同意处理个人信息后,频繁征求同意

在《个人信息保护法》确立的基本原则和规则基础上,《条例》根据具体场景进一步细化相关个人信息保护要求。

个人信息保护中,落实用户同意是关键。《条例》要求,网络数据处理者基于个人同意处理个人信息的,不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息;不得在个人明确表示不同意处理其个人信息后,频繁征求同意;个人信息的处理目的、方式、种类发生变更的,应当重新取得个人同意等。

对于个人行权,《条例》针对个人信息主体需要转移个人信息行使个人权利的问题,明确规定了实施个人信息转移的条件,并且要求网络数据处理者应当为个人信息主体行使相关权益提供可落地的具体路径。

在删除权的落地方面,《条例》明确了“十五个工作日”的时间要求,如因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。

与征求意见稿相比,《条例》放宽了一些要求,比如征求意见稿中要求处理个人信息“限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式”,彼时有专家指出周期多短算短、频次多低算低等的落地仍存在很大的弹性。此次《条例》中删除了该要求。

大型平台不得无正当理由限制用户访问、使用其在平台上产生的网络数据

《条例》设专章规定了互联网平台运营者应当履行的数据安全相关义务,包括应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。

此前征求意见稿中,对于日活用户超过一亿的大型互联网平台运营者,其平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。

即平台规则、隐私政策等的制订、变更不再是平台自己的事情,而需经评估、报相关部门同意,平台的合规压力较大。此次《条例》中删减了该条款。

不过,对大型平台如何利用网络数据、算法、规则,《条例》做出了明确的要求,包括:不得利用网络数据、算法以及平台规则,通过误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据;无正当理由限制用户访问、使用其在平台上产生的网络数据;不得对用户实施不合理的差别待遇,损害用户合法权益等。

“无正当理由限制用户访问、使用其在平台上产生的网络数据”这一条款,或将促进平台上的中小企业公平获取数据。

“实践中,一些电商平台的商家,对于自身在平台上的数据只有付费才能使用,一些主播对于自身在平台的流量等数据也无法掌握。”广东财经大学法学院教授姚志伟告诉21记者。

熊定中也表示,在不少平台的协议里面,对于用户使用自己的数据是有不恰当约束规定,司法实践中也出现了平台商家把自己的数据填到其他平台上去,但被平台处罚而引发纠纷的案例。从此次《条例》的规定可见,以后平台不得无理由限制平台的商家使用自己在平台产生的数据。

放宽数据出境管理要求

近年来数据跨境流动所面临的国际环境发生了较大变化,数据成为新型生产要素,其开发利用价值被日益重视。

《条例》特别在第一章总则中指出,要统筹促进网络数据开发利用与保障网络数据安全,并积极参与网络数据安全相关国际规则和标准的制定,促进国际交流与合作。

与征求意见稿相比,《条例》对数据出境的管理要求有所放宽,体现出对安全和发展间的平衡。今年3月,国家网信办发布《促进和规范数据跨境流动规定》(以下简称《规定》),此前在征求意见稿中列举的落地性措施,在《规定》中已有较为系统的安排,如申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的实施条件,数据豁免出境的标准,重要数据以及个人信息的出境要求等。《条例》注重对数据跨境的路径、原则进行法律层面的确认,与《规定》相衔接,体现出二者的协调性。

《条例》第三十七条明确,未被告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。不过,在实践中仍需注意,即便没有重要数据,但如果当年出境的数据中包括了累计100万人以上的个人信息(不含敏感个人信息)或累计1万人以上的个人敏感信息,也应当申报数据出境安全评估。

此外,《条例》还提出,由国家网信部门统筹协调有关部门,共同建立国家数据出境安全管理专项工作机制。