浅谈《网络数据安全管理条例》内容特色及创新
促进网络数据依法合理有效利用
——浅谈《网络数据安全管理条例》内容特色及创新
《网络数据安全管理条例》通过平衡数据利用与保护之间的关系、精准定位规范对象等,进一步规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益。
9月24日公布的《网络数据安全管理条例》(以下简称《条例》),自2025年1月1日起施行。《条例》进一步规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益。
党的二十届三中全会强调,提升数据安全治理监管能力,建立高效便利安全的数据跨境流动机制。近年来,随着信息技术和人们生产生活交汇融合,数据处理活动更加频繁,数据安全风险日益聚焦在网络数据领域,违法处理网络数据活动时有发生,给经济社会发展和国家安全带来严峻挑战。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》对数据安全和个人信息保护制度作了基本规定。为了进一步贯彻落实上述法律实施,规范网络数据处理活动,《条例》应运而生。它对原有网络数据保护规范体系立法价值与理念进行重申,将数据处理风险管控作为重点予以规范;对原有保护规范体系内容进行解释发展,如对个人信息处理活动中的权利作了更细致的规定;增补新内容,弥补原有保护规范的空白,如针对生成式人工智能、平台算法造成的“价格歧视”等新问题作了规定。
内容特色
平衡数据利用与保护之间的关系。数据承载着个人精神利益、企业及其他组织财产利益、社会公共利益,具有私益与社会公益的双重属性。传统的保护模式倾向于将利益通过赋权形式明确权利主体,并在权利遭受侵害后提供事后救济渠道。而数据的社会公益属性要求其充分流通,完全交由数据主体自主支配将阻碍其融通。因此,传统“赋权+事后救济”的静态模式并不适用于当下数据的保护。为此,《条例》第一条的相关规定,坚持网络数据依法合理利用与权益保护并重,这与我国长期以来的数据相关立法精神一脉相承。
精准定位规范对象。《条例》第一条明确了网络数据处理活动规范的对象,“附则”部分对相关概念进行了解释。其中,“网络数据”指通过网络处理和产生的各种电子数据。电子数据是信息社会最主要的数据形式,强调网络数据有利于明确监管重点。“网络数据处理活动”指网络数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。这包含目前主流的数据处理行为,“等”字使得开放、共享、披露、归集等其他数据处理行为也囊括其中。“网络数据处理者”,指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织。它包括自然人、法人与非法人组织,从性质上看既包括市场主体也包括公共管理机构,强调处理目的和方式的自主决定,有利于和数据处理受托者进行区分。
拓展治理覆盖面。这主要体现为以下三方面:第一,《条例》融合个人信息与重要数据保护规定。个人信息保护法规定了个人信息保护相关内容,网络安全法、数据安全法分别提出了“重要数据”概念,《条例》在此基础上以专章形式对个人信息保护和重要数据安全作了系统性规定。第二,完善数据处理全周期监管体系。为保障数据安全,《条例》构建了严密的事前、事中、事后监管体系。事前制度措施包括要求网络数据处理者建立网络数据安全管理制度、采取各式技术手段保护数据免遭侵害、处理个人信息时的告知同意、委托数据处理时应当通过合同约定处理者与受托人义务等;事中制度措施包括定期的网络数据安全风险监测、评估、通报等;事后制度措施包括启动预案、采取措施防止危害扩大、向有关主管部门报告、受理并处理安全投诉、举报等。第三,建立网信部门统筹协调的综合执法联动机制。《条例》第四十七条规定了国家网信部门、公安机关、国家安全机关、国家数据管理部门、各地区各部门的数据安全保护职责,要求国家网信部门负责统筹协调网络数据安全和相关监督管理工作。这有利于解决网络数据安全保护存在的“九龙治水”问题。
主要创新
总体来看,《条例》在网络安全法、数据安全法、个人信息保护法规定内容外,主要有四方面创新性:
细化个人信息转移权。个人信息保护法第四十五条规定了个人信息转移权,但实践中个人信息转移涉及处理者商业秘密、数据财产利益等。《条例》第二十五条则从行使该权利的主体(验证请求人的真实身份)、行使的合法性前提(限于本人同意提供或基于合同收集情形)、现实的可行(技术可行性)、限度(不损害他人合法权益)等方面对个人信息转移权的内容进行了丰富、细化。这有利于司法适用,也为现实数据融通提供了可行的渠道。
建立重要数据目录制。《条例》第二十九条规定了重要数据目录制。网络数据具有场景化的特征,不同行业、领域网络数据涉及的利益不同,因此,重要数据的认定应结合处理的场景、考虑其利益的影响性综合认定。法律法规不宜对重要数据类型作封闭式规定,而重要数据目录制可以为网络处理者提供更清晰的标准。此前,目录制已在我国数据处理领域被采用,如《全国公共信用信息基础目录》即明确了公共信用信息的范围。
规制生成式人工智能与算法。《条例》第十九条、第四十六条分别对生成式人工智能的数据安全管理、大型网络平台服务者有关网络数据、算法及平台规则的相关禁止行为等进行规定。生成式人工智能属于新兴技术,此前数据立法较少涉及;由算法引发的“价格歧视”现象此前引发了全社会的关注。《条例》对此进行规制,有利于及时回应群众关切,强化对新技术带来的风险进行提前预判。
降低企业数据安全保护成本。《条例》第五十一条、第五十二条对数据安全检查费用、评测与方式、内容互信作了规定。这有利于企业减少不必要的开支,塑造良好的营商环境。
(作者单位:湘潭大学法学学部、信用立法研究中心)