英合说法◇关于《数据安全管理办法（征求意见稿）》的解读

       伴随着云计算、大数据、人工智能的迅猛发展，国内外数据安全事件日发频繁，国家安全与企业数据面临巨大挑战，个人隐私安全问题让人诚惶诚恐。如何通过法律对数据安全进行保障成为国际关注的热点，目前比较全面和先进的立法成果是欧盟在2018年5月发布的《一般数据保护条例》（General Data Protection Regulation）。我国在该问题上也表现为积极的态度，2017年6月1日，我国出台了《中华人民共和国网络安全法》（下称“《网络安全法》”），且《民法典人格权编（草案）》一审稿第六章中对个人信息保护进行了相关规定。另外，在第十三届全国人大常委会立法规划中，《个人信息保护法》和《数据安全法》被列入为“条件比较成熟、任期内拟提请审议的法律草案”。 国家互联网信息办公室发布《办法》，体现了我国迫切地关注数据安全，积极地推进相关立法工作。与此同时，我国也鼓励数据安全有关技术的发展，正如《办法》第三条所述：“国家坚持保障数据安全与发展并重，鼓励研发数据安全保护技术，积极推进数据资源开发利用，保障数据有序自由流动”。

       基于上述立法背景，网络数据的重要性逐渐被突出，甚至被视为一种资产或财产。《办法》中的网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据，而结合保护个人信息的立法初衷，《办法》进一步将个人信息和重要数据的安全作为保护重点。细言之，依据《办法》的规定，以电子或者其他方式记录的能够独立或者与其他信息结合识别自然人个人身份的各种个人信息（包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等），以及一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的重要数据（如未公开的政府信息、大面积人口、基因健康、地理、矿产资源，但重要数据一般不包括企业生产经营和内部管理信息、个人信息等）均是《办法》的规制对象。

       在《网络安全法》对国家网络空间主权的庇护下，针对个人信息和重要数据安全的保护，《办法》第二条第一款规定：“在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动（以下简称数据活动），以及数据安全的保护和监督管理，适用本办法。纯粹家庭和个人事务除外。”该条可理解为《办法》在有关保护网络数据的合法权益领域向前迈了一步，其侧重于对个人信息和重要数据安全的保护。但《办法》在规定上述适用范围的同时也做了两处限制：

       第一，从地域上而言，基于国家网络空间主权，《办法》的适用范围限定于上述数据活动应发生于中华人民共和国境内，不包括香港、澳门、台湾地区。对于境外收集境内数据或境内收集境外数据的行为是否适用《办法》的问题，笔者认为，《办法》主要针对在境内进行数据活动的行为，即以行为发生地或者结果发生地为准，而不是对行为主体的限制。故，境外收集境内数据不能适用，而境内收集境外数据应予以适用，但国家安全或侵犯商业秘密等行为不排除可能违反国家其他法律法规；

       第二，对“纯粹家庭和个人事务除外”的理解问题需要进一步探讨，但笔者认为，结合立法目的进行理解，至少可作如下限制：首先，“纯粹家庭事务”至少可理解为，家庭成员为方便生活、增进家庭成员关系和睦等目的，利用网络开展的数据活动。但若该数据活动涉及营利性行为是否可理解为“纯粹家庭事务”？则可能要另当别论。其次，“纯粹个人事务”至少可理解为个人为提高生活品质需要或便捷生活所开展的数据活动。需要注意的是，笔者认为，由于《网络安全法》的适用范围并没有相关例外情形，因此，对《办法》有关“纯粹家庭和个人事务除外”的理解存在较大的讨论余地，具体适用有待进一步地观望。

       网络运营者掌握着海量用户的个人信息，也是《办法》最主要的规范对象，主要包括网络的所有者、管理者和网络服务提供者。数据收集使用规则是网络运营者开展数据活动的行为规范，《办法》用了7个条文对收集使用规则的制定与公开、内容、要求、限制与例外等方面进行规定，为网络运营者勾勒出了有关收集使用数据制度的基本构架图。具体如下：

3.1 《办法》第七条规定，网站运营者收集使用个人信息，应制定并在其网站、应用程序等产品中分别公开收集使用规则，收集使用规则可体现在隐私政策中，也可以通过其他形式给用户。在实践中，一些手机应用程序已经有公布类似收集使用规则的政策或协议，如某手机购物平台的《隐私权政策》、某外国手机官网的《个人信息的收集和使用》等。

3.2 《办法》第八条列举了收集使用规则应当包含的内容，并提出了“收集使用规则应当明确具体、简单通俗、易于访问”的要求。主要涉及网络运营者与个人信息主体的权利和义务。如前面提到某手机购物平台的《隐私权政策》只能够包含了该公司如何收集和使用、共享、转让、公开披露、保护以及跨境转移个人信息等。

3.3 《办法》第九条、第十条和第二十二条规定，网站运营者收集使用或扩大使用数据时，应告知用户收集使用规则，并经过用户明确同意后，才能收集个人信息。且要求网站运营者严格遵守收集使用规则，并保持网站、应用程序等其他产品收集使用规则的一致性。

3.4 《办法》第十一条规定网站运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品为由，以默认授权、功能捆绑等形式强迫、误导个人信息主体同意收集个人信息。而且更强调，网站运营者不得以个人信息主体拒绝或撤销同意收集上述信息以外的其他信息为由，拒绝提供核心业务功能服务。

3.5 《办法》第二十条规定了用户注销账号应及时删除其个人信息的例外——匿名化处理（即经过处理无法关联到特定个人且不能复原）。

       某种程度上，收集使用规则可被视为网络运营者的“权利义务清单”。数据的处理使用是数据安全的关键部分，因此，要求网站运营者对其数据活动制定收集使用规则，这对个人信息与重要数据安全的保护显得尤为重要。

       《办法》对网络运营者规定了较为严格的责任，侧重于保护个人主体的信息，建立了以网络运营者为中心的责任机制，具体表现如下：

4.1 《办法》第十四条规定，网络运营者从其他途径获得个人信息，与直接收集个人信息负有同等保护责任和义务。对网络运营者而言，无论其获取个人信息的方式如何，只要其掌握了个人信息，则均有对该信息采取同等保护措施的必要。

4.2 《办法》第二十六条规定，网络运营者接到相关假冒、仿冒、盗用他人名义发布信息的举报投诉时，应当及时响应，一旦核实立即停止传播并删除处理。对于假冒、仿冒、盗用他人名义发布信息的情形，网络运营者负有审查和防止损失扩大的义务。

4.3 《办法》第三十条规定，网络运营者对其接入其平台的第三方应用，应明确数据安全要求和责任，督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的，网络运营者应承担部分或全部责任，除非网络运营者能够证明无过错。

       在日常的生活中，网络运营者对其接入其平台的第三方应用的情形也较为常见，如手机支付宝中接入滴滴出行、共享单车、饿了么外卖以及微信支付中接入美团外卖、拼多多等第三方应用。那么，有关两者之间的法律责任应该如何分配的问题是应予以明确的。根据该条的理解，网络运营者对第三方平台的数据收集与使用具有监督义务，并要求网络运营者与第三方平台之间明确数据安全要求和责任。且，在发生数据安全数据时，网络运营者具有推定过错。该条的内容较为重要和丰富，具体适用可待进一步地观察。

4.4 《办法》第三十二条规定，网络运营者兼并、重组、破产的，数据承接方应承接数据安全责任和义务。没有数据承接方的，应当对数据作删除处理。法律、行政法规另有规定的，从其规定。在实践中，不乏与该条相对应的案例。如共享单车行业被网友评价为2018年最大泡沫，美团收购摩拜单车、滴滴出行和阿里巴巴拒绝收购小黄人单车（ofo）并引发的退押金潮。从数据安全的角度而言，当这些共享单车的“鼻祖”在面临经营困难，并引发被兼并、重组、甚至破产时，用户的个人信息应如何保障的问题可能是该条重点要规制的内容之一。

4.5 《办法》第三十七条也规定相应的行政处罚以及刑事责任。网络运营者违反本《办法》的，可能受到行政处罚；构成犯罪的，依法追究刑事责任。

       总体来说，对于网络运营者的法律责任的规定，《办法》结合现实中已发生或存在的问题进行了有针对性的回应。

       结合数据安全本身的特点，《办法》对特殊的个人信息主体、数据安全的管理主体以及网络运营者对数据的使用作了较为独特的规定。具体体现如下：

5.1 未成年人信息保护的年龄线

       《办法》第十二条规定，14周岁以下未成年人个人信息的，应当征得其监护人同意。对未成年人这一特殊主体，《办法》明确网络运营者在收集使用14周岁以下未成年人的个人信息时，应征得监护人的同意；超过14周岁的未成年人，则无此类特殊保护。根据该条的规定，未成年人个人保护的年龄线为14周岁。目前，网络运营者一般是将用户推定为具有相应的民事行为能力，而对“征得监护人同意”的遵守或履行，可能还需要在技术上进行提升。

5.2 数据安全责任人的职权

       《办法》第十七条与第十八条明确了数据安全责任人的职权，并要求数据安全责任人应具有相关管理工作经历和数据安全专业知识的人员担任，赋予数据安全责任人参与有关数据活动的重要决策权，可直接向网络运营者的主要负责人直接报告工作。在一定程度上，该条是明确要求网络运营者应安排一位专门负责数据安全的人员对数据的收集和使用进行管理，以保障个人信息和重要数据的安全。

5.3 “定向推送”

       《办法》第二十三条对“定向推送”进行规定，明确要求网络运营者应以明显方式标明“定推”字样，并为用户提供停止接受定向推送信息的功能。在用户选择停止推送后，网络运营者应停止推送，并删除已经收集的设备识别码等用户数据和个人数据。此外，推送的内容也应符合法律法规、公序良俗、诚实守信等要求。

5.4 “自动合成”

       《办法》第二十四条规定，网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息，应以明显方式标明“合成”字样；不得以谋取利益或损害他人利益为目的的自动合成信息。该条要求网络运营者应将自动合成的信息进行标识之外，还对自动合成的目的进行限制，即不得以谋取利益或损害他人利益为目的，具体适用可待进一步地观察。