以数据安全为中主线,廓清筑牢平台规范发展的基线底线︱法经兵言
12月召开的中央经济工作会议强调,必须坚持高质量发展,推动经济实现质的稳步提升和量的合理增长。必须坚持稳中求进,坚持先立后破、稳扎稳打。必须加强统筹协调,坚持系统观念。具体到数字平台经济领域,则是必须坚持安全与发展的统筹,在规范中发展,在发展中规范,实现稳中求进,可持续健康发展。
10月29日,国家市场监督管理总局发布《互联网平台分类分级指南(征求意见稿)》(下称《分类分级指南》)与《互联网平台落实主体责任指南(征求意见稿)》(下称《责任指南》),旨在规范互联网平台经营活动,推动平台经济健康发展;11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》(下称《管理条例》),旨在规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益。这一系列“征求意见稿”的发布,对于保障平台经济活动中的数据安全,促进数据合法有效的流通具有重要意义。
今年以来,与数据有关的法律法规密集出台,其中最具代表性和专业性的当属《中华人民共和国数据安全法》(下称《数安法》)和《中华人民共和国个人信息保护法》(下称《个保法》)。前者确立了“发展与安全并重,以发展促进安全、以安全保障发展”的基本原则。这一原则在《管理条例》第三条中得到进一步细化,提出在数据安全方面要加强数据安全防护能力建设,在数据利用方面要保障数据依法有序自由流动,突出在数据安全基础上有序促进数据合理有效利用的立法目标。后者明确规定了不同主体在处理个人信息时应遵守的基本原则、规则及方式方法,为互联网平台规定了相应的保障和管理个人(数据)信息安全的义务与责任,进一步规范了个人(数据)信息的安全保护与开放利用问题。综合以上相关立法和征求意见稿,可以发现国家相关负责机构已大致勾勒出以数据安全为中主线的互联网平台发展与规范图景。
细化实化平台处理一般数据安全保障义务
作为数据领域的基本法和专门法,《数安法》与《个保法》为数据处理者与个人信息处理者规定了数据与个人信息处理的基本原则、主要规则以及相应的方法措施,构筑起我国在互联网领域,特别是针对平台主体落实数据安全与合规使用的基本法治体系和实施机制。具体而言,《数安法》规定了如下方面的义务:
第一,处理数据应依法依规进行。数据处理者应建立健全全流程数据安全管理制度。数据安全管理应覆盖数据的来源、传输、存储、使用、清理等各个环节。不同环节所面临的风险不同,对应采取的保护措施也不相同。
第二,应组织开展数据安全教育培训。教育培训可以与教育、科研机构和企业等主体合作进行,促进人才交流。
第三,数据处理者可根据数据的重要程度、一旦发生安全事故造成的危害、处理数据的具体场景等因素,采取相应的技术措施等手段保护数据安全,避免对重要程度相对较低的数据采取较为严格的保护措施而阻碍其流通,浪费相应资源。
第四,若是数据处理者利用信息网络处理数据,则需在网络安全等级保护制度的基础上,履行数据安全保护义务。《中华人民共和国网络安全法》第二十一条具体规定了网络安全等级保护制度。根据《信息安全技术网络安全等级保护定级指南》的规定,网络安全等级依据等级保护对象的重要程度等因素可具体分为五个等级。
第五,对于处于未然状态的风险,数据处理者应立即采取补救措施,阻止未然状态的风险变为现实;而对已经发生的安全事件,则需立即采取补救措施,并告知用户,向有关部门报告。
与之相关,在刚实施的《个保法》中也规定,个人信息处理者应在内部管理制度、操作规程、操作权限、教育培训、制定应急预案等方面加强数据安全保护工作,防止未经授权的访问与个人信息的泄露、篡改、丢失等问题。同时,个人信息处理者也应当依据处理目的、方式、个人信息种类、可能存在的风险等因素,采取相应的加密、去标识化等安全技术措施。可见,无论是在《数安法》还是在《个保法》之中,均重视通过分级分类制度、采取相应的保护措施等规定来统筹数据安全与数据利用,避免因过度的数据保护而导致有关主体假借数据安全之名行数据封锁之实,加剧数据孤岛、数据断供、数据垄断等现象。
《管理条例》则针对有关主体,特别是平台主体处理数据信息的安全保障方面的义务做了进一步的细化。
其一,《管理条例》明确了数据安全应当包含数据的完整性、保密性和可用性三个方面,可采取的安全措施包括备份、加密、访问控制等。
其二,《管理条例》进一步落实应如何依据网络安全等级保护的要求履行数据安全保护义务,具体应加强数据处理系统、数据传输网络、数据存储环境等方面的安防问题。
其三,《管理条例》细化了应如何面对潜在的或已经发生的数据安全有关风险。当数据处理者提供的产品或服务存在威胁国家安全、危害公共利益等方面的风险时,数据处理者同样需要采取补救措施以及数据安全应急处置机制以应对潜在的风险。
其四,《管理条例》对数据爬取的问题进行了规定,爬取个人信息后必须在一定时间内将个人信息删除或做匿名化处理,体现了对数据安全与数据利用的平衡兼顾。
规范压实平台处理重要数据的义务与责任
《数安法》确立了数据分类分级保护制度,根据数据的重要程度以及一旦遭受篡改、破坏、泄露或者非法获取、非法利用造成的危害程度分为一般数据、重要数据与核心数据三种类型。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据。然而《数安法》并未对重要数据予以定义,《管理条例》则弥补了这一缺失,通过“概括+举例”的方式,明确重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据,包含未公开的政务数据等七大类型。
在对重要数据的保护上,《数安法》明确有关部门应制定重要数据目录,对重要数据加以保护。重要数据的处理者还应明确数据安全负责人和管理机构,定期对其数据处理活动展开风险评估并向有关部门发送评估报告。《管理条例》与《责任指南》则进一步细化了对重要数据的保护措施。
首先,细化了数据分类分级制度。各地区、各部门在制定重要数据目录的基础上,还应当制定核心数据目录。
其次,处理重要数据的平台应当配备相应的负责人员:处理重要数据的平台应当明确数据安全负责人和管理机构,同时确立了数据安全负责人和管理机构的具体职责。
再次,明确了重要数据的保护方式。数据处理者应当使用密码对重要数据和核心数据进行保护。明确了重要数据的识别、交易规则:重要数据的处理者,应当在识别其重要数据后的十五个工作日内向有关部门备案;交易、委托、共享重要数据,数据处理者应当与另一方就处理数据的目的、范围等问题作出约定,并保存相关记录;数据处理者共享、交易、委托处理重要数据的,应当征得有关部门同意。
最后,在处理重要数据的基本原则上应满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。
《个保法》则将个人信息中的敏感个人信息做了单独的区分,对其处理规则做了特殊规定。相较于一般类型的个人信息,敏感个人信息一经泄露,更容易侵害自然人的人格尊严或人身、财产安全。只有在具备特定的目的与充分的必要,并采取严格保护措施的情况下,方可处理敏感个人信息。处理个人信息应当取得个人的单独同意。
《管理条例》进一步明确,处理敏感个人信息应取得个人的单独同意,并具体到身份认证这一使用敏感个人信息的具体场景,明确数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。这就为进一步规范压实数据处理者,特别是拥有海量复杂数据的互联网平台在保护数据安全和规范数据使用上的义务与责任的设定与落实,提供了科学的具有可操作性的规则与依据。
多法协同统筹平台发展中数据安全与利用
区别于一般的数据处理者,互联网平台一方面通过提供“零价格”服务获取用户的数据,积累了大量数据资源用来优化产品、提升算法,进而获取更高的市场份额。另一方面,数据资源也构筑了市场进入壁垒,初创企业相较于在位企业尽管可能具有技术与理念上的优势,然而,受限于缺少相关的数据资源,可能难以进入相关市场。与此同时,平台一旦占有大量数据,也有可能实施侵害消费者隐私的行为。《个保法》《分类分级指南》《责任指南》及《管理条例》中,均体现了互联网平台应在保障数据安全的基础上,促进数据流通与分享,打破数据垄断、数据封锁的发展理念。
《管理条例》将互联网平台运营者与大型平台运营者进行了区分。其中大型互联网平台运营者用户数量较多,社会动员能力和市场控制能力较强,还会处理大量个人信息与重要数据。相较于普通的平台,大型互联网平台运营者应当委托第三方每年对其数据安全、个人信息保护、数据开发利用等情况进行审计,清晰体现了我国兼顾数据安全与数据开发利用的规制思路。同时,《管理条例》也依据平台运营的业务内容,将提供即时通信服务的平台运营者区分为提供个人通信和非个人通信,对个人通信的信息按照个人信息保护要求严格保护,非个人通信的信息按照公共信息有关规定进行管理,以分类施策来平衡平台所负有的数据安全与享有的数据发展之间的平衡。
《分类分级指南》则将互联网平台分为超级平台、大型平台、中小平台三级。《责任指南》则在此分级基础上,重点对超大型平台经营者的治理进行了规定。超大型平台经营者一方面应加强数据管理、内部治理、风险评估与风险防控,提高平台内经营者合法合规经营的意识,避免出现危害数据安全的行为;另一方面,应积极发挥其公平竞争示范上的引领作用,在与平台内其他经营者竞争时,无正当理由不可使用其他经营者或用户产生的非公开数据。平台自治应坚持平等治理,不得假借“治理”之名而实施“自我优待”行为。基于此,互联网平台应在保障数据安全的基础上,开放生态,努力推动不同平台之间的互联互通,促进数据的流通,促进市场上的创新。
《个保法》则对平台发展所涉及的海量的个人(数据)信息的安全保护与合理利用提供了规制工具,体现了“保护优先”下平衡数据利用的治理思路。譬如《个保法》第四十五条所规定的个人信息可携权,虽然是对个人对其自身信息处分权利的丰富,但是对作为主要的个人信息处理者的互联网平台如何合规开放与利用个人信息(数据)提供了切实可用的工具。
总体看来,我国已认识到并积极搭建促进平台经济规范发展、稳中求进的系统法治构造。为进一步理清和处理好平台发展中数据安全与开放利用的合理配位关系,需切实有效结合《数安法》《个保法》《责任指南》《管理条例》等不同法律法规文件,审慎权衡不同利益,结合数据行为发生的具体场景,针对不同类型、不同周期的数据采取相应的保护措施,对不同类型、不同级别的平台赋予相应的数据安全保障与数据开放利用的义务与责任,搭建多法协同、多工具协力的数据治理体系,以数据安全为中主线,廓清和筑牢平台经济规范发展的基线与底线。
(陈兵系南开大学法学院教授、竞争法研究中心主任,夏迪旸系南开大学竞争法研究中心研究人员。本文系教育部人文社会科学重点研究基地重大项目“全球数据竞争中人权基准的考量与促进研究”的阶段性成果)