12月15日,网络数据安全管理条例征求意见稿内部研讨会通过腾讯会议线上举行。会议主要就《网络数据安全管理条例(征求意见稿)》展开交流,为立法进一步完善提供智力支撑。中央网信办网络法治局法律事务处处长李民,来自北京航空航天大学、中国社会科学院、中国法学会法治研究所、中国信息通信研究院、清华大学、北京师范大学、中山大学、北京理工大学、北京邮电大学、西南政法大学、上海师范大学、华南师范大学、中央民族大学的十多位多位专家学者出席本次研讨会。
首先,由北京航空航天大学法学院院长、中国网络与信息法学研究会副会长龙卫球教授致欢迎辞。龙卫球院长欢迎领导同志以及专家学者的到来,接着分享了自己关于这部条例的几点看法:一是要充分把握《条例》制定的三部上位法依据(《网络安全法》《数据安全法》《个人信息保护法》);二是明确各行业、各环节管理主体的职权分工;三是对管理实践中可能遇到的难题进行细化、回应。最后,龙院长祝愿会议取得圆满成功。
北京航空航天大学副院长周学峰教授谈到,今天的研讨对象是《网络数据安全管理条例》,立法依据是网安法、数安法、个保法三部法律,立法难度非常高,信息量也非常大。自从中央网信办发布征求意见稿以来,很多专家学者都在以不同的方式对这部条例表达一些意见和看法,与会很多学者都是国内从事网络信息安全一线研究非常前沿的权威专家,希望大家能够畅所欲言、各抒己见。
中国社会科学院法学研究所研究员支振锋研究员在发言中指出,《条例》中规定了许多有意思的制度,但一些基本问题仍然需要进一步明确,例如《条例》所依托的三部法律有许多规定比较粗糙,并且在互联网治理领域,我们需要向“并排跑”和“领跑”的方向努力。
北京理工大学法学院洪延青教授谈到,当前制度框架中存在许多待完善的细节,比如合规的变量、范围、程度,各省市报告模板的统一等问题。此外,洪延青教授认为需要从整体数据竞争战略出发,协调处理国内法治和涉外法治。
中国法学会法学研究所研究员刘金瑞老师就条例背后的基本理论逻辑和上位法依据谈了反思性认识,并就条例重要数据管理制度提出了完善建议。
中国信通院方禹主任认为,《数据安全法》和《个人信息保护法》立法路径不同,前者是“总分式”,后者是“分总式”。《数据安全法》需要在分类分级、重要数据管理等配套制度方面进一步完善,目前把数据分为一般数据、重要数据,无法满足实践层面和下一步推进的管理工作需求。此外,方禹主任就数据泄露通知的法律制度谈到自己的看法,这一规定体现了数据安全的思路,值得肯定,但在数据泄露的认定以及数据安全风险的避免方面需要在法律设计上予以明确。
北京师范大学互联网发展研究院院长助理吴沈括老师指出,《条例》的重要启示是,在数据合规体系的设计方面,呈现出“大合规”的整体特点,超越了垂直的网络安全合规、数据安全合规、个人信息保护合规单维度方案。他认为条文设计需要注重监管效果导向,体系化整合规则需求,在操作规则细化层面进一步明确推进。
北京邮电大学人工智能法律研究中心主任、副教授崔聪聪老师提出了三点修改意见,《条例》第五条目前来看只给出了分级,可以考虑从个人、企业和国家的角度进行分类,第二十二条建议增加删除的例外,在法律规定的保存期限内的数据即使用户申请也不得删除,第四十六条“无正当理由,不得进行差异化定价”的规定建议调整为“故意”,从主观层面进行校正。
中央民族大学法学院副教授朱芸阳老师从三方面进行了分享,首先是《条例》与三部上位法的协同问题,比如在整个《条例》中,有大量的主体称谓,但它们存在的标准和角度是不一致的,还有数据处理行为、举证责任承担等方面内容,与上位法不协调甚至存在冲突。其次,不同条例之间也涉及到协同的问题,比如企业数据和政务数据是否也包含在规制范围内。再次,隐私政策是否需要评估或备案值得商榷,从未来数字经济的整体发展大局来看,监管内容和数据本身重要性相匹配似乎更为合理。
中山大学法学院谢琳副教授认为网络安全管理立法无需太过细致,过于细致反而没办法预见未来的一些发展,也没办法给企业以及数据治理留下合理空间。比如,《条例》中“不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息”的规定可以考虑予以删除,留待执法机关灵活处理。原因在于,我国《个人信息保护法》虽未规定可免除同意的私人合法利益豁免,但未来仍有可能通过立法目的及《民法典》相关规定(如第九百九十八条)进行合理的利益平衡。再如数据处理者在采用自动化工具访问、收集数据时对是否影响网络服务正常功能的评估义务,实质上由被访问者采取相应禁止访问措施更为合适。《条例》规定不宜过细,在数据可携权方面,《条例》未要求“直接传输”,仅规定“转移”,便较好地留下了灵活处理空间。
在第二单元,其他一些青年老师也分享了自己的看法。北京航空航天大学法学院助理教授、工业和信息化法治战略与管理重点实验室办公室主任赵精武谈到,在《条例》的完善与适用过程中,要解决好重要数据和个人信息区分问题,并对大家表示欢迎。
北京理工大学法学院副教授陈姿含老师认为:第一,在立法原则方面设置方面,在精细化的同时,协同多种利益时,应当体现价值选择的位阶设置;第二,明确管理权限时,应当具有未来面向,防止管理者成为行政诉讼的靶子;第三,在分级分类制度中,进一步明确一般数据、重要数据、核心数据和个人信息、公共利益概念的对接,目前将个人信息放置在数据分类体系下,存在一定的混乱,并且有可能造成个人信息保护法领域中立法手段的倒退。
清华大学法学院助理研究员刘云老师认为,条例对与支撑《数据安全法》《个人信息保护法》的实施具有重要意义,在具体制度上做了务实的探索。但是,他认为内容安全和数据安全分别由不同的法律制度提供保障,在条例中应当将内容安全的规定纳入到《互联网信息服务管理办法》中予以规定。此外,对于单独同意,需要进一步协调用户协议中的同意和个人信息处理规则的同意,在合同所必须、个性化推荐中解释同意的效用。
上海师范大学法学院副教授吴玄老师同样对个人信息和重要数据的区分有一些困惑。这两个范畴的侧重点不同,但又不是截然分开,很可能部分个人信息就属于重要数据,而对于重合部分采取怎样的形式加以保护,目前的《条例》语焉不详。
华南师范大学法学院研究员、数字政府与数字经济研究中心主任马颜昕老师关于公共数据界定提出了自己的看法。《条例》中的定义较为宽泛,使得规制范围处于一个非常不确定的状态之下,不利于公共数据的精细化管理。此外,还有必要建立一个程序机制,通过事先程序规定明确公共数据范围。与此相关联的是第五十二条规定,当前表述容易与一般性数据调取制度产生混淆。在其他具体条文方面,马颜昕老师也给出了具有建设性的个人修改建议。
中国社会科学院法学研究所助理研究员徐玖玖围绕第43条规定的披露制度和隐私政策的公示规定、“对用户权益有重大影响”的界定等问题展开讨论。徐玖玖助理研究员结合《个人信息保护法》《电子商务法》等法律法规,提出增加关于披露制度应当便于查阅和保存的要求,并且应与个保法关于个人信息处理者告知义务的例外规定相衔接,增加关于公示期的例外规定,进一步细化关于“对用户权益有重大影响”的具体情形。
西南政法大学人工智能法学院谭玲老师主要针对第四十四条网络平台先行赔偿制度展开讨论,这一条第二款的规定较为模糊,如果它指的是第三方产品和服务因数据安全给用户人身财产造成损害的,用户可以要求互联网平台运营者先行赔偿,但如果是对用户数据安全造成损害,该请求赔偿缺乏上位法支撑。希望《条例》发布时可以进一步明确。
最后,北航法学院副院长、教授周学峰以及助理教授赵精武对老师们的精彩发言进行简要总结,并对各位专家学者的参与表示衷心感谢。2021年是我国网信领域立法非常重要的一年,先后有《数据安全法》和《个人信息保护法》两部重要的法律出台,内容丰富,规制范围广。本次会议中,许多专家的发言为《网络数据安全管理条例》的完善提出了宝贵意见,北航法学院和工业和信息化法法治战略与管理重点实验室将进行汇总,呈报中央网信办,为这部落实三部法律的重要条例的出台作出些许贡献。
