法规解析 | 《数据安全管理办法》深度解读

作者：李金招、蒋晓焜

来源：天衡联合律师事务所、JustLegal

2019年5月28日零时，国家互联网信息办公室发布《数据安全管理办法（征求意见稿）》（下称“征求意见稿”）。由于数据监管触及多方利益，《征求意见稿》一经发布，立即引起了广泛关注。笔者尝试对《征求意见稿》的内容作出解读，希望为关注该领域的企业和个人提供帮助。

Part1

一、立法根据

第1条：根据《中华人民共和国网络安全法》等法律法规，制定本办法。

【解读】此处的“法律法规”，笔者认为除了《网络安全法》外，还应包括《国家安全法》。同时，我国十三届全国人大常委会立法规划将《个人信息保护法》和《数据安全法》列为“条件比较成熟、任期内拟提请审议的法律草案”。如果上述两部法律在第十三届全国人大常委会通过后，也将成为《征求意见稿》依据之一。上述法律的层次顺序应为：《个人信息保护法》⊂《数据安全法》⊂《网络安全法》⊂《国家安全法》。

二、立法目的

第1条：为了维护国家安全、社会公共利益，保护公民、法人和其他组织在网络空间的合法权益，保障个人信息和重要数据安全。

【解读】《征求意见稿》的立法目的如上述所示，笔者建议应着重关注“保障个人信息和重要数据安全”的表述，因为《征求意见稿》的内容主要围绕“个人信息”和“重要数据”两方面展开。但令笔者感到困惑的是，根据第十三届全国人大常委会立法规划要求，“个人信息”和“数据安全”将分别以《个人信息保护法》和《数据安全法》的形式出台，也即法律层面意图将两者分开，并制定不同法律。《征求意见稿》却将两者融合，正文中大篇幅规定“个人信息保护”的内容，标题却取“数据安全管理办法”，这在今后立法上是否会出现问题？立法技术上如何调和？值得重视。

三、适用范围

第2条：在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动，以及数据安全的保护和监督管理，适用本办法。纯粹家庭和个人事务除外。法律、行政法规另有规定的，从其规定。

【解读】如何理解此处的“境内”。《电子商务法》在立法范围上将原本的“境内发生或者有境内电子商务经营主体、消费者参与的电子商务活动”改为“境内的电子商务活动”，从而扩大了法律的适用范围。参照《电子商务法》，笔者认为《征求意见稿》的“境内”适用范围同样很广泛，应理解为凡是涉及数据安全的，任何情况发生在境内的，都应适用该法律。此外，《征求意见稿》将“纯粹家庭和个人事务”排除在外，符合世界上的立法通例，以欧盟为代表的GDPR也是将家庭和个人事务排除在适用范围外。《征求意见稿》将“法律、行政法规另有规定的”排除在外，则是为突发状况留下回旋的余地。

四、适用思路

第4条：国家坚持保障数据安全与发展并重，鼓励研发数据安全保护技术，积极推进数据资源开发利用，保障数据依法有序自由流动。

【解读】《征求意见稿》主要思路在于：保障安全、鼓励发展。

五、权力机关

（一）监管机关

第5条：在中央网络安全和信息化委员会领导下，国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作。地（市）及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。

第33条：网信部门在履行职责中，发现网络运营者数据安全管理责任落实不到位，应按照规定的权限和程序约谈网络运营者的主要负责人，督促整改。

【解读】上述两条款的规定分别对应《网络安全法》第8条和56条。《征求意见稿》在《网络安全法》的基础上，细化了网信部门在个人信息和重要数据安全保护领域的指导监督职能，并规定网信部门享有“约谈”“督促整改”的权限。

（二）有关机关

第36条：国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要，依照法律、行政法规的规定，要求网络运营者提供掌握的相关数据的，网络运营者应当予以提供。

国务院有关主管部门对网络运营者提供的数据负有安全保护责任，不得用于与履行职责无关的用途。

第37条：网络运营者违反本办法规定的，由有关部门依照相关法律、行政法规的规定，根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚；构成犯罪的，依法追究刑事责任。

【解读】虽然网信部门是个人信息和重要数据安全保护领域的监管部门，但由于数据的适用范围特别广泛，几乎人人都会产生数据问题，网信部门有限的行政工具无法触及市场各个角落。因此《征求意见稿》开口子规定“国家有关主管部门”基于职责，有要求网络运营者提供数据的权力，并在网络运营者违法本办法规定，有行使行政处罚甚至刑事处罚的权力，以便适应当前行政监管的实务现况。

从文本规定可以看出制定者的无奈和妥协，但笔者不得不指出该条款的规定过于笼统和概括，不能解决实际问题，甚至会造成新的问题。

首先，“国家有关主管部门”指向不明，容易造成多头执法或者相互扯皮，互不监管；

其次，《征求意见稿》对网络运营者的条文规定多达二十余条，如果网络运营者违反此二十多种情形，如何采用包括公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等在内的行政工具措施，没有具体说明，赋予了“有关主管机关”极大的自主裁量权。

再次，“国家有关主管部门”之间如果缺乏沟通协作，是否对于网络运营者的同一问题，会重复作出处罚，从而违反“一事不再罚”原则？

最后，监管机关和有关部门属于何种关系？中央网络安全和信息化委员会的法律定性本身就不明晰，让网信部门作为监管部门，其和其他部门如何协调办工？如果确定行政隶属关系？

可见，监管上存在诸多问题，各种问题都有待厘清。

六、监督对象

第6条：网络运营者应当按照有关法律、行政法规的规定，参照国家网络安全标准，履行数据安全保护义务，建立数据安全管理责任和评价考核制度，制定数据安全计划，实施数据安全技术防护，开展数据安全风险评估，制定网络安全事件应急预案，及时处置安全事件，组织数据安全教育、培训。

【解读】《征求意见稿》第38条第1款规定“网络运营者，是指网络的所有者、管理者和网络服务提供者。”该规定主要沿用《网络安全法》第76条对网络经营者的定义。《征求意见稿》的监督对象实际上囊括了政府机关和非政府机关，将运用网络的相关者都规定在内。同时，《征求意见稿》规定监督对象要履行上述八大义务。对于如何履行八大义务，笔者查看相关资料后发现，《信息安全技术 个人信息安全规范》第9点、第10点对于履行“开展数据安全风险评估”“及时处置安全事件”“组织数据安全教育、培训”已有详细操作指引，网络运营者可按照《规范》要求操作。

笔者认为，上述规定对《征求意见稿》的立法依据、立法目的、适用范围和思路、权力机关和监督对象做了解读，实际上已经对《征求意见稿》的整体框架做了梳理。《征求意见稿》第二章“数据收集”和第三章“数据处理使用”是网络经营者需履行的八大义务的细化规定，实际上还是在上述框架范畴内。

往下笔者将对设立的“数据收集”和“数据处理使用”两章做相应的解读。由于《征求意见稿》主要规定“个人信息”和“重要数据”两方面的内容，在解读前，笔者认为有必要先理清“数据”“个人信息”和“重要数据”的关系。根据《征求意见稿》第38条的规定，所谓的个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息；所谓的重要数据，是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据。其中，重要数据一般不包括个人信息。根据该规定可以理解为，个人信息和重要数据归属于数据的范畴，同时个人信息和重要数据一般互不交叉，并无关联，它们三者的关系如下图所示：

在理解了上述关系图后，我们就可以知道《征求意见稿》第二章“数据收集”和第三章“数据处理使用”，实际上主要是指个人信息和重要数据的收集和处理使用。

Part2

一、数据收集

在数据的收集上，个人信息和重要数据应遵循以下要求：

第一 、重要数据和个人敏感信息要备案

第15条：网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案。备案内容包括收集使用规则，收集使用的目的、规模、方式、范围、类型、期限等，不包括数据内容本身。

【解读】最早天津市在出台《天津市数据安全管理办法（暂行）》（征求意见稿）》时就提出数据要备案，其规定备案的材料应包括：“（一）数据运营者主体信息；（二）数据收集和使用规则；（三）数据收集的目的、方式、范围、类型等，不包括数据本身；（四）采集、传输、存储、处理、使用、保护个人信息和重要数据的应用、系统、平台等资产信息；（五）提供数据安全服务的企业及其人员、产品、技术等信息；（六）其他事关本市数据安全保护工作的信息。”相比之下，《征求意见稿》的备案要求看似较为轻松。然而细究下去仍会发现，备案存在较多值得思考的地方：

首先，《征求意见稿》所指的“以营利为目的”收集数据的网络运营者，单指对一手数据收集的网络运营者，还是所有的关联方（包括受委托的数据处理者、转让方、数据共享的第三方等）？

其次，如果备案范围是指所有关联的网络运营者，即意味着所有以营利为目的的网络运营者都需要备案。此时，如何判断“所在地网信部门”。因为有时关联方是指某企业的子公司，甚至是分公司。当分公司与总公司分属不同地域，是否需要多处备案？

最后，由于数据的更新迭代快，网络运营者收集规则会因时因地发生变化，每当收集使用的“目的、规模、方式、范围、类型、期限”任一要素发生变化，都需要重新或者更新备案？

第二、网络爬虫收集网站数据，有底线要求

第16条：网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行；此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止。

【解读】网络爬虫是因应网络时代海量数据无法靠人工收集而产生的工具，它的出现符合网络发展的需要。然而，网络爬虫过度爬取网站平台的数据有时影响了平台的正常运行，影响平台的服务质量和水平，甚至有时会造成不正当竞争。基于此种考虑，《征求意见稿》以“自动化访问收集流量不得超过网站日均流量三分之一”作为网络爬虫爬取数据的红线，可有效平衡双方的利益，笔者认为，该做法值得肯定。

第三  以经营为目的收集数据，要明确数据安全责任人

第17条：网络运营者以经营为目的收集重要数据或个人敏感信息的，应当明确数据安全责任人。数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任，参与有关数据活动的重要决策，直接向网络运营者的主要负责人报告工作。

第18条：数据安全责任人履行下列职责：

（一）组织制定数据保护计划并督促落实；

（二）组织开展数据安全风险评估，督促整改安全隐患；

（三）按要求向有关部门和网信部门报告数据安全保护和事件处置情况；

（四）受理并处理用户投诉和举报。

网络运营者应为数据安全责任人提供必要的资源，保障其独立履行职责。

【解读】欧盟GDPR规定一般情况下企业人数超过250人的应设置数据保护官，专职负责企业的数据合规问题。自GDPR生效实施后，欧盟产生了几十万数据保护官。我国某些大型企业在《征求意见稿》未出台前，也已设立数据安全负责人的岗位。笔者相信在《征求意见稿》正式发布实施后，企业的数据安全责任人的岗位将炙手可热。

个人信息和重要数据除了上述几点要求外，《征求意见稿》还专门对个人信息的收集规定了额外的要求。

第一、制定收集使用规则

第7条：网络运营者通过网站、应用程序等产品收集使用个人信息，应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中，也可以其他形式提供给用户。

第8条：收集使用规则应当明确具体、简单通俗、易于访问，突出以下内容：

（一）网络运营者基本信息；

（二）网络运营者主要负责人、数据安全责任人的姓名及联系方式；

（三）收集使用个人信息的目的、种类、数量、频度、方式、范围等；

（四）个人信息保存地点、期限及到期后的处理方式；

（五）向他人提供个人信息的规则，如果向他人提供的；

（六）个人信息安全保护策略等相关信息；

（七）个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法；

（八）投诉、举报渠道和方法等；

（九）法律、行政法规规定的其他内容。

第9条：如果收集使用规则包含在隐私政策中，应相对集中，明显提示，以方便阅读。另仅当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息。

第10条：网络运营者应当严格遵守收集使用规则，网站、应用程序收集或使用个人信息的功能设计应同隐私政策保持一致，同步调整。

【解读】《征求意见稿》规定网络经营者在网站和应用程序上应分别制定收集使用规则，收集使用规则既可以在隐私政策中集中展示，也可以别的方式，例如在用户协议中展示。收集使用规则应随着网站或者应用程序的功能设计同步调整，并具体列举了收集使用规则应规定的内容。

其中，特别值得关注的点在于，《网络安全法》第46条，《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条规定“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当……，并经被收集者同意”。笔者认为此处的“同意”并非收集信息的充分必要条件，而《征求意见稿》对于个人信息收集的表述为“仅当用户明确同意收集规则后，网络经营者才能收集个人信息”，此时，“同意”成为网络运营者收集信息的充分必要条件。须知，即使被称为史上最严的GDPR，其规定除了用户同意外，网络经营者还可以基于用户的重大利益考虑、双方签订合同、为履行法定义务等其他条件收集用户信息。同时，《征求意见稿》第27条规定网络经营者在向他人提供个人信息除了用户同意外，也有例外条款规定。唯独在收集个人信息上，仅当用户同意才可以收集，《征求意见稿》设置的条件是否过于严苛，值得深入探讨。

同时，《征求意见稿》第8条还规定收集使用规则应规定“个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法”，结合《征求意见稿》第14条“网络运营者从其他途径获得个人信息，与直接收集个人信息负有同等的保护责任和义务”理解，笔者认为该条款有诸多值得商榷的地方。

首先，网络运营者对于自身收集的个人信息及从其他途径收集的个人信息负有同等保护义务，是否意味着个人信息主体既有权查询、更正、删除网络经营者基于自身收集的个人信息，也有权查询、更正、删除网络经营者从其他途径收集的个人信息？

其次，目前法律，尤其会计、金融类的法律规定，某些个人信息需作工作底稿备份或者保存5年、10年时间。如果此时允许个人信息主体删除个人信息，法律之间的冲突如何协调？虽然《征求意见稿》第21条规定“网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时，应当在合理时间和代价范围内予以查询、更正、删除或注销账号”，但是如何理解此处的“合理时间”和“代价范围”？《App违法违规收集使用个人信息行为认定方法（征求意见稿）》规定删除时间无约定的，以15个工作日为限，《信息安全技术 个人信息安全规范》规定的合理时长为30日。可见“合理时间”目前并未有统一设置的标准，同样的，“代价范围”的概念也并不明确。因此如何在立法层面理清该问题也值得讨论。

再次，由于个人信息有时杂糅着他人信息，例如社交上的聊天记录，既有个人信息又包含他人信息，这种情况下如何查询、更正以及删除个人信息？在查询、更正甚至删除个人信息的同时，是否涉及侵犯他人隐私的问题？

最后，目前国内中小企业是否有足够的技术条件，能处理用户的查询、更正和删除问题？特别是在中美贸易战的背景下，是否会给国内企业带来更大的成本压力，有考虑的必要。

此外，在收集使用规则的内容设定上，《征求意见稿》第8条规定应设定个人信息的保存地点、期限和到期后的处理方式，同时在《征求意见稿》第19条和第20条规定保存信息应参照国家标准，不得超过必要期限，到期后应及时删除或作匿名化处理，该类规定实际上主要参鉴了《网络安全法》和《信息安全技术 个人信息安全规范》的内容，这里不再赘言。

第二、区分核心业务功能和附加业务功能

第11条：网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后，网络运营者应当向个人信息主体提供核心业务功能服务，不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息，而拒绝提供核心业务功能服务。

【解读】根据《信息安全技术 个人信息安全规范》附录C规定：常见的附加业务功能有提高产品（或服务）的使用体验等。可见，网络运营者所提出的改善服务质量、提升用户体验、定向推送信息、研发新产品的理由只是产品的附加功能，即使不同意授权，也不会影响产品核心功能的运行。而正如《关于开展App违法违规收集使用个人信息专项治理的公告》所指出，目前市面上大量APP正是以改善服务质量、提升用户体验、定向推送信息、研发新产品等附加功能业务为借口强制用户授权、过度索权。《征求意见稿》第11条的规定正是为了切断网络经营者的无理理由，并对这种情况做出了核心功能业务和附加功能业务的区分。

《征求意见稿》规定对于附加功能业务，网络运营者不得强制授权、过度索权；对于核心功能业务，收集数据时要遵循最小必要原则，不得因对用户收集信息的不同，而采取价值歧视或者质量歧视。该条款的规定正式在法律层面区分了核心功能业务和附加功能业务，值得肯定。美中不足之处在于，该规定并未就“核心功能业务”和“附加功能业务”作出明确的概念界定。如果下次网络运营者回避上述四种情况，采用另一理由收集个人信息，由于缺乏具体概念的界定，用户仍然无法判断此种理由是否属于附加功能业务，仍可能遭受强制授权。

二、数据处理使用

在数据处理使用上，《征求意见稿》对数据的保存、使用和共享主要沿用《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《网络安全法》、《App违法违规收集使用个人信息行为认定方法（征求意见稿）》、《App违法违规收集使用个人信息自评估指南》、《信息安全 技术个人信息安全规范》等法律法规及标准的规定。因此，对于相同部分，笔者将不再解读，笔者主要解读《征求意见稿》的创新之处。

第一 、定向推送

第23条：网络运营者利用用户数据和算法推送新闻信息、商业广告等，应当以明显方式标明‘定推’字样，为用户提供停止接收定向推送信息的功能；用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息。网络运营者开展定向推送活动应遵守法律、行政法规，尊重社会公德、商业道德、公序良俗，诚实守信，严禁歧视、欺诈等行为。

【解读】《信息安全技术 个人信息安全规范》（草案）7.4条规定了“个性化展示及退出”的内容，其规定定向推送应标明“定推”等字样，并且禁止大数据杀熟。《征求意见稿》在该规定的基础上，进一步规定定向推送不得违反公序良俗等规定，在明显地方显示“定推”字样时，还应附有停止推送的功能，并且当用户选择停止推送后，网络运营者不仅应停止推送，还应删除用户的个人信息。该规定设置了“定向推送”的红线，其与网络爬虫条款的立法思路一致，以利益平衡，保障安全与鼓励发展为导向，笔者认为该思路值得肯定。

第二、自动化洗稿

第24条：网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息，应以明显方式标明‘合成’字样；不得以谋取利益或损害他人利益为目的自动合成信息。

【解读】当前的互联网生态鱼龙混杂，“网络水军”大量存在，最常见的是娱乐圈明星粉丝为支持明星，买水军上热搜。为了规范互联网生态治理，《征求意见稿》规定不得以“谋取利益或损害他人利益为目的自动合成信息”，并且自动合成信息应标明“合成”字样。该规定将有力地打击互联网的黑色灰色交易，规范互联网生态，笔者认为该做法值得肯定。

第三、信息制作者身份标明

第25条：网络运营者应采取措施督促提醒用户对自己的网络行为负责、加强自律，对于用户通过社交网络转发他人制作的信息，应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识。

【解读】当前的网络环境存在以下问题，第一，博眼球、抢流量的问题突出。无论是互联网媒体还是自媒体，为了吸引关注度，推送的新闻消息真实度存疑，甚至谣言乱飞。第二，由于网络环境缺乏必要的监管，加上网民的版权保护意识薄弱，有些人甚至明知侵犯别人版权，但仍借助网络难以***个人信息，肆意侵犯他人的劳动成果。针对上述现象，《征求意见稿》规定，用户转发他人的信息时，应标注用户标识。笔者认为，该规定有利于监管机构溯源追踪，打击谣言的肇事者，同时也有利于保障版权人的合法权益，在某种程度上值得肯定。但同时，对于当前的技术能否达到准确标明信息制作者身份，笔者表示怀疑。须知个人的网络账号、昵称都是可以改变的，《征求意见稿》也规定个人信息主体有更正个人信息的权利，因此如何信息制作者“不可更改”的身份？最后的结果会不会沦为实名化登记？众所周知，实名化登记问题一直是社会上最为敏感的话题，一旦触及该问题，将引发一系列的后续问题。因此，信息制作者身份标明如何处理，还有待进一步研究。

第四、第三方应用责任归属

第30条：网络运营者对接入其平台的第三方应用，应明确数据安全要求和责任，督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的，网络运营者应当承担部分或全部责任，除非网络运营者能够证明无过错。

【解读】所谓的“第三方应用”，是指APP运营商为了快速积累用户资源，与开放平台签订《开发者协议》，通过开放平台的应用编程接口（OpenAPI）接入平台，在成为平台生态圈组成部分的同时，利用双方的段位差，将平台的用户流量顺势导入自己的应用程序，这些APP运营商就被称为“第三方应用”。

想起“第三方应用”，一般会让人想起近期发生的“头腾大战”，在“头腾大战”中，法院在实务中确立了“三重授权”的法律规则，认可了平台经营者对用户数据享有商业权利。此次《征求意见稿》规定第三方应用的责任原则上归属于平台经营者，笔者认为立法者背后的立法逻辑跟“头腾大战”确定的“三重授权”规则有关。立法者的立法逻辑在于，既然实务中确定了平台经营者对用户数据享有商业权利，那么平台经营者就应当承担更大的审慎监管义务，第三方应用如果出现侵犯用户数据的情况，就应当由平台经营者承担责任。也即立法者肯认了实务中确定的判决规则，并以该判决规则作出立法的前提条件，以此规定该法律条款。

针对该条款，笔者认为虽然《征求意见稿》将主要责任归咎于平台经营者，但由于平台经营者在和第三方应用的谈判中本身属于强势地位，平台经营者容易把它在《征求意见稿》承受的压力转接给第三方应用，即会在《开发者协议》上对第三方应用规定诸多限制和条件。当然，如果此种限制和条件是有助于第三方应用合规处理数据，那么该规定将有利于互联网平台生态圈的繁荣，但如果第三方应用因受到诸多限制和条件而难以蓬勃发展，笔者认为，该规定将可能会限制互联网的兴盛发展。

小结

《数据安全管理办法（征求意见稿）》从部门规章的层面对数据的收集、使用、处理等环节作出了诸多创新和突破，是数据管理安全上具有里程碑意义的新跨越。同时，正如前文所述，《数据安全管理办法（征求意见稿）》也存在不少问题，正式稿将对该规定做何改变和调整，有待进一步观察。