DataLaws观点 |《数据安全管理办法》修改建议汇总（下篇）

《数据安全管理办法（征求意见稿）》（以下简称《办法》）修改建议汇总由上海交通大学法学院何渊副教授及上海交通大学法学院的潘瑜婧、 魏雪颖及嵇若琳等三位同学一起整理，感谢大家的辛苦劳动！

引言：近期，国家网信办发布了《数据安全管理办法》，标志着我国数据法律制度的建设进入一个新的阶段，引起了法学界和企业界的广泛关注。为此，数据法盟（DataLaws）联合上海交通大学法学院合规研究中心举行了第四期“数据合规沙龙”，针对国家网信办四新规征求意见稿召开了闭门研讨会，同时还通过组织专题座谈会、书面征求意见、头部企业调研等多种形式，广泛征求了企业法务、合规专员、信息安全官、数据保护官、高校学者等来自全国60多名行业内专家的意见，形成了本《办法》的修改建议汇总。

特别感谢上海市经信委和上海市数据治理与安全生产产业专业委员会，他们的《办法》修改意见汇总给本文提供了有力的支撑！

由于《办法》修改建议汇总全文篇幅过长，我们将分成上、中、下三篇共享给大家，请大家多批评指正！前天发布的是《数据安全管理办法》修改建议汇总（上篇）；昨天发布的是《数据安全管理办法》修改建议汇总（中篇），请点击阅读

以下是《数据安全管理办法》修改建议汇总（下篇）：

23、第二十四条

原文：

网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息，应以明显方式标明“合成”字样；不得以谋取利益或损害他人利益为目的自动合成信息。

修改建议：

观点一：建议将“谋取利益或损害他人利益为目的”进一步细化，修改为“不得危害国家安全、社会公共利益，不得扰乱竞争秩序”。将“评论等信息”修改为“评论等文字、图片、音频、视频等信息”。

观点二：网络运营者不得利用大数据、人工智能等技术自动合成虚假的信息，不得以谋取非法利益或损害他人利益为目的自动合成信息。

观点三：“不得以谋取利益或损害他人利益为目的自动合成信息”调整为“不得以谋取不正当利益或损害他人利益为目的自动合成信息”。

修改理由：

观点一：

（1）对自动规制的动机主要基于一下几点：合成的博文新闻中可能涉及到价值导向问题；数字经济中决策对数字有很强的依赖性，如在内容付费模式下对征文的统计十分重要，如果有大量合成内容可能会影响到竞争秩序；在国外可能对选举有所影响。本办法中的规定较为宽泛，“谋取利益或损害他人利益为目的”，建议进一步细化。

（2）从“新闻、博文、帖子、评论等信息”易理解为只包含文字性信息，是否包含音频视频图片信息无法直接从文义解释中得出。

观点二：

（1）标明“合成”字样不能起到本条规定的防止不真实信息传播的目的，并且网络运营者发布的新闻等信息都严格按照法律规定对内容进行严格审查，相关法律已经能对内容管理起到良好的管制作用。因此，建议以禁止性地描述明确禁止网络运营者利用大数据、人工智能等技术自动合成信息为虚假信息。

（2）国家应当鼓励利用大数据、人工智能在文学、新闻等领域的创新发展，因此，网络运营者利用大数据、人工智能等技术生成内容，应当鼓励，网络运营者由此获得的合法利益应当保护，因此，建议限定为“不得以谋取非法利益或损害他人利益为目的自动合成信息”。

观点三：在时效性要求高的新闻特别是体育直播领域，技术合成信息应用较为广泛，效率得以大幅提升。如果以谋取利益来限制自动合成信息，该等应用场景下一般均为商业用途，一般涉及商业利益，限制范围可能过广。

24、第二十五条

原文：

网络运营者应采取措施督促提醒用户对自己的网络行为负责、加强自律，对于用户通过社交网络转发他人制作的信息，应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识。

修改建议：

观点一：建议完善本条。

观点二：明确“通过社交网络转发他人制作的信息”的应用场景。

观点三：建议删除“对于用户通过社交网络转发他人制作的信息，应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识”。

修改理由：

观点一：（1）本条在现有技术下，基本难以实现。只要原因是网络运营者根本无法识别用户发布的信息是自己生产的还是转发的（除非用户自己标明，转载链接除外，链接如何标注的问题），其次本条更偏向于著作权保护，应该按照著作权法的规定处理，放在本处有些突兀。

（2）所有发送的网络信息增加信息制作者标识即便可实现，很可能会带来严重的信息泄露问题。

（3）鉴于境外对言论自由和政府监控的高度敏感，一旦增加信息标识，非常有可能会影响中国企业产品的境外应用，以及境内外信息流的交互。

（4）明确“通过社交网络转发他人制作的信息”的应用场景。

观点二：复制他人发送的微信消息是否属于此处的“通过社交网络转发他人制作的信息”？如果属于，可能对用户体验产生较大影响。

观点三：（1）这里提到“网络运营者应采取措施督促提醒用户对自己的网络行为负责”，然而作为上位法的《网安法》第9条规定：“网络运营者开展经营服务活动，必须遵守法律、行政法规、尊重社会公德、商业道德，……承担社会责任”，仅要求网络运营者对自己的行为负责；此外，《网安法》第12条规定：“任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序和社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度、煽动分裂国家、破坏国家统一、宣扬恐怖主义极端主义民族仇恨民族歧视……编造传播虚假信息……”，强调个人和组织的自我约束，并未给网络运营者附加“督促和提醒”的义务。

（2）该条并未对“社交网络”进行界定（如哪些具体应用、应用的哪些具体场景构成受管辖的“社交网络”？），并且，要求网络运营者“自动标注”用户制作的信息，可能涉及用户在私密场景中的通信秘密。而目前上位法《网络安全法》已经确立的“网络信息监管制度”，仅仅是由网络运营者针对用户公开发布的违法信息履行发现处理等义务，并未涉及此条所规定的的“用户标识”义务，若无上位法依据，此条规定建议慎重。

（3）考虑到该条主要目的是起震慑不法等信息的传播，并且我国已有“前台自愿后台实名”的实名制制度，该条实际上已经突破了这一制度，实际上只要实现后台可追溯即可。

（4）如果他人在该社交网络并无账户信息，标识用户会在未经用户同意的情况下，为相关用户造成不必要的困扰，技术层面也难以实现。即使能标注信息制作者，转发人也能采取措施将标记信息抹掉后转发。

此外，每条信息标明信息制作者，也会严重影响到网络产品设计和版面美观。

25、第二十六条

原文：

网络运营者接到相关假冒、仿冒、盗用他人名义发布信息的举报投诉时，应当及时响应，一旦核实立即停止传播并作删除处理。

修改建议：

观点一：建议完善本条。

观点二：将本条修改为“网络运营者接到相关假冒、仿冒、盗用他人名义发布信息的举报投诉时，应当及时响应，一旦核实在合理时间内采取停止传播、删除等方式进行处理。”

修改理由：

观点一：

核实的范围和对象，核实到何种程度，是核实到身份信息还是核实到信息本身内容不明确。

观点二：

（1）欧盟《一般数据保护条例》（GDPR）规定，控制者应当利用所有合理措施来验证请求访问的数据主体的身份。因此，建议为企业核实、审查预留一定时间，在收集、使用规则规定的合理时间处理即可。

（2）具体的处理方式属于网络运营者的自主裁量权，在不违反法律法规的前提下，应由网络运营者根据实践情况，综合评估举报投诉情况，决定采取何种方式进行妥当处理。

26、第二十七条

原文：

网络运营者向他人提供个人信息前，应当评估可能带来的安全风险，并征得个人信息主体同意。下列情况除外：

   （一）从合法公开渠道收集且不明显违背个人信息主体意愿；

   （二）个人信息主体主动公开；

   （三）经过匿名化处理；

   （四）执法机关依法履行职责所必需；

   （五）维护国家安全、社会公共利益、个人信息主体生命安全所必需。

修改建议：

观点一：增加对相关情况下的具体说明和条件限制。

观点二：将本条修改为“网络运营者向他人提供个人信息前，应当评估可能带来的安全风险，并征得个人信息主体同意。下列情况除外：

（一）从合法公开渠道收集；

（二）个人信息主体主动公开；

（三）经过匿名化处理；

（四）法律规定的有权机关依法履行职责所必需；

（五）维护国家安全、社会公共利益、个人信息主体生命安全所必需。”

观点三：将 “向他人提供个人信息”修改为“网络运营者向他人转让、共享、公开披露或向境外提供个人信息前”，并明确不包括委托处理的情形。”

修改理由：

观点一：

（1）向他人提供个人信息，在企业存在业务外包模式情况下，肯定要向外包商提供信息是不可避免的，是否也需要征得个人同意，如果需要征得会增加的成本，影响用户体验。

（2）在实践中，网络运营者的安全风险评估是否合理和充分，在本条款缺乏流程细则规定情况下，难以界定；同时，企业该如何界定“不明显违背个人信息主体意愿”也需要条款进行具化说明和阐述。

观点二：

（1）“不明显违背个人信息主体意愿”具有很强的主观性，网络运营者无法判断，不具有可操作性。此外，建议本条规定应与现行法规标准保持一致。《信息安全技术个人信息安全规范》规定，以下情形中，个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意，其中提到“所收集的个人信息是个人信息主体自行向社会公众公开的”。因此，本条第一项规定“从合法公开渠道收集且不明显违背个人信息主体意愿”，删除“且不明显违背个人信息主体意愿”，与个人信息安全规范保持一致，避免执法标准的不统一。

（2）第四项规定的“执法机关”较为宽泛，建议限定为“法律规定的有权机关”。

观点三：

《个人信息安全规范》对数据转移的行为进行了更为细致的区分，具体包括委托处理、共享、转让、公开披露四种。可以进行借鉴。向他人提供不应包括委托处理，安全评估义务不得包括委托处理的情形，因为委托处理是单方行为。

27、第二十八条

原文：

网络运营者发布、共享、交易或向境外提供重要数据前，应当评估可能带来的安全风险，并报经行业主管监管部门同意；行业主管监管部门不明确的，应经省级网信部门批准。向境外提供个人信息按有关规定执行。

修改建议：

观点一：建议在《网安法》框架下进行阐述，并进一步具化执行中的细节内容和程序保障。

观点二：建议将“网络运营者发布、共享、交易或向境外提供重要数据前”修改为“网络运营者转让、共享、公开披露或向境外提供”。

观点三：“ 重要数据”的定义，需要结合多个法规，和标准给出明确的定义。

观点四：明确“共享重要数据”的场景限制。

观点五：增加本条的豁免情形，如以下情形除外：为共同为其用户服务，网络运营者向其关联公司共享重要数据。

修改理由：

观点一：

（1）本条的规定实质是设立新的行政审批，缺乏上位法依据。对《网安法》的规定存在冲突，包括规范的行为：从《网络安全法》第37条规定的个人信息和重要数据出境扩展为重要数据发布、共享、交易或向境外提供，那么本条款是否适用个人数据出境；风险评估的适用范围：从《网络安全法》第37条规定的关键信息基础设施扩展为所有网络运营者；且从《个人信息和重要数据出境安全评估办法》（征求意见稿）提出的分类实施，包括自评估、自评估+行业主管部门备案；自评估+行业主管部门批准，统一扩大了行政审批。

（2）在实质性设立新的行政审批情况下，本条规定缺乏细节内容和程序保障，执行方面存在较大难度。

观点二：与《个人信息安全规范》表述统一，明确具体动作类型

观点三：“重要数据”的定义再次出现， 且有别于《数据出境安全评估指南》，一个名词，多种定义，对于企业在具体合规执行中带来困难。

观点四：如果集团公司之间共享重要数据，也需报经同意，可能会加重企业的负担。

观点五：如果是向网络运营者的关联公司共享数据，是否仍需要评估风险并报经监管部门同意？这样做会加大企业的运营成本。

28、第三十条

原文：

网络运营者对接入其平台的第三方应用，应明确数据安全要求和责任，督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的，网络运营者应当承担部分或全部责任，除非网络运营者能够证明无过错。

修改建议：

观点一：建议完善本条。

观点二：第三方应用发生数据安全事件对用户造成损失的，网络运营者应根据过错程度承担相应责任。

观点三：建议删除“第三方应用发生数据安全事件对用户造成损失的，网络运营者应当承担部分或全部责任，除非网络运营者能够证明无过错。”

观点四：建议网络运营者承担不真正连带责任。

观点五：建议澄清“接入其平台的第三方应用”的内涵。

修改理由：

观点一：

过错推定责任属于民事责任设定，不应当在部门规章中规定。该条确立了网络运营者对第三人行为承担的民事责任问题，即网络运营者对于第三方应用运营者的行为给用户造成的损失承担连带责任或按份责任，且该责任属于过错推定责任。依据我国《立法法》第8条第8项的规定，民事基本制度只能由法律制定。侵权责任属于民事基本制度，应当由法律加以规定而非由部门规章加以规定。并且我国《侵权责任法》第六条第2款明确规定了过错推定责任只能由法律规定，显然作为部门规章的本办法是不能规定的。同时，过错推定和责任承担与之前《个人信息安全规范》的8.6条也存在出入。

观点二：要求网络运营者在过错没有认定情况的情况下承担损害赔偿责任，有失公允，不符合法律的分担权利义务的基本公平原则。建议改成“如网络运营者有过错，应当承担相应责任”。

观点三：

（1）事实层面：第三方应用运营者独立和用户发生交互，所收集的个人信息独立存储于其自设的服务器，有其独立的数据安全保存要求和标准；平台型网络运营者一般只提供连接服务，客观上没有能力、技术或成本在日常运营中逐层保证第三方的收集和存储信息行为完全合规。

（2）法律层面：第三方应用运营者亦为网络运营者，根据“过错推定”赋予平台责任，一方面不符合法律规定（如《侵权责任法》第6条，过错推定应当由法律规定而非部门规章规定）；另一方面会导致各方责任划分不清，可能淡化第三方应用的数据安全责任意识，不利于其数据安全体系建设、创新与投入。这里面不妨可以参考《电商法》的规定，一般是当明知或应知对消费者存在侵权行为，并且未尽到停止侵害的责任时，才存在一定责任。

观点四：

对用户而言可任意选择第三方应用或网络运营者主张损害赔偿，在网络运营者和第三方应用之间仍采取过错的划分，更加公平。

29、第三十一条

原文：

网络运营者兼并、重组、破产的，数据承接方应承接数据安全责任和义务。没有数据承接方的，应当对数据作删除处理。法律、行政法规另有规定的，从其规定。

修改建议：
应明确，数据承接方在“承接之后”应承担原网络运营

者的数据安全责任和义务。

修改理由：

如对于兼并之前发生的数据泄露引发的责任不应由数据承接方承担。

30、第三十五条

原文：

发生个人信息泄露、毁损、丢失等数据安全事件，或者发生数据安全事件风险明显加大时，网络运营者应当立即采取补救措施，及时以电话、短信、邮件或信函等方式告知个人信息主体，并按要求向行业主管监管部门和网信部门报告。

修改建议：

观点一：明确需要上报的数据安全事件级别，以及需要上报的时间。

观点二：删除“或者发生数据安全事件风险明显加大时”。

观点三：明确大概的泄露数量。

观点四：明确该条是针对“外部用户”信息泄露的通报。

修改理由：

观点一：向行业主管监管部门和网信部门报告的要求未明确细则， 如时间期限，数据安全级别。

观点二：企业在发现数据安全事件风险明显加大，及时采取补救措施，即可达到数据安全可控的目的。通知用户主要目的是数据安全事件已经发生提醒用户采取更换密码等安全措施。而在风险尚未实际发生时，没有必要通知用户、引起惊扰。故建议删除“或者发生数据安全事件风险明显加大时”这一前提条件。

观点三：如果泄露的数量很小，对于企业来说无法明确是否要做这样的通报。

观点四：信息安全事件一旦发生泄漏，可能涉及企业内部数据（如员工信息）与外部用户数据。结合本办法第十七条以及其他相关条款的规定，此处应明确针对的是外部用户数据的泄露。

31、第三十六条

原文：

国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要，依照法律、行政法规的规定，要求网络运营者提供掌握的相关数据的，网络运营者应当予以提供。

国务院有关主管部门对网络运营者提供的数据负有安全保护责任，不得用于与履行职责无关的用途。

修改建议：

观点一：删去“社会治理和经济调控”，建议修改为“除为履行维护国家安全等职责需要，并依照法律、行政法规的规定要求网络运营者提供掌握的相关数据的，有关部门不得要求企业提供数据。”

观点二：依照法律法规规定的特定机关，为履行维护国家安全需要，要求网络运营者提供掌握的个人信息的，网络运营者应当予以提供。

国务院有关主管部门对网络运营者提供的个人信息负有安全保护责任，不得用于与履行职责无关的用途。

修改理由：

观点一：

数据报送涉及企业和个人的重要权益，法律应当严格限定

（1）“国务院相关部门”过于宽泛，是否国务院所有职能部门都可以以一定的理由来调取数据；国家安全本身是一个不确定、可扩展概念，以国家安全为目的来调取数据是国际通行做法，而且在特殊时机和场景下国家安全可以有社会公共管理和经济稳定的内容，明确表述为条文会提高企业的经营风险预期，增加国际上没有必要的争议。

（2）现实中，在《网络安全法》等已明确提出了网络运营者配合提供技术支持和协助的义务，实践中普遍存在的问题不是网络运营者不依法提供相关数据，而是有关部门不依据法律行政法规规定向网络运营者提出数据提供的要求，甚至是无法律授权的情况下向网络运营者强制提出数据提供的要求，特别是地方相关主管和执法部门。

观点二：

（1）“国务院有关主管部门”的概念较为宽泛，可能导致多头监管、职权划分不清等现象，造成执法资源浪费，提高了个人信息泄露的风险。

（2）此外，要求企业提供数据的部门应限定为法律已有明确授权的有权部门，因此建议限定为“依照法律法规规定的特定机关”。

（3）同理，“数据”的概念也较为宽泛，可能包括企业的经营数据、商业密码、科研数据等商业机密内容，除非有比高于商业机密的利益存在，否则不应也没有正当理由和上位法依据要求企业提供数据，建议限定在“个人信息”的范畴，并将有权要求提供的情形限定为“国家安全”需要。

32、第三十七条

原文：

网络运营者违反本办法规定的，由有关部门依照相关法律、行政法规的规定，根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚；构成犯罪的，依法追究刑事责任。

修改建议：

网络运营者违反本办法规定的，由有关部门依照相关法律、行政法规的规定，根据情节给予没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚；构成犯罪的，依法追究刑事责任。

修改理由：

部门规章创设警告、一定数量罚款以外的行政处罚种类，缺乏法律依据。根据《行政处罚法》第十二条的规定，国务院部、委员会制定的规章可以在法律、行政法规规定的给予行政处罚的行为、种类和幅度的范围内做出具体规定。尚未制定法律、行政法规的，前款规定的国务院部、委员会制定的规章对违反行政管理秩序的行为，可以设定警告或者一定数量罚款的行政处罚。罚款的限额由国务院规定。“公开曝光”这一行政处罚种类在《中华人民共和国网络安全法》等上位法中暂无相关依据，创设新处罚种类可能导致越权制定法规，影响规范性文件效力。因此，建议删除“公开曝光”这一处罚种类。

33、第三十八条

原文：

本办法下列用语的含义：

（一）网络运营者，是指网络的所有者、管理者和网络服务提供者。

（二）网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。

（三）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

（四）个人信息主体，是指个人信息所标识或关联到的自然人。

（五）重要数据，是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

（四）个人敏感信息，一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

修改建议：

观点一：增加“（四）个人敏感信息，一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”

观点二：完善（三）对个人信息的定义。

观点三：（1）明确“数据”和“网络数据”的关系。（2）增加“个人敏感信息”的定义。

修改理由:

观点一：

“个人敏感信息”不同于一般的个人信息，其关系用户人身财产安全、名誉和身心健康，需要与“个人信息”的概念有所区分。另外，本办法第十五条、第十七条均提及“个人敏感信息”，出于避免歧义、含义不明、执行困难等问题，建议在本条对此专业用语也作解释，增加“（四）个人敏感信息，一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”

观点二：对于个人信息的定义，与侵犯公民个人信息犯罪司法解释及个人信息安全规范的统一，需要予以考虑。

观点三：（1）虽然本条对“网络数据”进行定义，但是除此定义外，本办法通篇使用的都是“数据”一词，并未出现“网络数据”的表述。需要明确“数据”和“网络数据”的关系。

        （2）全文多次提到“个人敏感信息”，本条并未对“个人敏感信息”进行定义。