国家网信办拟出台《网络数据安全管理条例》，有这些“首次”

11月14日，国家互联网信息办公室发布《网络数据安全管理条例（征求意见稿）》（以下简称“征求意见稿”），并向社会公开征求意见。

南都记者注意到，征求意见稿共九章七十五条，涵盖了个人信息保护、互联网平台运营者义务等多方面，首次将个人通信与非个人通信相区分、要求企业说明第三方收集个人信息的频次或者时机，并首次提出平台制定隐私政策需公开征求意见。

有专家向南都记者表示，征求意见稿作为一部行政法规，不仅对个人信息保护法、网络安全法、数据安全法等上位法的相关规定进行了执行和细化，还作出了一定程度的补充。另有专家指出，征求意见稿应充分考虑与个人信息保护法等上位法的协调问题，做好衔接与细化，而非制定过多突破性规定。

征求意见稿在开头写明其上位法依据——根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律，制定本条例。

南都记者观察到，征求意见稿中有不少个人信息保护和数据安全相关的条款都直接采用了上位法的表述。比如数据安全法提出的“国家建立数据分级分类保护制度”；还有一些条款则与尚未出台的其他草案一致，如《网络安全审查办法（修订草案征求意见稿）》中的“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”。

值得注意的是，作为行政法规的征求意见稿不仅执行、细化了上述三部法律的规定，也进行了一定程度的补充。

“征求意见稿在一定程度上可以看作数据安全法和个人信息保护法的实施细则，但又不全是。”长期参与数据安全相关法律法规起草工作的中国信息安全研究院副院长左晓栋公开撰文道。

他表示，作为行政法规，征求意见稿本身可以创设制度，设定行政许可。因此，征求意见稿相比数据安全法和个人信息保护法而言，还增加了诸如重要数据处理者备案要求和年度报告要求、数据出境安全管理义务、网络平台责任等新要求。

不过，也有专家对此表示疑虑。在中国社会科学院大学互联网法治研究中心执行主任刘晓春看来，征求意见稿的制定应充分考虑其与上位法之间的关系协调，做好与上位法已明确规定内容的衔接工作，在上位法的规定基础之上进行细化，而非制定过多基础性、突破性的相关规定。

此外，对于征求意见稿与其上位法的衔接问题也引发讨论。一位不愿具名的法学专家向南都记者直言，她认为，征求意见稿中的部分条款与其上位法相冲突。

如征求意见稿第十九条规定，基于个人同意处理个人信息的，应当满足“提供服务或履行法定义务所必需”——她认为这一要求与个人信息保护法的要求相冲突。对征求意见稿第三十三条“第三方产品和服务对用户造成损害的，用户可以要求互联网平台运营者先行赔偿”也表示了质疑，她则指出，“个人信息保护法只规定了‘过错推定’义务，而征求意见稿规定的这种新型赔付超越了上述义务。”

在她看来，征求意见稿作为一部行政法规，部分条款“跳过”法律，规定了更严格的义务。她强调，虽然征求意见稿作为行政法规可以规定更多的具体内容，但在本质上不应与个人信息保护法等上位法之间出现非常明显的冲突——“还是要慎之又慎。”

南都记者注意到，征求意见稿首次将个人通信与非个人通信进行区分。征求意见稿第四十五条拟规定，国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护，非个人通信的信息按照公共信息有关规定进行管理。

左晓栋认为，此条款的授权依据是宪法中的公民的通信自由、通信秘密受到宪法保护。他指出，个人通信的语境指的是两个人之间的交流，三个人及以上之间的交流属于公共信息。

“对两类信息以不同方式进行管理这一规定系首创。”浙江垦丁律师事务所联合创始人麻策认为，“点对点”、“点对面”等个人通讯的信息带有法定的隐私属性，而公开的信息有流入公共信息范畴的可能，将被整个互联互通所囊括。

刘晓春则将这一规定看作对分级分类总体思路的延续。她强调，征求意见稿提出的是“鼓励”而非强制要求，意味着提供即时通信服务的平台做不到这一点也不用承担严格的法律责任。

她指出，个人通信信息与非个人通信信息按照不同要求进行管理这一规定可能过于简单化，原因在于即使个人选择了非个人通信，在提交之后，用户的个人意志也未必能决定该信息本身的属性。

“换言之，个人选择非个人通信的情况下也会出现个人信息，但非个人信息未必就是公共信息，因此这其中的逻辑是有跳跃的。此外，如果个人用户选择的非个人通信中涉及到个人信息，甚至还可能涉及到其他人的个人信息，这种情况就会变得十分复杂。倘若此时平台将其作为公共信息来处理，是否可以免责？如果出现个人信息受到侵害的情况，又该如何处理？我认为这一规定并不清晰。”刘晓春直言。

征求意见稿第四十三条拟规定，互联网平台运营者在制定平台规则、隐私政策，或在对用户权益有重大影响的修订时，应面向社会公开征求意见，且时长不少于三十个工作日，并公布意见采纳情况，说明未采纳理由。日活用户超一亿的大型互联网平台制定或修订规则以及隐私政策还需经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。

“这是首次从立法层面明确要求对运营者平台协议、隐私政策的调整进行约束。”麻策对南都记者表示，大型互联网平台运营者在用户权益保障方面可谓“牵一发而动全身”，任何一项条款的细小变化都可能导致近亿量级的用户权益发生根本性变化。

左晓栋介绍，设立此条款的目的是要“让企业更好地履行社会责任”。

“一些大型平台的影响力越来越大，他们获得了一些‘超级权力’，这就要求企业更应该规范化运行，企业应该履行社会责任，在生产经营中维护国家安全与公共利益，其中就包括了保护用户的权益。”左晓栋认为，许多用户众多的大型互联网平台对用户的生产生活产生很大影响，那么平台对用户的信息收集使用处理规则就要充分听取用户意见，“企业不能自己想怎么着就怎么着”。

在刘晓春看来，此条款的核心要点还在于要求“报省级及以上网信部门和电信主管部门同意”。

她认为，该条对互联网平台运营者的平台规则和隐私政策进行了一种“准立法式”的处理——需要经过评估、公开征求意见以及审批，特别是需要审批这一点等同于新设了一个行政许可。

“当然，从行政法规理论来说，是可以设立（行政许可）的，但新设行政许可本身也是如今整个立法过程中较为谨慎的一种行为。”她认为，这一规定值得慎重考虑，在数据安全法、个人信息保护法并未明确提出上述行政许可的情况下，倘若存在更加合理、正当的平台规则及隐私政策的规制方式，“尽量不要使用行政许可。”

刘晓春指出，平台规则和隐私政策属于平台与用户之间的一种协议，如果该协议需要经过审批，那么也需要较为严格的论证。

北京理工大学法学院教授洪延青公开撰文表示，此条款相当于“创设了个行政许可”。他分析，监管部门增设此条款的考虑在于，对特殊的互联网平台，规则改变和策略改动相当于是公共部门“立法”。公共部门立法需要公开征求意见，但是具有“私权力”的超大平台也需要。

该条款可能会对企业产生什么影响？在麻策看来，平台运营者修改规则政策的背后是产品业务逻辑的变动，这一规定带来的影响并非表面上的限制平台修订条款，而是抑制其在后期业务开展过程中的创新度与变动程度。

至于条款中提到的“对用户有重大影响的修订”，麻策分析认为仍属于“模糊地带”，这一规定所带来的监管会更加宽泛和复杂。

对于备受诟病的App频繁收集个人信息问题，征求意见稿第二十条拟规定，在数据处理者制定的个人信息处理规则中，数据处理者应当说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称，以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则。

值得注意的是，此前的法律法规、标准规范极少要求数据处理者告知收集频次或时机。但在实际情况中，多款App被发现高频率收集位置等敏感个人信息，引起公众担忧。

左晓栋向南都记者解释，这是因为从互联网服务的实际运行情况来看，企业并非一次性收集完用户的个人信息。以收集位置信息为例。用户同意一次后，由于位置信息不断变化，企业会频繁地收集位置信息。一旦收集的时机、频次控制不好，可能给用户带来很多困惑。“用户有必要知道企业什么时候收集个人信息、每次收集多长时间等具体情况，这对维护用户权益来讲是非常必要的。”

“这一规定的目的是更好地保障用户的知情权，然而也应充分考虑产业现状。”刘晓春则认为，处理个人数据的个人信息产业非常复杂和多元化，是否每个行业都需在其个人信息收集和处理规则中预先进行如此详细的说明，还值得考虑。

在她看来，要求数据处理者公布个人行使权利的途径或方法以及建立便捷的数据安全投诉举报渠道都是有必要的，但要求说明个人信息处理频次、时机等更为细化的要求并非所有行业都能做到。“如果后续发生计划之外的变化，企业很可能没有办法提前做好合规工作，从而影响数据处理和数据要素流动，还会增加数据处理的成本。”

值得注意的是，征求意见稿第四十六条回应了“大数据杀熟”、低价策略等热点问题，意在规制平台运营者滥用数据实施不正当竞争或不合理限制的行为。在刘晓春看来，立法者试图建立相关概念和规则的边界，去厘清现实中错综复杂的竞争问题。

具体而言，平台运营者不得利用平台收集掌握的用户数据，无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为；不得利用平台收集掌握的经营者数据，在产品推广中实行最低价销售等损害公平竞争的行为。另外，平台也不得利用数据误导、欺诈、胁迫用户，损害用户对其数据被处理的决定权，违背用户意愿处理用户数据。

南都记者注意到，该条还提及，平台不得在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍，限制平台上的中小企业公平获取平台产生的行业、市场数据等，阻碍市场创新。

刘晓春认为，这一规定的初衷是强调平台不能垄断数据。不论中小企业通过免费还是收费方式获取开放的行业、市场数据，平台都应该遵循公平、合理、无歧视原则进行开放。不过她也提到，如果数据是由平台加工而产生，还可能涉及数据开放与数据权属的复杂关系。

另外，第二十五条拟规定，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其生物特征信息。

“这意味着日后所有互联网产品及线下产品都应提供人脸等生物特征认证以外的其他认证方法。”麻策表示，这一规定将今年最高人民法院发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》进一步扩张至线下场景，并列举了人脸信息之外的多种生物识别信息种类。

此外，该规定也并未排除可以出于其他目的使用生物识别信息的情况。“如果我们此时不是出于实名认证的目的，而是出于安全风控等考虑，那么出于这类目的时可能就不受该规定的限制。”麻策说道。