随着数字技术的蓬勃发展和广泛运用,社会经济生活的每个领域都在深度网络化、信息化和数据化。没有数据安全就没有国家安全。《网络数据安全管理条例》(以下简称《条例》)以《网络安全法》《数据安全法》《个人信息保护法》等法律为依据,聚焦网络数据,细化相关规定,完善网络数据安全规则,为提升网络数据安全治理体系和能力现代化提供了更有可操作性的法治保障,标志着我国网络数据安全治理进入了新阶段。
《条例》完善了网络数据分类分级保护制度。分类分级保护是网络数据安全制度的重要抓手。《数据安全法》第二十一条规定,国家建立数据分类分级保护制度。数据分类分级保护既是《数据安全法》确定的一项原则,也是《数据安全法》构建的一般制度。《条例》不仅在总则部分明确了数据分类分级的一般标准,而且专章构建了重要数据安全制度。例如,重要数据目录、重要数据的处理者的特别义务和责任、处理前的风险评估的重点内容、风险评估的报告制度、省级以上有关主管部门的监管措施,等等。《条例》有关数据分类分级制度具有可操作性,对于保障数据安全具有指引作用。
《条例》压实了网络数据处理者的主体责任。厘清网络数据安全边界,需要细化数据处理规则,明确各类主体责任。数据安全不是抽象的,而是具体的、全过程的。建立健全网络数据安全管理制度,就意味着数据的收集、存储、使用、加工、传输、提供、公开乃至删除等每一项处理活动和数据处理的每一个环节,都需要落实数据安全管理制度,纳入数据安全的法治轨道。为保障数据安全,基于《数据安全法》和《个人信息保护法》中“数据处理”“个人信息的处理”以及“重要数据的处理者”“个人信息处理者”等表述,《条例》提炼出“网络数据处理者”这一重要概念,并且进一步健全了网络数据处理者在不同场景处理不同数据的义务规则:履行法律、行政法规和国家标准强制性要求、建立健全网络数据安全管理制度、采取必要安全技术措施和其他必要措施、建立健全网络数据安全事件应急预案、处置网络数据安全事件等义务,并对所处理的网络数据的安全承担主体责任。
《条例》细化了网络数据处理活动制度要求。对于个人信息和重要数据的提供、委托处理和共同处理,《条例》对于相关合同的主要条款予以规定,增强了行政法规的指引性。针对现实经济生活中已经出现的网络数据处理者因合并、分立、解散、破产等原因需要转移网络数据的情形,《条例》明确规定网络数据接收方应当继续履行网络数据安全保护义务。同时,针对提供生成式人工智能服务,《条例》专门规定网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险,提高了相关规定的效力层级。此外,在《个人信息保护法》的基础上,《条例》专章规定了个人信息保护具体规则,个人信息安全得到更加有效的法治保障。
《条例》优化了网络数据跨境安全管理制度。党的二十届三中全会指出,“提升数据安全治理监管能力,建立高效便利安全的数据跨境流动机制。”为了规范网络数据跨境,《条例》设置专章规定了网络数据跨境安全管理,规定了网络数据处理者可以向境外提供个人信息的条件、重要数据出境的程序。同时,国家采取措施,防范、处置网络数据跨境安全风险和威胁。尤为值得关注的是,为健全网络数据领域的反制裁、反干涉、反“长臂管辖”机制,完善我国参与全球数据安全治理的国内法基础,《条例》以《个人信息保护法》和《数据安全法》的相关规定为依据,在总则部分明确规定了网络数据安全的域外管辖制度。
《条例》明确了网络平台服务提供者责任义务。作为现阶段数字经济的主要形态,平台经济主要是以数据为关键要素的经济活动,因此,网络平台服务提供者对于保障网络数据安全承担着重要作用。《条例》专章规定网络平台服务提供者义务和责任,对于规范网络平台服务提供者的行为、强化平台依法自律、维护用户合法权益,推动平台经济向上向善高质量发展具有重要的规范作用和指导意义。
《条例》健全了网络数据监督管理体制机制。数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,是一项需要政府、企业、社会和个人等各方共同参与的系统工程,特别是建立健全科学高效的监管体制,更好发挥政府的作用。《条例》构建了分工与协同相结合的网络数据监督管理体制机制,有助于形成网络数据安全监管合力。
坚持高质量发展和高水平安全良性互动是《条例》的立法导向。准确理解和正确适用《条例》,必须全面准确把握《条例》的立法目标,以实现纲举目张,充分发挥其法律效应。规范网络数据处理活动,既要保障网络数据安全,又要促进网络数据依法合理有效利用,还要保护个人、组织的合法权益,维护国家安全和公共利益。可见,《条例》坚持以高质量发展促进高水平安全,以高水平安全保障高质量发展,与《网络安全法》《数据安全法》《个人信息保护法》一脉相承。《条例》设定了网络数据安全的底线,划清了网络数据安全的红线,明确网络数据安全的责任,在法治轨道上明晰了网络数据安全边界,提升了网络数据安全治理体系和能力的现代化的法治保障。我们期待,以高水平的数据安全法治建设,保障数据依法有序自由流动,助力充分发挥我国海量数据规模和丰富应用场景优势,做强做优做大数字经济,赋能高质量发展,为实现中国式现代化持续注入强劲动能。(作者:时建中,中国政法大学副校长、教授,数据法治研究院院长)