(通讯员 苗兴宗 摄影 刘立)为深入交流研讨《网络数据安全管理条例(征求意见稿)》内容,向国家网信部门提供高质量立法建议,天津大学法学院于11月16日下午在332会议室召开《网络数据安全管理条例(征求意见稿)》研讨会。法学院孙佑海院长、蓝蓝副院长、熊文钊教授、俞风雷教授、田野教授、王小钢教授、刘霜教授、管荣齐副教授、董妍副教授、李春晖研究员、田源副教授、王燃副教授、陈雪老师参加会议。会议由王燃主持。
随后,王燃对《网络数据安全管理条例(征求意见稿)》主体结构和各章主要内容进行了解读。
会议第二项议程,由与会老师提出立法修改建议并交流研讨。
蓝蓝认为,《条例(征求意见稿)》中重要数据与核心数据的逻辑关系不够清晰,建议在附则部分进行解释;关于互联网平台经营者境外设立总部或者运营中心、研发中心报告机制,具体报告方式是事后报告还是事前备案审查,仍需进一步规定;关于境外上市数据处理者的相关条款编排,将其纳入到“数据跨境安全管理”部分中更加合乎逻辑;审计结果披露机制有待进一步明确内容、方式等要求。
熊文钊肯定了《条例(征求意见稿)》的总体框架和结构,对文本进行了较为系统的梳理,并从立法的科学性、立法的功能定位等方面对条例征求意见稿作进一步修订完善提出了自己的建议:在条例的名称用语方面,根据条例所涉境内境外的场域环境和条例的内容,建议条例的名称做冠以中华人民共和国的抬头;征求意见稿第一条作为立法宗旨和依据似有优化提升的空间,似应以维护国家安全利益和公共利益为主旨调整语序,同时做好数据、个人信息等概念层级的把握,注重特定术语的使用;应注重管理过程中的公权与私权平衡,规范行政权力,增加对数据处理主体包括听证、外部专家介入评估等行政行为程序的规范和救济程序的制度设计;在管理主体方面,原文本“国家网信部门”的具体所指不够明晰,对于管理主体角色和地位认识较为模糊和笼统,应把握党政融合体制下管理主体的机构属性,并在此基础上厘清统筹和管理主体的职责范围,避免部门管理中积极争议和消极争议的产生,征求意见稿中出现了众多主管部门的规定,似应理顺监管体制机制,明确主管部门的相关规定;在执法检查方面,注重强制性措施运用中的程序明确,规范执法行为,与条例“保护个人、组织在网络安全空间的合法权益”宗旨相对应;在法律责任方面,建议条例更多地采用杠杆制惩罚模式替代原文本中的具体数额惩罚模式,在不同的类型化惩罚中采用对应的比例惩罚,以适应信息时代的快速变化,增强条例应用的科学性和前瞻性。
田源指出,网络数据不仅仅是数据本身,而且是重要的执政资源和生产要素,直接关系到我们综合国力的竞争。《条例(征求意见稿)》中,对“网络数据”概念进行了界定,但是对“网络数据安全”的界定缺失,有必要在附则部分对这一概念进行解析;《条例》中“各地区各部门”的表述一般出现在行政公文中,不宜出现在行政法规中,由于各地区各部门对“重要数据”的概念可能存在较大差异,应由统一机构进行梳理和界定,条例中只规定将重要数据分级分类目录报送国家网信部门而未指明最终如何确定,建议补充国家网信部门审定机制;法律责任方面,由于主要处罚方式是罚款且最高额是五百万元,该数额对于头部互联网平台运营者可能无关痛痒,建议借鉴其他行政法规中按比例处罚的方式,以有效适应通货膨胀等因素。
俞风雷认为《条例(征求意见稿)》还应加强以下三方面的研究:首先要注重既平衡保护公民个人信息,又鼓励数字经济发展。如与CPTPP,欧盟《一般数据保护条例》GDPR、美国USMAC、欧盟日本EPA等相关域外法衔接对应。还要在落地上位法网络安全法、数据安全法和个人信息保护法的同时,应尽量减少增加不必要的限制,鼓励运用知识产权保护有利于我国数字企业培育发展的创新环境,从而更好更快地取得国际同业竞争的优势。还应增设听证复议等程序性条款,保障相应权利义务的平衡。再有就是充分利用立法技术,在整体上用语要规范统一,避免出现歧义。
王小钢提出,《条例(征求意见稿)》中部分法律用词和标点符号使用仍需规范,以体现立法工作的严谨性;涉及法律责任和义务的部分条款编排顺序在原文中出现杂糅,建议从逻辑上对相关条款重新编排;在法律责任部分,执法主体的表述方式不够清晰明确,建议与上位法中保持一致。
田野认为《条例(征求意见稿)》应与上位法保持原则一致,个人信息保护相关章节条款中的合法、正当、必要原则应置于目的限制原则之前;关于个人同意与履行法定职责或者法定义务所必需之间的关系,《个人信息保护法》已做出规定,如果是履行法律、行政法规规定的义务所必需,则处理个人信息不需要经过个人同意,建议《条例》重新定位基于个人同意和行为本身正当性两个正当性基础的适用关系;关于“不得使用概括性条款取得同意”的相关条款,为了协调个人信息保护与数据利用的关系,概括同意不应该被绝对禁止。
管荣齐指出,由于《条例(征求意见稿)》中规定的内容不限于管理,也有监督、处罚等,建议将题目改为“网络数据安全条例”;附则中关于“个人”和“组织”的概念界定缺失,个人是否包含个体工商户和个人企业?个人与自然人两个概念是何种关系?组织是否包括法人和非法人组织?建议在附则部分进行明确;关于“个人”和“组织”两个概念的逻辑关系,条例中有时使用“和”连接,有时使用顿号,未能一以贯之,建议统一采用顿号。
李春晖认为,鉴于个人信息保护既涉及安全问题,又涉及权利问题,而且权利问题占相当的比重,建议条例名称修改为《网络数据管理条例》。关于第二条本条例的适用范围,建议仍沿用《数据安全法》和《个人信息保护法》的措辞,因为《数据安全法》中“组织与数据有关的权益”,不能单纯理解为对“组织数据”的权益,后者含义模糊且与个人数据性质不同,一方面导致上位法的适用范围有扩张嫌疑,另一方面又导致遗漏其他数据类型。关于第十三条第一款,建议将赴国外上市和赴中国香港地区上市的情形统一为“赴境外上市”,以与其他条文例如第三十七条一致。相应地,第三十九条第二款的“外国司法或者执法机构”应修改为“境外司法或者执法机构”。在第四十三条中,既然算法策略已经在披露制度之下,则在公开征求意见以及第三方机构评估的制度中,亦不可遗漏之。最后,关于第七十三条所涉及的术语定义中,建议将“出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据”修改为“出口管制物项涉及的技术秘密”;将“重要敏感区域的地理位置”修改为“重要敏感区域的地理信息”;更好地区分“公共数据”和“公共信息”,分别修改为“公共事务数据”和“公有信息”;细化“单独同意”概念;明确互联网平台运营者可以存在不同的层级;将“大型互联网平台运营者”的定义简化为用户超过五千万的互联网平台运营者,而避免使用模糊的限定以及《反垄断法》基于不同理念的“市场支配地位”概念;以“有害信息”覆盖“反动网站”即可。
陈雪认为,《条例(征求意见稿)》中对重要数据进行了概念界定,但未对核心数据进行解释,也未阐明两者之间的关系,建议在附则中进行明确;此外,部分概念如“日活用户”“强大社会动员能力”“市场支配地位”未能明确,建议给出明确定义。
刘霜认为,不适用本条例的开展数据处理活动情形,还应增加一项“科研事务”,以正确平衡网络数据安全与科学发展之间的关系;在申报网络安全审查的相关规定中,建议明确规定域外上市的数据处理者申报网络安全审查的具体条件,不宜以“影响或者可能影响国家安全的”进行粗略界定。
王燃提出,《条例(征求意见稿)》第七条的两款分别为公共数据开放、共享和数据交易管理制度相关内容,建议拆分为两条以体现重视程度;关于保护重要数据和核心数据的条款中,单纯规定使用“密码”进行保护不够具体,建议补充规定采取“有效加密技术”;关于向境外提供数据的数据处理者应履行的义务相关条款中,建议将跨境数据取证的内容单列为一条,该内容关系到国际司法协助,以及如何协调数据主权与域外法针对数据的长臂管辖问题,较为重要;关于互联网平台协助取证义务的相关条款中,建议将其中的两款内容顺序调换,增加“执法机构、司法机关”等主体,并将调取数据的范围扩大,不局限于公共数据和信息。
董妍提出,适用本条例的在境外处理境内个人和组织数据情形的兜底性条款中,除法律、行政法规规定的其他情形外,建议扩展到地方性法规、部门规章、地方政府规章,以避免地方或者某部门遇到新情况,在先试先行的过程中,有游离于条例之外的情形;数据处理者利用生物特征进行个人身份认证的风险评估机制含糊不清,是否需要形成评估报告以及评估的具体要求均未明确;数据跨境安全管理部分未能对“向境外提供数据”这一行为进行定义;数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的情形不够具体,对于合同的内容应当有所限制。
本次交流研讨会旨在集思广益,为国家网信部门提供更加精准、更高质量的立法建议。研讨会氛围热烈,兼具专业性、建设性和启发性,效果显著,取得圆满成功。天津大学法学院、天津大学中国智慧法治研究院将持续积极关注国家网络安全、数据安全和个人信息保护领域立法工作动态,将其作为重点研究方向,并通过多种途径为立法工作建言献策。