本报记者 裴昱 北京报道
结束征求意见超过半年后,广受关注的《网络数据安全管理条例》(以下简称“《条例》”)迎来新进展。日前,国务院办公厅印发《国务院2022年度立法工作计划》(以下简称“《计划》”),《条例》被列入16件拟制定、修订的行政法规中。
2021年11月,国家互联网信息办公室(以下简称“网信办”)发布了《条例》(征求意见稿),此次被列入国务院立法计划,意味着《条例》立法进程又进一步。
由于内容涉及“数据处理者赴境外上市监管”“第三方产品损害平台用户利益时的赔偿责任”“互联互通”等敏感问题,互联网企业、科技公司等对《条例》高度关注,他们希望随着立法程序的推进,《条例》征求意见稿中一些模糊表述能够更加明确,以利于降低企业经营决策的不确定性。
熟悉立法工作的人士告诉《中国经营报》记者,避免越权立法、重复立法、盲目立法,提升立法的科学性和针对性是近年来国务院开展立法工作的基本原则之一。网络和数据安全是国家安全体系的重要组成部分,因此将《条例》列入2022年度立法工作计划,“是唯一一部与数据和互联网安全有关的行政法规”。
根据《计划》的工作安排,《条例》制定工作由网信办负责。
《条例》征求意见稿第十三条与互联网和科技企业的切身利益密切相关。第十三条列出了须申报网络安全审查的四种情况。其中“处理一百万人以上个人信息的数据处理者赴国外上市”和“数据处理者赴香港上市,影响或者可能影响国家安全”两种情况,对企业直接影响较大。
目前,业界已经形成共识,“一百万人以上个人信息”这一标准放松的可能性不大。在已经出台或近期开始征求意见的相关法规中,都以“一百万人以上个人信息”为标准。
在最新征求意见的《个人信息出境标准合同规定(征求意见稿)》中,以合同方式完成数据出境须同时具备的四项条件之一,是“处理个人信息不满100万人”;在9月1日起正式施行的《数据出境安全评估办法》中,须申报数据出境安全评估的四种情形之一,是“关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息”。
更早前发布实施的《网络安全审查办法》(以下简称“《审查办法》”)第七条规定,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
一位互联网企业合规部门的人士向记者回忆,《审查办法》开始执行后,对企业赴境外上市产生较大的影响。随后,对于赴香港上市是否包含在须申报网络安全审查的范围中,业界产生了不同的看法。这种分歧是由《条例》征求意见稿和《审查办法》的表述差异和发布时间带来的。
《审查办法》第七条对此的表述为“赴国外上市”,《条例》征求意见稿第十三条第二款、第三款对此的表述则分别涵盖了“境外”和“香港”。《条例》征求意见稿于2021年11月14日发布,《审查办法》于2021年11月16日审议通过。
“因为《审查办法》审议通过的日期比《条例》征求意见稿的公布晚了两天,业界有看法认为,《审查办法》的口径是‘新的’,须申报网络安全审查的范围只是赴国外上市;也有看法是,从立法层级而言,《条例》属于国务院行政规章,高于《审查办法》,因此应理解为须申报网络安全审查的范围包括赴香港上市。”前述互联网企业合规部门的人士说。
2021年11月19日,以人脸识别为主营业务之一的商汤科技在香港上市聆讯,当晚顺利过关。商汤科技在更新后的招股说明书中表示,公司也未牵扯监管机构对网络安全进行的调查、通知、警告或制裁。商汤及其法律顾问认为,这些条例生效不会对业务经营产生重大不利影响。
一位从事公司境外上市工作的资深法律界人士表示,前述两种看法都有道理,但又都不能“据道理判断”。他认为,就像“一百万人以上个人信息”标准一样,相关法律法规和部门规章应该保持同样的口径。他也相信,作为具体承担相关法律法规、部门规章制定的网信办,会统一口径。“也许在颁布实施的《条例》中就会有分晓。”他说。
此外,“第三方产品损害平台用户利益时的赔偿责任”也是各方较为关注的问题。《条例》征求意见稿第44条提出,互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任,通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。
“业界看法的分歧在于,什么情况下,用户可以要求互联网平台先行赔偿。”前述互联网企业合规部门的人士表示,“有的看法是,《条例》第44条后半句非常明确,第三方产品只要对用户造成损害,用户可以要求平台先行赔偿;但是,也有人认为,第44条前半句表述强调了平台对第三方产品和服务承担数据安全管理责任等,那么是否在平台未履行对第三方产品数据安全管理的责任和义务情况下所产生的对用户的损害,才能申请先行赔偿?”
他表示,希望在最终颁布实施的《条例》中,相关内容能够都能更为明确。
国务院办公厅在《计划》中指出,起草、审查法律法规草案时,同一或相近领域有关法律法规应相互衔接,避免出现法律规定之间不一致、不协调、不适应问题。聚焦法律制度的空白点和冲突点,既注重“大块头”,也注重“小快灵”,从“小切口”入手,切实增强立法的针对性、适用性、可操作性,着力解决现实问题。
(编辑:孟庆伟 校对:颜京宁)