网络安全防御图(视觉中国)
王春晖,浙江大学教授、浙江大学网络空间国际治理基地首席专家,工信部信息通信经济专家委员会委员,中国行为法学会学术委员会副主任兼网络与数据法学研究部主任,中国法学会网络与信息法学研究会常务理事,《人民法治》学术委员会副主任。
2025年4月27日,国家互联网信息办公室发布《中国网络法治发展报告(2024年)》。该报告旨在全面展现网络法治发展成果,深入总结网络法治工作经验,更好凝聚网络法治理念共识,着力为全面展示我国网络法治建设发展的最新实践成果打造权威品牌。《中国网络法治发展报告(2024年)》是首部国家部门层面发布的网络法治综合性年度报告,既是《中国网络法治三十年》报告的续篇,也是中国网络法治发展年度报告的开篇,对于充分展现网络法治建设新进展、新成效、奋力谱写网络法治建设新篇章具有重要意义。
随着网络技术、数字技术和智能技术的飞速发展,网络数据处理活动更加频繁,数据安全风险重点聚焦在网络数据领域,给经济社会发展和国家安全带来严峻挑战。2024年9月,国务院公布《网络数据安全管理条例》。《网络数据安全管理条例》是《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》最重要的配套法规。《网络数据安全管理条例》统筹发展和安全,坚持问题导向,重点聚焦个人信息保护、重要数据安全、网络数据跨境流动、大型网络平台治理等方面的突出问题,妥善处理了与《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等上位法的关系,对上位法的相关制度规定进行了细化、补充、完善。
《网络数据安全管理条例》第一条规定:“为了规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律,制定本条例。”从《网络数据安全管理条例》的立法目的来看,“规范网络数据处理活动”是《网络数据安全管理条例》的核心,处于整个网络数据安全保护的主导地位,只有夯实“规范网络数据处理活动”这一关键环节,才能达到保障网络数据安全、促进网络数据依法合理有效利用之目的。
《网络数据安全管理条例》第八条确立两项禁止性规定:任何个人、组织不得利用网络数据从事非法活动,不得从事窃取或者以其他非法方式获取网络数据、非法出售或者非法向他人提供网络数据等非法网络数据处理活动;任何个人、组织不得提供专门用于从事上述非法活动的程序、工具;明知他人从事前款非法活动的,不得为其提供互联网接入、服务器托管、网络存储、通信传输等技术支持,或者提供广告推广、支付结算等帮助。
《网络数据安全管理条例》重点细化了《中华人民共和国个人信息保护法》关于告知、同意、个人行使权利等方面的规定,确立了网络数据处理者基于个人同意处理个人信息应当履行的六项强制性义务:一是收集个人信息为提供产品或者服务所必需,不得超范围收集个人信息,不得通过误导、欺诈、胁迫等方式取得个人同意;二是处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的单独同意;三是处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意;四是不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息;五是不得在个人明确表示不同意处理其个人信息后,频繁征求同意;六是个人信息的处理目的、方式、种类发生变更的,应当重新取得个人同意。
《网络数据安全管理条例》明确了行使个人请求信息查阅、复制、更正、补充、删除、限制处理其个人信息等权利的基本要求,对于个人注销账号、撤回同意的,网络数据处理者应当及时受理,并提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求。《网络数据安全管理条例》细化了个人信息转移的具体条件,对于符合法定条件的个人信息转移请求,网络数据处理者应当为个人指定的其他网络数据处理者进行访问,并为获取有关个人信息提供途径。《网络数据安全管理条例》强调了网络数据处理者处理1000万人以上个人信息,应当履行对重要数据的处理者作出的规定。《网络数据安全管理条例》对处理不满十四周岁未成年人个人信息作出了特别规定,要求制定专门的个人信息处理规则等。
《网络数据安全管理条例》从两个层面明确了“重要数据”认定的范围、规模和精度:一是只有在特定领域、特定群体、特定区域的数据才有可能成为“重要数据”;二是要达到准确性和精确性程度,同时必须具备一定的规模。在危害结果认定上,2022年9月施行的《数据出境安全评估办法》采用了“可能危害”的表述,《网络数据安全管理条例》则强调可能导致的“直接危害”,“直接危害”的影响程度通常会导致立即的、显而易见的危害结果,且“直接危害”通常与某种危害行为或事件相关联。
《网络数据安全管理条例》强化了重要数据的处理者对重要数据的风险管控和评估,对重要数据处理者在提供、委托处理、共同处理重要数据前,除了履行法定职责或者法定义务,还应当事先履行强制性风险评估义务。《网络数据安全管理条例》要求,网络数据处理者按照国家有关规定识别、申报重要数据,但同时规定“未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估”。
《网络数据安全管理条例》专章设定了网络平台服务提供者应履行的多项网络数据安全保护义务,包括接入网络平台的第三方产品和服务提供者的网络数据安全保护义务;提供应用程序分发服务的网络平台服务提供者的义务;网络平台服务提供者应当设置易于理解、便于访问和操作的个性化推荐关闭选项的义务等。(王春晖)
【本文刊载于《人民法治》杂志2025年5月上(总第201期) 法治新知栏目】
