數安條例百問87、88:關于公共數據與公共信息
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除
對應條款
第五十一條 互聯網平臺運營者在為國家機關提供服務,參與公共基礎設施、公共服務系統建設運維管理,利用公共資源提供服務過程中收集、產生的數據不得用于其他用途。
解讀
在2016年4月19日的網絡安全和信息化工作座談會上,習近平總書記指出:“要依法加強對大數據的管理。一些涉及國家利益、國家安全的數據,很多掌握在互聯網企業手里,企業要保證這些數據安全。”
習總書記的指示,指向了一個非常重要的命題:如何看待企業收集、產生的一些與國家安全、公共利益相關的數據的性質?這個問題換一種表述就是:企業手中的數據就一定是企業自己的嗎?企業可以按照自己的意愿對其任意處置嗎?
例如,互聯網平臺上用戶的留言算是誰的?這在實踐中曾引起過很大爭議,需要在理論上進一步研究。
但拋開理論研究不談,至少在一些特定場景下,這類問題是可以有明確答案的。這便是《條例》第五十一條的立法目的。
《條例》第五十一條指出了三種有助于對企業手中數據作出定性的場景:
一是為國家機關提供服務。顯然,這種情況下,企業是受委托的角色,數據本來就不是企業自己的。且很多時候,通過為國家機關提供服務而收集、產生的數據明確屬于國家機關所有。一些人提出,日志等信息算嗎?這個問題比較復雜,要看具體情況。雖然日志等信息是在系統運維過程中產生的,與業務不直接相關,但也有些日志、運維數據(如系統故障信息)會反映用戶的活動情況甚至敏感業務信息,它們不僅僅具有純技術意義。
二是參與公共基礎設施、公共服務系統建設運維管理。這種情況比較普遍,即企業雖然從事的是商業活動,但因為提供的服務屬于公共領域,故其收集、產生的數據就算是企業自己的(這與前述情況不一樣),但如何使用不能僅由企業說了算,要考慮到對公共利益的影響。
三是利用公共資源提供服務。這種情況下,企業之所以能夠收集、產生數據,不是因為企業自身如何,而是政府或有關方面給予了企業有別于其他組織的公共資源。例如,政府通過競標方式,準予某企業負責路邊停車收費,這是一種特性經營,那么停車數據能被認為是企業自己的嗎?
因此,以上三種情況下,企業收集、產生的數據與其他其他數據相比有著顯著的不同,企業不能隨意處置。
那么,這些數據經批準后是不是可以移作他用,甚至商用?這是一種選項,但《條例》目前采取了最嚴格的表述:不得用于其他用途。這顯示,此類數據只能按照本來的業務目的使用,不得改變目的,商用更是不被允許。
但有必要指出,該條的主語是“互聯網平臺運營者”,即互聯網平臺運營者不得將以上數據用于其他用途。但如這些數據符合“公共數據”定義,當然可以按照公共數據的管理規則,由政府部門按程序調用,《條例》第五十二條對此作了規范。
對應條款
第五十二條 國務院有關部門履行法定職責需要調取或者訪問互聯網平臺運營者掌握的公共數據、公共信息,應當明確調取或者訪問的范圍、類型、用途、依據,嚴格限定在履行法定職責范圍內,不得將調取或者訪問的公共數據、公共信息用于履行法定職責之外的目的。
互聯網平臺運營者應當對有關部門調取或者訪問公共數據、公共信息予以配合。
解讀
雖然數據安全方面的立法主要規范企業和其他社會組織收集、使用個人信息和重要數據,但事實上政府是最大的數據收集者,現實中個別政府部門也是數據泄露的源頭。因此,無論是《數據安全法》還是《個人信息保護法》,都對政府部門處理數據提出了要求。除了通用要求外,政府部門還要履行更多的數據安全保護義務。例如,《數據安全法》專列了第五章“政務數據安全與開放”,《個人信息保護法》專列了第二章第三節“國家機關處理個人信息的特別規定”。
但總體而言,上位法的上述規定都過于原則。例如,什么叫做“依照法律、行政法規規定的條件和程序”?往往這些條件和程序不是專門針對數據調用制定的,有時候顯得不夠。特別是,政府部門對數據的處理往往有法定的例外條件。如因為國家安全、國防安全,或者與刑事偵查、起訴、審判或判決有關。但這不意味著只要是政府部門處理數據,就每一次都符合該部門的例外條件。這就產生了一個例外與非例外的界限問題,而這方面的研究尚不夠深入。
那么,《條例》該如何處理這類問題呢?《條例》第十六條規定:“國家機關應當依照法律、行政法規的規定和國家標準的強制性要求,建立健全數據安全管理制度,落實數據安全保護責任,保障政務數據安全。”但這一條也是原則性的,而且并沒有顯示出比常規數據處理者的義務更多之處。這實際上是目前《條例》的一個缺憾,但卻未必能夠通過《條例》的努力得以解決。畢竟這個問題比較復雜,與其他很多法律法規產生關聯,需要更完善的立法環境和層級更高的上位法規定。
但即使如此,《條例》也還是作了努力,對互聯網企業掌握的特定數據——即公共數據、公共信息的政府調用提出了規范性要求。核心是兩點:(1)調取或者訪問前應當明確數據的范圍、類型、用途、依據;(2)調取或者訪問的目的應當嚴格限定在履行法定職責范圍內,不得將調取或者訪問的公共數據、公共信息用于履行法定職責之外的目的。
但如果多個部門都以履行法定職責為目的,頻繁、重復調用或者訪問企業的數據怎么辦?這也是現實中存在的現象。“履行法定職責”的界限在哪里?企業有沒有救濟渠道?這些都留待今后的立法去解決。
《條例》第五十二條的立法目的主要是約束政府部門。但如政府部門調用、訪問公共數據、公共信息,互聯網平臺運營者也有配合的義務,為此第五十二條第二款作了補充規定。
第五十二條還引出了另一個重大問題,即什么是“公共數據”?這是討論數據開發利用時難以繞過的問題。在多個地方的立法實踐中,也社會關注的焦點。《條例》在“附則”中指出,公共數據是指國家機關和法律、行政法規授權的具有管理公共事務職能的組織履行公共管理職責或者提供公共服務過程中收集、產生的各類數據,以及其他組織在提供公共服務中收集、產生的涉及公共利益的各類數據。這個定義實際上比很多地方立法中提出的概念要廣,因為其除了強調主體特征(國家機關和具有管理公共事務職能的組織)外,還強調了產生的方式(在提供公共服務中收集、產生的涉及公共利益的各類數據)。即,根據《條例》的定義,公共數據也有可能是企業產生——如果其提供公共服務且數據涉及公共利益的話。但鑒于第五十二條的立法目的是規范政府部門對數據的調用、訪問行為,目的是為了保護數據處理者的合法權益,以上定義并無不妥。只是該定義是不是推而廣之都適用于其他場景,這需要其他法規和規章在引用該定義時做好甄別。
另外一點要說的是,《條例》第五十二條除涉及公共數據外,還提到了公共信息,并在“附則”中也給出了定義。但這個概念并不是為第五十二條而生,而是因第四十五條的需要。后者的立法目的是為了保護公民通信自由和通信秘密,不是為了保護個人信息或促進數據開發利用。《條例》定義的公共信息本身不屬于公共數據,但就第五十二條的立法目而言,其也屬于國家機關可能調取、訪問的對象。就規范政府部門活動、保護數據處理者合法權益而言,兩者有共同性。故該條將其與公共數據作了并列,但這樣做僅限于本條的立法目的。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
數安條例百問60、61:關于征得主管部門同意要求及云安全評估要求
數安條例百問66、67、68:關于數據出境的單獨同意、評估條件與國際協議
數安條例百問74、75、76、77、78:關于平臺規則、隱私政策和算法策略
