数安条例百问87、88:关于公共数据与公共信息
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除
对应条款
第五十一条 互联网平台运营者在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据不得用于其他用途。
解读
在2016年4月19日的网络安全和信息化工作座谈会上,习近平总书记指出:“要依法加强对大数据的管理。一些涉及国家利益、国家安全的数据,很多掌握在互联网企业手里,企业要保证这些数据安全。”
习总书记的指示,指向了一个非常重要的命题:如何看待企业收集、产生的一些与国家安全、公共利益相关的数据的性质?这个问题换一种表述就是:企业手中的数据就一定是企业自己的吗?企业可以按照自己的意愿对其任意处置吗?
例如,互联网平台上用户的留言算是谁的?这在实践中曾引起过很大争议,需要在理论上进一步研究。
但抛开理论研究不谈,至少在一些特定场景下,这类问题是可以有明确答案的。这便是《条例》第五十一条的立法目的。
《条例》第五十一条指出了三种有助于对企业手中数据作出定性的场景:
一是为国家机关提供服务。显然,这种情况下,企业是受委托的角色,数据本来就不是企业自己的。且很多时候,通过为国家机关提供服务而收集、产生的数据明确属于国家机关所有。一些人提出,日志等信息算吗?这个问题比较复杂,要看具体情况。虽然日志等信息是在系统运维过程中产生的,与业务不直接相关,但也有些日志、运维数据(如系统故障信息)会反映用户的活动情况甚至敏感业务信息,它们不仅仅具有纯技术意义。
二是参与公共基础设施、公共服务系统建设运维管理。这种情况比较普遍,即企业虽然从事的是商业活动,但因为提供的服务属于公共领域,故其收集、产生的数据就算是企业自己的(这与前述情况不一样),但如何使用不能仅由企业说了算,要考虑到对公共利益的影响。
三是利用公共资源提供服务。这种情况下,企业之所以能够收集、产生数据,不是因为企业自身如何,而是政府或有关方面给予了企业有别于其他组织的公共资源。例如,政府通过竞标方式,准予某企业负责路边停车收费,这是一种特性经营,那么停车数据能被认为是企业自己的吗?
因此,以上三种情况下,企业收集、产生的数据与其他其他数据相比有着显著的不同,企业不能随意处置。
那么,这些数据经批准后是不是可以移作他用,甚至商用?这是一种选项,但《条例》目前采取了最严格的表述:不得用于其他用途。这显示,此类数据只能按照本来的业务目的使用,不得改变目的,商用更是不被允许。
但有必要指出,该条的主语是“互联网平台运营者”,即互联网平台运营者不得将以上数据用于其他用途。但如这些数据符合“公共数据”定义,当然可以按照公共数据的管理规则,由政府部门按程序调用,《条例》第五十二条对此作了规范。
对应条款
第五十二条 国务院有关部门履行法定职责需要调取或者访问互联网平台运营者掌握的公共数据、公共信息,应当明确调取或者访问的范围、类型、用途、依据,严格限定在履行法定职责范围内,不得将调取或者访问的公共数据、公共信息用于履行法定职责之外的目的。
互联网平台运营者应当对有关部门调取或者访问公共数据、公共信息予以配合。
解读
虽然数据安全方面的立法主要规范企业和其他社会组织收集、使用个人信息和重要数据,但事实上政府是最大的数据收集者,现实中个别政府部门也是数据泄露的源头。因此,无论是《数据安全法》还是《个人信息保护法》,都对政府部门处理数据提出了要求。除了通用要求外,政府部门还要履行更多的数据安全保护义务。例如,《数据安全法》专列了第五章“政务数据安全与开放”,《个人信息保护法》专列了第二章第三节“国家机关处理个人信息的特别规定”。
但总体而言,上位法的上述规定都过于原则。例如,什么叫做“依照法律、行政法规规定的条件和程序”?往往这些条件和程序不是专门针对数据调用制定的,有时候显得不够。特别是,政府部门对数据的处理往往有法定的例外条件。如因为国家安全、国防安全,或者与刑事侦查、起诉、审判或判决有关。但这不意味着只要是政府部门处理数据,就每一次都符合该部门的例外条件。这就产生了一个例外与非例外的界限问题,而这方面的研究尚不够深入。
那么,《条例》该如何处理这类问题呢?《条例》第十六条规定:“国家机关应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。”但这一条也是原则性的,而且并没有显示出比常规数据处理者的义务更多之处。这实际上是目前《条例》的一个缺憾,但却未必能够通过《条例》的努力得以解决。毕竟这个问题比较复杂,与其他很多法律法规产生关联,需要更完善的立法环境和层级更高的上位法规定。
但即使如此,《条例》也还是作了努力,对互联网企业掌握的特定数据——即公共数据、公共信息的政府调用提出了规范性要求。核心是两点:(1)调取或者访问前应当明确数据的范围、类型、用途、依据;(2)调取或者访问的目的应当严格限定在履行法定职责范围内,不得将调取或者访问的公共数据、公共信息用于履行法定职责之外的目的。
但如果多个部门都以履行法定职责为目的,频繁、重复调用或者访问企业的数据怎么办?这也是现实中存在的现象。“履行法定职责”的界限在哪里?企业有没有救济渠道?这些都留待今后的立法去解决。
《条例》第五十二条的立法目的主要是约束政府部门。但如政府部门调用、访问公共数据、公共信息,互联网平台运营者也有配合的义务,为此第五十二条第二款作了补充规定。
第五十二条还引出了另一个重大问题,即什么是“公共数据”?这是讨论数据开发利用时难以绕过的问题。在多个地方的立法实践中,也社会关注的焦点。《条例》在“附则”中指出,公共数据是指国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据,以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。这个定义实际上比很多地方立法中提出的概念要广,因为其除了强调主体特征(国家机关和具有管理公共事务职能的组织)外,还强调了产生的方式(在提供公共服务中收集、产生的涉及公共利益的各类数据)。即,根据《条例》的定义,公共数据也有可能是企业产生——如果其提供公共服务且数据涉及公共利益的话。但鉴于第五十二条的立法目的是规范政府部门对数据的调用、访问行为,目的是为了保护数据处理者的合法权益,以上定义并无不妥。只是该定义是不是推而广之都适用于其他场景,这需要其他法规和规章在引用该定义时做好甄别。
另外一点要说的是,《条例》第五十二条除涉及公共数据外,还提到了公共信息,并在“附则”中也给出了定义。但这个概念并不是为第五十二条而生,而是因第四十五条的需要。后者的立法目的是为了保护公民通信自由和通信秘密,不是为了保护个人信息或促进数据开发利用。《条例》定义的公共信息本身不属于公共数据,但就第五十二条的立法目而言,其也属于国家机关可能调取、访问的对象。就规范政府部门活动、保护数据处理者合法权益而言,两者有共同性。故该条将其与公共数据作了并列,但这样做仅限于本条的立法目的。
相关文章:
数安条例百问15、16、17、18、19:关于数据处理者安全保护义务
数安条例百问27、28、29、30:关于“一般要求”中的几个特定考虑
数安条例百问46、47、48:关于生物特征应用和一百万人以上个人信息处理者的适用
数安条例百问55、56、57、58、59:关于年度评估与对外提供数据的风险评估
数安条例百问60、61:关于征得主管部门同意要求及云安全评估要求
数安条例百问66、67、68:关于数据出境的单独同意、评估条件与国际协议
数安条例百问74、75、76、77、78:关于平台规则、隐私政策和算法策略
