1月8日,国家互联网信息办公室发布《互联网信息服务管理办法(修订草案征求意见稿)》公开征求意见的通知,意见反馈截止日期为2月7日。据悉,相较于现行版本而言,新的修订版本在适用范围、数据保护等方面存在诸多变化,比如,修订版明确将中国境内利用境内外网络资源向境内用户提供互联网信息服务纳入管辖范围。
“去年,网络安全与数据合规领域的立法进入了快车道,《民法典》正式颁布,《数据安全法(草案)》和《个人信息保护法(草案)》发布并征求意见,加上,2017年生效的《中华人民共和国网络安全法》,网络安全与数据保护的基础性法律架构逐渐成型。”北京市中伦律师事务所合伙人陈际红在网络安全与数据合规治理2020年度论坛上提到。
以《个人信息保护法(草案)》为例,陈际红表示,该草案采用了“目标指向标准”设定域外适用效力,具有“长臂管辖”的效果,并借鉴欧盟《通用数据保护条例》的经验,拓宽了处理个人信息的合法基础。除《网络安全法》确定的知情同意之外,还将合同所必需、履行法定职责或义务、保护自然人的重大利益、公共利益等纳入个人信息处理的合法基础,并结合疫情防控的需要,突出了突发公共卫生事件的规定。此外,为回应AI技术的发展,该草案设定专门条款规制公开数据利用和自动化决策行为。为了响应限制公权力机构对于个人信息处理的呼声,还特设专节对于国家机关处理个人信息行为进行规制,此乃立法中的一大进步。为了增强对个人信息违法行为处罚的威慑力,草案规定了情节严重时可高达五千万元以下或者上一年度营业额百分之五以下罚款的严厉惩罚措施,体现了监管机构整肃个人信息滥用风气。
“《数据安全法(草案)》明确我国数据安全工作由中央国家安全领导机构决策和统筹协调,坚持‘维护数据安全’与‘促进数据开发利用’并重的立法与监管理念,重点关注数据安全保障制度方面的建设,包括数据分类分级保护、重要数据保护目录、数据安全风险预警机制、数据安全应急处置机制等。”陈际红指出,与此同时,还规定了针对数据活动的国家安全审查要求,并将数据纳入到特定场景下实施出口管制的物项。针对频频发生的境外执法机构要求调取境内数据的案件,草案还规定了中国版的“阻断条款”,有关主体应向主管机关报告并获其批准后方可进行。
陈际红称,“上述两个草案已经过了一审,2021年有可能经过二审和三审并得以颁布,由此,网络空间监管和数据保护的三驾马车成型。”
“相关配套法规逐步落地,标准和规范出台目不暇接,App个人信息保护专项治理行动持续开展,公安机关保持整治网络侵犯公民个人信息犯罪的坚决力度。”陈际红指出,比如,去年1月1日生效的《密码法》的配套法规修订制定工作已全面启动。去年8月,国家密码管理局发布《商用密码管理条例(修订草案征求意见稿)》,对商用密码产品检测与认证机构的年资质要求、申请流程、主管机构、监督管理进行具体规定,并规定了商用密码进口许可和出口管制的内容等。