歡迎關注“新浪科技”的微信訂閱號：techsina 

　　文/游云庭

　　近日，國家網信辦發布了《網絡數據安全管理條例(征求意見稿)》[i]（以下簡稱“草案”），這是《網絡安全法》、《數據安全法》和《個人信息保護法》三大數據法規在執行層面的重要的配套法規，有不少規范互聯網產業的首創性規定，互聯網平臺數據責任和違規代價都空前巨大，草案對面向消費者的快消、商超這些行業也有不小的影響，今天就該草案的產業影響談談我的個人觀點。

　　一、規范互聯網產業的首創性規定

　　草案中有很多對互聯網產業進行規范的具體規定，不少還是首創的：

　　1、爬蟲不得干擾網絡服務義務

　　草案規定互聯網公司用爬蟲等自動化工具訪問、收集數據時，應當評估對網絡服務的性能、功能帶來的影響，不得干擾網絡服務的正常功能。如有違反法律、行政法規或者行業自律公約、影響網絡服務正常功能，或者侵犯他人知識產權等合法權益的情況，應當停止訪問、收集數據行為并采取相應補救措施。

　　爬蟲影響互聯網公司正常服務其實法律風險很大，前不久公布的公安破獲某電商網站直播數據被爬[ii]，新聞里說就是因為爬蟲造成直播異常才報的案，草案對此進行明確確實很有必要。

　　2、平臺對第三方插件收集個人信息的集中展示義務

　　平臺上的第三方插件一直是數據違規的高發領域。比如可能通過數據違規采集直接顛覆了美國大選結果的facebook劍橋事件，數據泄露的途徑就是就是facebook上一個不起眼的第三方性格分析小程序。[iii]

　　國內API、SDK接入不規范的情況其實也不少見，草案規定，平臺應以集中展示等便利用戶訪問的方式說明產品服務中嵌入的所有收集個人信息的第三方代碼、插件的名稱，以及每個第三方代碼、插件收集個人信息的目的、方式、種類、頻次或者時機及其個人信息處理規則。對此，筆者非常認同，公開透明可以引入社會的力量監督平臺和第三方進行數據規范，是解決問題的好辦法。

　　3、平臺規則隱私協議合規門檻高

　　草案對互聯網平臺規則、隱私政策和算法策略披露提出了新的要求；平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂前應當公開征求意見，并充分采納公眾意見，公布意見采納情況，說明未采納的理由，接受社會監督。

　　日活用戶超過一億的大型互聯網平臺運營者平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂的，應當經國家網信部門認定的第三方機構評估，并報省級及以上網信部門和電信主管部門同意。

　　以后互聯網公司修訂平臺規則和隱私政策前的公示會很重要，其必須尊重用戶反饋并保留相應記錄才能做到合規，至于大型平臺，法律要求更高，除了公眾監督，網信部門、電信部門和第三方評估機構也會監督。

　　4、互聯互通義務

　　前陣工信部曾要求各經營即時通訊的平臺限期內必須按標準解除網址屏蔽，但該要求沒有落實到具體的行政法規上，這次網信辦則直接在草案中規定了互聯網平臺的互聯互通義務：互聯網平臺運營者面向公眾提供即時通信服務的，應當按照國務院電信主管部門的規定，為其他互聯網平臺運營者的即時通信服務提供數據接口，支持不同即時通信服務之間用戶數據互通，無正當理由不得限制用戶訪問其他互聯網平臺以及向其他互聯網平臺傳輸文件。

　　平臺拒絕互聯互通本質上是《反壟斷法》上拒絕交易的濫用市場支配地位行為，某即時通訊軟件屏蔽競爭對手之后曾引發了幾個《反壟斷法》訴訟，筆者還代理了其中的一個。但打民事官司比較曠日持久，如果草案近期生效，苦主們直接到網信辦行政投訴，效率肯定會高不少。

　　5、平臺大數據守法責任

　　草案對互聯網平臺運營者的大數據違法進行了空前嚴格的規制，包括大數據殺熟；利用大數據對平臺內經營者進行不正當競爭；利用大數據對用戶進行誤導、欺詐、脅迫用戶；利用大數據不合理的限制阻礙中小企業公平獲取平臺產生的行業、市場數據等，阻礙市場創新。

　　平臺的互聯互通違法和大數據違法的責任都相當嚴重，罰款金額為上年銷售額的1%-5%，力度堪比反壟斷罰款。此外，還有暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照；構成犯罪的，依照相關法律、行政法規的規定處罰等一系列制裁措施。

　　二、大型商超、快消企業數據責任重大

　　草案規定數據處理者處理一百萬人以上個人信息的，還應當遵守重要數據處理者的規定。這個門檻其實不高，大型商超企業的會員卡用戶破百萬很正常，大型快消企業各大電商平臺開會員可以享受優惠，受眾破百萬并非不可能。百萬會員就意味著百萬條用戶信息，如果草案生效，這些公司的法務部要忙活一陣子了。

　　根據草案，重要數據處理者責任不小：包括明確數據安全負責人，成立數據安全管理機構；向設區的市級網信部門備案、制定數據安全培訓計劃，每年組織開展全員數據安全教育培訓；優先采購安全可信的網絡產品和服務；每年開展一次數據安全評估并報設區的市級網信部門。如果要赴境外上市的，還要申報網絡安全審查。以上這些合規要求，其實都會變成企業的經營成本。

　　順道說下，草案還第一次對“重要數據”進行了定義，早在2016年頒布的《網絡安全法》里就有涉及“重要數據”的外延性規定，《數據安全法》中更有9次提到“重要數據”，但卻始終沒有官方的定義，草案第73條終于對重要數據進行了定義：指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據。而且在定義之后還列舉了七大類重要數據的類型。

　　三、部分規定需更加明確

　　草案畢竟是征求意見稿，部分規定有點歧義，比如草案第44條的規定：互聯網平臺運營者應當對接入其平臺的第三方產品和服務承擔數據安全管理責任，通過合同等形式明確第三方的數據安全責任義務，并督促第三方加強數據安全管理，采取必要的數據安全保護措施。第三方產品和服務對用戶造成損害的，用戶可以要求互聯網平臺運營者先行賠償。

　　這條會有兩種解釋，如果只看第二句，那對電商平臺的消費者會非常有利，因為電商平臺上買到假貨可以要求平臺先行賠償；但如果結合第一句，可能平臺只是對第三方數據安全出問題，給消費者造成損失的（比如數據泄露導致消費者被詐騙）才有先行賠償義務。根據這部法規的網絡數據安全管理主旨，應該后一種解釋更合理，估計正式版《網絡數據安全管理條例》出臺時，這個問題會明確。

　　最后，以上是個人對《網絡數據安全管理條例（征求意見稿）》部分條款的解讀，不全面、不權威，最終應以官方解釋版本為準，歡迎大家批評指正。

　　本文作者：游云庭，上海大邦律師事務所高級合伙人，知識產權律師。本文僅代表作者觀點。

　　[i] https://mp.weixin.qq.com/s/Cv2BS9tF_OQvq9vUxqqQUw

　　[ii] http://whmsebhyy.com/jjxw/2021-10-18/doc-iktzqtyu2109265.shtml

　　[iii] https://zhuanlan.zhihu.com/p/35346819

（聲明：本文僅代表作者觀點，不代表新浪網立場。）