运营者|《网络数据安全管理条例》草案,有哪些首创性规定?( 二 )


5、平台大数据守法责任
草案对互联网平台运营者的大数据违法进行了空前严格的规制,包括大数据杀熟;利用大数据对平台内经营者进行不正当竞争;利用大数据对用户进行误导、欺诈、胁迫用户;利用大数据不合理的限制阻碍中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。
平台的互联互通违法和大数据违法的责任都相当严重,罚款金额为上年销售额的1%-5%,力度堪比反垄断罚款。此外,还有暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚等一系列制裁措施。
二、大型商超、快消企业数据责任重大草案规定数据处理者处理一百万人以上个人信息的,还应当遵守重要数据处理者的规定。这个门槛其实不高,大型商超企业的会员卡用户破百万很正常,大型快消企业各大电商平台开会员可以享受优惠,受众破百万并非不可能。百万会员就意味着百万条用户信息,如果草案生效,这些公司的法务部要忙活一阵子了。
根据草案,重要数据处理者责任不小:包括明确数据安全负责人,成立数据安全管理机构;向设区的市级网信部门备案、制定数据安全培训计划,每年组织开展全员数据安全教育培训;优先采购安全可信的网络产品和服务;每年开展一次数据安全评估并报设区的市级网信部门。如果要赴境外上市的,还要申报网络安全审查。以上这些合规要求,其实都会变成企业的经营成本。
顺道说下,草案还第一次对“重要数据”进行了定义,早在2016年颁布的《网络安全法》里就有涉及“重要数据”的外延性规定,《数据安全法》中更有9次提到“重要数据”,但却始终没有官方的定义,草案第73条终于对重要数据进行了定义:指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。而且在定义之后还列举了七大类重要数据的类型。
三、部分规定需更加明确草案毕竟是征求意见稿,部分规定有点歧义,比如草案第44条的规定:互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任,通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。
这条会有两种解释,如果只看第二句,那对电商平台的消费者会非常有利,因为电商平台上买到假货可以要求平台先行赔偿;但如果结合第一句,可能平台只是对第三方数据安全出问题,给消费者造成损失的(比如数据泄露导致消费者被诈骗)才有先行赔偿义务。根据这部法规的网络数据安全管理主旨,应该后一种解释更合理,估计正式版《网络数据安全管理条例》出台时,这个问题会明确。
最后,以上是个人对《网络数据安全管理条例(征求意见稿)》部分条款的解读,最终应以官方解释版本为准。