数安条例百问79、80：关于先行赔付与个人通信

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除

对应条款
第四十四条 互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任，通过合同等形式明确第三方的数据安全责任义务，并督促第三方加强数据安全管理，采取必要的数据安全保护措施。

第三方产品和服务对用户造成损害的，用户可以要求互联网平台运营者先行赔偿。
移动通信终端预装第三方产品适用本条前两款规定。
解读
《条例》第四十四条明确了先行赔偿责任。就平台上第三方服务的实现机理而言，如第三方产品和服务对用户造成损害的，用户当然可以对平台提出索赔要求。
  
这一点，所有的互联网平台均不否认。问题是，“先行赔偿”的界限在哪里，这是当前的焦点。
  
《条例》第四十四条规定，第三方产品和服务对用户造成损害的，用户可以要求互联网平台运营者先行赔偿。普遍认为，这一规定过于原则，可实施性存疑。
  
事实上，《条例》第四十四条的规定来源于《消费者权益保护法》和《电子商务法》。
  
《消费者权益保护法》第四十四条规定：消费者通过网络交易平台购买商品或者接受服务，其合法权益受到损害的，可以向销售者或者服务者要求赔偿。网络交易平台提供者不能提供销售者或者服务者的真实名称、地址和有效联系方式的，消费者也可以向网络交易平台提供者要求赔偿；网络交易平台提供者作出更有利于消费者的承诺的，应当履行承诺。网络交易平台提供者赔偿后，有权向销售者或者服务者追偿。网络交易平台提供者明知或者应知销售者或者服务者利用其平台侵害消费者合法权益，未采取必要措施的，依法与该销售者或者服务者承担连带责任。
  
这意味着，消费者本身可以向平台提供者要求赔偿，且平台提供者应当履行相关义务。《条例》第四十四条的规定符合这一原则。
  
除此之外，《条例》还参考了《电子商务法》的规定：消费者要求电子商务平台经营者承担先行赔偿责任以及电子商务平台经营者赔偿后向平台内经营者的追偿，适用《中华人民共和国消费者权益保护法》的有关规定。
  
因此，《条例》规定的“先行赔偿”义务既有出处，而且有边界。这个边界的范畴，以平台是否向用户提供维权便利，以及平台是否对第三方侵害用户权益行为采取措施为准。如平台能够为用户提供第三方的联系方式及维权证据，且积极协助用户维权，则平台不用承担先行赔偿义务。但如果平台做不到以上几点，则其当然要承担一定的赔偿义务。
  
但也要看到，《条例》对“先行赔偿”并未给出详细规定。由此导致了一些疑问。后续修改时，有必要对此进一步展开，尤其是将“先行赔偿”的界限写明确。

对应条款
第四十五条 国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护，非个人通信的信息按照公共信息有关规定进行管理。

解读
《条例》第四十五条针对的是个人通信自由与通信秘密的保护。
  
《宪法》第四十条指出，中华人民共和国公民的通信自由和通信秘密受法律的保护，除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。这里的通信自由，是指公民通过书信、电话、电报、传真、电子邮件等方式，自主地与他人进行交往的自由；通信秘密则指公民与他人进行交往的信件、电话、电报、电子邮件等所涉及的内容，任何个人、任何组织或者单位都无权非法干预，无权偷看、隐匿、涂改、弃毁、扣押、没收、泄露或者窃听。通信自由和通信秘密相互联系，不可分割，通常作为一体。
  
在以往的规定中，人们一般从防止非法监听的角度保护通信自由和通信秘密。但现实中存在一个问题：如果通信结束，留下来的语音、文字算是通信自由和通信秘密吗？即，传统对《宪法》第四十条的关切侧重于通信过程的保护，防止非法监听，但如今的通信环境下，用户的通信秘密可能广泛存在，仅通信过程的防监听是不够的。
  
为此，《条例》第四十五条规定，国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。这意味着，除了对通信过程的保护（防非法监听）外，国家开始对通信结束后的通信秘密进行保护。
  
但如何从通信自由、通信秘密角度保护发送结束后的信息呢？换言之，用户A向用户B发送了信息，这毫无疑问属于两者的通信秘密，非执法机关非履行程序不能监听，那么通信结束后用户B是否就可以任意公开用户A发来的信息呢？既然这个信息仍属于通信秘密的范畴，则用户B对信息的公开必然要服从A的意志。在以前，这方面的规定并不完善，信息接收方并无充分的意识来保护用户通信。
  
《条例》第四十五条便是针对这一情况设立的。该条明确，在提供即时通信服务时，互联网平台运营者要从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护，非个人通信的信息按照公共信息有关规定进行管理。这意味着，用户在点对点发送信息前，需要人为选择信息在发送成功后是否属于通信自由和通信秘密。如属于个人通信，则适用于个人信息保护的有关要求。
  
需要指出，这里使用的措辞是“适用”，并不意味着通信秘密就属于个人信息，这完全是不同的概念。此外，“个人信息”与“个人的信息”也非相同的概念，目前这几个词有混用的情况，需予以注意。

【下期预告】
81、如何理解对反不正当竞争或限制所作的规定？
82、如何理解对应用程序分发管理的要求？
83、如何理解对用户数据互通的要求？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？
23、如何理解《条例》提出的网络安全审查要求？
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系？
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求？
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求？
27、为什么对合并、重组、分立或解散、破产提出数据安全要求？
28、为什么要对国家机关专门提出数据安全要求？
29、如何理解对自动化工具访问、收集数据的安全要求？
30、《条例》提出数据安全情况披露要求是基于什么考虑？
31、如何理解对“合法、正当、必要”提出的要求？
32、为什么增加了对处理个人信息“频次”“时机”的要求？
33、为什么要细化对个人信息处理规则的要求？
34、如何理解对个人信息处理规则提出的“清单形式”？
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求？
36、无法对掌握开源第三方代码的个人信息处理规则怎么办？
37、为什么要细化对“同意”的要求？
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息？
39、什么叫做“频繁”征求同意？
40、对个人同意行为有效性存在争议时如何处理？
41、如何理解“十五个”工作日的删除个人信息要求？
42、如何理解“无法避免采集”场景？
43、《条例》从哪些方面保障个人行使查询、复制等权利？
44、如何理解个人信息转移请求？
45、如何理解个人请求直接对外转移个人信息的条件？
46、《条例》对生物特征应用的规定是基于什么考虑？
47、如何理解对生物特征识别的必要性、安全性评估？
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者？
49、如何理解《条例》对建立对个人信息保护制度和重要数据安全制度的侧重点不同？
50、如何理解对数据安全负责人和数据安全管理机构的要求？
51、为什么要求数据安全负责人有权直接向网信部门反映情况？
52、如何理解重要数据处理者的备案要求？
53、如何理解对重要数据处理者的培训要求？
54、如何理解重要数据处理者采购网络产品和服务的要求？
55、如何理解对重要数据处理者和赴境外上市数据处理者的年度数据安全评估要求？
56、如何理解对外提供数据的风险评估要求？
57、对外提供数据前由谁实施风险评估？
58、对外提供数据前所作的风险评估报告怎么使用？
59、《条例》提出的数据安全风险评估与以前的风险评估有什么区别？
60、共享、交易、委托处理重要数据前需要遵循什么规定？
61、如何理解云计算安全评估制度？
62、为什么要单设“数据跨境安全管理”一章？
63、如何理解数据出境？
64、为什么在数据出境的“认证”条件中，要求数据接收方也要经过个人信息保护认证？
65、如何理解个人信息出境的例外要求？
66、如何理解向境外提供个人信息的“单独同意”要求？
67、什么情况下需要通过网信部门评估后数据才可出境？
68、为什么要对国际条约、协定规定例外？
69、如何理解数据出境的安全管理义务？
70、如何理解数据出境安全报告？
71、如何理解数据跨境安全网关？
72、为什么要求境内用户访问境内网络时，流量不得被路由至境外？
73、为什么要求数据处理者按照国家数据跨境安全监管要求，建立健全相关技术和管理措施？
74、所有网络平台运营者的平台规则、隐私政策、算法都需要进行披露吗？
75、网络平台运营者的规则、隐私政策往往改动频繁，均需公开征求意见吗？
76、官方网站、个人信息保护相关行业协会网站是选择关系还是并列关系？
77、为什么对日活用户超过1亿的大型互联网平台运营者的平台规则、隐私政策提出特殊要求？
78、大型互联网平台与《个人信息保护法》第58条提出的提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者是什么关系？

  总编辑|小贝