数安条例百问87、88：关于公共数据与公共信息

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除

对应条款
第五十一条 互联网平台运营者在为国家机关提供服务，参与公共基础设施、公共服务系统建设运维管理，利用公共资源提供服务过程中收集、产生的数据不得用于其他用途。

解读
在2016年4月19日的网络安全和信息化工作座谈会上，习近平总书记指出：“要依法加强对大数据的管理。一些涉及国家利益、国家安全的数据，很多掌握在互联网企业手里，企业要保证这些数据安全。”
  
习总书记的指示，指向了一个非常重要的命题：如何看待企业收集、产生的一些与国家安全、公共利益相关的数据的性质？这个问题换一种表述就是：企业手中的数据就一定是企业自己的吗？企业可以按照自己的意愿对其任意处置吗？
  
例如，互联网平台上用户的留言算是谁的？这在实践中曾引起过很大争议，需要在理论上进一步研究。
  
但抛开理论研究不谈，至少在一些特定场景下，这类问题是可以有明确答案的。这便是《条例》第五十一条的立法目的。
  
《条例》第五十一条指出了三种有助于对企业手中数据作出定性的场景：
  
一是为国家机关提供服务。显然，这种情况下，企业是受委托的角色，数据本来就不是企业自己的。且很多时候，通过为国家机关提供服务而收集、产生的数据明确属于国家机关所有。一些人提出，日志等信息算吗？这个问题比较复杂，要看具体情况。虽然日志等信息是在系统运维过程中产生的，与业务不直接相关，但也有些日志、运维数据（如系统故障信息）会反映用户的活动情况甚至敏感业务信息，它们不仅仅具有纯技术意义。
  
二是参与公共基础设施、公共服务系统建设运维管理。这种情况比较普遍，即企业虽然从事的是商业活动，但因为提供的服务属于公共领域，故其收集、产生的数据就算是企业自己的（这与前述情况不一样），但如何使用不能仅由企业说了算，要考虑到对公共利益的影响。
  
三是利用公共资源提供服务。这种情况下，企业之所以能够收集、产生数据，不是因为企业自身如何，而是政府或有关方面给予了企业有别于其他组织的公共资源。例如，政府通过竞标方式，准予某企业负责路边停车收费，这是一种特性经营，那么停车数据能被认为是企业自己的吗？
  
因此，以上三种情况下，企业收集、产生的数据与其他其他数据相比有着显著的不同，企业不能随意处置。
  
那么，这些数据经批准后是不是可以移作他用，甚至商用？这是一种选项，但《条例》目前采取了最严格的表述：不得用于其他用途。这显示，此类数据只能按照本来的业务目的使用，不得改变目的，商用更是不被允许。
  
但有必要指出，该条的主语是“互联网平台运营者”，即互联网平台运营者不得将以上数据用于其他用途。但如这些数据符合“公共数据”定义，当然可以按照公共数据的管理规则，由政府部门按程序调用，《条例》第五十二条对此作了规范。

  
对应条款
第五十二条 国务院有关部门履行法定职责需要调取或者访问互联网平台运营者掌握的公共数据、公共信息，应当明确调取或者访问的范围、类型、用途、依据，严格限定在履行法定职责范围内，不得将调取或者访问的公共数据、公共信息用于履行法定职责之外的目的。

互联网平台运营者应当对有关部门调取或者访问公共数据、公共信息予以配合。

解读
虽然数据安全方面的立法主要规范企业和其他社会组织收集、使用个人信息和重要数据，但事实上政府是最大的数据收集者，现实中个别政府部门也是数据泄露的源头。因此，无论是《数据安全法》还是《个人信息保护法》，都对政府部门处理数据提出了要求。除了通用要求外，政府部门还要履行更多的数据安全保护义务。例如，《数据安全法》专列了第五章“政务数据安全与开放”，《个人信息保护法》专列了第二章第三节“国家机关处理个人信息的特别规定”。
  
但总体而言，上位法的上述规定都过于原则。例如，什么叫做“依照法律、行政法规规定的条件和程序”？往往这些条件和程序不是专门针对数据调用制定的，有时候显得不够。特别是，政府部门对数据的处理往往有法定的例外条件。如因为国家安全、国防安全，或者与刑事侦查、起诉、审判或判决有关。但这不意味着只要是政府部门处理数据，就每一次都符合该部门的例外条件。这就产生了一个例外与非例外的界限问题，而这方面的研究尚不够深入。
  
那么，《条例》该如何处理这类问题呢？《条例》第十六条规定：“国家机关应当依照法律、行政法规的规定和国家标准的强制性要求，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。”但这一条也是原则性的，而且并没有显示出比常规数据处理者的义务更多之处。这实际上是目前《条例》的一个缺憾，但却未必能够通过《条例》的努力得以解决。毕竟这个问题比较复杂，与其他很多法律法规产生关联，需要更完善的立法环境和层级更高的上位法规定。
  
但即使如此，《条例》也还是作了努力，对互联网企业掌握的特定数据——即公共数据、公共信息的政府调用提出了规范性要求。核心是两点：（1）调取或者访问前应当明确数据的范围、类型、用途、依据；（2）调取或者访问的目的应当严格限定在履行法定职责范围内，不得将调取或者访问的公共数据、公共信息用于履行法定职责之外的目的。
  
但如果多个部门都以履行法定职责为目的，频繁、重复调用或者访问企业的数据怎么办？这也是现实中存在的现象。“履行法定职责”的界限在哪里？企业有没有救济渠道？这些都留待今后的立法去解决。
  
《条例》第五十二条的立法目的主要是约束政府部门。但如政府部门调用、访问公共数据、公共信息，互联网平台运营者也有配合的义务，为此第五十二条第二款作了补充规定。
  
第五十二条还引出了另一个重大问题，即什么是“公共数据”？这是讨论数据开发利用时难以绕过的问题。在多个地方的立法实践中，也社会关注的焦点。《条例》在“附则”中指出，公共数据是指国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据，以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。这个定义实际上比很多地方立法中提出的概念要广，因为其除了强调主体特征（国家机关和具有管理公共事务职能的组织）外，还强调了产生的方式（在提供公共服务中收集、产生的涉及公共利益的各类数据）。即，根据《条例》的定义，公共数据也有可能是企业产生——如果其提供公共服务且数据涉及公共利益的话。但鉴于第五十二条的立法目的是规范政府部门对数据的调用、访问行为，目的是为了保护数据处理者的合法权益，以上定义并无不妥。只是该定义是不是推而广之都适用于其他场景，这需要其他法规和规章在引用该定义时做好甄别。
  
另外一点要说的是，《条例》第五十二条除涉及公共数据外，还提到了公共信息，并在“附则”中也给出了定义。但这个概念并不是为第五十二条而生，而是因第四十五条的需要。后者的立法目的是为了保护公民通信自由和通信秘密，不是为了保护个人信息或促进数据开发利用。《条例》定义的公共信息本身不属于公共数据，但就第五十二条的立法目而言，其也属于国家机关可能调取、访问的对象。就规范政府部门活动、保护数据处理者合法权益而言，两者有共同性。故该条将其与公共数据作了并列，但这样做仅限于本条的立法目的。

【下期预告】
89、《条例》对大型互联网平台提出的审计与《个人信息保护法》是什么关系？
90、如何理解新技术新应用安全评估？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？
23、如何理解《条例》提出的网络安全审查要求？
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系？
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求？
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求？
27、为什么对合并、重组、分立或解散、破产提出数据安全要求？
28、为什么要对国家机关专门提出数据安全要求？
29、如何理解对自动化工具访问、收集数据的安全要求？
30、《条例》提出数据安全情况披露要求是基于什么考虑？
31、如何理解对“合法、正当、必要”提出的要求？
32、为什么增加了对处理个人信息“频次”“时机”的要求？
33、为什么要细化对个人信息处理规则的要求？
34、如何理解对个人信息处理规则提出的“清单形式”？
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求？
36、无法对掌握开源第三方代码的个人信息处理规则怎么办？
37、为什么要细化对“同意”的要求？
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息？
39、什么叫做“频繁”征求同意？
40、对个人同意行为有效性存在争议时如何处理？
41、如何理解“十五个”工作日的删除个人信息要求？
42、如何理解“无法避免采集”场景？
43、《条例》从哪些方面保障个人行使查询、复制等权利？
44、如何理解个人信息转移请求？
45、如何理解个人请求直接对外转移个人信息的条件？
46、《条例》对生物特征应用的规定是基于什么考虑？
47、如何理解对生物特征识别的必要性、安全性评估？
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者？
49、如何理解《条例》对建立对个人信息保护制度和重要数据安全制度的侧重点不同？
50、如何理解对数据安全负责人和数据安全管理机构的要求？
51、为什么要求数据安全负责人有权直接向网信部门反映情况？
52、如何理解重要数据处理者的备案要求？
53、如何理解对重要数据处理者的培训要求？
54、如何理解重要数据处理者采购网络产品和服务的要求？
55、如何理解对重要数据处理者和赴境外上市数据处理者的年度数据安全评估要求？
56、如何理解对外提供数据的风险评估要求？
57、对外提供数据前由谁实施风险评估？
58、对外提供数据前所作的风险评估报告怎么使用？
59、《条例》提出的数据安全风险评估与以前的风险评估有什么区别？
60、共享、交易、委托处理重要数据前需要遵循什么规定？
61、如何理解云计算安全评估制度？
62、为什么要单设“数据跨境安全管理”一章？
63、如何理解数据出境？
64、为什么在数据出境的“认证”条件中，要求数据接收方也要经过个人信息保护认证？
65、如何理解个人信息出境的例外要求？
66、如何理解向境外提供个人信息的“单独同意”要求？
67、什么情况下需要通过网信部门评估后数据才可出境？
68、为什么要对国际条约、协定规定例外？
69、如何理解数据出境的安全管理义务？
70、如何理解数据出境安全报告？
71、如何理解数据跨境安全网关？
72、为什么要求境内用户访问境内网络时，流量不得被路由至境外？
73、为什么要求数据处理者按照国家数据跨境安全监管要求，建立健全相关技术和管理措施？
74、所有网络平台运营者的平台规则、隐私政策、算法都需要进行披露吗？
75、网络平台运营者的规则、隐私政策往往改动频繁，均需公开征求意见吗？
76、官方网站、个人信息保护相关行业协会网站是选择关系还是并列关系？
77、为什么对日活用户超过1亿的大型互联网平台运营者的平台规则、隐私政策提出特殊要求？
78、大型互联网平台与《个人信息保护法》第58条提出的提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者是什么关系？
79、如何理解网络平台运营者在第三方造成损害时的先行赔偿责任？
80、什么叫做个人通信和非个人通信选择？
81、如何理解对反不正当竞争或限制所作的规定？
82、如何理解对应用程序分发管理的要求？
83、如何理解对用户数据互通的要求？
84、如何理解对个性化推荐所提的要求？
85、为什么要求个性化推荐时征得“单独同意”？
86、如何理解网络身份认证公共服务基础设施？

  总编辑|小贝