由中国行为法学会网络与数据法学研究部、中国通信学会网络与数据法治决策咨询专家团队、网络空间治理与数字经济法治(长三角)研究基地发起,联合浙江大学网络空间国际治理研究基地、中国政法大学数据法治研究院、华东政法大学数字法治研究院、北京邮电大学互联网治理与法律研究中心、南京邮电大学信息产业发展战略研究院、重庆邮电大学网络空间安全与信息法学院、山东大学法学院(威海)、深圳大学创新发展法治研究院、中国数字经济安全与发展50人论坛、中国网络与数据安全法治50人论坛、上海市法学会互联网司法研究会、广东省互联网协会等高等院校和研究机构,通过对2022年度网络与数据法治领域具有代表性、典型性、开创新和全局性的重要事件进行跟踪、研究和综合评估,发布“2022年中国网络与数据法治领域十大事件”。
一、中共中央、国务院发布“数据二十条”
2022年6月22日,中央全面深化改革委员会第二十六次会议审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》。会议提出,数据作为新型生产要素,已快速融入生产、分配、流通、消费和社会服务管理等各个环节。要建立数据产权制度,推进公共数据、企业数据、个人数据分类分级确权授权使用,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,健全数据要素权益保护制度。
2022年12月19日,中共中央、国务院全文发布《关于构建数据基础制度更好发挥数据要素作用的意见》(以下称:“数据二十条”),“数据二十条”指出,构建数据基础制度体系,是新时代我国改革开放事业持续向纵深推进的标志性、全局性、战略性举措,有利于充分发挥数据要素作用,赋能实体经济,推动高质量发展;有利于做强做优做大数字经济,应对科技革命和产业变革,构筑国际竞争新优势;有利于统筹分配效率与公平,推动全民共享数字经济发展红利,促进实现共同富裕;有利于提高数据要素治理效能,助力国家治理体系和治理能力现代化。“数据二十条”整体上把握一个目标、构建四项制度、落实四项措施。
一是把握一个目标:坚持促进数据合规高效流通使用、赋能实体经济这一主线,以充分实现数据要素价值、促进全体人民共享数字经济发展红利为目标。
二是构建四项制度:1.建立保障权益、合规使用的数据产权制度,探索数据产权结构性分置制度,建立数据资源持有权、数据加工使用权、数据产品经营权“三权分置”的数据产权制度框架;2.建立合规高效、场内外结合的数据要素流通和交易制度,从规则、市场、生态、跨境等四个方面构建适应我国制度优势的数据要素市场体系;3.建立体现效率、促进公平的数据要素收益分配制度,在初次分配阶段,按照“谁投入、谁贡献、谁受益”原则,推动数据要素收益向数据价值和使用价值创造者合理倾斜。在二次分配、三次分配阶段,重点关注公共利益和相对弱势群体,防止和依法规制资本在数据领域无序扩张形成市场垄断等各类风险挑战;4.建立安全可控、弹性包容的数据要素治理制度,构建政府、企业、社会多方协同的治理模式。
三是落实四项措施:1.加强党对构建数据基础制度工作的全面领导,各地区各部门要高度重视数据基础制度建设,统一思想认识,加大改革力度;2.加大政策支持力度,做大做强数据要素型企业;3.积极鼓励试验探索,支持浙江等地区和有条件的行业、企业先行先试,发挥好自由贸易港、自由贸易试验区等高水平开放平台作用,引导企业和科研机构推动数据要素相关技术和产业应用创新;4.稳步推进制度建设,围绕构建数据基础制度,逐步完善数据产权界定、数据流通和交易、数据要素收益分配、公共数据授权使用、数据交易场所建设、数据治理等主要领域关键环节的政策及标准。
二、新修订的《网络安全审查办法》实施
2020年6月1日施行的《网络安全审查办法》(以下简称“原《审查办法》”)第二条提出:“关键信息基础设施运营者(以下简称“运营者”)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。”随着《数据安全法》于2021年9月1日正式实施,影响或者可能影响国家安全的数据处理活动也将面临国家安全审查。《数据安全法》第二十四条规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”鉴于原《审查办法》只涉及了《网络安全法》中的“网络安全审查”制度,没有涉及《数据安全法》中的“数据安全审查”内容。因此,有必要修订原《审查办法》,进一步完善网络安全审查的内容,并增加数据安全审查的规定。
2022年2月15日,新修订的《网络安全审查办法》(以下简称“新《审查办法》”)正式实施。新《审查办法》第一条规定:“为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》,制定本办法。”
从上述立法目的看,新《审查办法》的上位法涉及三部法律和一部国务院条例,在《国家安全法》和《网络安全法》上位法的基础上,增加了《数据安全法》和《关键信息基础设施安全保护条例》,其中《数据安全法》明确提出“国家建立数据安全审查制度”;《关键信息基础设施安全保护条例》则要求“关键信息基础设施的运营者采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查”。
新《审查办法》从关键信息基础设施的运营者采购网络产品和服务,以及数据处理者开展数据处理活动的安全性和可能带来的国家安全风险两大视角,确立了网络与数据安全审查的原则,即“四个相结合”原则:一是坚持防范网络安全风险与促进先进技术应用相结合;二是坚持过程公正透明与知识产权保护相结合;三是事前审查与持续监管相结合;四是企业承诺与社会监督相结合。
国家网络安全审查,主要针对关键信息基础设施运营者采购网络产品和服务,以及网络平台运营者开展数据处理活动,影响或者可能影响国家安全风险的七大因素:一是产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;二是产品和服务供应中断对关键信息基础设施业务连续性的危害;三是产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;四是产品和服务提供者遵守中国法律、行政法规、部门规章情况;五是核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;六是上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;七是其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
三、全面治理互联网信息服务算法推荐
数字时代的算法技术,是一种依托海量内容、多元用户和不同场景等核心数据信息,进行自主挖掘、自动匹配和定点分发的智能互联网技术。“算法推荐”技术的出现和普遍应用,意味着人类开始运用机器大规模地解决信息分发问题,算法技术与网络数据的融合,使人类社会信息的分发发生了质的转变,从原来人力对数据的分发转向了自动化,也就是从原来的“人找信息”,到算法时代的“信息找人”。
算法应用日益普及深化,一方面,算法给经济社会发展等方面注入新动能,也给消费者带来了便利和效率;但另一方面,例如算法滥用、算法歧视、“大数据杀熟”、诱导沉迷等引发了很多负面问题,不但影响正常的传播秩序、市场秩序和社会秩序,也给意识形态安全、社会公平公正和消费者权益保护带来严峻挑战,迫切需要对滥用算法处理个人数据进行立规和治理,让算法回归服务人类,为人类造福的愿景。
为规范互联网信息服务算法推荐活动,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康有序发展,根据《网络安全法》《数据安全法》《个人信息保护法》以及《互联网信息服务管理办法》等法律、行政法规,国家网信办、工信部、公安部、国家市场监督管理总局联合发布了《互联网信息服务算法推荐管理规定》(以下称:《算法推荐规定》),于2022年3月1日起施行。
《算法推荐规定》明确,应用算法推荐技术,主要是指利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类这五类算法推荐技术,向用户提供信息。一是生成合成类算法推荐,该类算法将视频、图片、文字、语音等文件自动进行合成,并将生成内容发布到互联网平台。比如自动写稿机器人(如互联网医疗通过数据分析形成诊断结果);虚拟博主;AI换脸程序等。针对很多假新闻采用了“生成合成类”的算法推荐,《算法推荐规定》特别提到,不得生成合成虚假新闻信息;二是个性化推送类,该类算法通过识别用户不同的兴趣、喜好、习惯等,形成该用户的个性化属性标签,以此向用户自动推送经过精准匹配的相关互联网信息内容。比如个性化广告推荐、首屏、精选新闻、消息个性化推荐等;三是排序精选类,该类算法将信息按照一定方式进行排序,并按照该排序向用户展示排序结果,比如搜索引擎推荐搜索结果排序、广告推荐排序、网站推荐浏览咨询排序、操纵榜单等;四是检索过滤类,该类算法通过建立内容索引树等方式,对内容进行检索、过滤,形成用户偏好的结果,比如关键词过滤、搜索引擎、自动识别敏感字词、屏蔽信息、过度推荐等;五是调度决策类,该类算法按照系统的资源分配策略,通过判断多维度的影响条件因素自动提供最优路线或者最短时间等决策结果信息,比如路线规划、劳动报酬、休息分配、工作时间规划、自动驾驶系统根据路况信息规划路线、平台订单分配等。
《算法推荐规定》突出对用户权益的保护,强化算法推荐服务提供者的六大合规义务:一是算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等;二是算法推荐服务提供者应当向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项,应用算法对用户权益造成重大影响的,应当依法予以说明并承担相应责任等;三是算法推荐服务提供者不得向未成年人推送可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等可能影响未成年人身心健康的信息,不得利用算法推荐服务诱导未成年人沉迷网络;四是算法推荐服务提供者向老年人提供服务的,应当保障老年人依法享有的权益,充分考虑老年人出行、就医、消费、办事等需求,按照国家有关规定提供智能化适老服务,依法开展涉电信网络诈骗信息的监测、识别和处置,便利老年人安全使用算法推荐服务;五是算法推荐服务提供者向劳动者提供工作调度服务的,应当保护劳动者取得劳动报酬、休息休假等合法权益,建立完善平台订单分配、报酬构成及支付、工作时间、奖惩等相关算法;六是算法推荐服务提供者向消费者销售商品或者提供服务的,应当保护消费者公平交易的权利,不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交易条件上实施不合理的差别待遇等违法行为等。
四、滴滴因违法被罚80.26亿元
2022年7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
2021年7月,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》,网络安全审查办公室按照《网络安全审查办法》对滴滴公司实施网络安全审查。根据网络安全审查结论及发现的问题和线索,国家互联网信息办公室依法对滴滴公司涉嫌违法行为进行立案调查。期间,国家互联网信息办公室进行了调查询问、技术取证,责令滴滴公司提交了相关证据材料,对本案证据材料深入核查分析,并充分听取滴滴公司意见,保障滴滴公司合法权利。经查实,滴滴公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣,应当从严从重予以处罚。
经查明,滴滴公司共存在16项违法事实,归纳起来主要是8个方面:一是违法收集用户手机相册中的截图信息1196.39万条;二是过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。
此次对滴滴公司的网络安全审查相关行政处罚,与一般的行政处罚不同,具有特殊性。滴滴公司违法违规行为情节严重,结合网络安全审查情况,应当予以从严从重处罚。一是从违法行为的性质看,滴滴公司未按照相关法律法规规定和监管部门要求,履行网络安全、数据安全、个人信息保护义务,置国家网络安全、数据安全于不顾,给国家网络安全、数据安全带来严重的风险隐患,且在监管部门责令改正情况下,仍未进行全面深入整改,性质极为恶劣。二是从违法行为的持续时间看,滴滴公司相关违法行为最早开始于2015年6月,持续至今,时间长达7年,持续违反2017年6月实施的《网络安全法》、2021年9月实施的《数据安全法》和2021年11月实施的《个人信息保护法》。三是从违法行为的危害看,滴滴公司通过违法手段收集用户剪切板信息、相册中的截图信息、亲情关系信息等个人信息,严重侵犯用户隐私,严重侵害用户个人信息权益。四是从违法处理个人信息的数量看,滴滴公司违法处理个人信息达647.09亿条,数量巨大,其中包括人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。五是从违法处理个人信息的情形看,滴滴公司违法行为涉及多个App,涵盖过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形。
网络安全审查还发现,滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。该案因涉及国家安全,依法不公开。
五、我国首部《反电信网络诈骗法》实施
2022年9月2日,第十三届全国人大常委会第三十六次会议表决通过了《中华人民共和国反电信网络诈骗法》(以下简称《反电信网络诈骗法》),于2022年12月1日起施行。《反电信网络诈骗法》是专门为打击治理电信网络诈骗活动制定的一部专门领域的微型法律,共七章五十条,包括总则、电信治理、金融治理、互联网治理、综合措施、法律责任、附则等,内容涉及电信网络诈骗的定义,法律的域外效力,反电信网络诈骗的基本原则,电信网络诈骗工作机制。
《反电信网络诈骗法》强化系统观念,立足源头治理、综合治理,侧重前端防范,主要是按照完善预防性法律制度的要求,针对电信网络诈骗发生的信息链、资金链、技术链、人员链等各环节,加强防范性制度措施建设,深入推进行业治理,强化部门监管责任和企业社会责任。反电信网络诈骗的治理施行“3+1”模式,即电信治理、金融治理、互联网治理+综合治理。
《反电信网络诈骗法》重点强化部门之间的统筹协同,由国务院建立反电信网络诈骗工作机制,统筹协调打击治理工作。具体的工作任务:一是在综合治理方面,要求地方各级人民政府组织领导本行政区域内反电信网络诈骗工作,确定反电信网络诈骗目标任务和工作机制,开展综合治理;二是在具体的反电信网络诈骗工作方面,公安机关牵头负责反电信网络诈骗的整体工作,金融、电信、网信、市场监管等有关部门依照职责履行监管主体责任,负责本行业领域反电信网络诈骗工作的落实;三是在惩治电信网络诈骗方面,发挥人民法院、人民检察院的审判和检察职能作用,重点从依法防范和惩治电信网络诈骗活动相结合,防范电信网络诈骗;四是在风险防控责任的构建方面,电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者承担各自的风险防控责任,建立反电信网络诈骗内部控制机制和安全责任制度,特别是加强新业务涉诈风险安全评估。
反电信网络诈骗是一项系统性社会工程,涉及跨行业、跨领域、跨国家的协同和配合。为此,《反电信网络诈骗法》要求,相关部门、单位在反电信网络诈骗工作中必须密切协作,实现跨行业、跨地域协同配合、快速联动,加强专业队伍建设,有效打击电信网络诈骗活动。为了进一步提高公众对电信网络诈骗的识别和防范能力,各级人民政府和有关部门应当加强反电信网络诈骗宣传,普及相关法律和知识,进一步提高公众对各类电信网络诈骗方式的防骗意识和识骗能力。特别是教育行政、市场监管、民政等有关部门和村民委员会、居民委员会等组织,应当结合电信网络诈骗受害群体的分布等特征,尤其要重视加强对老年人、青少年等群体的宣传教育,增强反电信网络诈骗宣传教育的针对性、精准性,开展广泛地反电信网络诈骗宣传教育进学校、进企业、进社区、进农村、进家庭等活动。
2022年,全国公安机关持续向电信网络诈骗犯罪发起攻势。截至2022年11月底,全国共破获电信网络诈骗案件39.1万起,同比上升5.7%,抓获犯罪嫌疑人数同比上升64.4%,立案数同比下降17.3%,造成财产损失数额同比下降1.3%。
六、《数据出境安全评估办法》实施
数据出境,主要指在中国境内的数据处理者通过网络及其他方式(如物理携带),将其在中国境内运营中收集和产生的数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的组织或个人的一次性活动或连续性活动。在数据对各领域的重要性与日俱增的同时,数据风险与数据安全问题也愈发突出,给人类和社会带来了前所未有的挑战。在此背景下,数据出境的安全问题不仅关乎数据本身作为重要生产要素的开发利用与安全问题,还与国家主权、国家安全、个人信息权益、社会公共利益等休戚相关。因此,按照总体国家安全观的要求,在《网络安全法》《数据安全法》《个人信息保护法》有关数据和个人信息出境法律规则的框架下,制定一部专门的数据出境安全评估规定十分必要和迫切。2022年7月7日,国家网信办公布《数据出境安全评估办法》(以下简称《办法》),并于2022年9月1日起施行。
数据出境主要有以下三类情形:一是向本国境内机构提供数据,但该机构不属于本国司法管辖,如外国大使馆就属于使馆所在国的国家领土,不属于派遣国的国家领土;二是数据未转移存储至本国以外的地方,但可以被境外的组织、个人访问查看,不包括公开的数据和通过网页访问的数据;三是数据处理者集团内部数据由境内转移至境外,其中涉及其在境内运营中收集和产生的数据。但是以下两种情形,不属于数据出境:一是非在境内运营中收集和产生的数据经由本国出境,且数据未经任何加工处理;二是非在境内运营中收集和产生的数据,但在境内存储、加工处理后出境,不涉及境内运营中收集和产生的数据。
我国数据出境安全评估的目的,是在确保防范数据出境安全风险的基础上,保障数据依法有序的自由流动。为了实现上述目的,《办法》提出了数据出境安全评估应遵循两项基本原则:一是坚持事前评估和持续监督相结合原则;二是风险自评估与国家安全评估相结合原则。
第一项原则表明,重要数据和依法应当进行安全评估的个人信息,必须在出境前进行数据安全出境评估,但是保障数据出境安全不仅仅是一次性评估,还要对出境后的数据进行持续的安全监督,重点监督与境外接收方订立法律文件中约定的数据安全保护责任义务的履行情况;第二项原则表明,重要数据和依法应当进行安全评估的个人信息实施阶梯式评估模式,即“自评估”+“国家安全评估”,以企业数据出境自评估为基础,以国家安全评估为保障,这是一个合二为一的整体性安全评估模式。
《办法》明确有以下四种情形之一的,应当申报数据出境安全评估:一是数据处理者向境外提供重要数据;二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;四是国家网信部门规定的其他需要申报数据出境安全评估的情形。申请者申报数据出境安全评估,应当通过所在地省级网信部门向国家网信部门提出。
七、《网络安全法》施行五年将首次修改
《网络安全法》实施五年以来,《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》以及新修订的《行政处罚法》等法律法规相继在2021年实施。为做好《网络安全法》与这些新实施的法律之间衔接协调,完善法律责任制度,进一步依法维护网络安全,2022年9月14日,国家网信办发布了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(以下简称《征求意见稿》)。
《征求意见稿》拟修订的内容聚焦了《网络安全法》第六章的“法律责任”部分,最大亮点是改变了处罚类型和幅度,对于严重违法行为,加大了违法者的违法成本,如增加了“限制高管从业”的行为罚,即“禁止在一定期限内担任相关企业的董事、监事、高级管理人员”,以及增加了“上一年度营业额百分之五以下罚款”的选择性处罚等,这些处罚规定,具有很强的震慑作用。《征求意见稿》共作出了六项修订,主要涉及四个方面的内容:
一是设置个人信息保护法律责任的转致性规定。《征求意见稿》将第六十四条修改为:“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十四条规定,侵害个人信息依法得到保护的权利的,依照有关法律、行政法规的规定处罚。”
二是对违反网络运行安全一般规定的处罚类型和幅度做出了调整。《征求意见稿》第一项将《网络安全法》第五十九条、第六十条、第六十一条、第六十二条的处罚内容合并,统一修改为:“违反本法第二十一条、第二十二条第一款和第二款、第二十三条、第二十四条第一款、第二十五条、第二十六条、第二十八条、第三十三条、第三十四条、第三十六条、第三十八条规定的网络运行安全保护义务或者导致危害网络运行安全等后果的,由有关主管部门责令改正,给予警告、通报批评;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
《征求意见稿》第一项在原有的一般违法、情节严重的情形基础上,增设了“情节特别严重”的加重型处罚规定,即“处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”
三是调整关键信息基础设施运营者违反安全审查规定的处罚。《网络安全法》第六十五条规定:“关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
《征求意见稿》第四项将第六十五条修改为:“关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下或者上一年度营业额百分之五以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”上述规定在“处采购金额一倍以上十倍以下罚款”之后同样增加了一项选择性处罚“或者上一年度营业额百分之五以下罚款”。
四是调整网络信息安全保护义务的法律责任,《征求意见稿》第五项对违反网络信息安全义务行为的法律责任进行了整合,并调整了行政处罚幅度和从业禁止措施的规定。《征求意见稿》第五项在《网络安全法》第六十八条“违反本法第四十七条”的基础上增加了“第四十八条、第四十九条”,并将第六十八条和六十九条的法律责任进行了整合,统一修改为:“违反本法第四十七条、第四十八条、第四十九条规定的网络信息安全保护义务,或者不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的,或者不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施的,由有关主管部门责令改正,给予警告、通报批评,没收违法所得;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
八、新修订的《互联网跟帖评论服务管理规定》发布
跟帖评论是网民发表意见、表达观点、互动交流、舆论监督的重要方式。只要理性跟帖、文明评论、善意互动、合理监督,网民发表跟帖评论的合法权利就会得到保障。然而,利用网络的虚拟性和言论交流的匿名性,少数人自以为站在“隐秘角落”,在跟帖评论时践踏法律和道德底线。一些跟帖内容一味地宣泄负面情绪,对一些人或事进行恶语谩骂,甚至搞人身攻击;散布小道消息,传播谣言,哗众取宠,制造混乱等,这些行为扰乱了互联网信息传播秩序,破坏了网络舆论生态,必须下大力气整治。
2017年10月1日,《互联网跟帖评论服务管理规定》正式施行,这对规范跟帖评论环节的信息秩序、维护良好网络环境起到了积极作用。随着互联网新技术新应用快速发展,跟帖评论服务也出现了许多新情况新问题。2022年12月15日,新修订的《互联网跟帖评论服务管理规定》(以下简称“新《规定》”)正式施行。新《规定》重点明确了“跟帖评论服务使用者应当遵守法律法规,遵循公序良俗,弘扬社会主义核心价值观,不得发布法律法规和国家有关规定禁止的信息内容”“公众账号生产运营者应当对账号跟帖评论信息内容加强审核管理,及时发现跟帖评论环节违法和不良信息内容,采取举报、处置等必要措施”等内容,有助于营造跟帖评论良好生态,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益。
新《规定》明确,1.跟帖评论服务提供者应当按照用户服务协议对跟帖评论服务使用者和公众账号生产运营者进行规范管理;2.公众账号生产运营者应当对账号跟帖评论信息内容加强审核管理,及时发现跟帖评论环节违法和不良信息内容并采取必要措施;3.公众账号生产运营者可按照用户服务协议向跟帖评论服务提供者申请跟帖评论区管理权限;4.跟帖评论服务提供者应当对公众账号生产运营者的跟帖评论管理情况进行信用评估后,合理设置管理权限,提供相关技术支持。
九、通信行程卡正式下线,海量个人信息全部删除
2022年12月12日,通信行程卡微信公众号发布公告:为深入贯彻党中央、国务院关于进一步优化新冠肺炎疫情防控措施,科学精准做好防控工作的决策部署,根据国务院联防联控机制综合组有关要求,12月13日0时起,正式下线“通信行程卡”服务。“通信行程卡”短信、网页、微信小程序、支付宝小程序、APP等查询渠道将同步下线。
自2020年新冠疫情暴发以来,“通信大数据行程卡”(俗称“行程码”)一直伴随着人们的出行,大家以保持和拥有绿色的“行程卡”而感到安心。“行程卡”是由中国信息通信研究院联合中国电信、中国移动、中国联通三家基础电信企业利用手机“信令数据”,通过用户手机所处的基站位置获取,手机用户可通过服务,查询本人前14天到过的所有地市信息。2022年7月8日,工信部发布公告:根据《新型冠状病毒肺炎防控方案(第九版)》,“通信行程卡”查询结果的覆盖时间范围由“14天”调整为“7天”。短信、网页、微信小程序、支付宝小程序、“通信行程卡”APP等查询渠道同步进行应用版本更新。
“通信大数据行程卡”的数据分析的是“手机信令数据”,通过用户手机所处的基站位置获取,信令数据的采集、传输和处理过程自动化,有严格的安全隐私保障机制,查询结果实时可得、方便快捷,为我国的疫情防控做出了重大贡献。
2022年12月13日0时起,“通信行程卡”服务正式下线,“通信行程卡”短信、网页、微信小程序、支付宝小程序、APP等查询渠道将同步下线。然而,“通信行程卡”收集了海量的个人信息,而且均属于个人的敏感信息,如特定身份、医疗健康、行踪轨迹等,敏感个人信息一旦泄露或被非法使用,可能导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。海量的敏感个人信息如何得到保护,是广大人民群众普遍关心的问题。
12月12日早,工信部信息通信经济专家委员会委员、中国行为法学会网络与数据法学研究部主任、网络空间治理与数字经济法治(长三角)研究基地主任、我国网络与数据领域知名战略与法律专家王春晖教授提出建议:“通信行程卡”的使命已经结束,处理个人信息的目的已经不再必要,应当依法全部删除。根据我国《个人信息保护法》第四十七条第一款的规定,以下属于法定删除个人信息的情形:一是“处理目的已实现、无法实现或者为实现处理目的不再必要”;二是“个人信息处理者停止提供产品或者服务,或者保存期限已届满”。
王春晖教授认为,“通信行程卡”于2022年12月13日0时起正式下线,这意味着“通信行程卡”处理个人信息的目的已实现,继续储存个人信息则不再具有正当性,应当依法删除。随着“通信行程卡”服务的正式下线,“通信行程卡”短信、网页、微信小程序、支付宝小程序、APP等查询渠道也同步下线。这意味着“通信行程卡”不再提供短信、网页、微信小程序、支付宝小程序、APP等查询产品或者服务,相关个人信息的保存期限已经届满,基于保护信息自决之考虑,建议依法及时删除基于“通信行程卡”收集和存储的全部个人信息。
2022年12月12日晚,中国电信、中国联通、中国移动三大运营商先后表示,将按照相关法律规定,自12月13日0时“通信行程卡”服务下线后,同步删除用户行程相关数据,依法保障个人信息安全。
十、中国知网因滥用市场支配地位行为被罚8760万元
2022年12月26日,国家市场监管总局公布了对我国著名学术资源信息平台中国知网(以下简称“知网”)因滥用市场支配地位行为一案的调查结果,依法对知网作出行政处罚决定,责令知网停止违法行为,并处以8760万元罚款。2022年5月,国家市场监管总局依据《反垄断法》对知网涉嫌实施垄断行为立案调查。国家市场监管总局专门成立专案组对该案件进行调查,获取大量证据材料,对其他竞争性平台和大量用户也广泛开展调查取证,对本案证据材料进行深入核查和大数据分析,并组织专家反复深入开展了研究论证。
经审查认定,知网在中国境内中文学术文献网络数据库服务市场具有支配地位。自2014年以来,知网滥用该支配地位实施垄断行为。一是通过连续大幅提高服务价格、拆分数据库变相涨价等方式,实施了以不公平的高价销售其数据库服务的行为;二是通过签订独家合作协议等方式,限定学术期刊出版单位、高校不得向任何第三方授权使用学术期刊、博硕士学位论文等学术文献数据,并采取多种奖惩措施保障独家合作实施。
根据《反垄断法》规定,并按照《国务院反垄断委员会关于相关市场界定的指南》《国务院反垄断委员会关于平台经济领域的反垄断指南》明确界定的相关市场原则和方法,同时考虑平台经济特点,结合具体情况,本案相关市场界定为中国境内中文学术文献网络数据库服务市场。首先,本案相关商品市场为中文学术文献网络数据库服务市场,中文学术文献网络数据库服务市场属于多边市场,主要服务中文学术期刊出版单位、高校、科研院所、公共图书馆、个人用户等拥有学术资源和使用数据库服务的两类群体,其显著特征是具有跨边网络效应,各边用户对中文学术文献网络数据库服务的需求紧密关联;其次,本案相关地域市场为中国境内,从需求替代和供给替代分析,中国境内与境外不属于同一相关地域市场,中国境内构成独立的相关地域市场。
调查表明,知网实施不公平高价、限定交易行为排除,限制了中文学术文献网络数据库服务市场竞争,侵害了用户合法权益,影响了相关市场创新发展和学术交流传播,构成反垄断法第二十二条第一款第(一)项、第(四)项禁止的“以不公平的高价销售商品”和“没有正当理由,限定交易相对人只能与其进行交易”的滥用市场支配地位行为。
根据反垄断法相关规定,综合考虑知网违法行为的性质、程度、持续时间和消除违法行为后果的情况等因素,国家市场监管总局依法对知网上述垄断行为作出行政处罚决定:责令知网停止违法行为,并处以其2021年中国境内销售额17.52亿元5%的罚款,计8760万元。
本报告由工信部信息通信经济专家委员会委员、中国行为法学会网络与数据法学研究部主任、中国通信学会网络与数据法治决策咨询专家团队首席专家、浙江大学网络空间国际治理研究基地首席专家、南京邮电大学信息产业发展战略研究院首席教授、网络空间治理与数字经济(长三角)研究基地主任、中国法学会网络与信息法学研究会常务理事、上海市法学会互联网司法研究会副会长王春晖教授牵头撰写。
(本文来源于上海市法学会智库专稿)
专题统筹:秦前松
责任编辑:楚予
