【依法取得行政许可的义务】
法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
【释义】
本条规定了数据处理相关服务提供者依法取得行政许可的义务。
《数据安全法(一审稿)》第31条规定:“专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或者备案。具体办法由国务院电信主管部门会同有关部门制定。”在表述上将规范范围限制在了电信业务上的行政许可或备案要求,一方面《电信业务分类目录(2015年版)》将“在线数据处理服务”[53]归为“增值电信服务”的一个种类,另一方面在具体规则的制定主体上,该条规定为国务院电信主管部门。由此可见,《数据安全法(一审稿)》第31条实际脱胎于《电信条例》第7条“国家对电信业务经营按照电信业务分类,实行许可制度”和第9条[54]增值电信业务经营许可和备案的规定。
在整个法律体系内,《数据安全法》是以宪法为上位法的全国人大制定的“基本法律”之外的一般法律,是数据安全领域的最高法。[55]在规定数据处理相关行政许可要求时,仅针对增值电信业务的某些类型进行规定,既不符合本法的整体定位,也会导致对于其他数据处理活动规范的缺失。因此,在《数据安全法》制定过程中,本条有较大改动,不再强调专门提供在线数据处理等服务的经营者的许可或备案要求。《数据安全法(二审稿)》将条文规范主体由“专门提供在线数据处理等服务的经营者”扩展到“法律、行政法规规定应当取得行政许可的数据处理服务提供者”,删除了具体办法制定主体的要求,这并非对数据处理服务资格放宽了要求,而是从立法技术层面考虑为电信业务以外的数据处理服务的行政许可留出了规范空间。正式通过的《数据安全法》延续了《数据安全法(二审稿)》中的表述,明确了服务提供者从事有关数据处理活动的法定义务,体现了《数据安全法》与现有法律、行政法规的衔接。
对于本条的理解需要明确以下两个要点。
第一,本条对数据行业的准入监管仅作原则性规定。《数据安全法(一审稿)》针对专门提供在线数据处理等服务的经营者的许可和备案要求,给行业内的数据服务提供者带来了不小的困惑和担忧。修改后的条文将行业准入监管与其他法律法规规定的涉及不同行业市场准入的行政许可要求相衔接,也为未来随时制定或放宽市场准入的方式和条件预留了空间。此外,新规也不再局限于由国务院电信主管部门会同有关部门制定。由此可见,未来数据处理相关服务的市场准入监管将不仅局限在电信行业主管部门。企业判断数据处理服务是否需要取得行政许可,需要结合现行与行业相关的法律、法规的规定,避免违规经营的风险。
第二,服务提供者违反“依法取得行政许可”义务的法律后果依据特别法规定。《数据安全法(一审稿)》第44条规定:“未取得许可或者备案,擅自从事本法第三十一条规定业务的,由有关主管部门责令改正或者予以取缔,没收违法所得,处违法所得一倍以上十倍以下罚款;没有违法所得的,处十万元以上一百万元以下罚款;对直接负责的主管人员和其他直接责任人员初一万以上十万以下罚款。”在法律后果上借鉴了《电信条例》第69条[56]的规定并增加了直接责任人员的处罚。《数据安全法(二审稿)》中直接删除了该条款,处罚不再“一刀切”,不再在《数据安全法》中对违反“依法取得行政许可”义务的法律后果进行直接规定,而是采用与现有法律、行政法规衔接的立法技术进行处理。例如,“在线数据处理服务经营者”违反依法取得行政许可义务,应当依据《电信条例》第7条第3款和第69条的规定承担法律后果;“申请设立经营个人征信业务的征信机构”违反《征信业管理条例》第7条规定的取得个人征信业务经营许可义务,按照该条例第36条[57]规定承担法律后果。此外,在现行法律、行政法规未对违反取得行政许可义务的法律后果进行特别法规定时,应当以《行政许可法》第81条[58]作为兜底性条款。
综上所述,《数据安全法》注重与现行法律法规规范的衔接,为后续数据交易的准入预留了空间,后续可能会在多行业、多领域对市场准入等环节加强监管,通过特别法的规定进一步完善数据处理服务提供者依法取得行政许可的法定义务。
【关联规定】
《中华人民共和国行政许可法》第81条,《中华人民共和国电信条例》第7条
(撰稿人:程喆)