首页> 图书频道> 政法> 法学

【主管部门对数据安全风险的前置处理】

2026年02月19日
版权
第四十四条 【 主管部门对数据 安全风险的前置处理】

有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。

【释义】

本条规定的是有关主管部门对存在较大安全风险的数据处理活动的前置处理。

与《数据安全法(二审稿)》相比,本条修改了最后一句话的表述,原表述为“有关组织和个人应当按照要求采取措施,进行整改,消除隐患”。进一步理顺了主管部门在应对存在数据安全风险的数据处理活动时的制度措施,强化了主管部门的数据安全监管职能,更加有利于数据安全监管的落实和行之有效。

“安全当然是法律需要保护的重要价值,但自由和权利是法律更本质的属性,就数据的法律规制而言,需要更好地平衡安全与自由的关系。”[1]当前,网信部门等主管部门在履行监管职责的过程中,往往需要回应如何平衡数据安全与数据发展、柔性治理方法与刚性治理手段的现实问题,面对存在一定数据安全风险但还没有构成违法或造成危害后果的数据处理活动,如果一味采取行政处罚等较为刚性和体现制裁的手段,对于数字经济发展和数据产业的进步而言将产生一定负面影响。若能在事前进行一定引导和规范,通过柔性监管的手段促进相关组织、个人及时完善保障数据安全的各项技术手段或措施、化解安全隐患,将更有利于彰显数据安全和数据发展并重的价值立场。本条即为一次新的立法尝试,通过成文的方式确立了数据安全监管的约谈制度,将其作为主要规制工具,既避免了苛责处理数据的组织和个人承担过重的法律责任,又能促进数据安全,有效形成一个全面的数据安全风险防范机制,保障数字产业蓬勃健康发展。

本条的理解与适用重点是数据安全监管的约谈制度。行政约谈是指依法享有监督管理职权的行政主体,发现其所监管的行政相对人出现了特定问题,为了防止发生违法行为,在事先约定的时间、地点与行政相对人进行沟通、协商,然后给予警示、告诫的一种非强制行政行为。行政约谈实现了行政监管方式由事后的处罚打击型向事前的服务监管型的转变,有利于推动服务性政府的建设。[2]随着服务型政府理念的兴起,在参与式行政、合作式行政备受推崇的当下,行政约谈这种良性互动的行政行为方式不仅体现了行政主体对行政相对人权利的尊重,也在维护行政相对人合法权益以及充分调度和利用社会资源方面显现出较大优势。[3]目前运行较为成熟、实践较为丰富的行政约谈是互联网信息内容监管约谈,2015年4月28日国家互联网信息办公室颁布了《互联网新闻信息服务单位约谈工作规定》,初步确立约谈制度。事实上,在该规定出台之前,国家互联网信息办公室就曾联合北京互联网信息办公室,约谈网易和新浪等年检中违法问题突出、受到大量公众举报的网站,并取得了立竿见影的效果。实践表明,约谈方式日渐成为互联网信息内容监管领域的主要规制工具。[4]《网络安全法》第56条也规定了约谈制度:“省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。”而在数据安全领域,行政约谈的实践也并不鲜见。例如,2019年9月3日,工业和信息化部网络安全管理局约谈陌陌公司,针对的是媒体公开报道和用户曝光的“ZAO”App用户隐私协议不规范,存在数据泄露风险等网络数据安全问题,要求其严格按照国家法律法规以及相关主管部门要求,组织开展自查整改,依法依规收集使用用户个人信息,规范协议条款,强化网络数据和用户个人信息安全保护。同时,要进一步加强新技术新业务安全评估,切实采取有效措施,积极防范自有业务平台被利用实施电信网络诈骗等风险隐患。[5]

按照有学者对行政约谈做出的类型化区分,本条规定的行政约谈属于“违法预警型”约谈,指为达到预防违法之行政目的,行政主体对妨碍社会秩序而有违法之虞或轻微违法者,所采取预防或抑制之行政约谈。行政主体因其特殊地位,相较于相对人更有“预见能力”,约谈便是将行政主体的这种“预见能力”转化为相对人的“预见能力”。[6]对于数据安全领域,由于数据应用和数据流动瞬息万变,如果不对数据处理活动的安全风险和隐患进行合理预见,将极易导致严重的数据安全损害后果,通过约谈,从事数据处理活动的组织和个人将能有效预判各自活动中可能存在的风险点和隐患,并遵从行政主体的警示和要求,以降低风险。

对于约谈的程序和要件,应注意以下几点:

1.约谈的主体。有权进行约谈的主体,应当为承担数据安全监管职责的主管部门。按照本法第6条规定,包括公安机关、国家安全机关、国家网信部门等,但应依照本法和有关法律、行政法规的规定在各自职责范围内开展的监管。

2.约谈的对象。从目前既有的约谈实践来看,被约谈的对象主要是相关组织内部承担数据安全管理主要责任的人。

3.约谈的情形和法定条件。依照本条规定,采取约谈措施的情形为发现数据处理活动存在较大安全风险。约谈应当按照规定的权限和程序进行。

从本条行文可以看出,本条规定的行政约谈虽然也是服务型监管的体现,但兼具了一定强制性要求。行政约谈之所以有存在价值,在于行政机关可以利用非强制性的方法,如劝导、协助、鼓励等方式推动相对人采行一定之行为,来达到行政目的。[7]对组织和个人提出要求,则体现出一定强制色彩,带有行政命令的特征,盖因数据安全法的法理基础是基于“风险—安全”的社会控制,核心是对未经授权的访问、使用、披露、破坏、修改或销毁等行为进行控制[8],而必须要通过一定带有强制性的命令手段实现控制的目标。

【关联规定】

《互联网新闻信息服务单位约谈工作规定》第2条,《中华人民共和国网络安全法》第5条、第56条

(撰稿人:何傲翾)