为了应对数字经济发展过程中的数据安全威胁与挑战,我国相继出台了《中华人民共和国网络安全法》(下称《网安法》)《中华人民共和国数据安全法》(下称《数安法》)及《中华人民共和国个人信息保护法》(下称《个保法》)等法律规定,构建了较为完善的网络与数据安全法律体系。而今年1月1日起施行的《网络数据安全管理条例》(下称《网数条例》),主要是针对《网安法》《数安法》及《个保法》等上位法内容的进一步细化与完善,与上位法共同构成了我国网络数据安全法律体系的主干。本文将基于《网数条例》的整体框架结构,对条例重点内容进行要点式解读。
要点一:网络数据非法处理活动情形
《网数条例》第八条是对《网安法》第二十七条、《数安法》第八条、三十二条、《个保法》第十条等内容的进一步细化,该条款在《网安法》《数安法》及《个保法》基础上,吸收《刑法》及相关司法解释中对于侵犯公民个人信息罪、帮助信息网络犯罪活动罪的相关规定和表述,涵盖了包括窃取、以其他非法方式获取、非法出售、非法提供网络数据等禁止性行为规定,并进一步禁止提供非法活动的程序、工具,禁止提供技术支持和推广、结算帮助,明确对利用数据从事非法活动的全链条打击要求。
要点二:网络数据处理者的安全主体责任
《网数条例》第九条是对《网安法》第二十一条、《数安法》第二十七条、《个保法》第五十一条等内容的进一步细化,该条款要求处理者在网络安全等级保护的基础上,加强网络数据安全防护,建立健全网络数据安全管理制度,采取加密、备份、访问控制、安全认证等技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用,处置网络数据安全事件,防范针对和利用网络数据实施的违法犯罪活动,并对所处理网络数据的安全承担主体责任。
要点三:网络数据处理者的风险报告制度
《网数条例》第十条是对《网安法》第二十二条、《数安法》第二十九条、《个保法》第五十七条等内容的进一步细化,根据该款规定,数据处理者在发现网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告。
要点四:网络数据安全事件应急预案及通知义务
《网数条例》第十一条是对《数安法》第二十九条、《个保法》第五十七条等内容的进一步细化,该条款要求网络数据处理者建立健全网络数据安全事件应急预案,发生网络数据安全事件时,应立即启动预案并按照规定向有关主管部门报告。另外,除法律法规明确免除通知义务外,针对网络安全事件的受害者(个人或组织),数据处理者还应当以电话、短信、即时通信工具、电子邮件或者公告等方式通知利害关系人(通知内容包括安全事件和风险情况、危害后果、已经采取的补救措施等)。
要点五:数据交互流动过程中的必要规则
《网数条例》第十二条是在《个保法》第二十条、二十一条、二十三条、五十九条等内容基础上进行的补充完善,除个人信息外还将重要数据纳入调整范围。该条款核心内容主要包括三个方面:一是范围包括个人信息和重要数据;二是各主体间需要对数据处理目的、方式、权利义务等内容进行明确约定;三是向其他网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录,应当至少保存3年。另外,《网数条例》第六十二条还专门对“委托处理”“共同处理”及“单独同意”等概念进行了明确。
要点六:政务数据及其他特殊类型数据的管理要求
《网数条例》第十五条、十六条、十七条是对《数安法》第四十条等内容的进一步细化,该条款的核心内容主要包括:第一,针对政务系统与政务数据的相关服务提供方,国家机关需要履行严格的审批程序,并通过协议等法律形式明确服务方的权限和责任,同时监督其履行网络数据安全保护义务;第二,服务方在为国家机关及相关重要机构提供服务过程中,未经同意不得访问、获取、留存、使用、泄露或者向他人提供网络数据,不得对网络数据进行关联分析;第三,为国家机关提供服务的信息系统应当参照电子政务系统的管理要求加强网络数据安全管理,保障网络数据安全。
要点七:新兴技术处理网络数据的规则要求
《网数条例》第十八条、十九条是《数安法》第二十八条、三十二条等内容的场景性落地规定,《网数条例》第十八条间接认可了爬虫技术的中立性,在完成爬虫对网络服务带来的影响,且未出现非法侵入他人网络、干扰网络服务正常运行的情况下,利用爬虫技术收集数据原则上具有合法性;《网数条例》第十九条则是针对当下最为火热的AI进行的数据规范,根据该条款规定,提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。
要点八:网络用户投诉及举报的处理机制
《网数条例》第二十条是在《个保法》第十七条、五十二条等内容基础上进行的补充完善,该条款要求面向社会提供产品、服务的网络数据处理者,建立便捷的网络数据安全投诉、举报渠道,公布投诉、举报方式等信息,及时受理并处理网络数据安全投诉、举报。
要点一:个人信息处理规则的公示及内容要求
《网数条例》第二十一条是对《个保法》第十七条、三十一条等内容的进一步归纳与细化,在《个保法》基础上新增如下两项内容:第一,个人信息保存期限难以确定的处理方式。根据该条款规定,对于个人信息保存期限难以确定的情况下,处理者应当在隐私政策等规则中明确个人信息保存期限的确定方法;第二,清单形式列明展示。根据该条款规定,处理者向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息的,应当以清单等形式予以列明。
要点二:利用爬虫技术收集到的个人信息处理规则
《网数条例》第二十四条是在《个保法》第四十七条基础上的延伸,根据该条款规定,因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。对于保存期限未届满或者技术层面难以实现的,则应停止除存储和采取必要的安全保护措施之外的处理。
要点三:个人信息转移请求(可携带权)规则
《网数条例》第二十五条对《个保法》第四十五条所规定的个人信息可携带权规则予以进一步细化,该条款核心内容包括:
第一,行使权利应当满足的条件。(1)能够验证请求人的真实身份;(2)请求转移的是本人同意提供的或者基于合同收集的个人信息;(3)转移个人信息具备技术可行性;(4)转移个人信息不损害他人合法权益;
第二,合理范围之外必要费用的收取。请求转移个人信息次数等明显超出合理范围的,网络数据处理者可以根据转移个人信息的成本收取必要费用。
要点四:1000万以上个人信息处理者的特别义务
《网数条例》第二十八条是对《数安法》第二十七条、《个保法》第五十二条等内容的进一步细化,根据该条款规定,对于个人信息数量达到1000万以上的处理者,除应履行个人信息保护专章规定的义务外,还需遵守重要数据专章中的部分规定。具体包括:第一,应当明确网络数据安全负责人和网络数据安全管理机构;第二,在合并、分立、解散、破产等情况下,应当采取措施保障网络数据安全,并向省级以上有关主管部门(主管部门若不明确则向省级以上数据安全工作协调机制报告)报告重要数据处置方案、接收方的名称或者姓名和联系方式等。
需要注意的是,这里所称的1000万以上个人信息处理者并不是《网数条例》第六十二条所规定的“大型网络平台”。
注:除以上要点外,《网数条例》个人信息保护专章中还包括基于个人同意处理个人信息的要求、保障信息主体的法定权利以及处理者合规审计要求等重要内容,但由于相关条款内容与《个保法》高度重合,并未有进一步延伸或细化,因此本文不再单独罗列。
要点一:重要数据目录的制定与管理
《网数条例》第二十九条是对《数安法》第二十一条等内容的进一步细化,该条款的核心内容主要包括:第一,制作重要数据目录。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的网络数据进行重点保护;第二,重要数据的申报及告知。网络数据处理者应当按照国家有关规定识别、申报重要数据。对确认为重要数据的,相关地区、部门应当及时向网络数据处理者告知或者公开发布;第三,数据标签标识等技术和产品的使用。国家鼓励网络数据处理者使用数据标签标识等技术和产品,提高重要数据安全管理水平。
要点二:数据安全负责人与网络数据安全管理机构
《网数条例》第三十条是对《数安法》第二十一条等内容的进一步细化,根据该条款规定,重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构,该机构负责依法履行相关网络数据安全保护责任,未来这将是企业管理体系合规审查的重点之一。
要点三:重要数据处理前的风险评估
《网数条例》第三十一条是对《数安法》第三十条等内容的进一步细化,根据该条款规定,重要数据的处理者提供、委托处理、共同处理重要数据前,原则上应当进行风险评估。该程序类似于《个保法》所规定的个人信息保护影响评估(PIA),最终目的是确定数据处理可能产生的潜在风险,评估处理措施的合理性和必要性,以及确定降低风险的措施。
要点四:特定场景下的专项报告义务
根据《网数条例》第三十二条规定,在合并、分立、解散、破产等情况下,应当采取措施保障网络数据安全,并向省级以上有关主管部门(主管部门若不明确则向省级以上数据安全工作协调机制报告)报告重要数据处置方案、接收方的名称或者姓名和联系方式等。这里的“省级以上数据安全工作协调机制”主要是指由中央网信办及相关部委组成的跨部门协调机构,负责跨行业、跨领域的网络数据安全监管。注意该项义务也适用于前述1000万以上个人信息的处理者。
要点五:重要数据的处理者年度风险评估报告义务
《网数条例》第三十三条是对《数安法》第三十条等内容的进一步细化,该条款的核心内容主要包括:第一,年度风险评估与报告义务。重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关;第二,大型网络平台的特别义务。处理重要数据的大型网络平台服务提供者报送的风险评估报告,除包括前述内容外,还应当充分说明关键业务和供应链网络数据安全等情况。注意《网数条例》第六十二条已对“大型网络平台”的概念进行明确界定。
要点一:个人信息的出境规则
《网数条例》第三十五条是对《个保法》第三十八条、《促进和规范数据跨境流动规定》第五条等内容的进一步归纳与细化,该条款的核心内容主要包括两个方面:
第一,个人信息出境的法定程序:(1)数据出境安全评估;(2)个人信息保护认证;(3)个人信息出境标准合同。
注:每个程序均有细化的规定,但个人信息保护认证的规则不够详细,当前在落地层面具有一定难度。
第二,明确豁免的情形:(1)为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息;(2)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;(3)为履行法定职责或者法定义务,确需向境外提供个人信息;(4)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;(5)法律、行政法规或者国家网信部门规定的其他条件。(6)中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
要点二:重要数据的出境规则
《网数条例》第三十七条、三十八条是对《数安法》第三十一条、《促进和规范数据跨境流动规定》第七条、十一条等内容的进一步归纳与细化,该条款的核心内容主要包括:
第一,数据出境前应当通过国家网信部门组织的数据出境安全评估,安全评估的主要依据为《数据出境安全评估办法》。
第二,未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。
第三,通过数据出境安全评估后,网络数据处理者向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。
要点一:明确平台与接入平台第三方的责任
根据《网数条例》第四十条规定,网络平台服务提供者(包括预装应用程序的智能终端等设备生产者)需要通过平台规则或者合同来明确接入其平台第三方的义务,并督促第三方加强网络数据安全管理。另外,若因第三方违法违规原因造成用户损害的,网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者应当依法承担相应责任。需要注意的是,此前公布的《网数条例》征求意见稿第四十四条第二款规定的是第三方产品和服务提供者对用户造成损害的,用户可以要求平台运营者先行赔偿。但正式生效的《网数条例》已不再要求平台运营者先行赔偿,这对于网络平台服务提供者来讲风险压力更小,各方主体仅需要在各自责任范围内承担相应的法律责任(非连带责任)。
要点二:应用程序分发服务提供者的法定义务
根据《网数条例》第四十一条规定,提供应用程序分发服务的网络平台服务提供者(例如苹果App Store、安卓Google Play、各品牌应用市场等),应当建立应用程序核验规则并开展网络数据安全相关核验。发现待分发或者已分发的应用程序不符合法律、行政法规的规定或者国家标准的强制性要求的,应当采取警示、不予分发、暂停分发或者终止分发等措施。
要点三:网络身份认证公共服务建设
根据《网数条例》第四十三条规定,国家将推进网络身份认证公共服务建设,按照政府引导、用户自愿原则,鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份。实际上,我国公安部和网信办曾于2024年7月发布《国家网络身份认证公共服务管理办法(征求意见稿)》,并提出了“网号”“网证”等概念,目的是规范网络空间中的身份认证服务,确保在网络活动中的真实身份可查询可追溯,防止可能出现的网络安全风险。
要点四:大型网络平台的法定义务
根据《网数条例》第六十二条规定“大型网络平台”是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。《网数条例》第四十四条、四十五条、四十六条是对《个保法》第五十八条等内容的进一步归纳与细化,根据前述条款的规定,大型网络平台服务提供者的法定义务主要包括三个方面:第一,每年度发布个人信息保护社会责任报告;第二,跨境提供数据的合规要求;第三,重视平台经营合规及用户权利的保护。
注:除以上要点外,《网数条例》网络平台服务提供者义务专章中还包括自动化决策推送规则等重要内容,但由于相关条款内容与《个保法》高度重合,并未有进一步延伸或细化,因此本文不再单独罗列。
结语:《网数条例》的出台,标志着中国已开始从“数据大国”向“数据强国”迈进,本次立法的核心逻辑并非单纯地对数据流动进行限制,而是通过构建可信数据使用环境,促使数据在安全轨道上创造更大的经济价值与社会价值。对企业及其他主体而言,数据合规并非终点,而是融入数字文明新秩序的伊始。
