作为规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益的重要法律——《网络数据安全管理条例(征求意见稿)》甫一出台,便引起社会各界的广泛关注,成为数据、隐私与互联网监管方向的重要法规。经过将近三年的讨论与修订,结合新质生产力与数字经济的发展趋势,国务院在2024年8月30日第40次常务会议上通过了《网络数据安全管理条例》,并将在2025年1月1日开始正式施行。

在本文中,我们将以律师的视角,对新规的整体亮点以及“网络数据类型”“网络数据处理者义务主体”“网络数据处理者义务”“特殊的网络数据处理活动”“监管重点”以及条例对企业数据合规的指引等方面内容进行解读。希望屏幕前的诸君在“千淘万漉”之中,对新规的整体修订内容以及监管趋势有全面了解,并做好合规对应之策。

01

引言

2024年9月30日,《网络数据安全管理条例》(以下简称为“《条例》”)全文正式公布,作为《数据安全法》和《个人信息保护法》出台后最重要的配套规定,《条例》进一步细化了网络数据保护的合规要求。自2021年底《网络数据安全管理条例(征求意见稿)》(以下简称为“《征求意见稿》”)公开并征求意见以来,其后续修订和落地便一直备受关注,尤其是涉及数据安全和个人信息保护方面的细化规定,特别是重要数据处理者的相关义务。

《条例》的发布不仅回应了日益严峻的数据安全挑战,也体现了党中央、国务院对网络数据安全管理工作的高度重视。党的二十届三中全会明确强调了提升数据安全治理能力、建立高效的数据跨境流动机制等任务,进一步彰显了对网络数据安全的重视。随着信息技术的广泛应用,数据处理活动频繁,违法处理网络数据的现象屡见不鲜,给经济发展和国家安全带来了诸多隐患。因此,制定《条例》以规范网络数据处理活动,保障数据安全,维护个人和组织的合法权益变得愈发迫切。

《条例》在多个方面作出了细化和澄清:

打开网易新闻 查看精彩图片

  • 对《个人信息保护法》的相关个人信息保护规则做了进一步细化或衔接。进一步细化了告知、同意的内容及形式要求(第二十一条、第二十二条)、规定了个人信息可携带权的行使条件(第二十五条)、进一步明确了境外个人信息处理者境内专门机构/指定代表的报送程序(第二十六条)、明确向其他个人信息处理者提供个人信息需要履行监督职责(第十二条)等;
  • 厘清了大规模个人信息和重要数据的转化关系(第二十八条);
  • 明确了重要数据处理者的重要数据安全管理义务,包括向其他网络数据处理者提供、委托处理重要数据的监督职责(第十二条)、网络数据安全保护责任(第三十条)、重要数据处理活动风险评估(第三十一条)、重要数据年度风险评估(第三十三条)等;
  • 优化了数据出境的相关规则,进一步增加了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形(第三十五条);
  • 规定了网络平台服务提供者义务的特殊合规义务(第四十条-第四十六条);
  • 要求各部门在开展网络数据安全监督检查时应加强协同(第五十二条);
  • 进一步明确了不同违规行为的处罚标准。

距离《条例》正式生效仅剩三个月,企业亟需理解并应对《条例》所带来的新义务,以做好相应的整改工作,提前应对即将到来的监管挑战。

02

《条例》重点详细解读

一、网络数据类型

根据《条例》第六十二条的定义,“网络数据”是指通过网络处理和产生的各种电子数据,这一规定将数据类型限制在“电子数据”范畴内,与《个人信息保护法》和《数据安全法》的定义形成对比。

《条例》整合了“网络数据处理者”这一概念,对不同数据类型及其处理者义务进行了规范,并未新增新型数据类型,而是沿袭了“个人信息”“重要数据”等经典概念,涵盖了个人信息、重要数据、政务数据、一般数据、核心数据、国家秘密和工作秘密等类型。

重要数据在行政法规层面首次被明确为“一旦遭到篡改、破坏、泄露或非法获取、利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”,该定义与《分类分级规则》一致,但并未明确排除“仅影响组织自身或公民个体的数据”,从而回归基于数据影响后果的判断。

同时,《条例》明确核心数据、国家秘密和工作秘密不受其规制。核心数据在《分类分级规则》中被定义为影响政治安全的重要数据;国家秘密则是指与国家安全和利益相关,泄露后可能造成损害的事项,并由国家秘密标志制度监管;工作秘密则是机关、单位在履行职能过程中产生或获取的不属于国家秘密但可能造成不利影响的信息。

二、网络数据处理者义务主体

打开网易新闻 查看精彩图片

根据《条例》第六十二条的定义,“网络数据处理者”是指在网络数据处理活动中自主决定处理目的和方式的个人或组织。《条例》在提炼这一统筹性概念的同时,仔细梳理了《个人信息保护法》和《数据安全法》中相关主体类别。

具体而言,《条例》关注的数据处理主体主要包括“个人信息处理者”“重要数据处理者”这两大核心义务主体。在“重要数据处理者”这一类别下,《条例》进一步细分为“掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者”和“处理重要数据的大型网络平台服务提供者”。

此外,《条例》还丰富了数据处理场景,并涵盖了“国家机关”“网络平台服务提供者”。其中,网络平台服务提供者又进一步细化为“大型网络平台服务提供者”、“预装应用程序的智能终端等设备生产者”以及“提供应用程序分发服务的网络平台服务提供者”。

三、网络数据处理者义务

《条例》在《个人信息保护法》和《数据安全法》的基础上,确立了网络数据处理者的多项义务。

(1)普遍义务

《条例》第二章规定了普遍义务,包括:

  • 1)禁止性义务,禁止窃取、非法获取或出售网络数据,并明确不得利用数据从事非法活动。
  • 2)网络数据安全保护义务,要求建立基于网络安全等级保护的防护措施,以数据分类分级管理不同类型的数据安全。
  • 3)网络产品和服务安全风险报告义务,要求在出现安全缺陷时,网络数据处理者需在24小时内报告主管部门。
  • 4)网络数据安全事件应急处置义务,要求处理者建立应急预案,并在发生安全事件时立即启动。
  • 5)网络数据第三方传输义务,要求在重要数据传输时签署合同、监督接收方并记录处理情况。
  • 6)国家安全审查义务,规定处理活动如影响国家安全,需按规定进行审查。
  • 7)网络数据接收方的义务,包括在提供和委托处理数据时,需遵循法律和合同,保障数据安全。

(2)个人信息处理者义务

《条例》第三章专章规定了网络数据处理者处理个人信息的相关义务,包括:

  • 1)重要数据处理者义务:处理超过1000万条个人信息的网络数据处理者需履行重要数据处理者的安全保护责任和报告义务。说明个人信息和重要数据的边界不会混淆,超过规定数量的个人信息其性质仍然为个人信息。
  • 2)个人信息告知义务:个人信息保护规则由处理者自愿制定,但未成年人信息处理规则除外。需明确规则的展示位置和表述方式。必须披露处理敏感信息的必要性及其对个人权益的影响。允许无法确认保存期限的情况,但需明确确定方法。注销账号方式应纳入规则中。应以“双清单”形式披露收集和提供个人信息的情况。处理未成年人信息必须制定专门的规则。
  • 3)同意规则的细化:对“单独同意”进行了明确定义,强调处理个人信息必须基于必要性原则,且未经个人同意的信息需依法删除或匿名化处理。禁止超范围收集、误导获取同意及频繁征求不同意的情况。
  • 4)个人信息删除义务:网络数据处理者在特定情况下必须删除或匿名化个人信息,包括:自动采集非必要信息、未依法取得同意的信息,以及个人注销账号的情况。
  • 5)其他:《条例》还整合了个人信息转移请求的实施方式、境外处理者的报送监管要求及个人信息合规审计义务。

(3)重要数据处理者义务

《条例》第四章发布了重要数据处理者义务,包括:

  • 1)重要数据识别申报义务:《条例》延续了《数据安全法》的重要数据目录制定方式,并要求网络数据处理者根据国家规定识别和申报重要数据。要求处理者密切关注相关规定,自主识别和申报重要数据,并与重要数据目录形成对接机制,以便监管机构能全面动态管控各行业的重要数据。
  • 2)重要数据安全保护责任:网络数据处理者(处理千万条以上个人信息者)需明确安全负责人和管理机构,安全负责人拥有向主管部门报告安全情况的独立权利,并需具备相应的管理和专业背景。处理者需制定网络安全管理制度,定期开展风险监测和应急演练,及时处理安全风险和事件。
  • 3)重要数据处理者主体变动报告:处理者在合并、分立、解散或破产时,需采取措施保障重要数据安全,并向省级以上主管部门报告重要数据处置方案及接收方信息。
  • 4)重要数据传输风险评估义务:对重要数据的第三方传输活动,处理者需进行风险评估,并对重点内容进行列举,评估内容与数据出境安全评估相似,为重要数据传输风险评估提供参考。
  • 5)年度风险评估义务:处理者每年需对网络数据处理活动开展风险评估,并向主管部门报送评估报告。评估内容包括处理情况、相关安全保护义务的落实情况、网络数据安全风险及处置情况等。大型网络平台服务提供者需额外说明关键业务和供应链的网络数据安全情况。

(4)网络平台服务提供者义务

《条例》第六章明确了网络平台服务提供者的义务,细分为不同类型的服务提供者,包括:

  • 1)网络平台服务提供者的督促义务:网络平台服务提供者需对接入其平台的第三方产品和服务提供者履行网络数据安全管理责任,承担相应的督促义务。
  • 2)预装应用程序设备生产者的责任:预装应用程序的智能终端等设备生产者,需与网络平台服务提供者一样,对其智能终端预装应用程序的服务提供者履行网络数据安全管理责任,承担督促义务。
  • 3)应用程序分发服务的核验义务:提供应用程序分发服务的网络平台服务提供者(通常指应用市场)需对拟上架的应用程序进行网络数据安全核验,确保符合相关安全标准。
  • 4)大型网络平台服务提供者的社会责任:大型网络平台服务提供者需通过发布《个人信息保护社会责任报告(年度)》引入社会监督机制,确保其履行网络数据安全保护义务。大型网络平台的定义包括注册用户超过5000万或月活跃用户超过1000万的网络平台,其数据处理活动对国家安全和经济有重要影响。

四、特殊的网络数据处理活动

《条例》不仅关注数据处理者的一般活动,还为某些特殊的网络数据处理活动提供了合规依据。

对于新兴的利用算法的数据处理行为,《条例》提出了明确的合规要求。其中,关于爬虫数据,《条例》第十八条规定,自动化访问和收集网络数据的合规要求为“不得非法侵入他人网络,不得干扰网络服务正常运行”。关于人工智能训练数据,《条例》第十九条明确,提供生成式人工智能服务的网络数据处理者需加强对训练数据的安全管理,防范和处置网络数据安全风险。同时,《条例》第四十六条规定,禁止大型网络平台服务者利用算法非法处理网络数据,损害用户权益。

五、监管重点

《条例》第八章“法律责任”明确了各类合规义务的法律责任。其中,第五十五条至第五十七条设定了针对特定合规义务的明确法律责任,第五十八条作为兜底条款,将其他合规要求的法律责任交由相关法律法规处理,第五十九条借鉴《行政处罚法》的理念,对轻微违法行为给予从轻处理,第六十条则要求国家机关履行网络数据安全保护义务,第六十一条规定了因违反《条例》可能面临的民事责任、行政责任及刑事责任。

打开网易新闻 查看精彩图片

《条例》第五十五条明确,网络数据处理者未履行相关合规义务时,可能面临的行政责任包括主管部门责令改正、警告、没收违法所得、罚款等,情节严重时可处以高达五千万元的罚款及吊销资格。第五十六条针对国家安全审查义务,未按规定进行审查的,可能面临的最高罚款为一千万元,并可能导致停业后果。第五十七条涉及重要数据处理,未履行义务者可面临最高两百万元的罚款及停业后果。第五十八条并未详细规定其他合规要求的法律后果,而是交由其他法律法规处理,可能面临五万元至五十万元的罚款,情节严重的则可能达至两百万元罚款。

此外,为合理衔接此前网络安全与数据合规领域的既有监管规则,《条例》第五十二条特别强调了监管层面的“减负原则”, 具体而言:主管部门开展网络数据安全监督检查时, 应避免不必要的检查和交叉重复检查;个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接, 避免重复评估、审计;重要数据风险评估和网络安全等级测评的内容重合的, 相关结果可以互相采信。

03

对企业数据合规的指引

《网络数据安全管理条例》的出台将对企业现有的数据合规体系产生深远影响。企业在调整合规策略时,需要针对《条例》中的新规定和义务进行适当改动。

打开网易新闻 查看精彩图片

一、更新数据分类和分级体系

根据《条例》第五条,企业需重新审视和更新其数据分类分级标准,以适应新增的“重要数据”定义。企业应开展全面的数据审计,明确哪些数据属于个人信息、重要数据及其他类别,并根据数据的重要性及其潜在风险制定相应的保护措施。企业还应建立动态监测机制,及时更新数据分类信息,以应对法律法规的变化,确保合规性。

二、强化对爬虫和自动化工具的合规管理

在使用爬虫等自动化采集工具时,企业需制定内部合规政策,明确这些工具的使用条件和限制。依据《条例》第十八条,企业应建立评估机制,确保在使用自动化工具时不会非法侵入他人网络或干扰正常服务。建议企业设置专门的审查小组,负责评估自动化数据采集的合规性,确保所有采集活动符合道德和法律标准,并对采集的数据进行合规性审核。

三、加强对人工智能训练数据的安全管理

《条例》第十九条要求提供生成式人工智能服务的企业,必须加强对训练数据的管理。企业需对训练数据的来源、处理过程及使用目的进行全面审查,并制定相应的安全管理措施,确保遵循《条例》的安全要求。同时,企业应建立训练数据的审计机制,定期检查数据的合规性和安全性,及时发现和处理潜在风险。

四、建立算法合规审查机制

针对《条例》第四十六条的规定,企业应建立算法使用的合规审查机制。特别是大型网络平台服务者,需对算法处理的数据进行透明化管理,确保算法的使用不损害用户权益。企业可以设立算法伦理委员会,负责对算法的设计、实施和效果进行评估,确保其符合合规标准,并建立用户反馈渠道,及时处理用户的投诉与建议。

五、完善网络数据安全事件应急预案

根据《条例》第十一条,企业需要建立和完善网络数据安全事件的应急预案。在发生数据泄露或其他安全事件时,企业应及时启动预案,立即报告主管部门,并通知相关利益方。企业应定期进行应急演练,以确保员工熟悉应急程序,提高响应效率。此外,企业还应制定事件报告流程,确保信息的及时传递和处理。

六、定期合规审计与培训

企业应定期进行数据合规审计,确保所有数据处理活动符合《条例》的要求。审计内容应包括数据处理流程、数据安全措施、员工培训记录等,确保合规性得到有效落实。同时,企业需开展员工培训,提高员工对新规的认识和理解,确保合规操作的有效执行。培训内容应包括法律法规、合规政策、数据安全管理等,提高员工的整体合规意识。

七、建立数据接收方监督机制

根据《条例》第十二条,企业在与第三方分享数据时,应签署合同并监督对方的合规行为。企业需建立机制,确保对外提供的数据处理者遵循相应的安全保护义务,并定期检查其合规情况。建议企业制定标准合同模板,明确数据处理的目的、方式和责任,确保数据接收方对数据的安全处理和保护。同时,企业应建立监控系统,对数据接收方的数据使用情况进行跟踪和审查,及时发现和解决合规问题。

04

结语

《网络数据安全管理条例》的发布标志着我国在网络数据安全和合规管理方面迈出了重要一步。面对《条例》的实施,企业不仅要将合规视为法律责任,更应将其视为提升自身竞争力的重要手段。企业需进一步加强数据合规体系建设,强化数据分类和分级管理,建立健全对爬虫、人工智能训练数据和算法应用的合规审查机制,完善网络数据安全事件的应急预案等。《网络数据安全管理条例》将于2025年1月1日起施行,企业尚有不到3个月整改期,需要尽快梳理涉及的事项并完成整改工作。