《网络数据安全管理条例》(“《网数条例》”)在连续三年写入国务院立法工作计划中后,于2024年9月30日下午正式发布,并将于2025年1月1日起施行,成为网络数据安全领域首个行政法规级文件。
近几年来,国际竞争态势愈演愈烈,各国不约而同地将网络及数据安全的重要性提升到前所未有的高度。在此大背景下,如何在不阻碍行业发展的同时确保网络数据的安全,成为体现国家现代化治理能力的标志之一。自国家互联网信息办公室(“国家网信办”)于2021年11月发布《网络数据安全管理条例(征求意见稿)》(“《征求意见稿》”)以来,由于其覆盖面广及细化落地的监管要求吸引了各国的关注。在我国网络数据安全监管领域逐渐进入深水区后,《网数条例》将是我国在网络数据安全领域重要成果和经验总结。
《网数条例》以《中华人民共和国网络安全法》(“《网络安全法》”)、《中华人民共和国数据安全法》(“《数据安全法》”)和《中华人民共和国个人信息保护法》(“《个人信息保护法》”)等法律法规作为上位法依据,对三部法律中规定的原则性规范和制度进行内容和流程方面的细化规定。相较于此前的《征求意见稿》,《网数条例》根据我国实际网络及数据发展阶段做了适应性规定,为网络数据处理者提供更为细致和落地的合规指引。我们将通过本文对其进行初步介绍,旨在协助大家梳理《网数条例》与上位法核心思路的衔接,并提供重点问题的解读分析。
01 网络数据安全管理架构
《网数条例》旨在规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益。《网数条例》共包含9章64条,以一般规定(第二章)为基础,以个人信息保护(第三章)和重要数据安全(第四章)两个方面为切入点,对网络数据处理活动提出要求。此外,《网数条例》还对网络数据跨境安全管理(第五章)和网络平台服务提供者(第六章)提出了额外的管理义务。
相较于《征求意见稿》下全面和细致的合规义务,《网数条例》作为行政法规提供了相对落地但又具备足够灵活性的网络数据安全管理框架,为后续立法留有充分空间。
为协助读者明确《网数条例》下的合规义务,我们通过下表梳理了不同类型的合规义务的规则要求。
02 基本概念澄清和细化
《网数条例》在国家网信办主管职责范围的基础上,将三部上位法中对于适用主体和对象的概念进行充分的融合贯通,进一步廓清了对《网数条例》适用范围的规定。
1. 《网数条例》的适用范围是什么?
根据《网数条例》第二条第一款,《网数条例》适用于在中华人民共和国境内开展网络数据处理活动及其安全监督管理。相比于《数据安全法》第二条规定,《网数条例》将其适用范围明确地限缩和定义在了“通过网络”开展的数据处理活动这一特定情形,符合《网数条例》作为网络数据安全领域的框架性法规的定位。
就“网络”所涵盖适用边界的理解,需要联系《网络安全法》并以相关法律定义、规则作为理解的上位法依据。在《网络安全法》第七十六条的定义条款中,“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。我们日常使用的网络一词,有狭义和广义之分,狭义的网络是指互联网(Internet),广义的网络还包括相对封闭的局域网和工业控制系统。此前,国家网信办也发布了《近距离自组网信息服务管理规定(征求意见稿)》,拟对利用蓝牙、Wi-Fi等信息技术,近距离即时组建的网络进行监管。
我们理解随着信息技术的发展,互联网、局域网和工业控制系统等的物理界限越来越模糊,其所面临的安全风险和威胁的手段、方式是类似的,因此其安全保护也需要适用于相同的规则。因此,对“网络”的理解,我们建议应当秉持广义的概念。
最后,在法规的域外适用效力规则的衔接方面,《网数条例》第二条第二款承接《个人信息保护法》第三条第二款规定的两大基本域外适用的情形,即“以向境内自然人提供产品或者服务为目的”和“分析、评估境内自然人的行为”的基础上,进行了保留和扩充。此外,相较于《征求意见稿》,《网数条例》第二条第三款并未将“涉及境内重要数据处理”作为一种新的情形加以规定,而是基本沿用了《数据安全法》第二条第二款规定:“在境外开展数据处理活动,损害国家安全、公共利益或者公民、组织合法权益,依法追究法律责任。”
2. 什么是“网络数据”?
根据《网数条例》第六十二条第一款,“网络数据”是指“通过网络处理和产生的各种电子数据”。其在《数据安全法》下“数据”定义的基础上删去了“以其他方式所记录的信息”,并且明确其范围主要为电子数据,理论上排除比如通过纸张等物理方式处理的数据。但考虑到“网络”的广泛应用和大部分企业数字化水平的提高,对网络数据的监管依然适用于大部分企业的数据处理行为。
3.什么是“网络数据处理者”?
“数据处理者”以及“重要数据的处理者”等定义此前曾出现于《数据安全法》中,但《数据安全法》并未明确定义“数据处理者”的法定概念。《网数条例》参考《个人信息保护法》中对于个人信息处理者的定义,将“网络数据处理者”定义为“在网络数据处理活动中自主决定处理目的和处理方式的个人、组织”。该定义突出了“自主决定处理目的和处理方式”这一核心要义,即“处理者”对于处理行为有较强的控制能力,并根据有控制力的处理来构建数据的安全责任体系。
值得注意的是,“数据处理者”多次出现在数据安全领域的相关部门规章和征求意见稿之中,但因为上位法定义的缺失,对于如何定义“数据处理者”存在一定的模糊,而本次《网数条例》的释义进一步确定了这一重要概念的边界。这不仅让《网数条例》乃至数据安全领域的相关法规和适用范围更加明确,也构成了规定“数据处理者”责任和义务的前提。
“网络数据处理者”定义将影响深远,如何证明企业是否具备自主决定处理目的和处理方式,不仅要求企业从对客协议中明确自身身份,在企业内部数据融合、对外数据共享等不同场景中还需要考虑企业股权架构、决策机制等更多细节。我们理解,对于“数据处理者”概念的理解将越来越倾向于实质性的判断,即实施数据处理活动的主体对于数据本身的控制力、影响力和决定性地位。
03 网络数据安全管理的一般规定
《网数条例》在第五条中明确:“国家根据网络数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对网络数据实行分类分级保护。”数据分类分级制度设计和运行的机理主要在于数据处理活动的风险程度与安全管理措施水平相适应。
遵循数据分类分级的基本制度,《网数条例》对网络数据处理活动提出了一般性的要求,并且在此基础上对个人信息和重要数据提出特殊要求。值得注意的是,《网数条例》并未对核心数据提出具体的监管要求,而是要求相关处理活动“按照国家有关规定执行”。
相较于《征求意见稿》,《网数条例》在吸收了网络数据安全领域各类监管规定的要求的基础上,对网络数据处理活动的要求有一定的放宽和简化,其中值得关注的点包括:
进一步明确网络产品和服务存在安全缺陷、漏洞等风险时的措施(第十条)
根据《网数条例》第十条,当网络数据处理者发现网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告,并且当涉及危害国家安全、公共利益的,网络数据处理者应当在24小时内向有关主管部门报告。
此前,工业和信息化部等三部门曾于2021年9月发布《网络产品安全漏洞管理规定》,要求网络产品提供者在发现或者获知所提供网络产品存在安全漏洞后应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息,报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。《网数条例》在此基础上要求网络数据处理者对于涉及国家安全、公共利益的漏洞等风险在24小时内进行报送。
明确网络数据安全事件上报和通知规则(第十一条)
相较于《征求意见稿》下网络数据安全事件3个工作日和8小时的上报期限而言,《网数条例》并未明确具体的上报期限,而是要求网络数据处理者“按照规定向有关主管部门报告”。我们理解这可能是指国家网信办于2023年12月发布的《网络安全事件报告管理办法(征求意见稿)》,其明确了网络运营者在发生网络安全事件时的报告责任、报告时限、报告内容等。关于该征求意见稿的具体内容,读者可参阅我们此前文章“一笼烽火报平安——《网络安全事件报告管理办法(征求意见稿)》解读和实践挑战”。
此外,对于通知义务而言,《网数条例》吸收《个人信息保护法》的相关规定,明确仅在对“个人、组织合法权益造成危害”时,才需要通知受影响的个人和组织。《网数条例》同时明确了可以通过电话、短信、即时通信工具、电子邮件或者公告等方式通知利害关系人。其中,相较于其他方式,我们理解通过公告告知利害关系人,具有广泛覆盖、持续性长、成本相对较低等优势。
最后,《网数条例》也提及了当网络数据处理者在处置网络数据安全事件过程中发现涉嫌违法犯罪线索时,应当按照规定向公安机关、国家安全机关报案。值得注意的是,根据2011年修订的《计算机信息系统安全保护条例》,对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。
加强网络数据处理活动中的处理者管理要求(第十二条、第十三条)
《网数条例》第十二条和第十三条明确了网络数据的链条式管理要求。其中,第十二条要求网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据时,应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况进行监督。此外,网络数据处理者还需在至少3年内保存相关处理记录。另一方面,网络数据的接收方应当履行网络数据安全保护义务,并按照约定的目的、方式、范围等处理个人信息和重要数据。
和其他一般规定不同的是,本条要求并不适用于所有的网络数据,而是仅限于个人信息和重要数据。就个人信息而言,本条基本延续了《个人信息保护法》第二十条和第二十一条的相关规定,要求共同处理者约定各自的权利和义务;个人信息处理者应当与接受委托处理个人信息的受托人签署相关合同并且监督受托人。但是,本条是否包括《个人信息保护法》第二十三条所述的“个人信息处理者向其他个人信息处理者提供其处理的个人信息”的情形还有待进一步明确。另一方面,本条建立了重要数据在一般情况下流转的基本框架,对于重要数据安全、有序地流动至关重要。
最后,《网数条例》第十三条吸收《个人信息保护法》第二十二条的规定,明确网络数据处理者因合并、分立、解散、破产等原因需要转移网络数据的,网络数据接收方应当继续履行网络数据安全保护义务。与第十二条不同的是,前述的规定适用于所有的网络数据,不仅限于个人信息和重要数据。
涉及国家机关、关键信息基础设施运营者以及公共基础设施和系统的特殊要求(第十六条)
《网数条例》第十六条对向国家机关、关键信息基础设施运营者提供服务,或者参与其他公共基础设施、公共服务系统建设、运行、维护的网络数据处理者提出了额外的规定,要求其在按照法律法规以及合同约定履行网络数据安全保护义务的基础上,在未经委托方同意时,不得访问、获取、留存、使用、泄露或者向他人提供网络数据,不得对网络数据进行关联分析。该要求有效地回应了实践中长期存在的乱象,厘清公共服务数据处理中处理者与受托处理者的主体边界。
04 个人信息保护规则与《个人信息保护法》及其他相关规定的衔接与细化
《网数条例》在第三章中规定了专门适用于个人信息保护的规则,这些具体规则除了与《个人信息保护法》的相关规定进行衔接和细化之外,体现出不少在我国行政执法的实践层面总结提炼出的具体要求,例如近年来我国对于App合规监管中的部分成熟经验,已经为《网数条例》所合理吸收和采纳。
与此同时,我们也注意到相较于《征求意见稿》,《网数条例》对于个人信息保护的规则进行了提炼和更新。关于《征求意见稿》对个人信息保护规则的解读,读者可参阅《<网络数据安全管理条例(征求意见稿)>系列解读之个人信息保护篇》 。具体而言,企业宜重点关注以下几个方面:
通过隐私政策等个人信息处理规则告知文件进行告知的具体内容及形式的要求(第二十一条)
在处理个人信息前,通过制定个人信息处理规则的方式依法向个人告知的,个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、清晰易懂。告知内容包括但不限于:(一)网络数据处理者的名称或者姓名和联系方式;(二)处理个人信息的目的、方式、种类,处理敏感个人信息的必要性以及对个人权益的影响;(三)个人信息保存期限和到期后的处理方式,保存期限难以确定的,应当明确保存期限的确定方法;(四)个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等。
此外,该条与《工业和信息化部关于开展信息通信服务感知提升行动的通知》中要求建立个人信息保护“双清单”的制度进行衔接,要求网络数据处理者以清单形式向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息。
值得注意的是,在上述个人信息处理规则告知内容的列举范围内,《网数条例》对个人信息保存期限的规定实现变通,即“保存期限难以确定的,应当明确保存期限的确定方法”。此前《征求意见稿》仅要求明确个人信息的存储期限,但未对难以确定保存期限的情形提出例外规则。我们理解,这也在一定程度上体现出近年来网信部门对于网络数据处理者特殊业务情况的理解,特别是在数据出境合规申报相关工作中,不少企业在申报的业务场景下,因使用或提供多方定制化的数据存储服务或因境外接收方的特殊政策而难以确定明确的个人信息存储期限,进而导致在个人信息处理规则的告知内容整改方面产生困难。我们理解,《网数条例》就个人信息存储难以明确具体期限的情形予以放宽,兼顾了企业自身实际业务需求,为企业减轻了一定的合规负担。
基于同意处理个人信息的具体同意形式要求(第二十二条)
《网数条例》在《个人信息保护法》所规定的“知情同意”原则下,对各类情形所需获得同意的要求进行重申和细化。在此基础上,明确并反向排除不能被认定为“个人同意”的情形,有助于网络数据处理者进一步明确执法界限。此外,《网数条例》第二十二条与GB∕T 35273-2020《信息安全技术 个人信息安全规范》(“《个人信息安全规范》”)相衔接,提出不得在个人明确表示不同意处理其个人信息后,频繁征求同意,这也从立法的层面明确重申了该等要求。
个人信息“可携带权”的具体响应规则(第二十五条)
个人信息“可携带权”理论上为欧盟《通用数据保护条例》创设,其利弊一直以来备受争议。在我国《个人信息安全规范》中首次规定了类似的个人信息转移权的内容,但其所能转移的个人信息种类有限,即限于个人基本资料、身份信息、健康生理信息和教育工作信息,且转移的个人信息仅为副本。
尽管《个人信息保护法》第四十五条明确规定“个人请求将个人信息转移至其指定的个人信息处理者”的权利,即通常我们参考所俗称的“可携带权”。但由于一直以来缺乏“符合国家网信部门规定条件”的具体规则,该权利在实践中无法实现。《网数条例》第二十五条则首次从立法的角度明确了“个人信息可携带权”的具体响应规则,使得数据可携权在我国具有了实践可执行性。
具体而言,对符合下列条件的个人信息转移请求,网络数据处理者应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径:
(一)能够验证请求人的真实身份;
(二)请求转移的是本人同意提供的或者基于合同收集的个人信息;
(三)转移个人信息具备技术可行性;
(四)转移个人信息不损害他人合法权益。
请求转移个人信息次数等明显超出合理范围的,网络数据处理者可以根据转移个人信息的成本收取必要费用。
05 人工智能训练数据合规要求
《网数条例》对当前迅猛发展的人工智能行业作出了积极回应,就生成式人工智能训练数据安全保障提出了明确要求。
人工智能训练数据合规义务(第十九条)
《网数条例》第十九条规定,提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。此前,我国针对人工智能及算法治理领域已经发布了《生成式人工智能服务管理暂行办法》及其配套的《生成式人工智能服务安全基本要求》,并对训练数据处理活动提出一系列合规要求。《网数条例》对训练数据合规的规范进一步从行政法规的效力层级上完善了我国对人工智能训练数据合规监管的规范体系。
自动化采集技术应当评估对网络服务带来的影响(第十八条)
自动化采集技术,例如爬虫、RPA(Robotic Process Automation)的正当性及其边界问题一直广为讨论。此前,我国主要在民事层面通过《反不正当竞争法》对自动化采集行为予以规制。《网数条例》在一定程度上吸收了实践经验,要求网络数据处理者使用自动化工具访问、收集网络数据时,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。
自动化采集技术处理非必要个人信息应删除或匿名化处理(第二十四条)
《网数条例》在第三章个人信息保护的规则中,就使用自动化采集技术收集处理的非必要个人信息或未取得个人同意的个人信息提出了删除或匿名化处理的要求。我们理解,实践中,大量使用爬虫等类型的自动化采集技术爬取公开平台下的需求信息,可能难以避免包含部分未经同意或非必要的个人信息。当前,人工智能大模型的研发与训练离不开海量的训练数据,而训练数据来源的合法合规保障成为相关企业关切的难题。《网数条例》第二十四条进一步明确了通过自动化采集技术处理个人信息的要求,如涉及采用自动化采集技术获取相关训练数据的,企业应对其中所包含的个人信息进行删除或匿名化处理。
06 重要数据的识别规则变化与安全保障义务
处理1000万人以上个人信息的网络数据处理者将需遵守重要数据处理者合规义务
自《网络安全法》《数据安全法》《汽车数据安全管理若干规定(试行)》陆续发布后,更多的细致规定例如《GB/T 43697-2024 数据安全技术 数据分类分级规则》《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》在行业重要数据方面进一步提出了更加具体的重要数据识别指引,尤其针对汽车、医药、民航、人工智能训练数据领域的企业提供了更为明确的识别规则。相比较《征求意见稿》以列举重要数据识别规则描述性规定而言,《网数条例》附则精简了重要数据的定义,修订为“特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。”
其次,关于个人信息达到特定敏感度与数量级是否将构成重要数据的讨论,在《信息安全技术 重要数据识别指南(征求意见稿)》《数据出境安全评估办法》出台后一直备受关注,对此,《网数条例》第二十八条作出了明确回应,网络数据处理者处理1000万人以上个人信息的,还应当履行重要数据的处理者的安全保障义务(明确网络数据安全负责人与建立网络数据安全管理机构、以及合并、重组、分立时的报告义务)。此前,在数据出境监管制度关于“重要数据处理者”及“处理100万人以上个人信息的个人信息处理者”需要受限于数据出境安全评估这一规定的框架下,业内对于“处理100万人以上个人信息”的数量级将对比重要数据的管理与监督层级已达成一定共识。《网数条例》明确提高了前述量级的门槛,一定程度上减轻了处理百万级别的非头部或超大型网络服务提供者的合规义务。
重要数据处理者安全保障义务的调整
《网数条例》在《数据安全法》第三章“数据安全制度”的基础上,对重要数据处理者的数据安全管理义务提出了具体明确的要求,同时对《征求意见稿》提出的安全保障义务进行了修订。重要数据处理者的数据安全管理义务详见下表。
07 网络数据跨境安全管理与衔接
《网数条例》在第五章中规定了网络数据跨境安全管理的相关要求。相较于此前的《征求意见稿》,《网数条例》不再要求网络数据处理者提供关于数据出境的年度报告,进一步降低了数据出境的合规成本。除此之外,《网数条例》和此前发布的《促进和规范数据跨境流动规定》《数据出境安全评估办法》《个人信息出境标准合同办法》等部门规章形成了有机衔接,尤其吸收了《促进和规范数据跨境流动规定》的相关规定,使其上升为行政法规下的数据出境机制。其中值得关注的点包括:
豁免场景上升为个人信息出境机制(第三十五条)
《网数条例》第三十五条结合《促进和规范数据跨境流动规定》的相关规定对《个人信息保护法》第三十八条进行了补充,在数据出境安全评估、个人信息保护认证和个人信息出境标准合同的基础上,明确当满足如下情形之一时,网络数据处理者可以向境外提供个人信息:
(1)为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息;
(2)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;
(3)为履行法定职责或者法定义务,确需向境外提供个人信息;
(4)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息。
其中,“为履行法定职责或者法定义务,确需向境外提供个人信息”为《网数条例》新增的情形,其余3项均在《促进和规范数据跨境流动规定》第五条中所有体现。关于《促进和规范数据跨境流动规定》对个人信息保护规则的解读,读者可参阅《水无形而有万形——《促进和规范数据跨境流动规定》的变化与数据跨境监管的未来》。其中,我们也注意到《促进和规范数据跨境流动规定》第五条中关于累计向境外提供不满10万人个人信息(不含敏感个人信息)的豁免情形并未被纳入《网数条例》第三十五条下的个人信息出境机制中。我们理解这可能是因为出境规模需要根据实际情况,由国家网信办动态调整,因此不适合将其固定在作为行政法规的《网数条例》中。
就“为履行法定职责或者法定义务,确需向境外提供个人信息”而言,该等情形与《个人信息保护法》第十三条要求的处理个人信息的合法性基础有所关联与呼应,也响应了实务中对此的需求。尽管如此,如果参考《个人信息保护法》下对同意豁免情形的限缩解释,即此处所述的“法”仅指中华人民共和国的法律法规,则本条的适用范围则还有待进一步明确。
重要数据的主动识别和被动申报义务(第三十七条)
《网数条例》在第三十七条吸收了《促进和规范数据跨境流动规定》第二条下关于重要数据申报数据出境安全评估的相关规定,要求网络数据处理者按照相关规定识别重要数据的基础上,明确未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。通过以行政法规的形式固定该基本原则,无疑进一步打消了企业的疑虑,在减轻企业的合规压力的同时降低合规成本。
08 网络平台服务提供者的特殊义务要求
相较于《征求意见稿》此前提出“互联网平台经营者”以及“大型互联网平台运营者”,《网数条例》将上述概念修改为“网络平台服务提供者”及“大型网络平台服务提供者”,但暂未明确网络平台服务提供者的概念。此外,“大型网络平台”明确为注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。我们理解,上述概念与此前国务院发布的《未成年人网络保护条例》中所使用的“网络平台服务提供者”概念相一致,在行政法规层面实现了定义的统一。此外,关于大型网络平台服务提供者的构成要件,比照《征求意见稿》中提出的“注册用户超过5000万”的数量要求,《网数条例》提出“注册用户5000万以上或者月活跃用户1000万以上”的数量维度要求,在一定程度上提高了相关企业落入大型网络平台服务提供者范围的门槛。
此外,《网数条例》对于网络平台服务提供者及大型网络平台服务提供者提出了若干安全监督管理义务要求。较之于《征求意见稿》,《网数条例》对于网络平台服务提供者施加的合规义务要求进行了一定程度的放宽和简化。例如,网络平台服务提供者对接入其平台的第三方产品和服务提供者具有网络数据安全保护义务的监督管理义务;明确了对用户造成损害时,网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者应当承担相应责任等。
构成大型网络平台服务提供者的,应履行个人信息保护社会责任年度报告、遵守国家数据跨境安全监管要求、保障用户合法权益的相关责任义务。
09 监督管理
《网数条例》的第七章从监管部门分工、网络数据安全风险信息共享处置、监督管理措施、评估/审计互认等角度对网络数据安全领域的监督管理作出了规定。其中值得注意的点包括:
(1)除国家网信办负责统筹协调,公安机关、国家安全机关在各自职责范围内承担网络数据安全监督管理职责之外,国家数据管理部门在具体承担数据管理工作中会履行相应的网络数据安全职责。
(2)明确了各有关主管部门承担本行业、本领域网络数据安全监督管理职责,需要明确本行业、本领域网络数据安全保护工作机构,统筹制定并组织实施本行业、本领域网络数据安全事件应急预案等工作。
(3)要求个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等加强衔接,避免重复评估、审计。重要数据风险评估和网络安全等级测评的内容重合的,相关结果可以互相采信。
10 法律责任
总体而言,《网数条例》罚则部分在上位法的框架内进行了一定的细化,对于违反法律法规、危害或者可能影响数据安全的数据处理活动进行了行政责任层面的细节化、具体化规定。从责任条款的约束对象而言,《网数条例》重点对:1)网络数据处理者不履行数据安全保护义务的(第十二条、第十六条至第二十条、第二十二条、第四十条第一款和第二款、第四十一条、第四十二条);2)网络数据处理者开展网络数据处理活动影响或者可能影响国家安全的(第十三条);3)网络数据处理者违反关于重要数据保护相关法律法规的(第二十九条第二款、第三十条第二款和第三款、第三十一条、第三十二条);以上三类对象和情形进行了行政法规层面的数据安全处罚规定。
同时,《网数条例》明确对于违反《网数条例》其他有关规定的,有关主管部门有权依照《网络安全法》《数据安全法》《个人信息保护法》的相关规定追究法律责任,也即当网络数据处理者的违法行为的直接表现形式为违反来源于上位法设立的具体规则,主管部门有权依照相关上位法设置的法则进行处罚,相较于《征求意见稿》设置的罚则以及与上位法项下罚则之间的关系,《网数条例》进行了清晰的梳理与确认,衔接了《网数条例》与三部上位法之间的关系,以数据安全作为法规保护的核心利益,在网络安全、数据安全之间架设了一道责任规定层面的天然的连接桥梁。
结语
总体而言,作为关键的配套性法规,《网数条例》主要针对前述三部法律中的相关要求和规定进行了法规层面上的细化和展开,厘清了法规中所涉的也是实务中经常讨论的若干关键概念,对网络数据安全管理领域的一些特定问题进行了明确答复。
从《网络安全法》《数据安全法》《个人信息保护法》等一路走来,我国网络空间治理已经从框架设计发展至细化规则层面。同时,网络生态也从“元宇宙”等虚拟空间进化至人工智能的智能化阶段。网络数据安全既要有实践性同时也要兼具前瞻性,还要适应现有的国际竞争环境,可谓是“任重道远”。从当前《网数条例》的正式出台,我们能看到监管部门平衡“底线”坚守和为发展“松绑”所做的努力,我们也期待,《网数条例》在市场主体与监管部门之间的有效沟通和协作下,其落地实施也体现时代的特征,充满包容的活力和生命力。
脚注:
[1] 《促进和规范数据跨境流动规定》第8条 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
属于本规定第3条、第4条、第5条、第6条规定情形的,从其规定。
[2] 《数据安全法》第21条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
[3] 《数据安全法》第36条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
张凯勋
合规业务部
吴舸
律师
合规业务部
陈琳珺
律师助理
合规业务部
转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。
封面图源:画作·林子豪
声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
