数据合规新方向|《网络数据安全管理条例》重点解读

文章来源于电商法律圈,作者张韬、郭子訸



作为规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益的重要法律——《网络数据安全管理条例(征求意见稿)》甫一出台,便引起社会各界的广泛关注,成为数据、隐私与互联网监管方向的重要法规。经过将近三年的讨论与修订,结合新质生产力与数字经济的发展趋势,国务院在2024年8月30日第40次常务会议上通过了《网络数据安全管理条例》,并将在2025年1月1日开始正式施行。在本文中,我们将以律师的视角,对新规的整体亮点以及“网络数据类型”“网络数据处理者义务主体”“网络数据处理者义务”“特殊的网络数据处理活动”“监管重点”以及条例对企业数据合规的指引等方面内容进行解读。希望屏幕前的诸君在“千淘万漉”之中,对新规的整体修订内容以及监管趋势有全面了解,并做好合规对应之策。


引言

2024年9月30日,《网络数据安全管理条例》(以下简称为“《条例》”)全文正式公布,作为《数据安全法》和《个人信息保护法》出台后最重要的配套规定,《条例》进一步细化了网络数据保护的合规要求。自2021年底《网络数据安全管理条例(征求意见稿)》(以下简称为“《征求意见稿》”)公开并征求意见以来,其后续修订和落地便一直备受关注,尤其是涉及数据安全和个人信息保护方面的细化规定,特别是重要数据处理者的相关义务。

《条例》的发布不仅回应了日益严峻的数据安全挑战,也体现了党中央、国务院对网络数据安全管理工作的高度重视。党的二十届三中全会明确强调了提升数据安全治理能力、建立高效的数据跨境流动机制等任务,进一步彰显了对网络数据安全的重视。随着信息技术的广泛应用,数据处理活动频繁,违法处理网络数据的现象屡见不鲜,给经济发展和国家安全带来了诸多隐患。因此,制定《条例》以规范网络数据处理活动,保障数据安全,维护个人和组织的合法权益变得愈发迫切。

《条例》在多个方面作出了细化和澄清:

(点击图片可放大查看)

  • 对《个人信息保护法》的相关个人信息保护规则做了进一步细化或衔接。进一步细化了告知、同意的内容及形式要求(第二十一条、第二十二条)、规定了个人信息可携带权的行使条件(第二十五条)、进一步明确了境外个人信息处理者境内专门机构/指定代表的报送程序(第二十六条)、明确向其他个人信息处理者提供个人信息需要履行监督职责(第十二条)等;

  • 厘清了大规模个人信息和重要数据的转化关系(第二十八条);

  • 明确了重要数据处理者的重要数据安全管理义务,包括向其他网络数据处理者提供、委托处理重要数据的监督职责(第十二条)、网络数据安全保护责任(第三十条)、重要数据处理活动风险评估(第三十一条)、重要数据年度风险评估(第三十三条)等;

  • 优化了数据出境的相关规则,进一步增加了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形(第三十五条);

  • 规定了网络平台服务提供者义务的特殊合规义务(第四十条-第四十六条);

  • 要求各部门在开展网络数据安全监督检查时应加强协同(第五十二条);

  • 进一步明确了不同违规行为的处罚标准。


距离《条例》正式生效仅剩三个月,企业亟需理解并应对《条例》所带来的新义务,以做好相应的整改工作,提前应对即将到来的监管挑战。

《条例》重点详细解读

一、网络数据类型

根据《条例》第六十二条的定义,“网络数据”是指通过网络处理和产生的各种电子数据,这一规定将数据类型限制在“电子数据”范畴内,与《个人信息保护法》和《数据安全法》的定义形成对比。

《条例》整合了“网络数据处理者”这一概念,对不同数据类型及其处理者义务进行了规范,并未新增新型数据类型,而是沿袭了“个人信息”“重要数据”等经典概念,涵盖了个人信息、重要数据、政务数据、一般数据、核心数据、国家秘密和工作秘密等类型。

重要数据在行政法规层面首次被明确为“一旦遭到篡改、破坏、泄露或非法获取、利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”,该定义与《分类分级规则》一致,但并未明确排除“仅影响组织自身或公民个体的数据”,从而回归基于数据影响后果的判断

同时,《条例》明确核心数据、国家秘密和工作秘密不受其规制。核心数据在《分类分级规则》中被定义为影响政治安全的重要数据;国家秘密则是指与国家安全和利益相关,泄露后可能造成损害的事项,并由国家秘密标志制度监管;工作秘密则是机关、单位在履行职能过程中产生或获取的不属于国家秘密但可能造成不利影响的信息。

二、网络数据处理者义务主体

(点击图片可放大查看

根据《条例》第六十二条的定义,“网络数据处理者”是指在网络数据处理活动中自主决定处理目的和方式的个人或组织。《条例》在提炼这一统筹性概念的同时,仔细梳理了《个人信息保护法》和《数据安全法》中相关主体类别。

具体而言,《条例》关注的数据处理主体主要包括“个人信息处理者”“重要数据处理者”这两大核心义务主体。在“重要数据处理者”这一类别下,《条例》进一步细分为“掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者”和“处理重要数据的大型网络平台服务提供者”

此外,《条例》还丰富了数据处理场景,并涵盖了“国家机关”“网络平台服务提供者”。其中,网络平台服务提供者又进一步细化为“大型网络平台服务提供者”、“预装应用程序的智能终端等设备生产者”以及“提供应用程序分发服务的网络平台服务提供者”。

三、网络数据处理者义务

《条例》在《个人信息保护法》和《数据安全法》的基础上,确立了网络数据处理者的多项义务。

1.普遍义务

《条例》第二章规定了普遍义务,包括:
(1)禁止性义务,禁止窃取、非法获取或出售网络数据,并明确不得利用数据从事非法活动。
(2)网络数据安全保护义务,要求建立基于网络安全等级保护的防护措施,以数据分类分级管理不同类型的数据安全。
(3)网络产品和服务安全风险报告义务,要求在出现安全缺陷时,网络数据处理者需在24小时内报告主管部门。
(4)网络数据安全事件应急处置义务,要求处理者建立应急预案,并在发生安全事件时立即启动。
(5)网络数据第三方传输义务,要求在重要数据传输时签署合同、监督接收方并记录处理情况。
(6)国家安全审查义务,规定处理活动如影响国家安全,需按规定进行审查。
(7)网络数据接收方的义务,包括在提供和委托处理数据时,需遵循法律和合同,保障数据安全。

2.个人信息处理者义务

《条例》第三章专章规定了网络数据处理者处理个人信息的相关义务,包括:
(1)重要数据处理者义务:处理超过1000万条个人信息的网络数据处理者需履行重要数据处理者的安全保护责任和报告义务。说明个人信息和重要数据的边界不会混淆,超过规定数量的个人信息其性质仍然为个人信息。
(2)个人信息告知义务:个人信息保护规则由处理者自愿制定,但未成年人信息处理规则除外。需明确规则的展示位置和表述方式。必须披露处理敏感信息的必要性及其对个人权益的影响。允许无法确认保存期限的情况,但需明确确定方法。注销账号方式应纳入规则中。应以“双清单”形式披露收集和提供个人信息的情况。处理未成年人信息必须制定专门的规则。
(3)同意规则的细化:对“单独同意”进行了明确定义,强调处理个人信息必须基于必要性原则,且未经个人同意的信息需依法删除或匿名化处理。禁止超范围收集、误导获取同意及频繁征求不同意的情况。
(4)个人信息删除义务:网络数据处理者在特定情况下必须删除或匿名化个人信息,包括:自动采集非必要信息、未依法取得同意的信息,以及个人注销账号的情况。
(5)其他:《条例》还整合了个人信息转移请求的实施方式、境外处理者的报送监管要求及个人信息合规审计义务。

3.重要数据处理者义务

《条例》第四章发布了重要数据处理者义务,包括:
(1)重要数据识别申报义务:《条例》延续了《数据安全法》的重要数据目录制定方式,并要求网络数据处理者根据国家规定识别和申报重要数据。要求处理者密切关注相关规定,自主识别和申报重要数据,并与重要数据目录形成对接机制,以便监管机构能全面动态管控各行业的重要数据。
(2)重要数据安全保护责任:网络数据处理者(处理千万条以上个人信息者)需明确安全负责人和管理机构,安全负责人拥有向主管部门报告安全情况的独立权利,并需具备相应的管理和专业背景。处理者需制定网络安全管理制度,定期开展风险监测和应急演练,及时处理安全风险和事件。
(3)重要数据处理者主体变动报告:处理者在合并、分立、解散或破产时,需采取措施保障重要数据安全,并向省级以上主管部门报告重要数据处置方案及接收方信息。
(4)重要数据传输风险评估义务:对重要数据的第三方传输活动,处理者需进行风险评估,并对重点内容进行列举,评估内容与数据出境安全评估相似,为重要数据传输风险评估提供参考。
(5)年度风险评估义务:处理者每年需对网络数据处理活动开展风险评估,并向主管部门报送评估报告。评估内容包括处理情况、相关安全保护义务的落实情况、网络数据安全风险及处置情况等。大型网络平台服务提供者需额外说明关键业务和供应链的网络数据安全情况。

4.网络平台服务提供者义务

《条例》第六章明确了网络平台服务提供者的义务,细分为不同类型的服务提供者,包括:
(1)网络平台服务提供者的督促义务:网络平台服务提供者需对接入其平台的第三方产品和服务提供者履行网络数据安全管理责任,承担相应的督促义务。
(2)预装应用程序设备生产者的责任:预装应用程序的智能终端等设备生产者,需与网络平台服务提供者一样,对其智能终端预装应用程序的服务提供者履行网络数据安全管理责任,承担督促义务。
(3)应用程序分发服务的核验义务:提供应用程序分发服务的网络平台服务提供者(通常指应用市场)需对拟上架的应用程序进行网络数据安全核验,确保符合相关安全标准。
(4)大型网络平台服务提供者的社会责任:大型网络平台服务提供者需通过发布《个人信息保护社会责任报告(年度)》引入社会监督机制,确保其履行网络数据安全保护义务。大型网络平台的定义包括注册用户超过5000万或月活跃用户超过1000万的网络平台,其数据处理活动对国家安全和经济有重要影响。

四、特殊的网络数据处理活动

《条例》不仅关注数据处理者的一般活动,还为某些特殊的网络数据处理活动提供了合规依据。

对于新兴的利用算法的数据处理行为,《条例》提出了明确的合规要求。其中,关于爬虫数据,《条例》第十八条规定,自动化访问和收集网络数据的合规要求为“不得非法侵入他人网络,不得干扰网络服务正常运行”。关于人工智能训练数据,《条例》第十九条明确,提供生成式人工智能服务的网络数据处理者需加强对训练数据的安全管理,防范和处置网络数据安全风险。同时,《条例》第四十六条规定,禁止大型网络平台服务者利用算法非法处理网络数据,损害用户权益。

关于数据跨境活动,《条例》重申了《个人信息保护法》下的个人信息出境路径, 并从行政法规层面将《促进和规范数据跨境流动规定》规定的三种豁免条件确立为出境路径。新设国家网信部门统筹协调,建立国家数据出境安全管理机制,吸纳相关法规和实践经验,明确个人信息和重要数据出境的合规路径。强调数据出境安全评估的严肃性,要求处理者在评估范围内提供数据。其中,关于重要数据出境,《条例》第三十七条要求,重要数据出境需经过安全评估。在跨境场景下,未被公开为重要数据的可不申报。此条结合前文强调了网络数据处理者自主识别和申报的重要性,最终认定仍以监管部门发布的目录为准。关于个人信息出境,《条例》第三十五条和三十六条整合了个人信息出境的合规路径,包括安全评估、保护认证、标准合同等。新增规定允许为履行法定职责或法定义务向境外提供个人信息,但对“法定职责”的范围仍缺乏明确界定。

五、监管重点

《条例》第八章“法律责任”明确了各类合规义务的法律责任。其中,第五十五条至第五十七条设定了针对特定合规义务的明确法律责任,第五十八条作为兜底条款,将其他合规要求的法律责任交由相关法律法规处理,第五十九条借鉴《行政处罚法》的理念,对轻微违法行为给予从轻处理,第六十条则要求国家机关履行网络数据安全保护义务,第六十一条规定了因违反《条例》可能面临的民事责任、行政责任及刑事责任。

(点击图片可放大查看

《条例》第五十五条明确,网络数据处理者未履行相关合规义务时,可能面临的行政责任包括主管部门责令改正、警告、没收违法所得、罚款等,情节严重时可处以高达五千万元的罚款及吊销资格。第五十六条针对国家安全审查义务,未按规定进行审查的,可能面临的最高罚款为一千万元,并可能导致停业后果。第五十七条涉及重要数据处理,未履行义务者可面临最高两百万元的罚款及停业后果。第五十八条并未详细规定其他合规要求的法律后果,而是交由其他法律法规处理,可能面临五万元至五十万元的罚款,情节严重的则可能达至两百万元罚款。

此外,为合理衔接此前网络安全与数据合规领域的既有监管规则,《条例》第五十二条特别强调了监管层面的“减负原则”, 具体而言:主管部门开展网络数据安全监督检查时, 应避免不必要的检查和交叉重复检查;个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接, 避免重复评估、审计;重要数据风险评估和网络安全等级测评的内容重合的, 相关结果可以互相采信。

对企业数据合规的指引

《网络数据安全管理条例》的出台将对企业现有的数据合规体系产生深远影响。企业在调整合规策略时,需要针对《条例》中的新规定和义务进行适当改动。

(点击图片可放大查看

一、更新数据分类和分级体系

根据《条例》第五条,企业需重新审视和更新其数据分类分级标准,以适应新增的“重要数据”定义。企业应开展全面的数据审计,明确哪些数据属于个人信息、重要数据及其他类别,并根据数据的重要性及其潜在风险制定相应的保护措施。企业还应建立动态监测机制,及时更新数据分类信息,以应对法律法规的变化,确保合规性。

二、强化对爬虫和自动化工具的合规管理

在使用爬虫等自动化采集工具时,企业需制定内部合规政策,明确这些工具的使用条件和限制。依据《条例》第十八条,企业应建立评估机制,确保在使用自动化工具时不会非法侵入他人网络或干扰正常服务。建议企业设置专门的审查小组,负责评估自动化数据采集的合规性,确保所有采集活动符合道德和法律标准,并对采集的数据进行合规性审核。

三、加强对人工智能训练数据的安全管理

《条例》第十九条要求提供生成式人工智能服务的企业,必须加强对训练数据的管理。企业需对训练数据的来源、处理过程及使用目的进行全面审查,并制定相应的安全管理措施,确保遵循《条例》的安全要求。同时,企业应建立训练数据的审计机制,定期检查数据的合规性和安全性,及时发现和处理潜在风险。

四、建立算法合规审查机制

针对《条例》第四十六条的规定,企业应建立算法使用的合规审查机制。特别是大型网络平台服务者,需对算法处理的数据进行透明化管理,确保算法的使用不损害用户权益。企业可以设立算法伦理委员会,负责对算法的设计、实施和效果进行评估,确保其符合合规标准,并建立用户反馈渠道,及时处理用户的投诉与建议。

五、完善网络数据安全事件应急预案

根据《条例》第十一条,企业需要建立和完善网络数据安全事件的应急预案。在发生数据泄露或其他安全事件时,企业应及时启动预案,立即报告主管部门,并通知相关利益方。企业应定期进行应急演练,以确保员工熟悉应急程序,提高响应效率。此外,企业还应制定事件报告流程,确保信息的及时传递和处理。

六、定期合规审计与培训

企业应定期进行数据合规审计,确保所有数据处理活动符合《条例》的要求。审计内容应包括数据处理流程、数据安全措施、员工培训记录等,确保合规性得到有效落实。同时,企业需开展员工培训,提高员工对新规的认识和理解,确保合规操作的有效执行。培训内容应包括法律法规、合规政策、数据安全管理等,提高员工的整体合规意识。

七、建立数据接收方监督机制

根据《条例》第十二条,企业在与第三方分享数据时,应签署合同并监督对方的合规行为。企业需建立机制,确保对外提供的数据处理者遵循相应的安全保护义务,并定期检查其合规情况。建议企业制定标准合同模板,明确数据处理的目的、方式和责任,确保数据接收方对数据的安全处理和保护。同时,企业应建立监控系统,对数据接收方的数据使用情况进行跟踪和审查,及时发现和解决合规问题。

结语

《网络数据安全管理条例》的发布标志着我国在网络数据安全和合规管理方面迈出了重要一步。面对《条例》的实施,企业不仅要将合规视为法律责任,更应将其视为提升自身竞争力的重要手段。企业需进一步加强数据合规体系建设,强化数据分类和分级管理,建立健全对爬虫、人工智能训练数据和算法应用的合规审查机制,完善网络数据安全事件的应急预案等。《网络数据安全管理条例》将于2025年1月1日起施行,企业尚有不到3个月整改期,需要尽快梳理涉及的事项并完成整改工作。

作者介绍


张韬,北京德恒律师事务所合伙人、网络与数据研究中心主任,《电子商务法》起草专家,《“十四五”电子商务发展规划》专家编写组成员,《“十四五”国家知识产权保护和运用规划》编制指导专家,人民数据资产委员会专家委员,科技部服务业重大专项区块链课题组成员,数据安全推进计划智库专家,CCIA数据安全工作委员会专家,曾获评ALB China 15佳网络安全和数据保护律师,LEGABAND 合规律师15强等,图书《数字经济治理与合规指引》联合主编,长期为国家部委、央企、大型国企、科技企业提供合规、数据合规、知识产权等法律服务。

郭子訸,中国政法大学数据法治研究院博士研究生,研究方向为数据法、数字知识产权法等。参与国家社会科学基金重大项目一项、国家社会科学基金一般项目多项、国家知识产权局项目多项等。多篇论文在《中国版权》《上海法学研究》等期刊发表。参加上海市法学会、陕西省法学会、深圳市法学会、中国计算机学会等举办的多个学术论坛征文并获奖。

-END-

近期活动回顾


免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐