隨著數(shù)據(jù)與人工智能、物聯(lián)網(wǎng)技術(shù)的深入融合，數(shù)據(jù)的開發(fā)利用能夠為人們生產(chǎn)生活帶來高效與便利，與此同時數(shù)據(jù)安全風險日益凸顯，也為國家安全、公共利益、組織和個人的合法權(quán)益帶來挑戰(zhàn)。在《中華人民共和國網(wǎng)絡安全法》(“《網(wǎng)安法》”)、《中華人民共和國數(shù)據(jù)安全法》(“《數(shù)安法》”)、《中華人民共和國個人信息保護法》(“《個保法》”)的法律框架下，制定配套行政法規(guī)以細化三大上位法，推動其執(zhí)行落地可謂是勢在必行。

2021年11月，《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》(“《征求意見稿》”)經(jīng)國家互聯(lián)網(wǎng)信息辦公室(“國家網(wǎng)信辦”)發(fā)布以來就引起了各界廣泛關(guān)注。后《網(wǎng)絡數(shù)據(jù)安全管理條例》(“《網(wǎng)數(shù)條例》”)又連續(xù)三年被寫入國務院立法計劃。歷經(jīng)近三年的反復錘煉，《網(wǎng)數(shù)條例》于2024年9月30日正式發(fā)布，自2025年1月1日起施行，進一步完善了我國數(shù)據(jù)安全管理制度體系，為治網(wǎng)管網(wǎng)提供有力的法治保障。

《網(wǎng)數(shù)條例》共9章64條，旨在規(guī)范網(wǎng)絡數(shù)據(jù)處理活動，保障網(wǎng)絡數(shù)據(jù)安全，促進網(wǎng)絡數(shù)據(jù)依法合理有效利用，保護個人、組織的合法權(quán)益，維護國家安全和公共利益。本文通過對《網(wǎng)數(shù)條例》的重點內(nèi)容進行解讀，識別分析其中的合規(guī)義務，為相關(guān)主體提供借鑒。

1. 適用范圍與定義厘清

1.1 適用范圍

就域內(nèi)效力而言，《網(wǎng)數(shù)條例》適用于在中華人民共和國境內(nèi)開展網(wǎng)絡數(shù)據(jù)處理活動及其安全監(jiān)督管理。在域外效力方面，銜接《個保法》第三條第二款規(guī)定，保留了在境外處理境內(nèi)自然人個人信息的適用情形，即“向境內(nèi)自然人提供產(chǎn)品或者服務為目的;分析、評估境內(nèi)自然人的行為;以及法律、行政法規(guī)規(guī)定的其他情形”。同時，《網(wǎng)數(shù)條例》基本沿用了《數(shù)安法》第二條第三款規(guī)定，“在境外開展網(wǎng)絡數(shù)據(jù)處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的，依法追究法律責任?！?/span>

1.2 網(wǎng)絡數(shù)據(jù)

《網(wǎng)數(shù)條例》第六十二條第一款列明，“網(wǎng)絡數(shù)據(jù)”的定義為“通過網(wǎng)絡處理和產(chǎn)生的各種電子數(shù)據(jù)”。對“網(wǎng)絡”的理解可參考《網(wǎng)安法》第七十六條，即“由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的系統(tǒng) ”。同時，《網(wǎng)數(shù)條例》將范圍限定為電子數(shù)據(jù)，排除了紙張等非電子形式的數(shù)據(jù)。

1.3 網(wǎng)絡數(shù)據(jù)處理者

依據(jù)《網(wǎng)數(shù)條例》第六十二條第三款，“網(wǎng)絡數(shù)據(jù)處理者”是指“在網(wǎng)絡數(shù)據(jù)處理活動中自主決定處理目的和處理方式的個人、組織。”《網(wǎng)數(shù)條例》繼承了《個保法》中“個人信息處理者”的概念，突出“處理者”的核心內(nèi)涵，即“自主決定處理目的和處理方式”，《網(wǎng)數(shù)條例》也給出了“委托處理”和“共同處理”的定義，均在強調(diào)“網(wǎng)絡數(shù)據(jù)處理者”應當對網(wǎng)絡數(shù)據(jù)處理活動具有控制能力，并因此承擔相應的主體責任。據(jù)此，企業(yè)在與第三方機構(gòu)合作時，需要基于對數(shù)據(jù)實質(zhì)上的控制力，厘清雙方的身份定位，通過相關(guān)協(xié)議等方式明確雙方的權(quán)利義務關(guān)系。

2.《網(wǎng)數(shù)條例》的一般規(guī)定

《網(wǎng)數(shù)條例》在總則和第二章規(guī)定了網(wǎng)絡數(shù)據(jù)處理活動的基本規(guī)則，既強調(diào)了應當合法使用、分類分級保護、數(shù)據(jù)安全事件應急預案等，細化了《網(wǎng)安法》《數(shù)安法》《個保法》等相關(guān)要求，同時也具有一定前瞻性，對“爬蟲”“人工智能”等熱點問題作出回應。下表對基本規(guī)則涉及的網(wǎng)絡數(shù)據(jù)處理者主要的合規(guī)義務進行解讀并提供相應指引。

3.《網(wǎng)數(shù)條例》與三法的協(xié)調(diào)

《網(wǎng)數(shù)條例》對《網(wǎng)安法》《數(shù)安法》《個保法》的相關(guān)制度規(guī)定予以細化、補充、完善，堅持問題導向，聚焦個人信息、重要數(shù)據(jù)、網(wǎng)絡數(shù)據(jù)跨境流動等方面的突出問題，針對性地健全制度措施。

3.1細化個人信息保護

明確以個人信息處理規(guī)則履行告知義務的內(nèi)容、形式要求

《網(wǎng)數(shù)條例》第二十一條總結(jié)提煉近年來監(jiān)管層面提出的要求和行業(yè)層面的實踐經(jīng)驗，進一步細化了《個保法》對告知的相關(guān)要求，新增需要進一步披露“個人信息保存期限和到期后的處理方式，保存期限難以確定的，應當明確保存期限的確定方法”，并列舉個人信息主體的查閱、復制、轉(zhuǎn)移、更正等權(quán)利。在實踐中，網(wǎng)絡數(shù)據(jù)處理者需要按照法律、行政法規(guī)規(guī)定和用戶約定的方式、期限，并結(jié)合業(yè)務實際情況和訴訟時效規(guī)定等方面因素進行數(shù)據(jù)存儲期限的設(shè)置，具有復雜性。該條指出保存期間可不列明具體特定的數(shù)字，而通過“說明保存期限的確定方法”，能夠回應不同場景中個人信息保存期限的差異性。

形式上，《網(wǎng)數(shù)條例》認可《工業(yè)和信息化部關(guān)于開展信息通信服務感知提升行動的通知》中建立個人信息保護“雙清單”制度的要求，要求網(wǎng)絡數(shù)據(jù)處理者以清單等形式向個人告知收集和向其他網(wǎng)絡數(shù)據(jù)處理者提供個人信息的目的、方式、種類以及網(wǎng)絡數(shù)據(jù)接收方信息。網(wǎng)絡數(shù)據(jù)處理者應當根據(jù)個人信息處理活動的實際情況，核對個人信息處理規(guī)則是否真實、準確、完整披露信息，是否清晰易懂，避免歧義等。

基于個人同意處理個人信息的基本要求

《網(wǎng)數(shù)條例》明確了基于個人同意處理個人信息應當遵守的基本要求，對處理敏感個人信息、十四周歲未成年人個人信息等情形下的“同意”做了列舉細化，同時明確規(guī)定了禁則，“不得超出個人同意的個人信息處理目的、方式、種類、保存期限處理個人信息；不得在個人明確表示不同意處理其個人信息后，頻繁征求同意”等。

網(wǎng)絡數(shù)據(jù)處理者應當建立有效同意獲取的標準，且提供撤回同意的路徑，確保同意在充分知情的前提下自愿、明確作出，且以主動點擊、勾選、填寫等肯定性動作自主作出；梳理敏感個人信息類型，僅在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下進行處理；確定未滿十四周歲未成年人的個人信息處理規(guī)則，如向其提供產(chǎn)品或服務，應取得監(jiān)護人同意，并制定專門的個人信息處理規(guī)則。

個人信息轉(zhuǎn)移的具體條件

此前，《個保法》第四十五條第三款規(guī)定，“個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應當提供轉(zhuǎn)移的途徑”，被視為是中國版“數(shù)據(jù)可攜帶權(quán)”，但目前除了在電信領(lǐng)域“攜號轉(zhuǎn)網(wǎng)”方面的實踐外，由于一直缺乏具體的規(guī)則，該權(quán)利往往難以實現(xiàn)。

《網(wǎng)數(shù)條例》第二十五條細化了個人信息轉(zhuǎn)移的具體條件，要求網(wǎng)絡數(shù)據(jù)處理者應當為個人指定的其他網(wǎng)絡數(shù)據(jù)處理者訪問、獲取有關(guān)個人信息提供途徑：(1)能夠驗證請求人的真實身份；(2)請求轉(zhuǎn)移的是本人同意提供的或者基于合同收集的個人信息；(3)轉(zhuǎn)移個人信息具備技術(shù)可行性；(4)轉(zhuǎn)移個人信息不損害他人合法權(quán)益。網(wǎng)絡數(shù)據(jù)處理者需根據(jù)二十五條調(diào)整個人信息主體權(quán)利響應機制，建立響應流程和相關(guān)技術(shù)手段支持個人信息主體的權(quán)利實現(xiàn)。

此外，《網(wǎng)數(shù)條例》還要求網(wǎng)絡數(shù)據(jù)處理者銜接《個保法》第五十三條規(guī)定在境內(nèi)設(shè)立專門機構(gòu)或者指定代表的，履行相應的報送要求(第二十六條);履行個人信息保護合規(guī)審計義務(第二十七條)以及處理1000萬人以上個人信息的網(wǎng)絡數(shù)據(jù)處理者處理應當參照重要數(shù)據(jù)處理者履行“安全保護義務”和“因合并、分立、解散、破產(chǎn)等可能影響數(shù)據(jù)安全時的措施保障和報告義務”(第二十八條)，該條調(diào)整了《征求意見稿》中“100萬”的閾值，減輕了企業(yè)的合規(guī)負擔。

3.2 完善重要數(shù)據(jù)安全制度

《數(shù)據(jù)安全法》對數(shù)據(jù)安全保護的要求比較零散，尚未對重要數(shù)據(jù)提出一整套保護要求，《網(wǎng)數(shù)條例》完善重要數(shù)據(jù)安全制度，將“重要數(shù)據(jù)”定義為“特定領(lǐng)域、特定群體、特定區(qū)域或者達到一定精度和規(guī)模，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)”，同時對重要數(shù)據(jù)處理者的管理義務提出明確的要求，具體而言：

重要數(shù)據(jù)識別申報義務(第二十九條)。《網(wǎng)數(shù)條例》刪除了《征求意見稿》中對“重要數(shù)據(jù)”的列舉說明，重申《數(shù)安法》第二十一條有關(guān)重要數(shù)據(jù)保護的相關(guān)機構(gòu)職能規(guī)定，指出由國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄。網(wǎng)絡數(shù)據(jù)處理者應當按照國家有關(guān)規(guī)定識別、申報重要數(shù)據(jù)，若相關(guān)主管部門已頒布重要數(shù)據(jù)識別指南，則需要對現(xiàn)有重要數(shù)據(jù)清單作出調(diào)整;若仍在制定階段，作為數(shù)據(jù)處理者可根據(jù)核心業(yè)務涉及的數(shù)據(jù)類型進行內(nèi)部初步評估，判斷企業(yè)是否可能掌握重要數(shù)據(jù)，評估哪類數(shù)據(jù)構(gòu)成重要數(shù)據(jù)可能性較大，以明確后續(xù)業(yè)務或數(shù)據(jù)范圍調(diào)整。

重要數(shù)據(jù)安全保護義務(第三十條)。建立網(wǎng)絡數(shù)據(jù)安全負責人和網(wǎng)絡數(shù)據(jù)安全管理機構(gòu)：(1)制定實施網(wǎng)絡數(shù)據(jù)安全管理制度、操作規(guī)程和網(wǎng)絡數(shù)據(jù)安全事件應急預案;(2)定期組織開展網(wǎng)絡數(shù)據(jù)安全風險監(jiān)測、風險評估、應急演練、宣傳教育培訓等活動，及時處置網(wǎng)絡數(shù)據(jù)安全風險和事件;(3)受理并處理網(wǎng)絡數(shù)據(jù)安全投訴、舉報。第三十條第二款和第三款強調(diào)網(wǎng)絡數(shù)據(jù)安全負責人應當具備專業(yè)知識和相關(guān)管理工作經(jīng)歷，由管理層成員擔任。特殊種類、規(guī)模的重要數(shù)據(jù)的網(wǎng)絡數(shù)據(jù)處理者的安全負責人和關(guān)鍵崗位的人員則與《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》第十四條規(guī)定相一致，應當進行安全背景審查，可申請公安機關(guān)、國家安全機關(guān)協(xié)助。

風險評估義務(第三十一條、第三十三條)。《網(wǎng)數(shù)條例》細化了《數(shù)安法》關(guān)于重要數(shù)據(jù)處理者開展風險評估的情形和風險評估報告內(nèi)容要求，規(guī)定了重要數(shù)據(jù)處理者在“提供、委托、共同處理重要數(shù)據(jù)”時應進行風險評估，以及應“每年度對網(wǎng)絡數(shù)據(jù)處理活動開展風險評估”，并報送有關(guān)部門。據(jù)此，重要數(shù)據(jù)處理者應制定針對重要數(shù)據(jù)的定期風險評估及報告制度，結(jié)合重要數(shù)據(jù)所處業(yè)務特性、應用場景及流轉(zhuǎn)路徑，定期開展風險評估工作，評估工作應涉及處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動的情況，面臨的數(shù)據(jù)安全風險及其應對措施等。

3.3 優(yōu)化網(wǎng)絡數(shù)據(jù)跨境安全管理規(guī)定

《網(wǎng)數(shù)條例》在總結(jié)《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》等規(guī)定實施經(jīng)驗基礎(chǔ)上，進一步優(yōu)化數(shù)據(jù)跨境流動機制，第三十五條和三十六條明確了網(wǎng)絡數(shù)據(jù)處理者可以向境外提供個人信息的條件，并規(guī)定可以按照締結(jié)或者參加的國際條約、協(xié)定向境外提供個人信息。

第三十七條規(guī)定未被相關(guān)地區(qū)、部門告知或者公開發(fā)布為重要數(shù)據(jù)的，不需要將其作為重要數(shù)據(jù)申報數(shù)據(jù)出境安全評估。第三十八條明確網(wǎng)絡數(shù)據(jù)處理者通過數(shù)據(jù)出境安全評估后向境外提供個人信息和重要數(shù)據(jù)的，不得超出評估時明確的數(shù)據(jù)出境目的、方式、范圍和種類、規(guī)模等。

網(wǎng)絡數(shù)據(jù)處理者應當針對可能存在數(shù)據(jù)跨境傳輸?shù)膱鼍埃M行梳理和評估，篩選出受中國法規(guī)制的數(shù)據(jù)跨境傳輸場景;及時跟進數(shù)據(jù)出境相關(guān)法律法規(guī)的立法進展，并根據(jù)現(xiàn)行法要求建立數(shù)據(jù)跨境傳輸管理機制，包括簽署與接收方的數(shù)據(jù)傳輸協(xié)議，明示跨境情況并保障個人信息主體權(quán)利、開展安全評估、留存記錄等。

4.壓實網(wǎng)絡平臺服務提供者主體責任

《網(wǎng)數(shù)條例》通過專章對網(wǎng)絡平臺服務提供者進行規(guī)制，雖然未對“網(wǎng)絡平臺服務提供者”作出定義，但在附則中列出了“大型網(wǎng)絡平臺”的定義，“注冊用戶5000萬以上或者月活躍用戶1000萬以上，業(yè)務類型復雜，網(wǎng)絡數(shù)據(jù)處理活動對國家安全、經(jīng)濟運行、國計民生等具有重要影響的網(wǎng)絡平臺?！?/span>

《網(wǎng)數(shù)條例》第四十和四十一條規(guī)定了網(wǎng)絡平臺服務提供者、第三方產(chǎn)品和服務提供者等主體的網(wǎng)絡數(shù)據(jù)安全保護要求，并要求提供應用程序分發(fā)服務的網(wǎng)絡平臺服務提供者建立應用程序核驗規(guī)則并開展網(wǎng)絡數(shù)據(jù)安全相關(guān)核驗?？傮w而言，較之于《征求意見稿》施加的合規(guī)義務而言，進行了一定程度的放寬和簡化。

第四十二條針對當前個性化推薦服務關(guān)閉難、收集個人信息類型多、個人精準畫像數(shù)據(jù)濫用等問題，明確網(wǎng)絡平臺服務提供者應當設(shè)置易于理解、便于訪問和操作的個性化推薦關(guān)閉選項，為用戶提供拒絕接收推送信息、刪除針對其個人特征的用戶標簽等功能。

《網(wǎng)數(shù)條例》針對“大型網(wǎng)絡平臺服務提供者”進行進一步規(guī)范管理，要求其每年度發(fā)布個人信息保護社會責任報告(第四十四條)、健全相關(guān)技術(shù)和管理措施以防范網(wǎng)絡數(shù)據(jù)跨境安全風險(第四十五條)，以及明確不得利用網(wǎng)絡數(shù)據(jù)、算法、平臺規(guī)則等從事相關(guān)活動的義務(第四十六條)。

5.結(jié)語

《網(wǎng)數(shù)條例》作為《網(wǎng)安法》《數(shù)安法》及《個保法》的重要補充，細化了上述法律中的具體要求，同時也對網(wǎng)絡數(shù)據(jù)安全管理領(lǐng)域的前瞻性問題給出了回應?！毒W(wǎng)數(shù)條例》相較于《征求意見稿》而言做了簡化與調(diào)整，展示了在確保數(shù)據(jù)安全底線和紅線的同時，立法者為統(tǒng)籌發(fā)展與安全，促進產(chǎn)業(yè)發(fā)展減輕合規(guī)負擔的努力。漸行漸實，相信《網(wǎng)數(shù)條例》的出臺及后續(xù)的有效實施，會帶來企業(yè)合規(guī)意識和合規(guī)水平的不斷提升，為數(shù)字經(jīng)濟的發(fā)展創(chuàng)造一個更加開放、包容的生態(tài)環(huán)境。

作者簡介：

孫鵬程 大成中國區(qū)數(shù)字業(yè)務中心副秘書長，數(shù)據(jù)安全共同體計劃專家

徐安妮 北京大成(寧波)律師事務所

文章來源：數(shù)據(jù)安全共同體計劃