总第127期 《网络数据安全管理条例》要点解读与数据合规指引
编者按
近日《网络数据安全管理条例》由国务院发布,将自2025年1月1日起施行。这标志着数据安全管理领域迎来首部行政法规,填补了该领域的法规空白。该条例共九章64条,以“网络数据处理”为核心,覆盖数据安全保障、个人信息保护、重要数据安全、数据跨境管理、网络平台服务及行政机关职责划分等多个方面。本期专题将对条例要点内容进行解读,并结合实务场景为企业数据合规提供指引参考。
目录
《条例》深度解析
一、出台背景
《数安条例》是在2017年施行的《中华人民共和国网络安全法》(以下简称“网安法”)以及2021年先后施行的《中华人民共和国数据安全法》(以下简称“数安法”)和《中华人民共和国个人信息保护法》(以下简称“个保法”)(三者合称“三大基本法”)基础上制定的。这三部法律共同构建了我国网络信息安全保护领域的基础性法律框架。近年来,一系列相关条例、地方性法规、部门规章也相继出台,如《网络安全审查办法》、《汽车数据安全管理若干规定(试行)》、《数据出境安全评估办法》等。《数安条例》的出台为三大基本法的具体实施提供了更为详细的规定和指导。
二、适用范围和一般义务
(一) 适用范围
在地理区域方面,《数安条例》第2条将三大基本法中关于法域适用的相关规定进行整合,既包括传统的域内适用,又包括域外适用。其中第2条第3款与第54条相呼应,但两者各有侧重:前者强调对境外有害处理活动的责任追究,而后者则明确在此项工作中各行政机构的分工协助,并结合《个保法》第42条规定,强调防范和应对措施。
在客体和主体方面,《数安条例》将规范对象限定为“网络”数据和“网络”数据处理活动,主体客体限定为“网络”数据处理者。相比之下,其上位法《数安法》的适用范围扩展至所有“数据”。具体来说,“网络数据”的定义相较于“数据”有两个方面的限定:(1)将数据类型限定为“电子”,而排除“非电子”类数据;(2)将数据处理和产生的途径限定在“通过网络”这个范围,而非所有其他线下渠道。
这样的限定虽然理论上缩小了《数安条例》的适用范围,但与当前数字时代的数据安全管理工作的重点相契合,体现了数据安全管理制度与安全风险的更精准匹配。实际上,“电子”和“网络”涵盖的范围非常广。在当今时代,电子化、网络化、智能化已经逐渐主导我们社会,深刻改变着我们的生产方式、生活方式和社会治理方式。随着信息技术和人们生产生活的交汇融合,不以“电子”形式记录的信息在实践中已经少之又少。其次,《数安条例》中的“网络”并非仅指互联网,而是涵盖了更广泛的概念,包括其他任何形式的网络。这意味着,无论是在公共网络还是私有网络,只要涉及到数据的处理和安全问题,都会被纳入《数安条例》的适用范围。从风险角度来看,电子化的联网数据相对于在线下以物理形式记录的数据面临着更高的泄露、篡改、毁损的可能性。因此,《数安条例》将安全管理制度聚焦在“网络数据”的做法正是顺应数字时代的新特点,以便更好地迎接数字时代的新挑战。
(二) 一般义务
《数安条例》第8至11条规定了网络数据处理者通用的一般义务。具体解读如下:
1. 第8条第1款重申了三大基本法对非法利用、取得、提供网络数据的禁止性规定,第2款则将为该类活动提供帮助也列入禁止范围,为近年来因电信诈骗而导致频发的帮助信息网络犯罪活动提供了行政法层面的补充规定。
2. 第9条规定了数据安全保护责任,其中详细列出“加密、备份、访问控制、安全认证”等技术措施,并强调网络数据处理者对所处理网络数据的安全应承担“主体责任”。
3. 第10条规定了提供网络产品和服务的安全义务,明确了在发现网络产品、服务存在安全缺陷、漏洞时应立即采取补救措施,并规定了在涉及危害国家安全、公共利益时的24小时内报告义务(这与《网络产品安全漏洞管理规定》中关于网络产品安全漏洞报告时限保持一致)。
4. 第11条在《数安法》第23条和第29条的基础上,进一步细化了网络数据处理者在数据安全事件应急响应中的具体责任,包括通知利害关系人的义务(包括通知的具体方式)和涉嫌违法犯罪线索的报案责任。
三、高风险的数据类型
数据分类分级是数据安全管理的基础性工作。只有明确哪些数据敏感、面临的风险高,才能合理分配资源,确保数据得到更有效的保护。《数安条例》对于如下几类高风险的数据类型提出了更严格的安全保护要求:个人信息、重要数据、政务数据。
(一)个人信息
《数安条例》第21条事实上是对《个保法》第7条和第17条关于个人信息处理的公开透明原则的进一步细化,以适应网络环境的特殊性。该条款要求个人信息处理规则(在实践中主要体现为网站或APP的隐私政策或个人信息保护协议)不仅要公开展示,而且要置于醒目位置,并且内容需要明确具体、清晰易懂。特别值得注意的是,本条还要求为处理不满十四周岁未成年人个人信息时制定专门的个人信息处理规则。
《数安条例》第22条是对《个保法》中关于基于“同意”这一合法性基础收集个人信息相关要求的细化,明确禁止如下行为:超范围收集;误导、欺诈、胁迫等手段取得同意;频繁征求同意。此外,在第62条(七)明确了“单独同意”的定义。
《数安条例》第23条明确了处理者在个人信息主体行使《个保法》第四章项下的各项权利时所对应的义务,即及时受理个人请求,并提供便捷的方法和途径来支持个人行使权利,同时要求不得设置不合理条件来限制个人的合理请求。
《数安条例》第24条主要解决特定情况下履行个人信息保护义务的一些难点问题,为了便于理解,以下通过案例进行解读:
● 自动化采集技术采集到非必要个人信息:某社交媒体平台使用自动化工具来分析用户数据,以提供个性化内容。在这个过程中,可能会无意中收集到用户的敏感个人信息,如健康状况。根据本条款,该平台需要删除或匿名化这些非必要的个人信息。
● 未依法取得个人同意的个人信息处理:某在线购物网站在用户不知情的情况下,收集了用户的浏览历史和购买习惯。如果用户没有明确同意这种数据的收集,根据本条款,网站需要删除或匿名化这些信息。
● 个人注销账号后的信息处理:当某个用户决定注销其在某服务平台的账号时,如果该平台存储了用户的个人信息,根据本条款,平台需要在用户注销账号后删除或匿名化其个人信息。
● 法律、行政法规规定的保存期限未届满时的处理:一家银行根据法律规定需要保存交易记录一定年限。如果这些记录中包含个人信息,且保存期限未满,但用户要求删除其信息,根据本条款,银行可以继续保存这些信息,但必须停止除存储和采取必要安全保护措施之外的处理。
● 技术上难以删除或匿名化处理个人信息的情况:在分布式数据库或区块链技术使用过程中,个人信息可能被广泛分布且难以彻底删除。根据本条款,处理者应停止除存储和必要安全保护之外的处理活动。
《数安条例》第25条是对《个保法》第45条项下“可携带权”的扩展和细化,在内容方面与欧盟《通用数据保护条例》(GDPR)的第20条可携带权(Right to Data Portability)基本一致。相对于我国的规定,GDPR增加内容是:(1)要求转移数据需是结构化的、通用的和机器可读的格式,(2)可携带权不适用于为公共利益或行使法定权利所进行的处理活动,(3)可携带权不影响遗忘权的适用。
《数安条例》第28条首次将1000万人这个个人信息的数量级与重要数据联系在一起,即处理1000万人以上个人信息的网络数据处理者应当比照履行处理重要数据的网络数据处理者的义务(除了风险评估以外)。在此之前,其他法规中对个人信息数量也有类似处理,总结如下表格。
| 个信类型 | 个信数量 | 限制条件 | 法规 | 发布时间 |
| 敏感个信 | 1万 | 年累计计算 | 《数据出境安全评估办法》 | 2022年7月 |
| 《促进和规范数据跨境流动规定》 | 2024年3月 | |||
| 一般个信 | 10万 | 汽车领域 | 《汽车数据安全管理若干规定(试行)》 | 2021年8月 |
| 100万 | 掌握,网络平台运营者 | 《网络安全审查办法》 | 2021年12月 | |
| 100万 | 年累计 | 《数据出境安全评估办法》 《促进和规范数据跨境流动规定》 |
2022年7月 2024年3月 |
|
| 1000万 | / | 《网络数据安全管理条例》 | 2024年9月 |
(二)重要数据
《数安条例》第12条规定了处理者在提供、委托处理个人信息和重要数据活动中的义务。这些义务在《个保法》第21条和第56条中已有所体现(《个保法》第21条仅提及“委托”,未涉及“提供”)。《数安条例》第12条将处理个人信息所对应的相关义务适用于处理重要数据的情况下,以保持法律适用的一致性。
《数安条例》第30条在《数安法》23条的基础上详细规定了网络数据安全管理机构的职责,包括制定管理制度、操作规程、应急预案等。该条款还要求网络数据安全负责人具备网络数据安全专业知识和相关管理工作经历。此外,对于“掌握有关主管部门规定的特定种类、规模的重要数据”的处理者,其数据安全负责人和关键岗位人员需要进行安全背景审查并加强培训。
《数安条例》第31条和第33条均规定了风险评估的具体要求。虽然都涉及风险评估,但两者存在区别:第31条指的是高风险处理活动(提供、委托处理、共同处理)下的风险评估,更侧重场景特殊性(“高风险活动评估”),类似《个保法》第55条的个人信息保护影响评估;第33条是指的是年度定期评估,更侧重常规性(“定期评估”),类似《个保法》第54条项下的个人信息合规审计。两个评估的具体内容区别详见如下。
1. 高风险活动评估。第31条所要求的评估要点严格围绕着“提供、委托处理、共同处理”这些处理活动的相关风险而设计。数据出境属于上述处理活动在跨境传输场景中的一个具体体现,因此第31条的“高风险活动评估”与数据出境风险自评估在实际内容方面一脉相承。这一点可以从第31条与《数据出境安全评估办法》第5条的评估要点逐条对比中明显体现:
| 要点 | 高风险活动评估 | 数据出境风险自评估 |
| 三性审查 | 提供、委托处理、共同处理网络数据,以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要。 | 数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; |
| 风险识别 | 提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险,以及对国家安全、公共利益或者个人、组织合法权益带来的风险; | 出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; |
| 接收方审查 | 网络数据接收方的诚信、守法等情况 | 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全 |
| 合同情况 | 与网络数据接收方订立或者拟订立的相关合同中关于网络数据安全的要求能否有效约束网络数据接收方履行网络数据安全保护义务 | 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务 |
| 保护措施 | 采取或者拟采取的技术和管理措施等能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险 | 数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等 |
2. 定期评估。第33条明确了重要数据处理者在进行定期风险评估时需要包括的具体内容,如:网络数据处理者的基本信息;处理重要数据的目的、种类、数量、方式、范围、存储期限、存储地点等;网络数据安全管理制度及实施情况等。此外,该条款还提出了处理重要数据的大型网络平台服务提供者需要额外说明关键业务和供应链网络数据安全等情况(大型网络平台服务提供者的其他义务详见下文第五章)。
《数安条例》第32条与《个保法》22条相呼应,两者均要求处理者在发生重大公司股权结构变化情况下(合并、分立、解散、破产等)的利害关系人告知义务。其区别是:《数安条例》要求告知省级以上有关主管部门数据处置方案、接收方的名称或者姓名和联系方式等(还包括采取安全保障措施要求);《个保法》要求告知个人信息主体接收方的名称或者姓名和联系方式等。
(三)政务数据
《数安条例》第15至17条从第三方服务者的角度规定了其为公共类信息系统提供服务时的特殊义务,旨在加强对政务数据或准政务数据的保护。以下表格从第三方服务者提供服务的形式、接受服务主体、监管要求三个方面将上述条款进行分解对比:
| 条款 | 服务形式 | 接受服务主体 | 监管要求 |
| 第15条 | 受托建设运维电子政务系统 处理政务数据 |
国家机关 | 严格审批 明确权限 明确责任 监督义务 |
| 第17条 | 以自有信息系统提供服务 | 国家机关 | |
| 第16条 | 提供服务 | 国家机关 关键信息基础设施运营者 |
履行义务 确保服务质量 禁止接触数据 禁止关联分析 |
| 参与建设运维公共基础设施、公共服务系统 | 政府或公益类企业 |
通过以上表格可见,在第15条和17条中,无论第三方服务者完全受托还是以自有信息系统提供服务,只要服务主体是国家机关,其将面临更严格的网络数据安全保护监管要求,说明其与政务数据的接触面更大,因而风险更高。而第16条所对应的服务主体并非完全是国家机关,因此涉及数据还包括准政务数据,而且服务形式相对松散,所以监管要求较低。
四、高风险的处理活动
(一)数据跨境流动
根据数据的全生命周期,数据的处理活动可以分为收集、存储、使用、加工、传输、提供、公开、删除等。其中向第三方提供属于高风险活动,因为数据脱离了原处理者的控制(这与第12条为提供、委托处理活动规定特定保护义务背后的逻辑类似)。而数据的跨境提供则面临更高风险,因为数据不仅脱离了原处理者,而且脱离了原法域的控制,导致数据保护的法律环境发生变化,可能面临不同的法律体系、安全标准和隐私保护水平。这也是近年来各国政府不断加强对数据跨境流动监管力度的原因。
《数安条例》第五章“网络数据跨境安全管理”基本重述了三大基本法、《数据出境安全评估办法》、《促进和规范数据跨境流动规定》等现行法规中关于数据出境的监管内容。唯一新增的内容是《数安条例》第39条,即明确了国家有权采取技术措施保障网络数据跨境流动的安全,并禁止直接或间接规避该类措施的行为。这样一来,国家可以通过技术和法律双重手段,来增强数据跨境安全管理的有效性。
(二)自动化工具和生成式人工智能
近年来,自动化工具和生成式人工智能等创新信息技术的应用越来越广泛。但因其涉及大规模数据处理、缺乏透明度、算法偏见等问题,会给网络数据安全造成相对高的威胁,属于高风险的处理活动。《数安条例》第18条和第19条对此类处理活动提出了严格的监管要求。
《数安条例》第18条规定要求网络数据处理者在使用自动化工具(如网络爬虫技术、扫描器等)之前应当评估这些工具对网络服务可能带来的影响,这包括对网络性能、服务稳定性、用户隐私等方面的潜在影响,并明确禁止使用自动化工具非法侵入他人网络和干扰网络服务的正常运行。
《数安条例》第19条要求网络数据处理者在提供生成式人工智能服务时在两个方面加强安全管理:(1)对训练数据的安全管理:这包括训练数据的来源、质量、存储等方面的安全管理;(2)对训练数据处理活动的安全管理:涉及数据处理过程中的各个环节,如数据清洗、标注、模型训练等。同时,本条款还要求采取有效措施处置网络数据安全风险。这些规定与《生成式人工智能服务管理暂行办法》和相关标准《生成式人工智能服务安全基本要求》中的内容相呼应。
五、高风险的处理主体
(一)网络平台服务提供者
在三大基本法中,高风险处理者这个角色一直由关键信息基础设施运营者来担任,然而《数安条例》对此鲜有着墨,部分原因是2021年的《关键信息基础设施安全保护条例》对此已有详述。而网络平台服务提供者因其在数据流动中的关键枢纽地位,收集和存储了大量用户数据,对平台上的各个交易主体具有强大控制力,如果其安全措施不足或者管理不善,则会造成网络数据泄露或滥用的巨大风险。因此,网络平台服务提供者在高风险处理者这个地位上与关键信息基础设施运营者类似。
“网络平台服务提供者”这个概念是由《数安条例》首次提出,似乎与《网络安全审查办法》中的“网络平台运营者”和《电子商务法》中的“电子商务平台经营者”概念相似。虽然这些概念在理论上可能存在一定差异,但建议企业在合规实践中参照各自对应的法律义务遵守。
《数安条例》第40条与第41条均要求平台不仅要作为商业实体运营,还要对其平台上的活动承担监管责任。这两条的区别是:前者采用法律手段,后者采用技术手段;前者是事后追责,后者是事先预防。
1. 第40条规定了网络平台服务提供者和智能终端设备生产者对第三方产品和服务的数据安全管理责任,以及相关责任承担机制。具体而言,前者需要通过协议约束第三方,并履行督促义务,否则承担连带责任。这种制度设计借鉴了《电子商务法》中电子商务平台经营者与平台内经营者之间的责任关系,促进了平台与入驻商家的协同管理。同时,立法者也意识到这种安排可能会给平台企业带来较大财务压力,因此首次提出了鼓励保险公司开发网络数据损害赔偿责任险种,鼓励平台企业投保。借助这种有效的风险转移工具,企业既可以获得保障,增强信心,从而促进数字经济的健康发展,又可以在进行数据处理和管理时更加注重合规性。
2. 《数安条例》第41条要求在应用程序分发过程中进行网络数据安全相关核验并采取相应措施。该规定已在多次监管活动中得到实施,例如,2014年的《关于在打击治理移动互联网恶意程序专项行动中做好应用商店安全检查工作的通知》强调了对应用商店的审核义务,2020年的《关于开展纵深推进App侵害用户权益专项整治行动的通知》明确指出将重点整治应用分发平台上未明示App运行所需权限列表及用途、收集使用个人信息的内容等问题。
《数安条例》第42条规定了通过自动化决策方式进行信息推送时的责任与义务。该条款在内容上与《个保法》第24条基本保持一致,但《数安条例》第42条将适用主体限制在网络平台服务提供者。对此,笔者认为值得商榷,原因如下:(1)第42条的内容表述体现了其主要围绕个人信息处理场景进行讨论,如“向个人推送”,“个人特征”等,因此其也应适用于个人信息处理者;(2)为确保自动化决策的透明度和结果公平、公正,不仅网络平台服务提供者,非网络平台服务提供者,也应当履行上述责任与义务。
《数安条例》第44条首次引入“大型网络平台服务提供者”这一概念并明确其应承担发布个人信息保护社会责任报告的义务。第62条给出该概念的明确定义。这与《个保法》第58条相呼应。为明确两个规定之间关系,笔者将上述两个条款从概念到内容对比如下:
| 对比项 | 大型网络平台服务提供者 | 提供重要互联网平台服务、用户数量巨大、 业务类型复杂的个人信息处理者 |
| 概念 | 注册用户5000万以上或者月活跃用户1000万以上 | 用户数量巨大 |
| 业务类型复杂 | 业务类型复杂 | |
| 网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台 | 提供重要互联网平台服务 | |
| 义务 | 每年度发布个人信息保护社会责任报告 | 定期发布个人信息保护社会责任报告,接受社会监督 |
| 报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等 | 按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督 | |
| 通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务,督促第三方产品和服务提供者加强网络数据安全管理(《数安条例》第40条) | 遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务 | |
| / | 对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务 |
虽然上述两个概念可能在理论上具有一定差异,但建议企业在合规实践中参照各自对应的法律义务遵守。
《数安条例》第46条规定了大型网络平台服务提供者在使用网络数据、算法和平台规则时的禁止性行为。其内容与我国《反不正当竞争法》、《消费者权益保护法》以及欧盟的《数字市场法》(Digital Markets Act)都存在关联:
● 第(1)项,禁止误导性做法:这与《反不正当竞争法》中禁止商业欺诈行为的精神一致。两者都旨在维护公平竞争的市场环境。DMA也要求平台的排名和展示机制应当公平透明。
● 第(2)项,数据访问权:这与《消费者权益保护法》中关于消费者知情权和选择权的规定相呼应。而DMA要求守门人(Gatekeeper)平台允许商业用户访问他们在平台上生成的数据。
● 第(3)项,禁止差别待遇:这呼应了《反不正当竞争法》中关于禁止差别待遇的规定,尤其是在大型平台可能滥用市场支配地位的情况下。也体现了《消费者权益保护法》中保护消费者公平交易权的精神。同样,DMA禁止守门人对同类服务或产品实施差别待遇。
该条款可以被看作是在数字经济时代对现有法律框架的补充和细化,也显示了中国在数字市场监管方面与国际趋势的某些共同点。它特别针对大型网络平台,反映了监管机构对平台经济中可能出现的新型不公平竞争行为的关注,旨在通过法律规范来调整和约束平台的权力,保护用户权益,维护公平竞争的市场环境。
(二)面向社会提供产品、服务的网络数据处理者
“面向社会提供产品、服务的网络数据处理者”虽然不具备“网络平台服务提供者”所具有的平台地位,但其公众属性仍然会对网络数据安全构成威胁。为此,《数安条例》第20条要求其公布投诉、举报方式等信息,并及时受理和处理相关投诉、举报,强调了社会监督在网络数据安全管理中的重要性。
六、监督管理和法律责任
(一)监督管理
《数安条例》第七章除了重述《数安法》第6条中规定的各部门具体职责以外,主要明确了国家网信部门的统筹协调地位和各行业、领域的有关主管部门的具体监管职责。笔者将上述部门在第48至52条项下所对应的主要职责、具体措施,以及总结评价以表格形式体现如下。
| 条款 | 主要职责 | 具体措施 | 笔者总结 |
| 国家网信部门 | |||
| 第49条 | 统筹协调各有关主管部门 汇总、共享、发布网络数据安全风险信息 提高预警和应急处置能力 |
加强信息共享和监测预警 及时发布相关网络数据安全事件风险信息 |
国家层面的总体协调角色 及时有效的信息发布 |
| 各行业、领域的有关主管部门 | |||
| 第48条 | 承担本行业、领域的网络数据安全监督管理职责 明确数据安全保护工作机构 组织实施应急预案 定期开展风险评估 |
监督网络数据处理者的安全保护义务履行 指导、督促整改风险隐患 |
专注于行业、领域的特定风险 确保应急预案及时有效 |
| 第50、51条 | 对网络数据安全进行监督检查 发现重大风险时采取措施 |
要求网络数据处理者说明监督检查事项 查阅、复制相关文件 检查数据安全措施及设备 可通过法律程序暂停相关服务或修改平台规则以消除风险 |
赋予充分的监督和检查权限 |
| 第52条 | 加强部门间协同配合 合理确定检查频次 避免重复检查和评估 |
衔接个人信息保护合规审计、重要数据评估 互相采信网络安全等级测评结果 |
提高监管效率 |
综上,国家网信部门起到统筹和协调的作用,负责国家层面的风险监控与信息发布,确保跨部门协作,而各行业、领域主管部门负责日常监督,强调定期评估和紧急预案的制定与实施,确保行业内数据安全,此外还需遵循公正、保密等操作原则。这一整套监管机制明确了不同主管部门的分工和责任,以确保数据安全得到有效管理与保护。
(二)法律责任
《数安条例》第八章规定了违反相关条款的处罚措施。笔者将上述部门在第55至57条规定的所违反条款及其内容、所对应的行政措施和罚款范围以表格形式体现如下。
| 条款 | 所违反的条款及其内容 | 行政措施 | 罚款范围 |
| 第55条 | 第12条 - 未履行在提供、委托处理个人信息和重要数据时义务 第16条 - 未履行为国家机关、关键信息基础设施运营者等提供服务的特殊义务 第17条 - 未履行为国家机关提供服务的信息系统的安全管理要求 第18条 - 未遵守使用自动化工具访问、收集网络数据的限制 第19条 - 未履行生成式人工智能服务提供者的数据安全管理义务 第20条 - 未按要求建立投诉举报机制 第22条 - 违反基于个人同意处理个人信息时应遵守的具体规则 第40条第1、2款 - 平台未遵守对第三方产品和服务的数据安全管理责任 第41条 - 应用程序分发平台未遵守安全核验义务及处置要求 第42条 - 网络平台未遵守在使用自动化决策进行信息推送时的用户选择权保护要求 |
情节一般:责令改正,给予警告,没收违法所得 | 无 |
| 情节严重:暂停业务、停业整顿或吊销许可证、营业执照 | 100万元以下; 直接责任人员,1万至10万元 |
||
| 第57条 | 第29条第2款 - 未按规定识别、申报重要数据或落实相关安全保护责任 第30条第2、3款 - 违反重要数据处理者安全负责人相关要求 第31条 - 违反重要数据处理者在特定情况下进行风险评估的义务 第32条 - 违反重要数据处理者在特殊情况下的数据安全保障义务和报告义务 |
情节一般:责令改正并给予警告 | 5万至50万元; 直接责任人员,1万至10万元 |
| 情节严重:暂停业务、停业整顿或吊销许可证、营业执照 | 50万至200万元; 直接责任人员,5万至20万元 |
||
| 第56条 | 第13条 - 未履行进行国家安全审查 | 情节一般:责令改正并给予警告 | 10万到100万元; 直接责任人员,1万至10万元 |
| 情节严重:暂停业务、停业整顿或吊销许可证、营业执照 | 100万至1000万元; 直接责任人员,10万至100万元 |
通过以上表格对比可以看出该条例在法律责任方面采取了分级处罚的策略。具体来说:第55条主要针对违反一般网络数据义务的行为;第57条聚焦于违反与重要数据相关的网络数据义务;第56条则专门处理违反涉及国家安全的网络数据义务。这种处罚机制体现了“过罚相当”的原则,即随着违法行为危害程度的增加,相应的处罚力度也逐步加重,反映了监管手段与风险程度相匹配的监管逻辑。
企业数据合规义务变化要点
● 《网络数据安全管理条例》生效后,企业的合规义务主要增加了如下几类:
1. 多人处理个人信息或重要数据的,应签订协议
委托他人处理、向他人提供、与他人共同处理个人信息和重要数据的,各方需要通过协议明确处理数据的目的、方式、范围及安全保护义务,委托和对外提供的,还需将处理情况保存至少3年。
2. 国家安全审查
仅针对影响或可能影响国家安全的情况,如何认定“影响国家安全”,《数安条例》未作说明,可参考《网络安全审查办法》第十条的国家安全风险评估因素。根据过往项目经验,最终裁量权由相关部门掌握,企业在日常经营中可先行自我评估,疑似影响国家安全的,建议向网信部门进一步征求意见。另一方面,数据处理者影响或可能影响国家安全的,根据《网络数据安全管理条例》和《网络安全审查办法》,需要同时进行网络安全审查办法和国家安全审查。
3. 电子政务外包服务商未经许可不得擅自获取、处理委托方数据
近年来各大行政机关、事业单位及国央企纷纷探索数字化转型,一时间,电子政务外包服务市场热闹非凡。但部分服务方不单纯只提供系统、软件、算法、功能,还收集了大量委托方数据(包括政务数据、公共数据等),更有甚者将该等数据进行二次加工或尝试进行数据资产入表,造成数据管理失调。针对该等现象,已有相关规范陆续出台,《网络数据安全管理条例》则明确规定,除经委托方同意,受托方不得擅自处理其通过技术手段可能获取的数据。
4. 正式全面部署《隐私政策》“双清单”
《第三方信息共享清单》《个人信息收集清单》第一次正式体现在行政法规中,意味着两份清单不再是特定企业的特别义务,而是所有应当制定《隐私政策》的网络产品中都应当同步呈现。
5. 重要数据处理者应履行特定合规义务
《网络数据安全管理条例》规定:重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。相较于一般数据的处理者,重要数据处理者还需履行如下额外的特定义务:(1)设立网络数据安全负责人及管理机构,对负责人及关键岗位人员进行安全背景审查;(2)重要数据提供、委托处理、共同处理的事前风险评估,重点评估数据对象、传输风险、接收方资质、协议安排、保障手段等方面;(3)企业发生合并、分立、解散、破产等重大事件的,应向省级主管部门报告重要数据处置方案;(4)年度网络数据处理活动风险评估及向省级主管部门报送,评估内容主要包括:企业基本情况、重要数据处理、安全制度落实、风险事件处置、对外提供及数据出境等,处理者属于大型网络平台服务提供者的,还应在报告中增加关键业务及供应链的网络数据安全情况。
6. 处理1000万人以上个人信息的数据处理者应履行部分重要数据处理者义务
1000万人以上个人信息并不直接落入重要数据的范围,在合规义务上,处理者只需要落实《网络数据安全管理条例》第三十条、第三十三条的重要数据特定义务即可,具体为:明确网络数据安全管理机构和负责人,对负责人及关键岗位人员进行安全背景审查,在公司发生合并、分立、解散、破产等重大事件时,向省级主管部门汇报对个人信息的处置及安全保障机制。
7. 网络平台运营者或预装应用程序的智能终端设备生产商,需对第三方产品/服务致人损害承担法律责任
在APP中嵌入第三方SDK,在手机平板等移动设备中预装应用软件已经是行内通行做法,第三方产品/服务因为合规要求不高、管理不严,出现侵犯用户个人信息等不法行为的情况时有发生。平台运营者是否应当对该等第三方产品/服务承担责任,一直以来都没有具有强制约束力的规范予以明确规定。《网络数据安全管理条例》明确指出,各方不仅要通过平台规则或合同来落实彼此的安全保护义务,还应对第三方产品/服务造成的损失承担相应责任。遗憾的是,本条例并未明确指出具体是何责任,在实操层面仍待进一步明晰。
8. 大型网络平台服务提供者发布年度个人信息保护社会责任报告
《网络数据安全管理条例》第四十四条规定,大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。大型网络平台是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。简单来说,注册用户或月活用户达到本条例规定数量级的,无论自身是否能评估“重要影响”,建议均以大型网络平台服务提供者的要求来约束自身。
● 《网络数据安全管理条例》对企业的数据合规义务“减负”体现在以下几方面:
1. 赴境外上市不因《网络数据安全管理条例》受到额外影响
《网数条例(征求意见稿)》中多处规定了赴港上市和赴国外上市的数据安全义务,例如第十三条要求“赴港上市+影响或可能影响国家安全”的主体和“赴国外上市+处理一百万人以上个人信息”的主体在上市前申报网络安全审查;第三十二条规定赴境外上市主体每年开展数据安全评估并按时上报市级网信部门。在正式稿中,该等规定被悉数删除,不再针对上市安排特定的合规义务。
2. 未增加网络安全审查法定类型
鉴于《网数条例(征求意见稿)》和《网络安全审查办法》对网络安全审查作出不一致的规定,且前者明确规定了赴港上市、赴国外上市的审查要求,相较于后者审查范围更大,导致《网络数据安全管理条例》对网络安全审查的安排一直都是业内及证券市场的关注重点,正式稿最终删除了该等内容,使该事项全部回归至《网络安全审查办法》予以规制,消除了多重规定的混乱情况。
3. 100万人以上个人信息的数据处理者无需履行额外义务
《网数条例(征求意见稿)》多处严格规定了100万人以上个人信息的监管要求,例如需全面落实该条例重要数据的合规义务,将100万人以上个人信息和重要数据划上等号。但《网络数据安全管理条例》最终放弃这种做法,不再设置100万人以上个人信息的特别规定,不仅将人数限制从100万扩充到1000万,而且要求处理1000万人以上个人信息的处理者仅需额外落实重要数据处理者的个别义务,大大减轻了个人信息密集型企业的合规压力。
4. 个人信息删除取消十五个工作日的限制
《网数条例(征求意见稿)》第二十二条要求,在已达到个人信息处理目、存储期限或者终止服务时,处理者应当在15个工作日内删除个人信息或匿名化,如业务复杂难以实现,应当向个人作出合理解释。但是,在实操上,这一要求确实存在落实难度。特别是注册量和月活量较大的企业,往往难以对特定个人信息的服务目的实现情况作到全面的即时性监控,针对单个个人做专门性解释也存在技术上的难度和成本上的影响,企业往往采用批量制删除机制,而这就意味着用户个人信息的删除时间略有不同。《网络数据安全管理条例》最终取消了十五个工作日的限制,也给到了企业继续批量化处理的操作空间。
5. 法律责任大大简化
自征求意见稿发布以来的三年来,我国数据合规立法体系不断完善,不少规范已经针对具体情况设置了明确的法律后果。《网络数据安全管理条例》若再增设法律责任,可能会导致规范冲突和重复的情况,因此《网络数据安全管理条例》对法律责任章节作出大量简化,并明确指出相关事项以《网络安全法》等已成文规范之规定为准。
企业数据合规策略调整指引
《网络数据安全管理条例》的出台将对企业现有的数据合规体系产生深远影响。企业在调整合规策略时,需要针对《数安条例》中的新规定和义务进行适当改动。
.png)
(一)更新数据分类和分级体系
根据《数安条例》第五条,企业需重新审视和更新其数据分类分级标准,以适应新增的“重要数据”定义。企业应开展全面的数据审计,明确哪些数据属于个人信息、重要数据及其他类别,并根据数据的重要性及其潜在风险制定相应的保护措施。企业还应建立动态监测机制,及时更新数据分类信息,以应对法律法规的变化,确保合规性。
(二)强化对爬虫和自动化工具的合规管理
在使用爬虫等自动化采集工具时,企业需制定内部合规政策,明确这些工具的使用条件和限制。依据《数安条例》第十八条,企业应建立评估机制,确保在使用自动化工具时不会非法侵入他人网络或干扰正常服务。建议企业设置专门的审查小组,负责评估自动化数据采集的合规性,确保所有采集活动符合道德和法律标准,并对采集的数据进行合规性审核。
(三)加强对人工智能训练数据的安全管理
《数安条例》第十九条要求提供生成式人工智能服务的企业,必须加强对训练数据的管理。企业需对训练数据的来源、处理过程及使用目的进行全面审查,并制定相应的安全管理措施,确保遵循《数安条例》的安全要求。同时,企业应建立训练数据的审计机制,定期检查数据的合规性和安全性,及时发现和处理潜在风险。
(四)建立算法合规审查机制
针对《数安条例》第四十六条的规定,企业应建立算法使用的合规审查机制。特别是大型网络平台服务者,需对算法处理的数据进行透明化管理,确保算法的使用不损害用户权益。企业可以设立算法伦理委员会,负责对算法的设计、实施和效果进行评估,确保其符合合规标准,并建立用户反馈渠道,及时处理用户的投诉与建议。
(五)完善网络数据安全事件应急预案
根据《数安条例》第十一条,企业需要建立和完善网络数据安全事件的应急预案。在发生数据泄露或其他安全事件时,企业应及时启动预案,立即报告主管部门,并通知相关利益方。企业应定期进行应急演练,以确保员工熟悉应急程序,提高响应效率。此外,企业还应制定事件报告流程,确保信息的及时传递和处理。
(六)定期合规审计与培训
企业应定期进行数据合规审计,确保所有数据处理活动符合《数安条例》的要求。审计内容应包括数据处理流程、数据安全措施、员工培训记录等,确保合规性得到有效落实。同时,企业需开展员工培训,提高员工对新规的认识和理解,确保合规操作的有效执行。培训内容应包括法律法规、合规政策、数据安全管理等,提高员工的整体合规意识。
(七)建立数据接收方监督机制
根据《数安条例》第十二条,企业在与第三方分享数据时,应签署合同并监督对方的合规行为。企业需建立机制,确保对外提供的数据处理者遵循相应的安全保护义务,并定期检查其合规情况。建议企业制定标准合同模板,明确数据处理的目的、方式和责任,确保数据接收方对数据的安全处理和保护。同时,企业应建立监控系统,对数据接收方的数据使用情况进行跟踪和审查,及时发现和解决合规问题。
TO C场景十问十答
本部分围绕TO C场景,结合《数安条例》提出了10个可能在实务中会被普遍适用的条款,以期为各地数据交易所、数据商、网络数据处理者、相关DPO、律师同行,在面对数据产品开发、数据产品上架、数据出境等场景提供参考。
一问:实践中,数据产品的开发利用,涉及数据链条可能比较长,线上线下的数据往往会相结合,如何判断是否每一段数据处理活动均需适用《数安条例》?
答:数据源核查是数据产品合规的难点。实务中,具体数据产品的形成来源多样、复杂。如部分数据处理活动来自线下;再如部分数据处理活动来自境外等等。那么,对于数据源的核查过程中,是否适用《数安条例》,则是不得不面对的首要问题。我们建议:第一,对于网络的理解,建议采取广义的范畴,既包括互联网,也包括局域网,更为合适。第二,不能简单以线上、线下来判断《数安条例》是否适用。需要了解整体数据处理活动,是否涉及不同主体之间共同处理,是否涉及网络数据和线下数据的融合,具体数据集或数据产品的形态进行判断。第三,对于“境内开展数据处理活动”的理解,需要结合具体场景和规定进行谨慎判断。例如,《促进和规范数据跨境流动规定》第四条规定,数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”针对这类特殊规定,其是否需要按照我国数据出境的相关规定进行申报,《数安条例》并未有明确规定,需要结合第二条、第六十二条、第六十三条进行判断,同时结合《促进和规范数据跨境流动规定》第四条进行一并考虑。为此,实务中还需要注意特殊规定。
二问:如何看待主要服务个人用户的场景下,网络数据处理者可能面临同时需要满足重要数据的相关规定?
答:对于主要服务TO C的网络数据处理者,本次《数安条例》第二十八条划定了一个比较清晰的线,处理1000万人以上个人信息的,需要同时遵守《数安条例》中重要数据的处理者的部分规定。我们建议:
第一,1000万以上个人信息不等于重要数据。《数安条例》第二十八条的规定,也引发了《数安条例》是否将1000万人个人信息直接认定为重要数据的争论。我们认为,如果《数安条例》直接认定1000万人个人信息属于重要数据,可以参考其征求意见稿的写法,要求遵守重要数据的全部义务即可。但是,企业仍需关注各地区、行业的重要数据目录中有关重要数据的标准及存在的差异,例如北京自贸区的上述规定、《汽车数据安全管理若干规定(试行)》规定汽车领域10万人个人信息属于重要数据。若企业处理的个人信息符合有关地区、行业公布的认定标准时,应全面履行重要数据处理者的合规义务。第二,重要数据的识别,需要网络数据处理者主动识别。第三,不要采取拆分等方式,规避“1000万人以上的个人信息”的认定。结合我们在数据出境的业务经验,以及《个人信息出境标准合同办法》第四条第三款的规定,“个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。”我们认为,网络数据处理者需要注意不要采取拆分等手段,规避《数安条例》第二十八条的规定。
三问:实务中,《数安条例》对于隐私政策的草拟、审核,有什么新的要求?
答:隐私政策是网络数据处理者对外向监管、用户、竞争对手彰显自己数据合规的基本“门面”,《数安条例》的出台,势必让网络数据处理者对隐私政策的修订,迎来一波新的修订潮。需要注意两点:第一,“双清单”机制写入《数安条例》,成为普遍要求。第二,存储期限无法确定的,应该明确确定的方法,可以暂时豁免不约定具体存储期限。除此以外,还需要关注未来我国网络数据处理者因为个人信息存储未约定或者届满后未删除的执法风险。因为纵观欧盟的GDPR执法,个人信息存储期限届满,未及时删除,已经出现多个高额处罚案例,但是我国暂时还未从公开信息查到因为存储期限届满,未及时删除的执法案例。
四问:对于“单独同意”的做法,一直是实务中的难题。《数安条例》对此有无具体要求?
答:“单独同意”构成《个人信息保护法》作为同意合法性基础的特别规定,已经在数据出境业务中,得到普遍共识。但是在具体落地“单独同意”的合规措施上,却面临执法、司法层面不同的要求,对网络数据处理者的合规效果带来挑战。为了更好地理解该条,笔者进一步查阅了《信息安全技术 个人信息处理中告知和同意的实施指南》9.3.1d)项第2),规定“特定业务功能涉及需单独同意的情形时,可采用单独的交互式界面或纸质页面向个人告知相关信息,涉及多个需要单独同意的情形时,可向个人提供可分项选择同意(如勾选、点亮等)的机制,分项选择同意的选项各自独立互不影响。”由此,也可以看出该《指南》和《数安条例》在单独同意上,均不排斥“一次性针对多项个人信息、多种处理活动的同意”,但是需要注意,不同选项之间应该是彼此独立,不能强制要求用户全部打勾才可以进行“下一步”,否则有“捆绑同意”“一揽子同意”的违规风险。
五问:实务中,网络数据处理者或者数据产品开发的数商,如何看待个人信息可携权的细化要求?
答:《个人信息保护法》第四十五条第三款规定,“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”《数安条例》第二十五条是对该条的进一步细化,也受到社会广泛关注。对于网络数据处理者来说,需要注意有三:第一,并非所有个人信息主体发起的“个人信息转移请求”都是合法合理的请求。这一点和其他个人信息权益,如复制权不同。“个人信息可携权”的限制性条件较多。第二,个人信息可携权的前提,必须是网络数据处理者基于用户同意或者基于合同收集的个人信息。其他合法性基础收集的个人信息,不构成可携权请求的前提。例如,网络数据处理者基于反洗钱义务收集的个人信息;再如网络数据处理者基于防疫职责收集的个人信息等。第三,网络数据处理者在隐私政策中,对于超出合理范围的个人信息可携权的请求事项,可以进行多项列举。除了“转移次数超出合理次数”外,还可以列明其他事由,给与用户合理预期。因为《数安条例》中明确增加了“请求转移个人信息次数等明显超出合理范围的”,可以要求收取必要费用。这里增加了一个“等”字。如“所处理的请求不在合理的限度之内”等等。
六问:实务中,基于网络平台服务提供者为用户构建的用户画像,通过自动化决策方式向个人进行信息推送,《数安条例》针对该行为,有哪些新要求?
答:《数安条例》第四十二条,是对《个人信息保护法》第二十四条的细化。重点是增加了“删除针对其个人特征的用户标签等功能”,以实现“决策的透明度和结果公平、公正”,该要求对于行业存在较大影响。实务中需注意:第一,如果不是针对其个人特征的用户标签,可能基于“识别+关联说”进行判断,该标签并不一定构成个人信息。第二,“技术上难以实现”需要结合具体技术水平和相关标准判断。《个人信息保护法》第四十七条最后一款规定,“法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。”《数安条例》第二十四条规定,“...法律、行政法规规定的保存期限未届满,或者删除、匿名化处理个人信息从技术上难以实现的,网络数据处理者应当停止除存储和采取必要的安全保护措施之外的处理。”从《数安条例》来看,其增加了“匿名化处理”措施。实践中,对于技术上难以实现,可能包括分布式存储系统:常见于云存储、大数据平台;区块链存储;硬盘驱动器 (HDD)等,但是随着技术发展,“难以实现”可能也可以逐步实现,需要结合当时的情况进行判断。第三,不管是删除,还是基于确实无法删除或者匿名化,仅仅采取“存储和采取必要的安全保护措施”,不一定可以实现用户背后的诉求(推送的短视频可能仍然与该标签有类似度),需要加强沟通。例如确实无法删除某类针对个人特征的用户标签,但是相关推送,可能是基于用户其他类似标签,也会让用户陷入仍然在继续使用针对其个人特征的标签(例如存在删除后的效果有适当延迟、其他类似标签有同样效果等合理情形出现),在用户侧的感官度来看,网络数据处理者需要做好“沟通”工作。
七问:针对非法采集的个人信息,《数安条例》第二十四条,是否给予了豁免责任的机制?
答:《数安条例》第二十四条,“因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。...”该条为全新增加条款。前提是使用“自动化采集技术”,而非其他手段。这是其一。其二,如果非法采集后,对外提供给第三方,即使自己删除或者匿名化,也非当然免责。其三,非法采集的个人信息,即使匿名化后,其开发的数据产品,仍然面临风险,需要具体问题具体分析。例如是否侵害第三方商业秘密,收集手段有无违法行为等。
八问:《数安条例》针对对外提供、委托处理和共同处理个人信息,有哪些新的要求?
答:第一,对外提供场景下,增加了监督义务要求。对于对外提供个人信息,增加了对外提供个人信息的网络数据处理者的“监督”义务。对于如何履行监督义务,实践中,往往在数据处理协议中,明确对于个人信息接收方可以进行审计,并定期进行检查;如违约,则接收方应承担相关违约责任,如高额违约金等。
第二,《数安条例》明确“委托处理”“共同处理”的定义,对于实务中认定该数据法律关系,具有重大意义。但是,结合《民法典》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,实务中,数据链条上的不同参与数据主体,可能并非简单的委托处理、共同处理关系,可能还有帮助行为。例如《民法典》第一千一百六十八条、第一千一百六十九条、第一千一百七十条、第一千一百七十一条,即规定了多种不同类型的共同侵权责任,不同的共同侵权类型,承担的民事侵权责任是不同的。为此,一方面,网络数据处理者需要结合不同数据处理的关系,确定各自的义务;另一方面,结合不同侵权案件,数据合规律师也要结合不同侵权主体、侵权行为,结合《民法典》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》确定是否属于侵权行为、是否承担侵权责任等。
第三,实践中,为了更好区分委托处理、共同处理的关系,除了合同约定以外,还需要回到商业实质,不可简单以合同来判断数据法律关系。建议未来监管部门可以出台指引,对实务中复杂数据法律关系的判断,予以进一步明确。
九问:对于个人信息的出境,《数安条例》有哪些新要求和变化?
答:《数安条例》第三十五条,是对《个人信息保护法》第三十八条的细化,同时对网信办出台的相关规定和实务中的做法,予以吸收。《数安条例》第三十五条规定,“符合下列条件之一的,网络数据处理者可以向境外提供个人信息:...(六)为履行法定职责或者法定义务,确需向境外提供个人信息;”该条第六项,“为履行法定职责或者法定义务,确需向境外提供个人信息”,是新增事项,在《促进和规范数据跨境流动规定》第五条中,并未列出。此外,针对“关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。”这一条,基于实务中各自贸区、粤港澳大湾区等也在进行不断调整,考虑涉及具体人数阈值的调整,需要更灵活,不适合在《数安条例》中专门列出。
十问:本次《数安条例》相比征求意见稿,针对大型网络平台的认定、监管要求和具体义务,有无新的变化?
答:大型网络平台一般会处理大量个人信息,针对该类网络数据处理者,是监管重点监管的对象。但是本次《数安条例》出台,应该说,总体上是对大型网络平台的要求相对放松了。值得注意的有三:第一,大型网络平台的定义进行了调整,未来有待进一步细化。对大型网络平台进行了重新定义。第二,减少了对大型网络平台监管干预。第三,针对大型网络平台的义务,《数安条例》主要规定了三条。一个是继续细化了《个人信息保护法》第五十八条的义务要求,如对于个人信息保护社会责任报告的内容进行了细化,特别强调个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况;一个是加强跨境提供网络数据的安全义务;最后则是不得利用网络数据、算法以及平台规则等从事违法活动。如“大数据杀熟”等。
附:《条例要点一览图》
.png)
.png)
.png)
参考文章
- 《网络数据安全管理条例》深度解析:数字化时代的安全坚盾 [王一楠,北京德恒律师事务所]
- 数据合规新方向:《网络数据安全管理条例》重点解读 [张韬、郭子訸,北京德恒律师事务所]
- 《网络数据安全管理条例》重点解读 [吴婧倩、王舒婷,北京市嘉源律师事务所]
- 《网络数据安全管理条例》对TO C场景的影响:十问十答 [王艺,武汉仲裁委员会仲裁员]
- 新规解读——《网络数据安全管理条例》 [史蕾、杨玥祺、江智茹,北京德和衡律师事务所]