上述概念的明确，对于企业在完成相关整改工作过程中，有重要的指导作用。例如在数据分类分级方面，在具体APP页面整改方面。实务中，对于单独同意到底该怎么做，从《个人信息保护法》实施后的隐私政策实证分析来看，主要集中在三个方面，分别是确认协议、具体场景下的文案确认、弹框提示。而本次条例征求意见稿中的定义，强调的是“对每项个人信息取得个人同意”，“不包括一次性针对多项个人信息、多种处理活动的同意”。该定义，对于弹框的次数可能会造成影响，即多项个人信息、多种处理活动的同意，不能一次性在弹框中进行呈现的方式完成授权同意，可见监管的严格态势。

此外，值得关注的是《个人信息保护法》一共在六处提到了“单独同意”。条例征求意见稿在六处也提到了“单独同意”，大部分与《个人信息保护法》的要求重叠，但是也有两处值得关注，即第三十六条第二款“收集个人信息时已单独就个人信息出境取得个人同意，且按照取得同意的事项出境的，无需再次取得个人单独同意。”以及第四十九条“互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的，应当对推送信息的真实性、准确性以及来源合法性负责，并符合以下要求：（一）收集个人信息用于个性化推荐时，应当取得个人单独同意；”前者简化“单独同意”的次数，同时明确在该场景下可以在收集端对个人信息出境进行授权。那么其他场景也可以这么做吗？似乎没有明确规定，则还是要结合具体场景触发才能弹框获得授权。

后者则在个性化推荐这一收集目的上，明确要求单独同意。该做法相比《个人信息保护法》提出了更高的要求，同时进行了细化。《个人信息保护法》第二十四条第二款规定，“通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式”。我们认为《个人信息保护法》的条款设计属于“选择性退出（Opt-out）”，而条例征求意见稿采取了“选择性加入（Opt-in）”的模式，默认不应向用户进行个性化推荐。这一要求若未来在正式稿中被确认，实务中通过仅仅同意隐私政策即自动打开个性化推荐的做法，将明确为不可以。这一做法对企业自动化营销将造成一定影响。需要说明的是，《个人信息保护法》第五十五条规定的“利用个人信息进行自动化决策，需要进行个人信息保护影响评估”仍将作为个性化推荐/用户画像的前提条件。

《数据安全法》、《个人信息保护法》的适用范围并不限于“网络数据”，还包括线下的数据、个人信息。但本次条例征求意见稿则聚焦于“网络数据”的调整和规范。从条例征求意见稿的章节也可以看出，对网络数据主要从“一般规定”、“个人信息保护”、“重要数据安全”、“数据跨境安全管理”、“互联网平台运营者义务”、“监督管理”等六个维度进行具体规范和要求。为此，在理解各章节的不同数据类型时，要以“网络数据”作为主线和基础去理解，准确理解条例征求意见稿的适用范围。

值得关注的有两点，一方面《网络安全法》第七十六条第二款第（四）项，规定了“网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。”相比上述条例中的概念（“网络数据是指任何以电子方式对信息的记录。”），基本上一致，前者更突出生命周期的描述（但是这种生命周期的描述也不够完成，可能不足以覆盖实务中复杂的处理场景和环节），而后者的描述则更加彻底。另一方面，在域外管辖方面，相比《个人信息保护法》第三条，增加了“涉及境内重要数据处理；”完善了网络数据的域外管辖效力。

该条，相比《数据安全法》第二十一条，“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。”进一步将数据分为一般数据、重要数据和核心数据三类。同时突出了对于个人信息、重要数据的“重点保护”态度，以及核心数据的“严格保护”态度。严格保护相比重点保护，要更进一步。

2021年10月18日，最高人民检察院发布2021年1月至9月全国检察机关主要办案数据。“从数据看，“四大检察”“十大业务”都取得新进展。从起诉罪名看，排在第一位的是危险驾驶罪263281人，同比上升30.6%；排在第二位的是盗窃罪150922人，同比上升6.7%；排在第三位的是诈骗罪82105人，同比下降10.9%；排在第四位的是帮助信息网络犯罪活动罪79307人，同比上升21.3倍；排在第五位的是开设赌场罪63238人，同比上升40%”。《刑法》第二百八十七条之二明确规定，“【帮助信息网络犯罪活动罪】明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”

而条例征求意见稿第五十四条，相比《数据安全管理办法（征求意见稿）》“第二十四条网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息，应以明显方式标明“合成”字样；不得以谋取利益或损害他人利益为目的自动合成信息。”一方面增加了“虚拟现实”新技术的列举，另一方面，则在新技术进行数据处理方面，增加了“安全评估”的法定义务要求，相比“标明合成字样”，明确要求更高。至于这里的“安全评估”，到底是自己评估，类似数据出境的风险自评估、《个人信息保护法》要求完成的个人信息安全影响评估，还是类似网络安全审查、数据出境安全评估等由第三方监管单位（如网信办）组织的安全评估，目前还不明确，有待进一步相关规定的出台。

这四大情形中，增加了2处，即第一项和第三项，分别是“汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的。”，和“数据处理者赴香港上市，影响或者可能影响国家安全的。”前者对重要互联网平台进行资本运作上的关注，弥补了相关漏洞，后者则补充了之前大家普遍关心的“赴香港上市”是否“就没有必要进行网络安全审查”的疑问，结论是并非当然豁免。此外，条例征求意见稿还修订了《网络安全审查办法（修订草案征求意见稿）》“掌握超过100万用户个人信息的运营者赴国外上市”的表述，改为“处理一百万人以上个人信息的数据处理者赴国外上市的”，把“掌握”改为“处理”，更为统一表述。

此外，条例征求意见稿还增加了多处向网信办和主管部门“报告”的情形。分别是发生安全事件和处置完毕后的报告义务（第十一条）、大型互联网平台运营者在境外设立总部或者运营中心、研发中心的报告义务（第十三条）、数据处理者因为合并、重组、分立等，涉及重要数据和一百万以上个人信息的，数据处理者发生解散、被宣告破产等情况的，需要履行报告义务（第十四条），处理重要数据或者赴境外上市的数据处理者定期提交数据安全评估报告的义务（第三十二条），向境外提供个人信息和重要数据的数据处理者定期提交数据出境安全报告的义务（第四十条）。

《数据安全管理办法（征求意见稿）》第十六条曾引起热议，即对于“自动化访问收集流量超过网站日均流量三分之一”这一条较难有实操性，而且实践中，容易触发。条例征求意见稿在第十七条中，删除了该争议条款，将原来“不得妨碍网站正常运行”调整为“评估对网络服务的性能、功能带来的影响，不得干扰网络服务的正常功能”，不得“影响网络服务正常功能，或者侵犯他人知识产权等合法权益”，同时要遵守“法律、行政法规或者行业自律公约”的内容。条例征求意见稿相比《数据安全管理办法（征求意见稿）》，对于违法爬虫的内容进一步进行了完善，明确赋予“行业自律公约”法律强制性规范的效力。这一规定与此前的司法裁判观点一脉相承（参见“百度诉奇虎不正当竞争案”（2017）京民终487号、（2013）一中民初字第13657号案民事判决书）。但是从法律责任条款来看，并未对该第十七条设置专门的处罚条款，仍有待其他法律法规进行调整，如《刑法》、《著作权法》、《反不正当竞争法》等法律法规，以及相关司法解释进行规制。

如，“数据处理者应当公布…责任人信息，每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况，接受社会监督。”（条例征求意见稿第十八条）

如，“…个人信息处理规则应当集中公开展示、易于访问并置于醒目位置，内容明确具体、简明通俗，系统全面地向个人说明个人信息处理情况。个人信息处理规则应当包括但不限于以下内容：（一）依据产品或者服务的功能明确所需的个人信息，以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等…（四）以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称，以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则；（五）向第三方提供个人信息情形及其目的、方式、种类，数据接收方相关信息等；…”（条例征求意见稿第二十条）

上述透明度要求，对于正在修订隐私政策的数据处理者来说，是非常重要的指引。实务中，大家普遍关心是否要以清单形式列明每项功能处理个人信息的相关内容，其中处理个人信息的频次、时机、保存地点，值得管租户；此外，大家也非常关心第三方SDK收集个人信息的频次、时机是否要披露的问题，目前不同数据处理者的隐私政策存在披露不一致的情形；而对于向第三方提供个人信息的情形，数据接收方的信息实践中在隐私政策中披露内容也存在较大差异性，从条例来看，目前没有写得很清楚。但《个人信息保护法》第二十三条明确了“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类”。

而《信息安全技术 个人信息安全规范》也明确了响应个人信息主体注销账户完成“人工”核查和处理的时间不超过15个工作日，响应个人信息主体权利，做出答复、合理解释、告知纠纷解决途径的时间为30天，在验证个人信息主体身份后，应及时响应个人信息主体提出的请求（备注：查询权、更正权、删除权、撤回授权同意权、注销权、数据可携权），应在30天内或法律法规规定的期限内作出答复及合理解释，并告知个人信息主体外部纠纷解决途径。应该说条例征求意见稿吸收了《信息安全技术 个人信息安全规范》部分的做法，但是也提出了更高的时间反馈要求。

其中尤其值得关注的是，第二十四条数据可携权的具体落实条款，即：“符合下列条件的个人信息转移请求，数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务：（一）请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息；（二）请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息；（三）能够验证请求人的合法身份。数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的，应当对个人信息转移请求做合理的风险提示。请求转移个人信息次数明显超出合理范围的，数据处理者可以收取合理费用。”

此外，相比《数据安全法》第三十条（重要数据处理风险评估义务）、第三十一条（重要数据出境安全管理义务），条例征求意见稿还对重要数据处理者的法定义务进行了细化：如数据处理者识别重要数据后，需要向网信部门进行备案（条例征求意见稿第二十九条）；重要数据的处理者，还应当制定数据安全培训计划，每年组织开展全员数据安全教育培训，数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时（条例征求意见稿第三十条）；重要数据的处理者，应当优先采购安全可信的网络产品和服务（条例征求意见稿第三十一条）。数据处理者共享、交易、委托处理重要数据的，应当征得设区的市级及以上主管部门同意，主管部门不明确的，应当征得设区的市级及以上网信部门同意（第三十三条）。国家机关和关键信息基础设施运营者采购的云计算服务，应当通过国家网信部门会同国务院有关部门组织的安全评估（条例征求意见稿第三十四条）。

《个人信息保护法》第四十条规定，“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。”对于这里的“处理个人信息达到国家网信部门规定数量的个人信息处理者”，在条例征求意见稿中进行了进一步明确。条例征求意见稿第三十七条规定，“数据处理者向境外提供在中华人民共和国境内收集和产生的数据，属于以下情形的，应当通过国家网信部门组织的数据出境安全评估：（一）出境数据中包含重要数据；（二）关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息；（三）国家网信部门规定的其它情形。法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。”

《个人信息保护法》第三十八条是个人信息出境的主要条件，对应条例征求意见稿第三十五条，其中，对于个人信息保护认证模式下的出境方式，条例征求意见稿相比《个人信息保护法》的“按照国家网信部门的规定经专业机构进行个人信息保护认证”，细化为“数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证；”为此解决了两个问题，第一个是专业机构必须是网信办认定的，其他的机构不行；第二个是数据接收方也要进行个人信息保护认证，不限于数据处理者，为此明确了认证的对象。

此外，对于“数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的，或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的情形”，不需要经过条例征求意见稿第三十五条所列举的相关条件。

例如“存留相关日志记录和数据出境审批记录三年以上；”“个人信息出境后确需再转移的，应当事先与个人约定再转移的条件，并明确数据接收方履行的安全保护义务。”“任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等，不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务”（条例征求意见稿第四十一条）。

1、建立与数据相关的平台规则、隐私政策和算法策略披露制度（条例征求意见稿第四十三条）；

2、平台规则、隐私政策制定或者对用户权益有重大影响的修订，需要履行法定公示期，并列明采纳和不采纳的情况，不采纳的原因等（条例征求意见稿第四十三条）；实务中，很多互联网平台运营者并未公示历史版本，更不会就修订条款的原因，不采纳的原因进行公示，该条是一项对个人信息主体重大利好的条款；

3、日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，需要第三方评估，监管部门同意（条例征求意见稿第四十三条）；

4、互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任；第三方产品和服务对用户造成损害的，用户可以要求互联网平台运营者先行赔偿（条例征求意见稿第四十四条）；实务中，很多互联网平台运营者在隐私政策中，明确第三方接入者独立承担数据安全责任，未来将面临挑战；

5、个性化推荐进一步规范：“设置易于理解、便于访问和操作的一键关闭个性化推荐选项，允许用户拒绝接受定向推送信息，允许用户重置、修改、调整针对其个人特征的定向推送参数”；“允许个人删除定向推送信息服务收集产生的个人信息”（条例征求意见稿第四十九条）；

6、大型互联网平台运营者需要每年完成第三方的年度审计（条例征求意见稿第五十三条）；值得关注的是，大型互联网平台运营者的参考标准，可以查阅国家市场监督管理总局于2021年10月29日的发布《互联网平台分类分级指南（征求意见稿）》。其中，第八条规定，“【安全审计】超大型平台经营者应定期委托第三方独立机构对本指南所规定的主体责任遵守情况进行审计，并由第三方独立机构发布书面审计报告。报告应包括以下内容：（一）接受审计的超大型平台的名称、地址和联系方式；（二）开展审计活动的机构组织的名称和地址；（三）审计主要结论；（四）实现合规的操作建议。”第三十五条规定，“【本指南的适用】本指南中所界定的超大型平台经营者，应当依法依规采取相关措施，履行本指南所列各项义务，落实平台主体责任。除超大型平台经营者之外的其他平台经营者，应当依法依规采取相关措施，履行本指南第十至三十四条所列各项义务，落实平台主体责任。”对于大型互联网平台，从《互联网平台分类分级指南（征求意见稿）》来看，似乎不需要履行安全审计的义务。但是结合条例征求意见稿，其还是免了第三方的年度审计要求。

7、其他义务条款。

1）采取备份、加密、访问控制等基本必要措施；

2）按照网络安全等级保护的要求加强数据处理系统、传输网络、存储环境等安全防护；

3）如果发现使用或者提供的网络产品和服务存在安全缺陷或漏洞，抑或威胁国家安全和危害公共利益等风险时，应当立即采取补救措施。

另外，数据处理者在处理重要数据和/或核心数据时，应当采取下列数据保障措施：

1）使用密码对重要数据和核心数据进行保护；

2）重要数据的处理系统原则上应满足三级以上网络安全等级保护和关键信息基础设施安全保护要求；另外，在处理核心数据时，数据处理系统需要依照有关规定从严保护。

1）数据处理在者在发生合并、重组、分立等情况时，除了继续履行数据安全保护义务外，如果涉及重要数据和一百万人以上个人信息时，应当向设区的市级主管部门进行报告；

2）数据处理者发生解散、被宣告破产等情况时，应当向设区的市级主管部门报告，并按照相关要求移交或删除相关数据，如果上述主管部门不明确时应当向设区的市级网信部门报告。

1）从体例上，隐私政策应依据产品或服务的功能，以清单的形式列明各项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点，以及拒绝处理个人信息对个人的影响。此处，个人信息收集的频次首次被明确要求在隐私政策中加以列明，这也与条例征求意见稿第十九条规定的个人信息需限于处理目的最低频次相对应。

2）条例征求意见稿还首次规定需在隐私政策中列明个人信息存储期限的确定方法，即企业需内部论证并梳理存储期限的订立逻辑，并加以公示。

3）对于公众多有困惑的第三方、第三方代码/插件的公示情况，条例征求意见稿也在第二十条中给出了明确的方案，要求需以集中展示等便利用户访问的方式说明第三方代码/插件的名称、收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则，也需列明向第三方提供个人信息情形及其目的、方式、种类、数据接收方相关信息等。在实践中，我们经常可以看到部分企业以在隐私政策中嵌入单独超链接或表格的方式进行公示，结合近期工信部发布的《关于开展信息通信服务感知提升行动的通知》中所要求的“双清单”义务，第三方数据共享的严格透明化将是《个保法》生效后的显著趋势。

4）条例征求意见稿还包括个人信息主体权利响应、个人信息安全风险及保护措施、个人信息安全问题投诉、举报渠道及解决路径、个人信息保护负责人联系方式的内容要求。

综上，随法律法规的进一步细化，隐私政策的透明度及细节程度可谓有增无减，建议企业在制定隐私政策时全盘把握个人信息处理活动的各生命周期，确保真实、准确、完整地披露各项要求的内容。

根据条例征求意见稿第二十二条，个人信息删除的条件除个人信息处理目的已实现或不再必要、存储期限届满、服务终止或账号注销外，还包括因使用自动化采集技术等，无法避免采集到的非必要个人信息或者未经个人同意的个人信息，此处可能是针对爬虫或者汽车数据处理者可能收集的人脸信息、车牌信息等的车外视频、图像数据。本条跟《个保法》规定有所差异，例如不包含撤回同意的情形。

对于个人信息主体的查阅权，条例征求意见稿第二十三条要求数据处理者需“提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径，不得以时间、位置等因素对个人的合理请求进行限制”。其中，“便捷”、“结构化”、“个人信息类型、数量”均为值得关注的要点。业界良好实践包括部分企业提供自动化方式，供用户自行导出个人信息列表，但也需检查确保符合前述内容条件。

另外，条例征求意见稿继《认定方法》第六条后，再一次明确了数据主体权利行使要求为十五个工作日。企业在接收到数据主体行权申请后，应确保在十五个工作日内处理并反馈。

如评估结果为可能危害国家安全、经济发展和公共利益，则不得共享、交易、委托处理、向境外提供数据。

1）为订立、履行个人作为一方当事人的合同所必需向境外提供个人信息；

2）为了保护个人生命健康和财产安全而必须向境外提供个人信息；

其中，对于为订立、履行合同所必需而向境外提供个人信息的场景可见于跨境网购、与境外证券公司开展交易等境内个人直接与境外处理者发生个人信息传输的场景，根据条例征求意见稿，此等场景无需再履行《个保法》第三十八条设定的个人信息跨境传输合法路径。

我们理解，这可能由于此等场景下境外处理者将直接根据《个保法》第三条第二款构成《个保法》项下的义务主体（进而需满足个人信息处理者的一系列要求），据此无需再以跨境传输的合法路径对境外数据处理者的数据安全能力等予以重复规制。

我们理解，条例征求意见稿并非在《审查办法》基础上对香港上市监管加码，而是法律适用的明确。《数安法》第二十四条规定，“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”即，只要数据处理活动影响或可能影响国家安全，都会触发安全审查，赴港上市行为当然也应包括在内。《审查办法》第六条虽然不包括香港上市，但在第二条却有原则性的要求，即：“数据处理者开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。”

据此，相较于对国外上市所采取的一刀切的量化标准，赴港上市的网络安全审查采取是风险导向的标准，只有确实存在影响或可能影响国家安全的风险，才会触发网络安全审查。同时，为消除该规定对香港上市带来的不确定性，我们也建议监管部门尽快制定赴港上市的数据风险预判指南。

最后，条例征求意见稿第三十二条还规定赴境外上市的数据处理者应每年开展数据安全评估并向市级网信部门报送的义务。此为赴国外上市和赴香港上市均需遵循的法定义务。

1）针对国家而言，应当建立数据安全审计制度；

2）对于数据处理者而言，如果数据处理者的处理活动涉及个人信息时，应当委托专业的数据安全审计机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。上述规定与《个保法》第五十四条规定一致；

3）如果数据处理者的处理活动涉及重要数据时，相关主管监管部门应当组织开展对上述处理活动的审计工作，重点审计数据处理者履行法律法规规定的重要数据处理义务等内容。

除上述问题之外，还有一些制度或内容仍待澄清，包括并不限于公共信息、新技术安全评估具体流程、个人信息保护行业组织等。基于此，我们会持续关注法律变化和监管动态，对上述仍待澄清的制度或内容予以关注。

然而，遗憾的是条例征求意见稿并未对“影响或者可能影响国家安全的”范围和认定标准做出任何界定。如果条例征求意见稿按目前规定生效，企业出于谨慎考虑仍可能不得不事先申请网络安全审查，这可能导致上述对香港上市的“优待措施”在实践中出现效果受限的情况。

对于赴美国等国外上市的数据处理者，只要“处理一百万人以上个人信息”即必须向网络安全审查办公室申报网络安全审查。与办法征求意见稿相同，条例征求意见稿并未明确规定处理个人信息以外的其他重要数据或者核心数据处理者赴国外上市必须申请安全审查，但这类企业的国外上市也可能属于“其他影响或者可能影响国家安全的数据处理活动”而落入安全审查的范围。

值得注意的是，相较于办法征求意见稿中宽泛地将运营者都纳入上市申报网络安全审查主体的范围内，且对于100万用户个人信息的触发阈值使用了“掌握”这一相对模糊的概念，条例征求意见稿将上市申报网络安全审查的主体限定在“数据处理者”，即，在数据处理活动中自主决定处理目的和处理方式的个人和组织。但这是否意味着将在业务过程中主要接受委托处理数据（例如云服务提供商，对于客户数据而言通常并不构成条例征求意见稿意义上的“数据处理者”）的相关运营者排除在外，尚存在不确定因素，有待监管的进一步明晰。

此外，条例征求意见稿未对“上市”的概念做出澄清。对此，我们仍保持此前在办法征求意见稿出台时的观点，即除IPO（首次公开募集股份并上市）外，中概股公司在美国上市可能采取的SPAC（特殊目的收购公司）并购、RTO（反向兼并/借壳上市）、Direc tListing（直接上市）等方式均可能被纳入网络安全审查的范围。此外，由于中概股公司在进行香港二次上市时及上市后可能需要根据香港上市规则额外披露或提供信息，并且也将受限于香港联交所及证券监管机构的监督和调查，因此对于已经在境外上市的中概股公司而言，如赴香港二次上市存在“影响或者可能影响国家安全的”，亦将需要申请网络安全审查。

根据条例征求意见稿的规定，年度数据安全评估报告的内容包括：（一）处理重要数据的情况；（二）发现的数据安全风险及处置措施；（三）数据安全管理制度，数据备份、加密、访问控制等安全防护措施，以及管理制度实施情况和防护措施的有效性；（四）落实国家数据安全法律、行政法规和标准情况；（五）发生的数据安全事件及其处置情况；（六）共享、交易、委托处理、向境外提供重要数据的安全评估情况；（七）数据安全相关的投诉及处理情况；（八）国家网信部门和主管、监管部门明确的其他数据安全情况。

对于何为“涉及重要数据和一百万人以上个人信息的”可能有不同的解释。从狭义上理解，似乎仅因合并、重组、分立等情况导致转让或“剥离”重要数据和一百万人以上个人信息的（例如在上市重组过程中涉及业务和资产转让时，将重要数据和一百万人以上个人信息从一家主体转让至另外一家主体），才需要受此条管辖。然而，从广义上理解，本条可理解为如集团内有数据处理者处理重要数据和一百万人以上个人信息的，则集团的重组（即使不涉及数据在不同主体间进行转让，或者相关数据处理者的合并或分立）也需履行报告义务。如按此理解，常见的红筹架构搭建和拆除等重组活动可能均需向网信办进行报告。