引言
数据,作为现代经济的关键生产要素,构成了数字化、网络化和智能化发展的基石。《网络数据安全管理条例》(“《条例》”)在继2021年发布《网络数据安全管理条例(征求意见稿)》(“《征求意见稿》”)之后,于2024年9月30日正式颁布,并定于2025年1月1日起施行。《条例》以《中华人民共和国网络安全法》(“《网安法》”)、《中华人民共和国数据安全法》(“《数安法》”)以及《中华人民共和国个人信息保护法》(“《个保法》”)等法律为基础,标志着我国在网络数据安全领域首部行政法规的正式出台。该条例不仅明确了网络数据安全管理的基本原则和要求,而且对现行的法律法规和规章进行了进一步的细化与补充。在下文中,我们将根据《条例》的章节结构,对其规定中重要条款进行简要分析点评。
第一章 总则
第一章为原则性条款,本章延续了《数安法》和《个保法》中关于域外适用的规定,明确指出,除《个保法》第三条第二款规定的情形外,针对损害国家安全、公共利益或公民、组织合法权益的,同样需要依法追究责任(《条例》第二条)。第五条进一步明确了《数安法》第二十一条关于建立数据分类分级保护制度的要求,突出了网络数据基础保护架构的重要性。
总则部分清晰地反映了立法者的意图,并也可预测我国数据发展的未来方向。第四条明确规定国家将鼓励创新,并根据发展态势及实际需求,推动网络数据的教育和数据人才库的建设。鉴于网络的快速发展和数据跨境流动的特性,第六条提出了积极与国际规则和标准对接的要求,以促进国际交流与合作,展现在网络数据管理方面的广阔视野和开放态度。
第二章 一般规定
本章节确立了适用于所有网络数据处理者的普遍性法定义务。与《征求意见稿》中详尽列举的做法不同,考虑到网络数据的复杂性和快速发展,《条例》选择删除了具体列举,转而将重点放在非法网络数据处理活动上(第八条),这一规定有利于法规的后续解释、遵守和执行。
第九条至第十四条详细规定了网络数据处理者作为责任主体应承担的安全与合规义务,第十五至十七条规定了涉及为国家机关等提供服务时的保护义务。各网络数据处理企业应参照《条例》对公司数据处理和管理政策进行合规性修订。
第九条重申了网络安全等级保护制度的基础性地位,并强调在此框架下根据有效的国家标准加强安全防护措施和完善网络数据安全管理制度,如《信息安全技术—网络安全等级保护基本要求(GB/T 22239-2019)》中的相关等级规定以及分类标准,以保护、预防和避免网络数据安全风险事件及违法犯罪行为的发生。
第十条和第十一条确立了网络数据安全风险的应急预案、报告和通知制度,并增加了网络数据处理者配合调查涉嫌违法犯罪活动的法定义务。与《征求意见稿》相比,第十一条删除了具体报告的时限,但在第十条中强调24小时内报告涉及国家、公共利益的网络数据漏洞和风险(“重大风险”)。此规定体现了在数据活动中对数据处理者完善网络数据管理规定的要求,规范数据处理行为,以预防涉重大风险事件的发生;同时考虑实际,数据处理者可能难以在固定时限内对于造成危害的风险事件进行报告和通知,因此除重大风险外并未规定报告的具体时间限制,此增强了处理方式和相关规则的灵活性。同时第十一条规定了通知方式,包括“电话、短信、即时通信工具、电子邮件或公告等”。
第十二条首次规定网络数据处理者应通过合同约定提供、委托处理个人信息和重要数据的处理目的、方式、双方权责划分等内容,并强调应至少保存相关记录3年。
第十八条和第十九条是对新技术的新增要求。第十八条规定了通过“爬虫”方式收集网络数据的要求,第十九条针对人工智能进行了规定。《条例》明确了收集数据的边界,要求“不得非法侵入他人网络,不得干扰网络服务正常运行”。对于人工智能,网络数据处理者应加强管理与训练,并防范安全风险。上述两条规定顺应科技发展,创新性地点明了当前急需规制的新技术,将相关标准制度的重点摆在了数据处理者面前。因此,使用相关技术的网络数据处理者应进行合规管理与规定,并符合现行有效的相关规定,如《生成式人工智能服务管理暂行办法》等,同时应密切关注已发布的各相关征求意见稿,确保能够顺利适应合规要求。
第三章 个人信息保护
本章实则是对《个保法》的进一步细化规定,将某些特定领域的规则标准上升至所有数据处理者对个人信息处理的统一要求,明确了重要数据的数量标准,即1000万人以上的个人信息(第二十八条)。
第二十一条强化了处理个人信息的告知义务,其中第(三)项强调数据到期后的处理方式,创新规定了“明确保存期限的确定方法”,并在第二款中强调“双清单”标准。《个保法》第四十七条第(二)项表明,当信息保存期限届满后个人信息处理者应当主动删除个人信息,《条例》关注实践中难以确定“保存期限”的问题,在规定中将“明确保存期限的确定方法”上升为法定义务,在此提请各网络数据处理者注意更高的规范要求。
第二十二条至第二十五条进一步强化并规范了用户对个人信息的处理权利,相应增加了网络数据处理者的义务,从而加强了对用户个人隐私的保护。网络数据处理者需注意以下几点:收集和处理个人信息必须基于用户同意,并遵循“最小化原则”;应为用户提供便捷的个人信息处理条件,不得设置不合理的限制;对于超出规定范围收集的个人信息,应予以删除或匿名化处理。此外,《条例》首次以法条形式明确了“个人信息转移请求”的具体途径与标准,这不仅增强了用户对个人信息的控制与掌握,也减轻了网络数据处理者在数据转移方面的成本和负担。
第四章 重要数据安全
本章节专门规定了对重要数据的安全保障措施。《条例》对重要数据的定义为:“在特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦遭到篡改、破坏、泄露或非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”(第六十二条)。在重申分类分级保护制度的基础性地位(第二十九条)及网络数据处理者因“合并、分立、解散、破产”等情况需向有关主管部门报告的制度(第三十二条)之外,本章进一步明确了对数据管理人的要求和风险评估制度。
第三十条明确规定,重要数据的处理者应设立明确的“网络数据安全负责人”和“网络数据安全管理机构”。特别提醒各处理者注意,负责人需满足以下条件:1. 具备相应的专业知识和相关工作经验;2. 必须是管理层成员。对于负责人及关键岗位的工作人员,还需进行安全背景审查,必要时可请求国家相关部门协助。由此可知,目前,重要数据处理者的管理体系中普遍缺乏必要的部门和专业人才,因此该规定对相关处理者提出了严格的管理结构要求和高标准的审核要求。此后,现有管理层人员可能需要接受专业培训以获得相关知识,并且网络数据处理者可以此为契机促进吸收更多拥有数据处理技能的人才。
第三十一条和第三十三条是对《数安法》第三十条的具体细化,明确了重要数据处理者在每年及处理重要数据前均需进行风险评估的要求。《条例》列举了风险评估的具体标准,增强了其可操作性,并依据其他相关规定,如《网络安全标准实践指南—网络数据安全风险评估实施指引》《工业和信息化领域数据安全风险评估实施细则(试行)》等,进行重要数据的风险评估。这些规定旨在确保重要数据的安全,防止潜在的风险,保障国家安全和社会稳定。
第五章 网络数据跨境安全管理
在网络数据跨境传输的领域,我国已存在多部现行有效的部门规章,如《数据出境安全评估办法》《促进和规范数据跨境流动规定》等。《条例》在总结过往实践经验的基础上,进一步强化了对重要数据的保护措施,并强调国家信网部门负责统筹相关工作,制定政策以及协调处理重大事项(第三十四条)。
第三十五条详细列举了向境外提供个人信息的八项要求,其中前三项与《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》相对应,其余条款则涉及合同当事人、员工、法定职责或义务以及紧急情况下的数据提供等方面。
第三十六条至第三十九条总结了数据出境的经验和条款,规定了国际条约、协定的适用性,重要数据的安全评估要求,以及提供数据不得超过评估范围的规定,同时强调必须遵守国家对数据出境采取的相关措施。
值得注意的是,我国的法规也考虑到了数据跨境传输的灵活性和实际需求。例如,《促进和规范数据跨境流动规定》第五条列举了无需申报数据出境安全评估的情况,以及第六条关于自由贸易试验区负面清单的规定,这些规定为数据跨境传输提供了一定的豁免空间,体现了我国在数据管理和利用方面的开放态度和创新思维。《条例》以及这些规定不仅为数据处理者提供了明确的指导,也为数据的跨境流动提供了法律保障,确保了数据安全和个人信息权益的保护。
第六章 网络平台服务提供者义务
《条例》在本章中创新性地以法条形式将“网络平台服务提供者”从“网络数据处理者”的范畴中单独划分出来。根据《关于进一步压实网站平台信息内容管理主体责任的意见》《网络安全标准实践指南——大型互联网平台网络安全评估指南》等相关规定,网络平台是传播网络信息内容的主要载体以及虚拟空间。《条例》第六十二条对“大型网络平台”的定义进行了量化,将其用户规模限定为“注册用户5000万以上或者月活跃用户1000万以上”,并对其服务内容进行了描述,包括“业务类型复杂”和“对国家安全、经济运行、国计民生等具有重要影响”。
第四十条不仅规定了一般安全保障和监督管理职责的承担主体为网络平台服务提供者,还涵盖了“预装应用程序的智能终端设备制造商”以及“第三方产品和服务提供者”。这确保了预装应用程序在投入使用前必须满足网络安全和监督管理的要求,同时规定第三方产品和服务提供者在违反规定并对用户造成损害的情况下需对损害承担相应的责任。虽然法规并未对三者的责任界限进行明确划分,但这为实际操作提供了一定的灵活性,并通过第四款鼓励保险公司提供相关保险,增强了三者应对网络数据损害赔偿的能力。
第四十三条明确了“网证”、“网号”的自愿使用原则,这一概念首次在《国家网络身份认证公共服务管理办法(征求意见稿)》中提出,现已纳入《条例》,意味着相关网络平台服务提供者需尽快顺应相关规定制定 “网证”、“网号”的使用规则,并提供相应的便捷服务。
第四十四条至第四十六条针对大型网络平台服务提供者的规定,明确了其发布年度个人信息保护社会责任报告的职责,以及数据跨境传输和其他消极义务的规定。这些规定与《个保法》第五十八条相衔接,强调了对大型平台实施更为严格的要求。这些规定旨在加强对大型网络平台的监管,确保其在数据处理和内容管理方面的责任感和透明度,同时保护用户的个人信息安全和权益。
第七章 监督管理
本章节明确了国家相关部门在网络数据安全领域的监督管理职责,并对其监督检查工作设定了明确的执行标准。具体而言,第五十一条规定监督检查应遵循“必要性原则”,即监督检查活动应限定在实现监管目标所必需的范围内。同时第五十二条第一款规定避免进行任何非必要的或重复的检查,以减少对网络数据处理者的不必要干扰。此外第五十二条第二款强调了各部门间应实现评估结果的互认,即不同监管部门在进行网络数据安全评估时,应承认并采纳其他部门已作出的合法评估结果,以此提高监管效率,避免资源浪费,并确保监管活动的一致性和协调性。这些规定共同构建了一个高效、协调的网络数据安全监管框架,旨在确保国家网络数据安全的同时,减少对网络数据处理者的行政负担。
第八章 法律责任
本章节详尽规定了网络数据处理者因违反《条例》以及其他法律法规的规定所面临的行政处罚措施,包括但不限于责令改正、警告、没收违法所得、罚款、暂停相关业务、停业整顿、吊销相关业务许可证或营业执照。此外,对于直接负责的主管人员和其他直接责任人员,《条例》亦规定了相应的罚款处罚,以强化个人责任。
第五十九条进一步明确了从轻、减轻或不予行政处罚的情形,激励网络数据处理者主动采取行动,消除或减轻违法行为造成的危害,及时纠正违法或不规范的行为。这一规定旨在鼓励主动合规,促进网络数据处理者积极履行《条例》规定的义务,同时体现了行政处罚的教育与预防功能。通过为网络数据处理者提供改错的机会,该条款有助于促进行业的自我纠正和自我完善,从而提升整个网络数据安全管理体系的有效性。