2025年1月1日起,《网络数据安全管理条例》(以下简称《条例》)正式施行。这是国务院在2024年8月30日第40次常务会议通过的行政法规。《条例》作为规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益的重要法规,最大亮点就是对重要数据、个人信息保护、平台治理、行业监管等方面进行规制,进一步规范电信运营商的数据处理活动,保障电信数据安全,促进数据依法合理有效利用和数字经济高质量发展。
重要数据的界定和细化
在我国数据安全法规体系中,关于重要数据的定义一直处于不断完善过程中。《网络安全法》《数据安全法》作为基础性法律均未对重要数据给出明确的界定。为了满足实际的数据管理和安全保障需求,一些政府规章相继出台并对重要数据进行定义。例如《促进和规范数据跨境流动规定》《数据出境安全评估办法》《个人信息出境标准合同办法》《汽车数据安全管理若干规定(试行)》等规章,均将数据遭到破坏时可能带来的风险作为认定重要数据的依据。《条例》最大的亮点是进一步发展了重要数据的定义,作出更加明确的规定。重要数据,是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。这意味着重要数据的认定并非基于数据的固有属性,而是要综合考虑不同业务领域、不同区域以及数据主体等多种因素动态识别。这种定义方式与当前在工信领域、汽车行业、数据出境、安全审查等领域或场景下的重要数据规定相互呼应,体现了法规对不同行业和场景的适应性。
分类分级保护是网络数据安全制度的重要抓手,《数据安全法》规定国家建立数据分类分级保护制度,为此《条例》设专章构建了重要数据安全制度,包括重要数据目录、重要数据处理者的特别义务和责任、处理前的风险评估的重点内容、风险评估的报告制度、省级以上有关主管部门的监管措施等,进一步完善了网络数据分类分级保护制度。
个人信息保护的补充与完善
在个人信息保护部分,《条例》对于《个人信息保护法》这一上位法的相关规定进行细化、补充与完善。
履行法定职责与法定义务的豁免情形。对于个人信息跨境,在《个人信息保护法》《促进和规范数据跨境流动规定》有关豁免规定情形的基础上,《条例》新增了“为履行法定职责或者法定义务”的“可以向境外提供个人信息”情形。该情形与其他出境豁免情形并列,属于处理者在自我评估后,可以不经备案审核而自由出境的法定情形。其目的在于鼓励数据跨境自由流动,能够帮助厘清很多跨境交易场景下的合规痛点问题,破解相关交易主体的合规困扰。
告知义务的履行。《条例》整合并细化了《个人信息保护法》有关规定,在告知义务的履行方面,提出集中公开展示、易于访问、置于醒目位置三方面义务。《条例》将适用对象扩大为网络数据处理者,如网络数据处理者通过制定个人信息处理规则方式履行告知义务的,则应当履行该“双清单”要求。《个人信息保护法》要求个人信息处理规则需要包含“个人信息保存期限”内容的告知,但实操中面临保存期限较难确定的问题。为此,《条例》明确此种情形之下,数据处理者应当以合理的方式,自行确定保存期限及其方法,并予以明确告知。
个人信息委托处理、对外提供和共同处理。《条例》对于《个人信息保护法》规定的个人信息委托处理、对外提供、共同处理三类行为进行了重点内容的新增。一是对外提供行为,应当通过合同等方式约定。关于委托处理、共同处理行为的合同等约定要求在《个人信息保护法》中已有明确规定。提供方与接收方为独立的个人信息处理者,需要独立地对其个人信息处理行为负责,属于默示义务而无须通过合同予以规制。二是对外提供及委托处理行为,应当保存处理情况记录。《个人信息保护法》明确约定涉个人信息对外提供、委托处理行为下的3年的“个人信息保护影响评估记录”留存要求,《条例》中提出了3年的“处理情况记录”留存要求。个人信息处理者在开展对外提供或委托处理行为时,既要留存个人信息保护影响评估报告,也要尽量全面地留存该行为相关的详细证明材料,例如数据处理协议、数据传输相关系统记录、数据安全措施证明等,以履行该项合规义务。
网络平台服务提供者的监管新规
网络数据高度汇聚、高频流动、高度开放加剧网络数据泄露风险,违法违规收集个人信息、新型网络欺诈、黑客攻击等安全事件频发,如何强化互联网大型平台的监管成为政府监管机构面临的重要课题,为此,《条例》重点放在网络平台处理网络数据的安全保护义务履行方面。
细化行业主管部门的监督职责。在《数据安全法》《个人信息保护法》等的规定下,行业主管部门承担重要的监管职责,《条例》对行业主管部门的网络数据安全管理职责作了进一步细化,明确了国家网信部门统筹协调有关主管部门履行网络数据安全事件的应急处置职责的要求。具体包括:明确本行业、本领域网络数据安全保护工作机构,统筹制定并组织实施本行业、本领域网络数据安全事件应急预案,定期组织开展本行业、本领域网络数据安全风险评估,对网络数据处理者履行网络数据安全保护义务情况进行监督检查,指导督促网络数据处理者及时对存在的风险隐患进行整改。
同时规定有关主管部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密的保密义务。
明确网络平台服务提供者的合规义务。《条例》明确大型网络平台服务提供者的合规义务,即不得利用网络数据、算法以及平台规则等从事的活动包括:通过误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据,是对《个人信息保护法》中“不得通过误导、欺诈、胁迫等方式处理个人信息”的重申;无正当理由限制用户访问、使用其在平台上产生的网络数据;对用户实施不合理的差别待遇,损害用户合法权益,是对合规管理的要求。新规规定不得对用户实施不合理的差别待遇,损害用户合法权益。目前法律适用的“差别待遇”主要是指反垄断法下的差别待遇或网络不正当竞争行为,可以按照反垄断及反不正当竞争层面的“不合理差别待遇”行为的构成要件为基准,合理确定自身针对用户设置不同交易条件、服务条件的合规边界。
压实网络数据处理者的主体责任。《条例》强调网络平台服务提供者的商品和服务管理义务,进一步明确各类主体责任。针对网络数据处理者、提供生成式人工智能服务的网络数据处理者、面向社会提供产品服务的网络数据处理者、网络平台服务提供者等不同网络数据主体提出具体要求,进一步明确各类主体责任。网络平台服务提供者应当通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务,并采取措施督促第三方产品和服务提供者加强网络数据安全管理,对所处理的网络数据的安全承担主体责任。值得关注的是,目前互联网平台运营者就第三方产品和服务对用户的损害承担先行赔偿义务,即当第三方产品和服务对用户造成损害时,用户可以要求互联网平台运营者先行赔偿。当接入平台的第三方产品和服务对用户造成损害的,网络平台服务提供者仅需“依法承担相应赔偿责任”,网络平台服务提供者仍可援用“避风港规则”,仅当自身存在过错时才需就第三方产品和服务造成的损害承担相应责任。
对企业在使用自动化采集技术过程中遇到的问题提供指导。《条例》规定,当自动化采集不可避免地收集到非必要的个人信息或未依法取得个人同意的信息从技术上难以实现删除或匿名化时,网络数据处理者应当停止除存储和采取必要安全保护措施之外的任何处理行为。这一规定为诸多新技术、新应用的合规开发提供实施方向,如大模型训练中通过爬虫等方式获取海量数据但无法有效剥离非必要信息的情形等,在避免数据滥用风险的同时也保障了企业的正常运营和技术进步。
监督管理与法律责任的较大调整。《条例》强调由网信部门统筹、相关主管部门在各自职责范围内负责的分工与协同的网络数据监督管理机制。对大型平台及重要数据处理者的年度审计或评估要求进行调整,取消了必须由外部机构执行的规定,赋予企业更大的自主权来选择适合自身的评估方式。在对外提供和委托处理重要数据方面,监管模式调整改为由企业自行评估风险并据此决策。在法律责任方面,《条例》与《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等相关法律进行了有效衔接,针对网络数据领域的具体违规行为的罚则进行了细化,明确了相关网络数据处理者的法律责任,同时又考虑到“包容审慎”的监管机制,为相关主体和企业提供了纠错空间。
