文:上海君倫律師事務所
引言
數據,作為現代經濟的關鍵生產要素,構成了數位化、網路化和智能化發展的基石。 《網絡數據安全管理條例》(“《條例》”)在繼2021年發佈《網絡數據安全管理條例(征求意見稿)》(“《征求意見稿》”)之後,於2024年9月30日正式頒佈,並定於2025年1月1日起施行。 《條例》以《中華人民共和國網絡安全法》(“《網安法》”)、《中華人民共和國數據安全法》(“《數安法》”)以及《中華人民共和國個人信息保護法》(“《個保法》”)等法律為基礎,標誌著中國在網絡資料安全領域首部行政法規的正式出臺。 該條例不僅明確了網絡資料安全管理的基本原則和要求,而且對現行的法律法規和規章進行了進一步的細化與補充。 在下文中,我們將根據《條例》的章節結構,對其規定中重要條款進行簡要分析點評。
第一章總則
第一章為原則性條款,本章延續了《數安法》和《個保法》中關於域外適用的規定,明確指出,除《個保法》第三條第二款規定的情形外,針對損害國家安全、公共利益或公民、組織合法權益的,同樣需要依法追究責任(《條例》第二條)。 第五條進一步明確了《數安法》第二十一條關於建立數據分類分級保護制度的要求,突出了網路資料基礎保護架構的重要性。
總則部分清晰地反映了立法者的意圖,並也可預測中國數據發展的未來方向。 第四條明確規定國家將鼓勵創新,並根據發展態勢及實際需求,推動網路資料的教育和數據人才庫的建設。 鑒於網絡的快速發展和數據跨境流動的特性,第六條提出了積極與國際規則和標準對接的要求,以促進國際交流與合作,展現在網絡資料管理方面的廣闊視野和開放態度。
第二章一般規定
本章節確立了適用於所有網絡資料處理者的普遍性法定義務。 與《征求意見稿》中詳盡列舉的做法不同,考慮到網路資料的複雜性和快速發展,《條例》選擇删除了具體列舉,轉而將重點放在非法網絡資料處理活動上(第八條),這一規定有利於法規的後續解釋、遵守和執行。
第九條至第十四條詳細規定了網絡資料處理者作為責任主體應承擔的安全與合規義務,第十五至十七條規定了涉及為國家機關等提供服務時的保護義務。 各網絡資料處理企業應參照《條例》對公司資料處理和管理政策進行合規性修訂。
第九條重申了網路安全等級保護制度的基礎性地位,並強調在此框架下根據有效的國家標準加强安全防護措施和完善網絡資料安全管理制度,如《資訊安全技術—網路安全等級保護基本要求(GB/ T 22239-2019)》中的相關等級規定以及分類標準,以保護、預防和避免網路資料安全風險事件及違法犯罪行為的發生。
第十條和第十一條確立了網路資料安全風險的應急預案、報告和通知制度,並新增了網絡資料處理者配合調查涉嫌違法犯罪活動的法定義務。 與《征求意見稿》相比,第十一條删除了具體報告的時限,但在第十條中強調24小時內報告涉及國家、公共利益的網路資料漏洞和風險(“重大風險”)。 此規定體現了在數據活動中對資料處理者完善網絡資料管理規定的要求,規範資料處理行為,以預防涉重大風險事件的發生; 同時考慮實際,資料處理者可能難以在固定時限內對於造成危害的風險事件進行報告和通知,囙此除重大風險外並未規定報告的具體時間限制,此增强了處理管道和相關規則的靈活性。 同時第十一條規定了通知管道,包括“電話、簡訊、即時通信工具、電子郵件或公告等”。
第十二條首次規定網絡資料處理者應通過合同約定提供、委託處理個人資訊和重要數據的處理目的、管道、雙方權責劃分等內容,並強調應至少保存相關記錄3年。
第十八條和第十九條是對新技術的新增要求。 第十八條規定了通過“爬蟲”管道收集網路資料的要求,第十九條針對人工智慧進行了規定。 《條例》明確了收集數據的邊界,要求“不得非法侵入他人網絡,不得干擾網路服務正常運行”。 對於人工智慧,網絡資料處理者應加強管理與訓練,並防範安全風險。 上述兩條規定順應科技發展,創新性地點明了當前急需規制的新技術,將相關標準制度的重點擺在了資料處理者面前。 囙此,使用相關科技的網絡資料處理者應進行合規管理與規定,並符合現行有效的相關規定,如《生成式人工智能服務管理暫行辦法》等,同時應密切關注已發佈的各相關徵求意見稿,確保能够順利適應合規要求。
第三章個人資訊保護
本章實則是對《個保法》的進一步細化規定,將某些特定領域的規則標準上升至所有資料處理者對個人資訊處理的統一要求,明確了重要數據的數量標準,即1000萬人以上的個人資訊(第二十八條)。
第二十一條强化了處理個人資訊的告知義務,其中第(三)項強調數據到期後的處理管道,創新規定了“明確保存期限的確定方法”,並在第二款中強調“雙清單”標準。 《個保法》第四十七條第(二)項表明,當資訊保存期限屆滿後個人資訊處理者應當主動删除個人資訊,《條例》關注實踐中難以確定“保存期限”的問題,在規定中將“明確保存期限的確定方法”上升為法定義務,在此提請各網絡資料處理者注意更高的規範要求。
第二十二條至第二十五條進一步強化並規範了用戶對個人資訊的處理權利,相應新增了網絡資料處理者的義務,從而加强了對用戶個人隱私的保護。 網絡資料處理者需注意以下幾點:收集和處理個人資訊必須基於用戶同意,並遵循“最小化原則”; 應為用戶提供便捷的個人資訊處理條件,不得設定不合理的限制; 對於超出規定範圍收集的個人資訊,應予以删除或匿名化處理。 此外,《條例》首次以法條形式明確了“個人資訊轉移請求”的具體途徑與標準,這不僅增强了用戶對個人資訊的控制與掌握,也減輕了網絡資料處理者在數據轉移方面的成本和負擔。
第四章重要資料安全
本章節專門規定了對重要數據的安全保障措施。 《條例》對重要數據的定義為:“在特定領域、特定群體、特定區域或達到一定精度和規模的數據,一旦遭到篡改、破壞、洩露或非法獲取、非法利用,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據”(第六十二條)。 在重申分類分級保護制度的基礎性地位(第二十九條)及網絡資料處理者因“合併、分立、解散、破產”等情况需向有關首長部門報告的制度(第三十二條)之外,本章進一步明確了對資料管理人的要求和風險評估制度。
第三十條明確規定,重要數據的處理者應設立明確的“網絡資料安全負責人”和“網絡資料安全管理機構”。 特別提醒各處理者注意,負責人需滿足以下條件:1.具備相應的專業知識和相關工作經驗; 2.必須是管理層成員。 對於負責人及關鍵崗位的工作人員,還需進行安全背景審查,必要時可請求國家相關部門協助。 由此可知,現時,重要資料處理者的管理體系中普遍缺乏必要的部門和專業人才,囙此該規定對相關處理者提出了嚴格的管理結構要求和高標準的稽核要求。 此後,現有管理層人員可能需要接受專業培訓以獲得相關知識,並且網絡資料處理者可以此為契機促進吸收更多擁有資料處理技能的人才。
第三十一條和第三十三條是對《數安法》第三十條的具體細化,明確了重要資料處理者在每年及處理重要數據前均需進行風險評估的要求。 《條例》列舉了風險評估的具體標準,增强了其可操作性,並依據其他相關規定,如《網絡安全標准實踐指南—網絡數據安全風險評估實施指引》《工業和信息化領域資料安全風險評估實施細則(試行)》等,進行重要數據的風險評估。 這些規定旨在確保重要數據的安全,防止潜在的風險,保障國家安全和社會穩定。
第五章網路資料跨境安全管理
在網路資料跨境傳輸的領域,中國已存在多部現行有效的部門規章,如《數據出境安全評估辦法》《促進和規範數據跨境流動規定》等。 《條例》在總結過往實踐經驗的基礎上,進一步強化了對重要數據的保護措施,並強調國家信網部門負責統籌相關工作,制定政策以及協調處理重大事項(第三十四條)。
第三十五條詳細列舉了向境外提供個人資訊的八項要求,其中前三項與《數據出境安全評估辦法》《個人信息保護認證實施規則》《個人信息出境標准合同辦法》相對應,其餘條款則涉及契约當事人、員工、法定職責或義務以及緊急情况下的數據提供等方面。
第三十六條至第三十九條總結了數據出境的經驗和條款,規定了國際條約、協定的適用性,重要數據的安全評估要求,以及提供數據不得超過評估範圍的規定,同時強調必須遵守國家對數據出境採取的相關措施。
值得注意的是,中國的法規也考慮到了數據跨境傳輸的靈活性和實際需求。 例如,《促進和規範數據跨境流動規定》第五條列舉了無需申報數據出境安全評估的情况,以及第六條關於自由貿易試驗區負面清單的規定,這些規定為數據跨境傳輸提供了一定的豁免空間,體現了中國在資料管理和利用方面的開放態度和創新思維。 《條例》以及這些規定不僅為資料處理者提供了明確的指導,也為數據的跨境流動提供了法律保障,確保了資料安全和個人資訊權益的保護。
第六章網絡平臺服務提供者義務
《條例》在本章中創新性地以法條形式將“網絡平臺服務提供者”從“網絡資料處理者”的範疇中單獨劃分出來。 根據《關於進一步壓實網站平臺信息內容管理主體責任的意見》《網絡安全標准實踐指南——大型互聯網平臺網絡安全評估指南》等相關規定,網絡平臺是傳播網絡資訊內容的主要載體以及虛擬空間。 《條例》第六十二條對“大型網絡平臺”的定義進行了量化,將其用戶規模限定為“註冊用戶5000萬以上或者月活躍用戶1000萬以上”,並對其服務內容進行了描述,包括“業務類型複雜”和“對國家安全、經濟運行、國計民生等具有重要影響”。
第四十條不僅規定了一般安全保障和監督管理職責的承擔主體為網絡平臺服務提供者,還涵蓋了“預裝應用程序的智慧終端設備製造商”以及“協力廠商產品和服務提供者”。 這確保了預裝應用程序在投入使用前必須滿足網路安全和監督管理的要求,同時規定協力廠商產品和服務提供者在違反規定並對用戶造成損害的情况下需對損害承擔相應的責任。 雖然法規並未對三者的責任界限進行明確劃分,但這為實際操作提供了一定的靈活性,並通過第四款鼓勵保險公司提供相關保險,增强了三者應對網路資料損害賠償的能力。
第四十三條明確了“網證”、“網號”的自願使用原則,這一概念首次在《國家網絡身份認證公共服務管理辦法(征求意見稿)》中提出,現已納入《條例》,意味著相關網絡平臺服務提供者需儘快順應相關規定製定“網證”、“網號”的使用規則,並提供相應的便捷服務。
第四十四條至第四十六條針對大型網絡平臺服務提供者的規定,明確了其發佈年度個人資訊保護社會責任報告的職責,以及數據跨境傳輸和其他消極義務的規定。 這些規定與《個保法》第五十八條相銜接,強調了對大型平臺實施更為嚴格的要求。 這些規定旨在加强對大型網絡平臺的監管,確保其在資料處理和內容管理方面的責任感和透明度,同時保護用戶的個人資訊安全和權益。
第七
章監督管理
本章節明確了國家相關部門在網絡資料安全領域的監督管理職責,並對其監督檢查工作設定了明確的執行標準。 具體而言,第五十一條規定監督檢查應遵循“必要性原則”,即監督檢查活動應限定在實現監管目標所必需的範圍內。 同時第五十二條第一款規定避免進行任何非必要的或重複的檢查,以减少對網絡資料處理者的不必要干擾。 此外第五十二條第二款強調了各部門間應實現評估結果的互認,即不同監管部門在進行網路資料安全評估時,應承認並採納其他部門已作出的合法評估結果,以此提高監管效率,避免資源浪費,並確保監管活動的一致性和協調性。 這些規定共同構建了一個高效、協調的網路資料安全監管框架,旨在確保國家網絡資料安全的同時,减少對網絡資料處理者的行政負擔。
第八章法律責任
本章節詳盡規定了網絡資料處理者因違反《條例》以及其他法律法規的規定所面臨的行政處罰措施,包括但不限於責令改正、警告、沒收違法所得、罰款、暫停相關業務、停業整頓、吊銷相關業務許可證或營業執照。 此外,對於直接負責的首長人員和其他直接責任人員,《條例》亦規定了相應的罰款處罰,以强化個人責任。
第五十九條進一步明確了從輕、減輕或不予行政處罰的情形,激勵網絡資料處理者主動採取行動,消除或減輕違法行為造成的危害,及時糾正違法或不規範的行為。 這一規定旨在鼓勵主動合規,促進網絡資料處理者積極履行《條例》規定的義務,同時體現了行政處罰的教育與預防功能。 通過為網絡資料處理者提供改錯的機會,該條款有助於促進行業的自我糾正和自我完善,從而提升整個網絡資料安全管理體系的有效性。
