三万字精读《网络数据安全管理条例》：洞悉数字战役背后的护航力量（上）

作者丨孟洁、殷坤、田梓仪、朱含章

较此前《征求意见稿》，《条例》从整体上呈现出针对产业创新性、鼓励性与技术中立性等事项的监管态度较之前变得相对柔和放松；而针对容易出现安全事件并导致重大风险的事项、应设置事先预防机制的事项、特定主体开展业务、运用相关技术、提供相关产品或服务且可能对网络数据安全产生较大影响等事宜均收紧了监管；针对上位法涉及的流程性事宜或者遗留的待进一步解释明确的条款，《条例》则通过更加精细化的立法技术使其呈现体系性和规范化。当然，《条例》属于行政法规，因此针对应更加系统性规定进行补充和阐明的规则，交由下位法，如部门规章、地方性法规、规章、司法解释等已进行或者将进行规制，当然，此类规则也可通过国家或者行业标准等进行技术支撑。

《条例》中体现出监管释放某种信号、并将温和、放缓地处理相关事宜的条款，例如：鼓励网络数据在各行业、各领域的创新应用（第四条）；积极参与网络数据相关国际规则和标准的制定、促进国际交流与合作（第六条）；支持相关行业组织按照章程制定网络数据安全行为规范，加强行业自律，指导会员加强网络数据安全保护（第七条）；个人信息保存期限难以确定的，明确保存期限的确定方法（第二十一条第一款第三项）；与此同时，《条例》删除了必须于十五个工作日内删除个人信息或者进行匿名化处理的规定；也删除了若技术上难以实现或者因业务复杂等原因，在十五个工作日内删除个人信息确有困难的，数据处理者不得开展除存储和采取必要安全保护措施之外的处理并向个人做出合理解释的条款（《征求意见稿》第二十二条）。

在重要数据处理规定方面，《条例》规定了网络数据安全负责人由网络数据处理者的管理层成员担任，修改了《征求意见稿》要求决策层担任的规定，并且网络数据安全负责人有权直接向有关主管部门报告网络数据安全情况（第三十条第二款），修订了《征求意见稿》要求向网信部门和主管、监管部门反映数据安全情况的要求，减轻了企业在网络数据安全负责人任命和报告义务上的负担；此外，《条例》规定重要数据处理者应当定期组织宣传教育培训等活动（第三十条第一款第二项），取消了《征求意见稿》要求对相关技术和管理人员每年教育培训时间不得少于二十小时的强制性规定；《条例》只要求重要数据处理者每年度对其网络数据处理活动开展风险评估，并向省级以上有关主管部门报送风险评估报告（第三十三条），没有采取《征求意见稿》对年度风险评估的开展设定前提条件、频率、报送时间等详细要求；针对处理特定人数个人信息的网络数据处理者需要同时履行重要数据处理者的部分义务，《条例》将此数量从《征求意见稿》中的100万人提高至1000万人，同时也提高了符合门槛的条件，另外还将《征求意见稿》中要求遵守重要数据处理者的全部义务限定到只需要遵守关键性和关联性最强的两项义务（即第三十条、第三十二条），降低了相关企业的一部分合规成本。

除上述放缓措施以外，《条例》取消了《征求意见稿》要求数据处理者对评估报告留存至少三年的规定，只规定当出现数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的情况时，须将记录至少保存三年（第十二条）；删除了《征求意见稿》第四十一条第三款规定的境内用户访问境内网络的，其流量不得被路由至境外的规定，对CDN等网络加速产业的发展起到了支持和推动的作用；删除了《征求意见稿》第四十三条针对平台规则、隐私政策或对用户权益有重大影响的条款修订前，要求互联网平台运营者在该互联网平台或者行业协会平台面向社会公开征求意见不少于三十日、向用户提供充分表达意见、以易于访问的方式公布意见采纳情况、说明未采纳的理由、接受社会监督的条款；同时，还删除了《征求意见稿》中针对日活用户超过一亿的大型互联网平台在其平台规则、隐私政策的制定或者对用户权益有重大影响的条款修订前，要求大型互联网平台经过国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意的条款。因为实践中互联网平台产品/功能更迭变化之快需要平台规则随之迅速更新，并于上线前获取用户的同意，但是一般很少有用户会在三十日的等待期内提供有效且有价值的意见反馈，并且国家网信部门也未曾认定哪些第三方评估机构可以作为指导部门对平台更新的用户规则和隐私政策进行确认，因此《征求意见稿》的初衷虽好，但落实起来难度较大，因此《条例》对此类条款也进行了删减。此举措体现了在当前形势下，对相关互联网平台的保护与促进，同时，执法的步伐应当相对放宽和放缓。与之相关的条款还有：删除《征求意见稿》中涉及第三方产品和服务对用户造成损害的，用户有权要求平台运营者先行赔偿的条款（《征求意见稿》第四十四条）；鼓励保险公司开发网络数据损害赔偿责任险种，鼓励网络平台服务提供者、预装应用程序的智能终端等设备生产者投保（第四十条）等。

《条例》相较于《征求意见稿》，部分呈现收紧且加强监管态势的条款有：《条例》第八条、第九条针对网络数据处理者的基本义务和保障性措施进行了加严规制；第十条针对风险补救措施、危险情况发生后24小时内的报告义务、制定数据安全事件应急预案等要求进行了明确，以防止危害事件出现后发生不可控的危害后果并因此影响国家安全、社会公共利益以及人民群众权益。同时，《条例》要求针对处理网络数据情况的记录须保存至少三年；网络数据处理者开展任何网络数据处理活动（不限于《征求意见稿》针对处理一百万人以上个人信息的数据处理者赴国外上市和赴香港上市的数据处理活动影响或者可能影响国家安全这二类特定情形），如果存在影响或者可能影响国家安全的情况，均应当按照有关规定进行国家安全审查（也已不仅限于《征求意见稿》第十三条中涉及的网络安全审查），审查范围更加广泛，重点维护国家整体安全。此外，《条例》针对“数据可携带权”规定了网络数据处理者在收到转移个人信息次数超出合理范围的请求时，享有根据其所付出的成本收到必要（而非合理）费用的权利（第二十五条）。针对企业掌握重要数据的认定标准，《条例》与《促进与规范数据跨境流动规定》保持一致，即以相关地区、部门告知网络数据处理者或者公开发布重要数据目录或清单为依据，同时要求网络数据处理者、制定并实施网络数据管理制度，采取加密、备份、访问控制、安全认证等技术措施，并且鼓励网络数据处理者使用数据标签标识等技术和产品（第二十九条）、采取添加标签标识的技术措施（第三十三条）来提高重要数据的安全管理水平；此外，《条例》规定对处理特定重要数据的网络数据安全负责人和关键岗位的人员进行安全背景审查，必要时，可以申请公安机关和国家安全机关协助审查（第三十条）。针对一些特殊属性的技术（自动化采集、自动化决策）或产品（如应用分发程序）、平台（大型网络平台）的服务提供方，《条例》对此施加了须履行更加严格的义务和须受社会监督的责任（第四十一至第四十六条），具体规定将在文章正文中逐一展开分析。《条例》不仅针对网络数据处理者的义务在特定情形下作缩紧规定，针对承担监管职责的主管部门也提出了从严管理的要求。例如，要求有关主管部门开展网络数据安全监督检查应当客观公正，不得向被检查单位收取费用、不得访问、收集与网络数据安全无关的业务信息，获取的信息只能用于维护网络数据安全的需要，不得用于其他用途（第五十一条）；多个主管部门开展网络数据安全监督检查时，应当加强协同配合、信息沟通，避免不必要的检查和交叉重复检查。重要数据风险评估和网络安全等级测评的内容有重合的，相关结果可以互相采信。企业可以在开展个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等各类风险评估工作之间建立一套有效且统一的体系，互相之间进行衔接、切换，避免重复评估、审计（第五十二条），减少企业在人力、财务、物力方面的负担，提升内部合规工作的动力。

针对《征求意见稿》中的某些条款，在历经近三年时间的检验后，《条例》进行了更加细化的处理，起到了对《网安法》《数安法》《个保法》中相关规定更好地支撑与落地的作用。例如，在委托处理场景下，《条例》规定了委托方和受托方应分别履行法定和约定的义务，重点提出了受国家机关委托，建设、运行、维护电子政务系统，存储、加工政务数据的受托方义务（第十五条），以及为国家机关、关键信息基础设施运营者提供服务，或者参与其他公共基础设施、公共服务系统建设、运行、维护等受托方义务的细分场景，这为近期讨论热烈的公共数据授权运营涉及的相关方义务提供立法基础。并且《条例》规定网络数据处理者未经委托方同意，不得访问、获取、留存、使用、泄露或者向他人提供网络数据，不得对网络数据进行关联分析（第十六条）。针对自动化工具访问、收集网络数据的，分别由第十八条和第二十四条进行细化规定；针对使用自动化决策技术向个人推送信息的，《条例》第四十二条进行了细化；提供生成式人工智能服务（第十九条）和面向社会提供产品、服务（第二十条）的网络数据处理者，也分别由《条例》对其进行了细化约束；针对单独设置《儿童隐私保护声明》、在隐私政策外设置“双清单”（第二十一条）、落实个人信息保护合规审计制度（第二十七条），《条例》也都进行了明确；同时还针对“数据可携带权”的实现条件（第二十五条）、重要数据风险评估的内容（第三十一条）进行了详细规定。在对上位法规定颗粒度的细化方面，还涉及针对重要数据的处理者报送风险评估报告的内容；区别于《征求意见稿》，《条例》还处理重要数据的大型网络平台服务提供者报送风险评估报告时还须充分说明关键业务和供应链网络数据安全等情况（第三十三条）；涉及接入平台的第三方产品和服务提供者违规处理数据对用户造成损害的，《条例》区分了网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者，分别应承担的相应责任（第四十条）。同时，《条例》也针对国家不同监管部门的职责进行了分别明确（第四十七条）；针对主管部门可以采取的网络数据安全监督检查措施进行了具体描述（第五十条）。以上规则均将在后文详细分析。

三万字精读《网络数据安全管理条例》专题文章将在“M姐 数据合规评论”微信公众号陆续发布，敬请关注——