三万字精读《网络数据安全管理条例》：洞悉数字战役背后的护航力量（中）

作者丨孟洁、殷坤、田梓仪、朱含章

《条例》依托于《网安法》《数安法》《个保法》等上位法，属于国务院发布的行政法规，与上位法共同构成了我国网络数据安全法律体系的主干，又为上位法进行了补充和细化，为上位法的网络和数据安全的相关条款进行具体化、操作化，以便责任主体能够更加有效地执行，也为行政监管提供了具体的执法依据。在整体数据安全管理体系中起到了承上启下、细化落实的关键作用。

《网安法》围绕维护国家网络安全（网络架构、设备和运行安全），对网络运营者提出网络安全保护责任，涵盖了网络基础设施安全、网络产品与服务安全、个人信息保护以及关键信息基础设施运营者（CIIO）保护等内容，强调网络空间的主权和网络运行的安全。《数安法》从国家顶层设计开始，建立了数据安全管理制度，主要聚焦于数据的分类分级管理、数据安全监测和防护、数据跨境传输的管理规则，设定与国家安全、公共利益密切相关数据的保护，以及各类数据处理者的责任与义务。《个保法》主要针对个人信息的收集、存储、使用、处理、传输、提供、公开、删除等环节进行全生命周期的保护，保障个人在个人信息处理活动中的合法权益。

《条例》一方面针对《网安法》中网络运营者处理网络数据时的安全管理措施进行了更加具体和细致的规定，确保其处理的不同类型的数据在网络运营各个方面的安全；另一方面针对《数安法》，《条例》细化了数据处理者的责任、数据处理流程等风险控制措施；进一步细化了数据跨境传输合规机制的条件、明确了不同类型数据的出境要求；针对涉及网络数据处理的组织和个人，特别是网络平台、应用服务提供者等企业，进一步细化了他们在收集、存储、传输、提供、委托处理、删除数据时的具体安全要求。结合了上述两法，《条例》还提出了更加详细的技术措施和操作细节，例如加密、备份、访问控制、安全认证等，确保数据在不同处理阶段的安全。特别是对网络数据的处理提出了更高的要求，强调网络数据处理者在收集、存储、使用、传输时，必须采取必要技术手段防止数据泄露、篡改等安全事件。明确要求重要数据处理者定期对数据处理活动进行安全风险评估并报送风险评估报告，尤其是当数据处理活动涉及提供、委托处理、共同处理重要数据时，必须对潜在的安全风险进行评估。此外，《条例》也会依据《个保法》中的基本原则进行数据安全管理的细则制定，两者在适用中形成互补。只是《个保法》以个人权益保护为核心，《条例》则更关注整体数据（包括个人信息）的安全性管理和风险防控。两者在实际操作中，需要综合理解和遵守，以确保数据处理活动的合法性和合规性。

相较于上位法，《条例》也存在一些相对独特的内容。例如，《数安法》适用范围广泛，涵盖所有从事数据处理活动的个人、企业和政府机构，无论其是否与网络相关；《条例》进一步明确了适用对象为网络数据处理者，包括网络平台、应用服务提供者和其他涉及网络数据处理的主体。其规定的内容主要集中在对网络环境中的数据处理进行安全管理。并且《条例》明确了多个管理部门（如网信办、工信部、公安机关等）在数据安全管理中的具体职责与分工。《网安法》第五十九条至第七十五条对网络运营者未履行安全义务规定了相应的处罚，包括行政处罚、民事赔偿以及其他法律责任；《数安法》第四十四条至第五十二条对违反数据安全规定的行为也规定了警告、罚款等行政责任、民事责任以及其他法律责任。《条例》虽然也规定了行政处罚、民事赔偿以及其他法律责任，但是对违反网络数据安全规定的处罚措施根据违规行为的性质、影响程度等进行了比较详细的分级规定。详细分析请见正文部分。

《条例》的出台，旨在进一步规范网络数据处理活动，保障数据安全，促进网络数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益。本文将基于《条例》的整体框架，对《条例》进行分析解读。

《条例》第二条延续《网安法》《数安法》《个保法》等上位法规定，明确其适用于中华人民共和国境内利用网络开展的网络数据处理活动及其安全监督管理。

何为“网络数据”？此处的“网络”需要结合《网安法》进行理解，即由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。另外，根据《条例》第六十二条第一款，网络数据是指通过网络处理和产生的各种电子数据。结合上述定义，网络数据具备两方面要素：一是，它指向于电子数据，相较于《数安法》中对于数据更广的定义（即“任何以电子或者其他方式对信息的记录”），《条例》将其管辖的范围仅限定于以电子方式记录的数据；二是须通过网络处理和产生，此处的网络应既包括互联网也包括局域网。

另外，《条例》还明确适用于境外开展网络数据处理活动的场景。《数安法》第二条规定了特定情形下的域外适用效力，即以“后果论”为标准，如果境外的数据活动对我国国家、社会、公民利益造成损害的，相关组织和个人应被追究法律责任。《个保法》第三条第二款规定，以向境内自然人提供产品或者服务为目的，或者分析、评估境内自然人的行为，即使处理活动位于境外，也适用《个保法》。《条例》第二条第二款表明其同样适用《个保法》第三条第二款的情形；倘若不构成《个保法》第三条第二款的情形，但是处理活动（无论是个人信息还是非个人信息）损害国家安全、公共利益或者公民、组织合法权益的，也适用《条例》。这体现出《条例》融合了《数安法》以“后果论”适用的域外长臂管辖的精髓。同时，《条例》第五十四条明确规定，境外的组织、个人从事危害中华人民共和国国家安全、公共利益，或者侵害中华人民共和国公民的个人信息权益的网络数据处理活动的，国家网信部门会同有关主管部门可以依法采取相应的必要措施，这也进一步彰显我国以国家利益为主导掌握数据安全主动权的坚定信念。

此外，《条例》沿袭了《个保法》的规定，同样认为自然人因个人或者家庭事务进行的个人信息处理活动不被适用。《条例》还指出，开展涉及核心数据、国家秘密、工作秘密的网络数据处理活动十分特殊，应当依据国家专门法规或者规定执行，也排除于本《条例》的适用范围。

《条例》的规制对象覆盖面广泛，主要包括境内网络数据处理者、境外网络数据处理者，以及既作为监管主体又作为被约束主体的监督管理机构。《条例》还认为在跨境数据流动背景下，境外数据接收者的合规管理同样不容忽视，特别是在处理涉及国家安全、个人隐私和重要数据时，需满足《条例》的特殊要求。总体来看，这些主体的合规行为将直接影响整个网络数据安全管理的秩序与有效性。《条例》通过对多元主体的规制，为不同场景和角色下的数据处理行为设定了明确的红线。这种全方位、多层次的监管模式，既体现了立法者对保障网络数据安全的决心，也标志着国家在数字安全领域的法治化进程上又迈出了坚实一步。然而，《条例》的实施对企业的合规管理提出了前所未有的挑战，不同类型的主体需要投入更多资源与精力去理解并遵守复杂的法律要求。如何在合规与发展之间找到平衡，将成为企业在未来发展中必须面对的重要课题。

根据《条例》第六十二条，网络数据处理者，是指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织。根据网络数据处理者处理数据的地域，可将其划分在中华人民共和国境内开展网络数据处理活动的处理者与在中华人民共和国境外开展网络数据处理活动的处理者；根据处理数据类型不同，网络数据处理者可分为重要数据处理者以及个人信息处理者。此外，根据网络数据处理者提供的业务类型不同，网络数据处理者涵盖了网络服务提供商、网络平台服务提供者（其中根据平台规模的大小，还可区分出大型网络平台服务提供者）、预装应用的智能终端设备生产者、应用程序分发平台、网络身份统一认证公共服务平台等广泛群体。

网络数据处理者需要承担一般性的安全、合规义务与主体责任，通常不难理解。但在特殊场景和情形下，其义务及责任还可能提升和加重。具体来说：首先，当网络数据处理者因为处理了某些特殊类型的数据而需要承受比一般性合规义务更重的责任。例如其处理活动涉及重要数据或者敏感个人信息，或者开展委托处理或者共同处理活动但涉及电子政务活动和政务数据、公共服务系统和公共数据，那么网络数据处理者的合规义务将会由此升级。其次，若相关运营主体在开展业务过程中提供了网络产品与服务，或者利用网络数据面向社会提供产品或者服务，那么这些网络数据处理者都因将受保护客体的特殊性而被施加特殊义务。再者，如果网络数据处理者的某些行为较为特殊，例如使用了技术类工具收集或访问网络数据、利用网络数据向公众进行个性化推荐、使用生成式人工智能工具向公众提供服务，那么上述处理者需要遵守更高的合规义务，以保证数据处理的安全性。最后，如果网络数据处理者向境外提供产生或者来源于境内的个人信息或者重要数据，或者由于公司实体结构发生变更（如因合并、分立、解散等）而需要转移网络数据，那么该网络数据处理者也需提前履行相应的合规义务，以避免因处理活动可能产生的风险。

根据《条例》，重要数据处理者，是指处理特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据的个人、组织。重要数据处理者本身也属于网络数据处理者中的一类，其因处理的数据量大、数据敏感性强、潜在风险高，一旦泄露、滥用或破坏，可能会对国家安全、社会稳定或经济秩序产生严重后果，因而受到更加严格的监管。因此《条例》也因此在第四章针对重要数据处理者的义务进行了专章规定，要求内部建立严格的安全管理制度，包括识别与申报重要数据、明确网络数据安全责任人和管理机构、以及针对责任人和关键岗位人员进行背景审查；提供、委托处理、共同处理重要数据前，应当进行风险评估；涉及合并、分立、解散、破产等情形，应当采取措施保障网络数据安全，并向相关主管部门报告重要数据处置方案；定期开展安全风险评估并向相关部门报送风险评估报告等。

《条例》以专章的形式对网络平台服务提供者的责任和义务进行了明确规定。对于网络平台服务提供者，《征求意见稿》使用了“互联网平台运营者”的概念，将“互联网平台运营者”定义为向用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。此次《条例》对网络平台服务提供者并未进行明确定义，而是直接沿用了《未成年人网络保护条例》中的描述，同时又为满足全文表述一致性的要求，使用了《条例》网络数据处理者中的“网络”这一概念。结合《条例》第四十条和第四十一条的规定，预装应用的智能终端等设备生产者、提供应用程序分发的服务提供者，都需要适用网络平台服务提供者的相关规定。

相较于《征求意见稿》，此次《条例》对于网络平台服务提供者的义务和责任有所放宽，例如，前文中所述《征求意见稿》曾要求网络平台在平台规则的重大修订前向社会公开征求意见不少于30个工作日，超大型网络平台需要报请主管部门同意等，此次《条例》已不再体现。单设第六章明确网络平台服务提供者义务（取代《征求意见稿》互联网平台运营者义务），通过七个条款，分别规定了一般网络平台服务提供者和大型网络平台服务提供者的责任和义务。

针对一般网络平台服务提供者，《条例》第四十条第一款要求其必须通过平台规则或合同形式明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务。这意味着网络平台需要对第三方产品和服务的网络数据安全履行平台监督义务，确保他们接入平台提供的服务能够采取足够的技术和管理措施来保护数据安全。《条例》第四十条第二款进一步明确了预装应用程序的智能终端设备生产者也同样适用《条例》第四十条第一款，即预装应用程序的智能终端设备生产者需要对预装应用程序的安全性起到整体管理责任，在接入预装应用前应确保预装应用能够符合法律法规的要求。此外，根据《条例》第四十条第三款，第三方产品和服务提供者违反法律、行政法规的规定或者平台规则、合同约定开展数据处理活动，对用户造成损害的，各方应当依法承担相应责任。这里首先应当注意的是，立法者在第三方产品和服务违反法定与约定义务之间用了“或者”而不是“和”和“以及”，代表消费者只要主张平台内的第三方产品和服务提供者违法或者违约，只要二者未遵守其一，相关责任人即应当按照过错承担责任。预装应用程序若违法或违约，也应适用此规则。其次，如前所述，此前《征求意见稿》第四十四条第二款规定，第三方产品和服务提供者对用户造成损害的，用户可以要求平台运营者先行赔偿。此次《条例》第四十条第三款不再要求平台运营者先行赔偿，一定程度上体现了对于网络平台服务提供者责任的放宽，但各方可能需要在损害责任认定以及赔偿比例分担方面进行举证和主张。最后，值得注意的是，《条例》第四十条最后一款还鼓励保险公司开发网络数据损害赔偿责任险种，以增强网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端设备生产厂商的风险抵御能力，为义务方积极履行损害赔偿责任、为用户提出正当救济权利均提供了保障。

除上述三类网络平台服务提供者以外，《条例》第四十一条还对应用程序分发服务这一类网络平台服务提供者（例如苹果的App Store、安卓的Google Play、华为应用市场等）提出了相关要求。首先，应用程序分发平台应当建立应用程序核验规则并开展网络数据安全相关核验。其次，当该类平台发现待分发或者已分发的应用程序不符合法律、行政法规的规定或者国家标准的强制性要求的，应当及时采取警示、不予分发、暂停分发或者终止分发等措施。以上规定意味着，应用分发服务的网络平台服务提供者需要制定一套针对应用程序的审核标准，确保这些应用程序在上架前和运营中不会存在危害用户隐私、数据安全或影响网络安全的风险，特别是涉及用户数据的收集、存储、传输等方面的安全措施。除发布规则外，在应用程序上架到应用商店或在运营过程中，应用商店还需要对这些应用进行定期或不定期的安全检查。例如，应用程序在首次运行时，是否弹出符合规范的隐私政策，是否告知用户其将收集哪些个人信息。如果应用程序涉及跨境数据传输，是否符合相关的跨境数据传输规定。应用程序是否明确规定了数据的保存期限、删除机制、用户对其个人数据的控制权等内容，如果隐私政策不清晰或不符合要求，应用商店应拒绝该应用上架。此外，还应核查应用程序在与其服务器通信时，是否使用了安全的加密协议（如HTTPS），如果应用程序通过明文传输用户的聊天记录或照片，应当拒绝上架。当应用程序请求了过多的系统权限，平台应进一步核查这些权限是否合理，例如，当一个社交应用程序要求访问用户的通话记录，且未能给出合理的解释或无法向用户解释其用途，应用程序分发平台应要求该应用修改或拒绝其上线。如果涉及金融类应用，应用程序分发平台还应检查应用程序是否对用户的账户信息、交易记录等进行了端到端加密、是否采取了有效的账户保护措施，例如多因素身份验证（MFA）、密码强度要求、是否安装了防止身份盗用、异常交易监控等功能，以减少网络诈骗和数据泄露的风险。并且，应用程序分发平台还应使用自动化安全工具检测应用是否存在已知的安全漏洞或风险，譬如是否有被恶意代码注入的可能。如果相关应用程序存在能够被恶意攻击者利用的安全漏洞，应用程序分发平台应要求开发者修复后再重新提交。

《条例》第四十三条明确国家推进网络身份认证公共服务建设，按照政府引导、用户自愿原则，鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份。2024年7月26日，公安部和网信办曾发布《国家网络身份认证公共服务管理办法（征求意见稿）》并提出了“网号”“网证”的概念，以规范网络空间中的身份认证服务，确保在网络活动中的真实身份可追溯，防止虚假身份、匿名使用网络服务所带来的网络安全风险。此次《条例》以《个保法》《网安法》中关于网络实名制认证的要求为基础，从行政法规层级上明确了立法态度，为未来《国家网络身份认证公共服务管理办法》的正式出台明确了方向，以便推动国家级的网络身份认证平台的建设。目前《条例》对用户使用国家网络身份认证公共服务登记、核验真实身份信息持鼓励支持的政策，实则当用户在使用特定网络服务（例如社交媒体注册、在线支付、网络购物、网络游戏、网络评论等）时，通过国家认证平台的统一技术标准进行真实身份信息，包括姓名、身份证号码等内容的校验，能确保所验证的身份信息准确、真实。因此，身份认证服务网络平台提供者在提供此服务的过程中需要承担用户实名制认证中的管理责任，若发生信息泄露或违规行为，相关方需要承担法律后果。

《条例》在本章中还提到了另一类网络平台服务提供者，即大型网络平台服务提供者。关于如何认定“大型”的门槛，根据《条例》第六十二条定义，大型网络平台是指注册用户5000万以上或者月活用户1000万以上，业务类型复杂，网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。相比于此前《征求意见稿》对于大型互联网平台运营者的定义（用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者），《条例》将用户规模大分成两个维度理解，其一为用户注册数量多，其二为用户月活程度高。此次设定的数量门槛并没有采取此前讨论过的《互联网平台分类分级指南（征求意见稿）》和《互联网平台落实主体责任指南（征求意见稿）》中对大型、超大型平台以年活跃用户的计数标准，也未纳入市值（估值）作为衡量规模的尺度。《条例》虽然保留了“业务类型复杂”这一考量因素，但使用“网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响”取代了《征求意见稿》中“具有强大社会动员能力和市场支配地位”这一要素，主要是从受影响主体的广度和潜在风险的严重程度出发进行考量，而不仅看平台的规模和其在市场上的垄断和支配能力，确保对用户数据和公共利益产生重大影响的平台能够承担更严格的合规要求。因此，符合前述条件的网络平台提供者应当遵守《条例》第四十四条至四十六条的要求，包括每年度发布社会责任报告、不得实施差别待遇、不得无正当理由限制用户访问和使用网络数据、不得以误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据等。这也与《个保法》对大型互联网平台责任加重的规定一脉相承，其中对涉及处理大量个人信息的运营者，要求其建立独立的个人信息保护机构，并定期进行外部审计。特别地，《条例》第四十六条还兼容了《反垄断指南——关于平台经济领域的反垄断指南》《平台经济反垄断指南（草案）》《国务院关于促进平台经济规范健康发展的指导意见》《关于推动平台经济健康发展的实施意见》等立法精神，对用户基数庞大的平台，明确要求其承担更多的社会责任，以消除这些平台可能利用网络数据、算法、平台规则等从事对用户产生不合理差别待遇等反竞争行为。并且，企业也应结合《互联网信息服务算法推荐管理规定》《关于加强互联网信息服务算法综合治理的指导意见》等规定理解《条例》内容，主管机构有可能依据《条例》及其他法规进一步加强对算法治理和公开透明实践的监管，规范大型网络平台服务提供者在使用算法进行信息推送、个性化推荐等服务时的合规义务。

虽然政府部门本身不是被直接规制的对象，但它们在执行条例、进行数据监管和执法过程中也受到相应的约束和监督。《条例》第七章主要围绕网络数据安全监督管理的职责划分、监督检查机制、衔接和互认等方面进行了详细规定。虽然从文章体系角度，应当将监管机构的监督管理放置于责任章节之前，但由于监管机构本身也是条例的受监督对象，从避免赘述的角度，我们统一放在此处进行梳理和解读。

从职责分工来看，根据《条例》第四十七条、第四十九条以及第三十七条，国家网信部门负责统筹协调数据安全和相关监督管理工作；统筹协调主管部门及时汇总、研判、共享、发布数据安全风险相关信息；统筹协调网络数据安全信息共享、风险和威胁监测预警、安全事件应急处置；同时统筹协调有关部门建立国家数据出境安全管理专项工作机制，研究制定国家网络数据出境安全管理相关政策，协调处理网络数据出境安全重大事项。公安机关、国家安全机关在各自职责范围内承担数据安全监管职责，依法防范、查处、打击危害国家安全、公共利益的网络数据安全违法行为和犯罪活动。各地区和行业主管部门承担所在区域、行业和领域的数据安全监管职责，明确本领域、本行业网络数据安全保护工作机构的设定、统筹制定并组织本行业、本领域网络数据安全事件应急预案、定期组织开展本行业、本领域网络数据安全风险评估，并对网络数据处理者履行网络数据安全保护义务的情况进行监督、检查（包括《条例》第五十条要求数据处理者出具情况说明、查阅文件和记录、检查设备物品和数据安全措施的运行情况等）并指导、督促其整改相关风险隐患。

值得注意的是，《条例》第四十七条第三款还提及了国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责。对此，可结合2023年中共中央、国务院发布的《国务院关于提请审议国务院机构改革方案的议案》和《国务院机构改革方案》中对国家数据局在安全管理职能方面的描述进行理解，文件特别提及国家数据局将承担“数据安全和数据开发利用的统筹监管职责”，为全国范围的数据管理和安全工作提供指导和规范。

《条例》第七章通过四个条款说明了各监管机构之间的职责分工，而后通过第五十一条、第五十二条和第五十三条对监管机构执法工作提出了管理要求。首先，第五十条第二款、第五十二条第二款，强调了各类监管机构工作之间应当配合、衔接和互认，包括个人信息保护合规审计、重要数据风险评估、数据出境安全评估等，避免企业对于此类评估或审计工作存在重复作业的情况。同时，针对重要数据风险评估和网络安全等级测评涉及内容重合的部分，认可相关结果之间互相采信的方式，降低企业合规成本和人力、物力的重复铺设。除此以外，针对监管机构在开展执法监督过程中的行为与措施提出严格要求，譬如，有关主管部门开展网络数据安全监督检查，应当客观公正，不得向被检查单位收取费用；在网络数据安全监督检查中不得访问、收集与网络数据安全无关的业务信息，获取的信息只能用于维护网络数据安全的需要，不得用于其他用途；不得将知悉的个人隐私、个人信息、商业秘密、保密商务信息等网络数据泄露或者非法向他人提供，应当依法予以保密。未履行《条例》中规定的上述要求，相关主管机关会根据《条例》第六十条的规定被依法追究法律责任。

《条例》第二章“一般规定”作为本法规的核心章节，为我国网络数据处理活动提供了系统的规范框架。该章从多个维度对网络数据的处理、保护和管理进行了详细规定，涵盖了非法活动的禁止性要求、网络数据处理者的责任、产品和服务的安全性要求、应急预案的制定、国家安全审查、自动化工具使用限制以及针对生成式人工智能服务安全管理等方面内容。在充分吸收《征求意见稿》及公众意见的基础上，相较于之前的《个保法》《数安法》和《网安法》，本章呈现出一系列值得关注的要点。具体分析如下：

相较于《征求意见稿》，《条例》第八条释明了何为利用网络数据从事非法活动的行为，具体涵盖窃取、以非法方式获取、非法出售及非法提供网络数据。同时，《条例》特别强调，任何个人和组织都不得提供专门用于非法活动的程序、工具；如果明知他人从事此类非法活动，也不得为其提供任何形式的技术支持或帮助，具体包括互联网接入、服务器托管、网络存储、通讯传输以及广告推广和支付结算等技术支持和服务类型。这一修订对《网安法》第二十七条、《数安法》第三十二条中所禁止的危害网络安全行为和从事非法网络数据处理活动又进行了细化，提高了法律法规的可操作性和对非法从事网络数据处理活动的打击精度。

与现行《数安法》相比，虽然《数安法》第四章规定了数据处理者的安全保护义务，但未详细列明非法技术支持和服务提供的具体内容，而“非法网络数据活动”的背后往往涉及多种技术支持，包括互联网接入、服务器托管、网络存储和通讯传输等。《条例》新增规定对此进行了补充，若相关网络数据处理者及其相关技术支持者在明知是非法活动的情况下仍然予以协助或者提供支持的，则都可能会被认为违反本《条例》规定。例如，某个网络服务提供商明知其客户（如“丝绸之路”）从事非法活动，仍继续为其提供互联网接入服务，那么该服务提供商可能面临法律责任；如果某托管公司为一个非法运营的网站（例如销售非法商品的暗网市场）提供服务器支持，并且在知晓该网站从事非法活动后未能及时切断服务，这类行为也可能违反《条例》；类似的，提供云存储服务的公司如果已经知道存储了非法平台的数据或内容（例如非法交易记录或用户信息），而没有采取行动进行切断和报告，也可能触犯该法规；又如，平台之间或用户与平台之间的非法通讯，如果得到了技术层面的帮助，例如通过加密传输系统或私有通讯网络帮助非法活动规避监管，对被协助事宜事先知悉的技术提供方也可能受到法律追责。

《条例》第九条要求网络数据处理者在网络安全等级保护的基础上，建立健全网络数据安全管理制度，加强网络数据安全防护手段，处置网络数据安全事件，防范针对和利用网络数据实施的违法犯罪活动，这说明国家希望通过技术手段和管理制度相结合的方式，提升网络数据的安全防护水平。并且，该条强调了网络数据处理者对其所处理的网络数据安全承担主体责任，一旦发生数据泄露、篡改或非法获取等安全事件，网络数据处理者将直接面临法律责任。这不仅迫使企业在遵守《信息安全等级保护管理办法》《信息安全技术 网络安全等级保护基本要求（GB/T 22239-2019）》等法律法规和标准的基础上，根据不同数据的特点和风险程度，加强安全投入，采取动态的网络数据安全保障措施，防止网络数据被违法犯罪分子利用，也反映出国家在应对日益复杂的网络安全威胁时，采取了更为系统、全面的治理思路，对企业提出了更高的安全管理要求。

《条例》第十条对网络数据处理者提供网络产品和服务提出了安全性要求。相较于《征求意见稿》及此前发布的《网络产品安全漏洞管理规定》，《条例》第十条更加注重提升整体网络安全水平、保护用户权益，不仅与《数安法》保持了一致标准，强制性要求网络产品和服务须符合国家标准，而且规定当存在安全缺陷、漏洞等风险时，应立即采取补救措施，并及时告知用户、报告主管部门。相比之下，《网络产品安全漏洞管理规定》仅规定了网络产品提供者在发现或获知安全漏洞后2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关信息。此外，《条例》还要求在涉及国家安全和公共利益时，网络数据处理者应具备快速响应能力，当安全缺陷、漏洞等风险涉及危害国家安全、公共利益时，网络数据处理者须在24小时内向有关主管部门报告。这与2023年12月8日网信办发布的《网络安全事件报告管理办法（征求意见稿）》要求对较大、重大或特别重大网络安全事件在24小时内补报相关情况和《计算机信息系统安全保护条例》要求在24小时内向当地县级以上人民政府公安机关报告计算机系统中发生的案件存在异曲同工之处。实践中，对无任何风险应对经验的企业来说，履行24小时内的网络风险报告义务存在一定的压力，因此建议相关企业在日常管理中做好充分的准备和演练。

针对网络安全事件的报告和通知，《网安法》第二十五条中已明确要求网络运营者应当事前制定网络安全事件应急预案，并在发生网络安全事件时立即启动该应急预案，防止危害扩大，并按照规定向有关主管部门报告。《数安法》也提及了发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。相较于《征求意见稿》，《条例》删除了安全事件报告的具体时间要求（如“在发生安全事件的八小时内”和“在事件处置完毕后五个工作日内”），而是采用了更为原则性的表述，这可能是为了给予网络数据处理者根据事件的具体情况灵活处理的空间，这种灵活性也意味着关于报告程序的具体要求将依赖于《网络安全事件报告管理办法》正式稿的出台。除了制定应急预案和向主管部门报告、通知受影响主体，《条例》第十一条还增加了网络数据处理者在处置网络数据安全事件过程中发现涉嫌违法犯罪线索时的报案、配合侦查、调查和处置工作的义务。

除此以外，《条例》第二十条还要求面向社会提供产品、服务的网络数据处理者应当接受社会监督，建立便捷的网络数据安全投诉、举报渠道，公布投诉、举报方式等信息，及时受理并处理网络数据安全投诉、举报。通过强化社会监督，鼓励公众积极举报潜在的网络数据安全问题，不仅能够及时发现和解决潜在的网络数据安全风险，还能有效地保障公众在网络数据安全保护中的知情权和参与权。这种双重监督模式有助于提高网络数据安全问题处理的透明度，形成一种更广泛的监督体系，增强网络数据处理者的安全意识和自律性，进而促使其在网络数据安全管理中更加严谨和负责。

首先，《条例》第六十二条对委托处理和共同处理的概念进行了明确。虽然基本定义与《个保法》中的概念如出一辙，但《条例》将处理重要数据也纳入定义范围。针对对外提供或委托处理个人信息和重要数据，《条例》第十二条规定了网络数据处理者必须通过合同等形式与网络数据接收方明确约定处理目的、方式、范围及安全保护义务，并由网络数据处理者对网络数据接收方的履行情况进行监督。同时，相较于《征求意见稿》，《条例》将相关数据处理情况记录的保存期限从“至少五年”缩短为“至少三年”。我们理解，这种调整可能是为了减轻网络数据处理者的合规负担，同时也考虑到了实际操作的可行性和数据安全保护的基本需求。

此外，在电子政务系统以及公共服务系统的委外承建事宜方面，相较于《征求意见稿》，《条例》加强了对政务数据处理的监管和保护要求。第十五条和第十六条明确，一方面国家机关在委托他人建设、运行、维护电子政务系统时，必须经过严格的依法批准程序，国家机关需要监督受托方履行网络数据安全保护义务，确保政务数据的安全。另一方面，国家机关应当通过合同约定，明确受托方的网络数据处理权限、履行网络数据安全保护义务和保护责任，不得在未经委托方同意的情况下对网络数据进行关联分析。这主要是针对许多企业受国家机关委托处理数据的现状进行了更加明确的规制，可结合导读一相关内容进行参考。

《条例》第十四条规定了当网络数据处理者发生因合并、分立、解散、破产等原因需要转移网络数据的情形，其与《个保法》第二十二条的规定类似，都要求接收方继续履行网络数据安全保护义务或者个人信息保护义务。当前，随着资产收购、股权转让和企业破产等商业行为日益频繁，网络数据作为企业的一项重要资产，往往成为交易中不可忽视的部分。然而，在这些商业活动中，数据的安全转移和后续保护往往面临巨大挑战。首先，如果交易仍处于保密状态，若被交易的网络数据涉及个人信息，需要考虑是否对个人进行告知，这取决于交易双方针对原先处理目的、处理方式是否发生变更的商议。其次，针对提供方，需要按照交易条件进行交割，不得擅自留存数据，且在交易前妥善存储被交易的网络数据；针对接收方，则需严格遵循相关法律规定和安全标准，确保在转移过程中的传输安全和最小范围的人员接触，否则交易前或者交易中一旦发生交易数据泄露或遭到非法利用，将可能对交易双方产生重大且无法挽回的影响。特别是在企业破产清算或解散的情况下，很多公司易忽视对剩余数据的安全处理，或未对数据的去向做出明确交代，导致用户个人信息、商业机密，甚至破产企业涉及处理的重要数据泄露风险增大。《条例》第十四条明确要求了公司主体结构产生特殊情况下，数据接收方仍须承担保护责任，从而避免数据因企业破产、分立、解散等而被非法获取或被滥用。

重要数据处理者因合并、分立、解散、破产等可能影响重要数据安全的，《条例》第三十二条另有规定，我们将在下文进一步分析。

与《生成式人工智能服务管理暂行办法》第七条中的规定相衔接，《条例》第十九条要求提供生成式人工智能服务的网络数据处理者加强针对训练数据的安全管理。数据质量和安全直接决定了模型的表现和风险，因此《生成式人工智能服务管理暂行办法》要求服务提供者使用具有合法来源的数据和基础模型，且在涉及处理个人信息时，应当事先取得个人同意或者符合法律法规的其他情形。在实际操作中，生成式人工智能的应用已渗透到各个行业，如自动化文本生成、图像生成、聊天机器人等。一旦训练数据包含有害、不合规信息，或者处理不当，生成的内容便有可能出现偏见、错误，甚至侵犯个人隐私、侵犯他人权益。因此，网络数据处理者有责任从源头上加强数据安全管理，通过严格筛选、清理和监管训练数据，降低生成内容的潜在风险。《条例》进一步强调了防范和处置网络数据安全风险的必要性，要求网络数据处理者采取有效措施，对训练数据采取严格的安全措施，如加密存储、访问控制、去标识化等，以防止数据泄露或被不法分子利用。同时，处理者还需要制定完善的应急预案，及时处置因数据不当使用引发的网络安全事件或数据合规风险，防范各种安全隐患。

此外，《条例》第十八条明确地规范了网络数据处理者在使用自动化工具访问和收集网络数据时的行为。根据该条规定，《条例》间接承认了自动化采集工具本身的技术中立性，因此要求网络数据处理者在使用自动化工具前应当进行风险影响评估，此外，《条例》明确要求不得利用爬虫等自动化采集工具非法侵入他人的网络或干扰第三方网络服务的正常运行。《数据安全管理办法（征求意见稿）》第十六条规定，当采用爬虫技术访问收集流量超过网站日均流量三分之一时，可能会被认为“严重影响网站运行”。但《条例》没有纠结究竟多大流量构成干扰网络正常运行，实践中网络数据处理者也往往没有能力测试到被爬网站的流量数量，原有规定反而造成不少网络数据处理者的困惑，甚至权利人凭借此条寻求救济的也寥寥无几。与《条例》第十八条相媲美的还有《网络反不正当竞争暂行规定》，其明确规定利用技术手段，非法获取、使用其他经营者合法持有的数据，妨碍、破坏其他经营者合法提供的网络产品或者服务的正常运行的行为，可能构成不正当竞争，从反不正当竞争的角度规范爬虫等自动化采集数据的行为。

然而，自动化工具和生成式人工智能服务的技术复杂性较高，如何科学合理地评估其影响并进行有效的监管，有赖于实践层面进不断探索和总结。此外，《条例》还进一步规定了利用自动化采集技术采集非必要个人信息的影响和相关处置措施，我们将在下一章节中进一步分析。

《条例》第三章在《个保法》及其他个人信息保护相关法律法规和标准的基础上，进一步细化了个人信息处理活动中的告知义务、同意的获取、主体权利的保障以及跨境数据流动等方面的要求。特别地，《条例》针对自动化采集技术的应用和“数据可携带权”，提出明确具体的执行路径。此外，相较于《征求意见稿》，本章内容在个人信息保护规则上进行了优化，更加注重实践中的可行性，体现了我国在数字经济背景下对个人信息保护的重视和对国际立法趋势的积极回应，具体关注要点如下：

首先，《个保法》第十七条规定了处理个人信息时，个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项，《条例》第二十一条进一步细化了上述规则。在告知上，《条例》明确了个人信息处理规则的展示方式，即“集中公开展示”“易于访问”“置于醒目位置”。同时，对于网络数据处理者向其他网络数据处理者提供个人信息的情况，《条例》要求以清单等形式予以列明，这一规定与2021年11月工业和信息化部发布的《关于开展信息通信服务感知提升行动的通知》中提出的“双清单”制度相呼应。上述通知要求相关企业建立“已收集个人信息清单”和“与第三方共享个人信息清单”，以增强用户对个人信息处理活动的感知和控制。而《条例》的出台，标志着来源于工信部规范性文件的“双清单”制度已经正式上升到了行政法规层面规范的内容。在告知内容上，除《个保法》中提到的基本信息外，《条例》还特别指出需包含处理敏感个人信息的必要性及对个人权益的影响、个人信息保存期限及其确定方法等内容。我们理解，这一调整有利于提高个人信息主体对自身合法权益被侵犯风险的认知水平，同时也促使网络数据处理者在设计产品时应充分考虑隐私保护的因素。

值得注意的是，相较于《征求意见稿》，《条例》第二十一条中对于个人信息保存期限的规定更加灵活。针对难以事先确定保存期限的情况，允许网络数据处理者根据实际情况制定具体的确定方法，这种灵活性既保证了个人信息主体的信息安全，又给予了网络数据处理者一定的操作空间。从落地角度，企业可基于内部数据存储策略，在个人信息处理规则中明确具体的存储期限，也可将确定存储期限的流程和要求向用户进行告知。

最后，《条例》第二十一条沿袭了《儿童个人信息网络保护规定》的规定，特别指出对于不满十四周岁未成年人的信息处理需要具备专门的个人信息处理规则。考虑到儿童作为特殊群体，在使用互联网服务时往往缺乏足够的判断力和自我保护能力，因此给予他们额外的关注具有必要性。

《条例》第二十二条建立在《个保法》第十三条合法性基础上，但特别针对“同意”这项合法性基础进行了重申并细化了具体要求，包括同意的表达应当“自愿”、同意的范围应该符合必要性、当个人信息的处理目的、方式、种类发生变更的，应当重新取得个人同意。该条第一款第五项还规定“不得在个人明确表示不同意处理其个人信息后，频繁征求同意”。在实践中，一些应用程序或网络数据处理者可能会采用不断弹出请求窗口的方式，试图改变用户的决定，这种行为不仅干扰了用户体验，也违背了用户的真实意愿，即使用户无奈最后按了“同意”键，但这样的同意应当属于“无效”的同意。与《信息安全技术 个人信息安全规范（GB∕T 35273-2020）》第5.3条d) 项规定相呼应，这个规定有利于减少网络数据处理者利用模糊规则进行反复请求的机会，从而避免相关用户受到不必要的打扰，能够有效提升整体用户体验。针对处理除儿童个人信息以外的敏感个人信息，《条例》还规定应当取得个人的单独同意或者法律、行政法规规定的书面同意；针对处理儿童个人信息，《条例》要求网络数据处理者应当取得未成年人的父母或者其他监护人的同意。以上规定连同《条例》第二十三条个人行权要求，均未超出《个保法》的相关规定。

“数据可携带权”作为一类新型权利，在借鉴欧盟《通用数据保护条例》（GDPR）立法经验的基础上，《个保法》第四十五条第三款仅对其做出原则性的界定，即个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。然而，何为“国家网信部门规定的条件”，《个保法》并未公布其解。并且，《个保法》实施后，由于缺乏实施细则，实践中，要实现此条的操作技术难度也较高，因此企业目前仅实现了“数据可携带权”的一半含义，即“副本下载”，尚未能充分实现另一半立法本意，即数据向第三方产品和服务提供方实现完全移送。

《条例》第二十五条首次以立法形式细化了个人信息转移请求的实现途径，使得个人信息转移请求不再是抽象的原则。这不仅提高了法律条文的可执行性，还减少了因解释模糊而产生的争议。具体而言，该条明确规定个人信息转移请求的条件，须涵盖请求人的真实身份验证、待转移个人信息的范围（仅限于本人同意或基于合同约定部分）、具备可转移此个人信息的技术可行性及保护其他相关方合法权益的要求，这一规定为网络数据处理者提供了清晰的操作指南，对《个保法》第四十五条第三款预留的伏笔进行了填补。此外，为平衡转移方与转入方的利益，例如由于用户请求多次转移，使网络数据处理者发生了额外的运营和技术成本，法规允许网络数据处理者在评估后向提出请求的用户主张超出合理范围的必要费用。在评估前述问题的过程中，网络数据处理者可以引入个人信息保护影响评估等流程，以便评估与平衡转移行为对个人信息主体权利和他人合法权益可能造成的影响。

即使前文已经针对《条例》第十八条关于使用自动化工具访问、收集网络数据的规定进行了分析，《条例》第二十四条又针对使用自动化采集技术等手段无法避免采集到非必要个人信息或者采集了未依法取得个人同意的个人信息等情况提出了解决方案——即删除或匿名化处理此类不合规信息。此外，《条例》还特别考虑了实践中的复杂性和多样性，对于法律、行政法规规定的保存期限未届满或者凭借网络数据处理者当时的技术手段和经验难以实现删除的，允许网络数据处理者停止除存储和必要的安全保护措施之外的处理活动。这种灵活的处理方式既为网络数据处理者提供了在特定条件下合理的应对策略，从而避免了过于僵化的法律规定给实际操作带来的困难，又敦促网络数据处理者仍然有义务采取必要措施妥善管理和保护个人信息，并且更加谨慎地对待自动化采集过程中可能产生的非必要信息，防止用户个人信息被滥用或泄露。

《条例》第二十六条主要适用于境外网络数据处理者处理中国境内自然人个人信息的情形，特别强调个人信息保护层面的责任落实。这体现了中国对境外数据处理活动的监管力度不断加强，并释放出明确的信号：境外网络数据处理者不仅要符合当地法律，还必须遵守中国的数据保护法律法规，这也为国际企业在华运营（特别是在中国境内未设立法人实体、办事机构，且服务器部署于境外但收集中国境内个人信息的企业）提供了清晰的合规指引。该条首先要求境外网络数据处理者按照《个保法》第五十三条的要求，在境内设立专门机构或指定代表，并向所在地的市级网信部门报送相关信息，如机构名称、代表姓名及联系方式。这一要求旨在确保境外企业处理中国境内用户个人信息时有具体的责任主体可以追溯和监管，防止出现个人信息管理的“真空地带”，确保数据保护法律法规能够得到有效执行。其次，该条明确了具体的报送对象为“设区的市级网信部门”，增加了信息共享和协同监管的机制，规定接收到信息的网信部门应当及时通报同级有关主管部门，从而增强信息透明度，便于各监管部门在发现数据泄露、滥用等安全事件时，能够迅速采取应对措施，对违规行为进行及时查处。

关于重要数据的识别和认定，《信息安全技术 重要数据识别指南（征求意见稿）》《数据安全技术 数据分类分级规则（GB/T 43697-2024）》及特定行业的法律规范和标准已提供了一定的指导，但是其中对于特定数量的个人信息能否构成重要数据尚未形成统一标准。《条例》第二十八条明确规定，处理1000万人以上个人信息的网络数据处理者，还应当遵守《条例》第三十条（任命数据安全负责人及管理机构）和第三十二条（合并、分立、解散、破产时的报送义务）中对于重要数据的处理者的规定。相较于《征求意见稿》中100万的量级规定，本次《条例》放宽了认定门槛，这意味着对于处理个人信息数量在100万到1000万之间的企业，可以免于按重要数据处理者的合规要求和监管措施予以执行；同时，《条例》也缩小了适用条款的范围，要求符合条件的网络数据处理者仅遵守《条例》第三十条和第三十二条的规定，而非遵守《征求意见稿》第四章中针对重要数据处理者的所有规定。这反映了立法者在平衡监管力度与企业运营成本之间进行了成熟考虑，避免对部分百万级企业造成过大的合规负担。

三万字精读《网络数据安全管理条例》专题文章将在“M姐 数据合规评论”微信公众号陆续发布，敬请关注——