寻合规之道，共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

点击 "合规社" > 点击右上角“···” > 设为星标⭐

作者 | Smart

编辑 | 郑烨

探索数据安全要塞，守护数字世界。

——《数据守望》专栏

No.037

《网络数据安全管理条例》，值得关注的十个扩展问题

▽

简要回顾

上篇，对涉及主体对象及他们的职责进行对比分析，包括个人和组织、数据处理者、服务者提供、监督管理者，描述了”国家数据管理部门“的职责内容。

图1:《网数条例》简要框架图

文中总结了个人层面学习法律、标准规范的方法和步骤，一共分解7步，如图2。

特别说明，为什么最后一步研究“出台背景”，一个原因是我们对《网数条例》本身应该逐字逐句的学习，不宜过早了解各种细节故事，容易造成干扰。另外原因是只有真正参与《网数条例》的编写、讨论、修改过程的“国家级专家”，他们清楚具体的“删减和调整”。我们只有在非常熟悉其中内容后，再去了解它背后的故事，更加具备趣味性和更容易理解。

图2：法律法规学习路径图

值得关注的十个扩展问题

《网络条例》与其他法律法规的关系？

《网络条例》主要聚焦网络数据范围，对网络和数据安全领域的三步上位法的衔接和具体化，与《关键信息基础设施安全保护条例》相互支撑，变成“3+2”模式。在数据跨境安全方面，引用了我国目前实际运行的要求，包括个人信息跨境的豁免情形及重要数据应开展风险评估等。相关关系见下图：

图3：《网数条例》与其他法律法规关系

”境内和境外“该如何理解？

“境内”主要指的是中国大陆地区，数据的跨境传输不仅涉及数据在物理上的跨国界流动，还涉及到数据从一个法律管辖区转移到另一个法律管辖区的过程。

这里的法律管辖区不仅包括拥有独立主权的国家，也包括拥有独立司法权的地区。数据从中国大陆流转至香港、澳门等也属于数据跨境行为。

行业与产业分别指什么？

《网络条例》第四条提到“行业和产业”的概念实际比较抽象，把它们扩展方便理解，如下：

行业是指一群相同或相似的公司或组织的集合，它们提供相同类型的商品或服务，或者在相同的市场环境中运作。行业通常根据生产同类产品或服务的公司性质来划分，如汽车行业、金融行业、教育行业、医疗行业等。我国行业分类主要依据《国民经济行业分类标准（GB/T 4754-2017）》文件，如下图4。

图4：国民经济行业分类

产业是一系列相互关联的行业，它们在生产过程中提供中间产品或服务，共同构成一个完整的生产链或供应链。例如，汽车产业不仅包括汽车制造行业，还可能包括零部件制造、销售、维修服务等相关行业。
常见的有三大产业的划分：第一产业包括农业、林业、牧业和渔业等；第二产业包括工业和建筑业等；第三产业则通常称为服务业，包括商业、金融、交通运输、通信、教育、医疗等多个领域。
主要区别：产业更侧重于宏观经济和国民经济的构成，它强调的是不同行业之间的经济联系和相互作用，一个产业包含多个行业，一个行业通常只属于一个产业。

常见的安全管理和技术措施有哪些？

《网数条例》第九条明确网络数据处理者的必要责任与义务，特别指出数据安全需要在网络安全等级保护基础上加强安全防护，结合个人实践经验，整理相关安全措施，如下：

（1）常见的安全管理措施

图5：常见的安全管理措施

（2）常见的安全技术措施

图6：常见的安全技术措施

►Smart扩展经验：

目前很多安全技术通过云进行统一提供，技术变成了SAAS服务，实际工作不会完全区分网络安全措施和数据安全措施。

此外，在《网数条例》中提到“必要保护措施”，除了网络安全通用措施外，还应聚焦数据安全，如个人信息、敏感个人信息和重要数据的加密存储、加密传输，传输通道采用HTTPS，数据脱敏展示、脱敏访问，数据备份和日志留存，数据泄漏监测等，也包括数据对外的合规审核、签署保密协议、到期数据删除等容易被忽视的内容。

常见的网络服务有哪些？

《网数条例》中提到的网络产品比较好理解，如防火墙、交换机、路由器等；网络服务在我们工作生活中也随处可见，进行“翻译”方便理解，如下：

图7：常见的网络服务

个人层面有哪些投诉举报途径？

《数据安全法》《个人信息保护法》都特别提出企业要建立投诉举报机制。企业作为网络数据运营者或服务提供者，需要在相关产品、页面等地方提供投诉举报方式，并对投诉情况进行处理，属于企业合规的标准动作。另外，个人层面如何维权，整理了相关的投诉举报方式，供参考：

图8：一般投诉举报途径

网络数据安全的关键岗位人员有哪些？

《网数条例》第三十条“掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者，需要进行关键岗位人员的安全背景审查。在信息系统的安全合规中也经常遇到“关键岗位”，结合监管要求进行整理，如下：

领导层关键岗位：负责企业的安全统筹和管理，如企业安全第一负责人、企业安全分管领导、安全管理部门领导、数据保护官DPO、数据安全官DSO等等。
执行层关键岗位：负责一线工作执行的岗位，如运维人员、数据分析人员、数据库管理员、安全管理员、处理数据的运营人员、合规人员等等。

除了特定场景的背景调查，关于关键岗位的合规要点还有两让面值得关注：

（1）与关键岗位人员签署保密协议。

（2）制定企业的关键岗位说明书。

大型网络平台服务提供者怎么理解？

《网数条例》第六章中定义“超过注册用户5000万以上或者月活跃用户1000万以上”作为大型网络平台的条件之一，相比征求意见稿（日活跃超1亿），其覆盖面增加很大。根据QuestMobile发布《2024中国移动互联网春季大报告》中，统计1季度MAU（月活跃用户），如下：

图9：QuestMobile《2024中国移动互联网春季大报告》

除图9的应用外，超过月活超过1000万应用还有很多，如饿了吗、墨迹天气、华为云空间、菜鸟、滴滴出行、携程旅行、58同城等等，跟我们生活关联度较高的APP基本都需要考虑纳入其中。

哪些行业可能是重要数据处理者？

根据《工业和信息化领域数据安全管理办法（试行）》以及相关国家标准，以下可能被视为重要数据处理者的行业：

图10：可能的重要数据处理者行业

Q10

《网数条例》提及了哪些新方向？

《网数条例》全文中提及多个新新方向，整理如下：

（1）生成式人工智能服务：第十七条要求提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理，采取有效措施防范和处置网络数据安全风险。

（2）网络数据保险：第四十条提出国家鼓励保险公司开发网络数据损害赔偿责任险种，鼓励网络平台服务提供者、预装应用程序的智能终端等设备生产者投保。

（3）网络身份认证公共服务：第四十三条提出国家推进网络身份认证公共服务建设，按照政府引导、用户自愿原则进行推广应用。

《网数条例》中与“数字”相关的内容

《网数条例》中有很多“数字”相关的内容，一起看看这些需要记住的“数字”，如下：

（1）注册用户：5000万或月活1000万

明确了大型网络平台的定义，是指注册用户5000万以上或者月活跃用户1000万以上，业务类型复杂，网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。

（2）特殊情形的处理记录至少保留：3年

《网络安全法》对日志留存时间明确要求6个月，此外根据不同行业有各自的特殊要求，需要企业参照执行。（具体可参考）

《网络条例》第十二条规定“向其他网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录，应当至少保存3年。”

从企业合规层面看，数据处理记录、日志留存是关键问题，企业应该主动识别。该留存的日志一定留存、不该留的日志坚决不留。

例如为了法律法规要求、溯源取证、安全审计等诉求，该留的数据必须留;对数据合同到期、各类敏感数据、业务下线后的数据、个人用户要求删除等情形，不该留的数据坚决不留。

（3）报告机制：24小时

《网数条例》第十条提出“涉及危害国家安全、公共利益的，网络数据处理者还应当在24小时内向有关主管部门报告”。

在实务工作中，企业背后需要建立“重要事件报告机制”，例如发现网络产品、服务存在安全缺陷或者安全漏洞，发生安全事件造成数据泄漏、篡改等情况，一是要向公司安全领导汇报、向行业主管部门报告、向当地网信主管部门报告，二是涉及用户相关时，也需要及时告知，设置单独通知。

（4）“年度”重要合规工作：1年1次、2年1次

网络数据处理者：《网数条例》第二十七条提出“网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计”。虽然没有明确提出时间要求，但参照《个人信息保护合规审计管理办法（征求意见稿）》，规范中要求100万以上的个人信息每年至少一次，其他个人信息处理者每两年至少一次。

图11：个人信息保护合规审计管理办法（征求意见稿）

重要数据处理者：《网数条例》第三十三条提出“重要数据的处理者应当每年度对其网络数据处理活动开展风险评估，并向省级以上有关主管部门报送风险评估报告。”
大型网络平台服务提供者：《网数条例》第四十四条提出“每年度发布个人信息保护社会责任报告，报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。”

（5）处罚金额的上限：1000万、100万

《网数条例》第八章法律责任对相关违反本条例的规定提出处罚措施，对于企业罚款最高达1000万，对直接负责的主管人员和其他直接责任人员处罚最高达100万。

（6）数据跨境中“隐形”的数字：100万/1万、10万-100万/不满1万，3年

《网数条例》中对于网络数据跨境没有给出具体的数字，基本沿用《促进和规范数据跨境流动规定》要求，相关数字要求如下：

对于非“关基”的个人信跨境有明确的数字要求，100万以上（不含敏感个人信息）、年度内1万以上敏感个人信息，均需要申报数据出境安全评估。

10万以上不足100万（不含敏感个人信息）、不满1万敏感个人信息的情形，可以订立个人信息出境标准合规并备案或者通过个人信息保护认证。

通过数据出境安全评估的结果有效期为3年，自评估结果出具之日起计算。

图12: 《促进和规范数据跨境流动规定》合规路径

简要总结：在学习法律法规时遇到新名词、新概念时，需要对进行补充学习，通过不断“自问自答”更加深入理解抽象内容。本文对其中个人遇到的十个问题进行扩充，并结合安全实践经验做一定补充和解释。

此外对《网数条例》涉及的“直接数字”和“隐形数字”进行提炼和整理，从“数字”视角发现一些有趣而不一样的合规要求，希望给到大家一定帮助。

注：相关内容来源于互联网公开整理而成，仅供参考。