《网络数据安全管理条例》（征求意见稿）解读（一）｜MHP君悦评论

总则与一般规定部分

2021年11月14日，国家互联网信息办公室（以下简称“网信办”）首次公布了《网络数据安全管理条例（征求意见稿）》（以下简称“《条例征求意见稿》”）并向社会公开征求意见。《条例征求意见稿》以《网络安全法》、《数据安全法》和《个人信息保护法》等法律为上位法，旨在规范网络数据处理活动，细化上位法的各项原则性规定，成为更具操作性的实施条例。为此，《条例征求意见稿》创造性地引入了更多的概念、解释和丰富了上位法中的诸多概念和制度。但是，《条例征求意见稿》意图采用“三合一”方式，将《网络安全法》、《数据安全法》和《个人信息保护法》等诸多上位法的实施统统纳入《条例征求意见稿》，导致内容庞杂、概念混用，法律含义、适用范围和具体要求含混不清，为顺利实施上位法增加了难度。

一、《条例征求意见稿》的适用范围是什么？

1、《条例征求意见稿》适用两种情形

（1）境内：在中国境内利用网络开展数据处理活动以及网络数据安全的监督管理

（2）境外：如在中国境外处理中国境内个人和组织数据的活动存在下列情形之一的：

• 以向境内提供产品或者服务为目的；

• 分析、评估境内个人、组织的行为；

• 涉及境内重要数据处理；

• 法律、行政法规规定的其他情形。

《网络安全法》与《数据安全法》并无上述如此直接的境外适用效力条款。《网络安全法》第75条原则性规定了境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国关键信息基础设施的活动，造成严重后果的，依法追究法律责任；《数据安全法》第2条则原则性规定了在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。

《条例征求意见稿》有关境外效力规定的体例与《个人信息保护法》第3条第2款相似，不过增加了“涉及境内重要数据”。但是，《个人信息保护法》与《条例征求意见稿》的规定都非常原则，并未对其中每一项境外适用情形作出更多规定。建议可以参考欧洲数据保护局（The European Data Protection Board）的做法，对上述境外适用情形作出解释并提供详细操作指南[1]，从而便利当事人理解和执行法律规定。

2、《条例征求意见稿》适用于“网络数据”与“个人信息”

《条例征求意见稿》意在规范网络数据处理活动。为此，《条例征求意见稿》在《数据安全法》的基础上对“网络数据”进行了定义，即网络数据（简称数据）是指任何以电子方式对信息的记录，较《数据安全法》下的“数据”含义狭窄[2]。

尽管标题名为《网络数据安全管理条例》，但事实上《条例征求意见稿》还适用于个人信息，与网络数据并列，还专列第三章“个人信息保护”。但不知为何在第2条所述适用范围上仅仅列明了“数据处理活动”[3]，而未提及“个人信息”。

二、《条例征求意见稿》的适用主体是谁？

《条例征求意见稿》的适用主体是数据处理者，其含义为在数据处理活动中自主决定处理目的和处理方式的个人和组织。为了突出互联网平台的数据安全合规要求，数据处理者还细分为：

• 互联网平台运营者，即为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者；

• 大型互联网平台运营者，即为用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。

我们可以看到，数据处理者是进行数据处理活动的个人和组织，并未涵盖个人信息处理活动（无论从《数据安全法》还是《个人信息保护法》来看，数据、网络数据和个人信息应为不同概念）。数据和信息是相互联系的概念。简言之，信息是数据的内容，数据是信息的形式。综合当前有关数据和信息的主流观点，数据和信息的差异主要表现在：数据侧重于附着载体和表现形式，而信息侧重于载体所承载和表现的内容。但《条例征求意见稿》似乎将数据处理者等同于《个人信息保护法》中的个人信息处理者，在全文中均为数据处理者处理个人信息[4]。如果立法者本意为两者混用，那么我们就可以简单理解为数据处理者与个人信息处理者为同样主体，只是在面对“数据”和“个人信息”时各有侧重。

三、《条例征求意见稿》的适用的例外

《个人信息保护法》第72条规定，自然人因个人或者家庭事务处理个人信息不适用《个人信息保护法》。《条例征求意见稿》引入了类似规定，明确了《条例征求意见稿》不适用于自然人因个人或者家庭事务开展的数据处理活动。

四、《条例征求意见稿》定义和区分一般数据、重要数据与核心数据

在《条例征求意见稿》之前，《网络安全法》和《数据安全法》均提及了重要数据，《数据安全法》还特别提及了核心数据，但均未给出确切定义。《数据安全法》要求建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护；并要求通过制定重要数据目录对重要数据进行重点保护；而那些关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。

《条例征求意见稿》第73条首次对“重要数据”进行了定义，并罗列了重要数据包括的各类型数据（更多有关重要数据的规定，详见《网络数据安全管理条例》（征求意见稿）解读（二））。

《条例征求意见稿》并未在《数据安全法》的基础上进一步丰富核心数据的涵义和范围，仅仅规定核心数据是指“关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据”。这几乎就是《数据安全法》对核心数据规定的重复。在实践中如何界定核心数据还有待澄清。

五、数据安全保障一般要求

《条例征求意见稿》在《数据安全法》的基础上，细化了数据处理者应履行的各项数据安全保障义务：

六、网络安全审查

《条例征求意见稿》规定如下活动须申报网络安全审查：

（1）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；

（2）处理一百万人以上个人信息的数据处理者赴国外上市的；

（3）数据处理者赴香港上市，影响或者可能影响国家安全的；

（4）其他影响或者可能影响国家安全的数据处理活动。

相较于国家网信办于2021年7月10日发布的《网络安全审查办法（修订草案征求意见稿）》，《条例征求意见稿》进一步明确了必须进行网络安全审查的各项处理活动。但是，相关规定仍比较原则，例如，数据处理者赴香港上市没有数据处理量的要求，却要求在“影响或者可能影响国家安全的”情形下申报网络安全审查，如何判断对国家安全的影响将是一个难题，为赴香港上市增加了不确定性。

七、定期合规审计

《个人信息保护法》第54条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。《条例征求意见稿》进一步规定，数据处理者应当委托数据安全审计专业机构定期对其处理个人信息（而非“数据”）遵守法律、行政法规的情况进行合规审计。遗憾的是，现有法律法规均未对“定期”作出进一步规定。除自行进行合规审计外，主管、监管部门还将对重要数据处理活动进行审计。

八、数据安全投诉举报

根据《条例征求意见稿》，任何数据处理者，无论其处理的数据或个人信息量，都必须建立便捷的数据安全投诉举报渠道，及时受理和处置数据安全投诉举报。数据处理者在数据安全投诉举报方面的具体义务还包括：

• 公布接受投诉、举报的联系方式、责任人信息

• 每年公开披露投诉数量、投诉处理情况、平均处理时间情况，接受社会监督

问题是，数据处理者如何进行公开披露呢？尤其是一些小规模数据处理者或者数据/个人信息处理量很少的数据处理者如何履行上述要求：向谁公开、公开的范围？这些有待于网信办在后续修订中或部门规章中予以明确。

[1] Guidelines 3/2018 on the territorial scope of the GDPR

[2] 《数据安全法》第3条规定：本法所称数据，是指任何以电子或者其他方式对信息的记录。

[3] 《条例征求意见稿》规定：数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。

[4] 网信办于2021年10月29日公布的《数据出境安全评估办法》（征求意见稿）也直接规定“数据处理者”向境外提供重要数据和个人信息，并未区分数据处理者与个人信息处理者。