《网络数据安全管理条例》梳理与解读｜mhp君悦评论

2024年9月24日，国务院发布了《网络数据安全管理条例》（以下简称“《条例》”）。《条例》将于2025年1月1日起生效实施。

国家互联网信息办公室（以下简称“网信办”）曾于2021年11月公布《网络数据安全管理条例（征求意见稿）》（以下简称“征求意见稿”），向社会公开征求意见。征求意见稿以《网络安全法》、《数据安全法》和《个人信息保护法》等法律为上位法，旨在规范网络数据处理活动，细化上位法的各项原则性规定。征求意见稿引入了更多的概念、解释，内容庞杂、概念混用，法律含义、适用范围和具体要求含混不清。在征求意见结束后，有关网络数据安全管理条例的立法一直未有更新，直至此次国务院发布正式《条例》。与征求意见稿相比，《条例》结合近几年在网络安全、数据安全、个人信息保护方面的最新立法与实践，删繁就简，突出重点，强调网络数据安全保护的同时，修改或删除了各项繁杂的通知、报告、备案等要求，合理降低网络数据处理者的合规负担。

总则与一般规定部分

一、《条例》的适用范围是什么？

1. 《条例》适用三种情形

《条例》明确其适用于以下三种情形：

（1） 境内：在中国境内开展网络数据处理活动及其安全监督管理

（2） 境外：在中国境外处理中国境内自然人个人信息，符合《个人信息保护法》第三条第二款规定情形，即：

• 以向境内自然人提供产品或者服务为目的；

• 分析、评估境内自然人的行为；

• 法律、行政法规规定的其他情形。

（3） 境外：在中国境外开展网络数据处理活动，损害中国国家安全、公共利益或者公民、组织合法权益

《网络安全法》第75条原则性规定了境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国关键信息基础设施的活动，造成严重后果的，依法追究法律责任；《数据安全法》第2条则原则性规定了在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。因此，上述第（3）项与《网络安全法》与《数据安全法》的要求一致。

2. 《条例》适用于“网络数据”与“个人信息”

《条例》意在规范网络数据处理活动。为此，《条例》在《数据安全法》的基础上对“网络数据”进行了定义，即网络数据是指通过网络处理和产生的各种电子数据，较《数据安全法》下的“数据”含义狭窄[1]。

尽管《条例》名为《网络数据安全管理条例》，但事实上《条例》还适用于个人信息，与网络数据并列，还专列第三章“个人信息保护”。但不知为何在第2条所述适用范围上仅仅列明了“网络数据处理活动”[2]，而未提及“个人信息”（尽管网络数据定义本身也未明确是否包含个人信息，但按照通常的文义解释，通过网络处理和产生的个人信息也应落入网络数据的范畴内）。

二、《条例》的适用主体是谁？

《条例》的适用主体是网络数据处理者。网络数据处理者是指在网络数据处理活动中自主决定处理目的和处理方式的个人和组织。其中，网络数据处理活动是指网络数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。

为了突出互联网平台的数据安全合规要求，除了一般网络数据处理者之外，《条例》还适用于网络平台服务提供者（包括大型网络平台服务提供者）。其中，大型网络平台是指注册用户五千万以上或者月活跃用户一千万以上，业务类型复杂，网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。

我们可以看到，网络数据处理者是进行网络数据处理活动的个人和组织，并未涵盖个人信息处理活动（无论从《数据安全法》还是《个人信息保护法》来看，数据、网络数据和个人信息应为不同维度的概念）。数据和信息是相互联系的概念。简言之，信息是数据的内容，数据是信息的形式。综合当前有关数据和信息的主流观点，数据和信息的差异主要表现在：数据侧重于附着载体和表现形式，而信息侧重于载体所承载和表现的内容。但《条例》似乎将网络数据处理者等同于《个人信息保护法》中的个人信息处理者，在全文中均为网络数据处理者处理个人信息[3]。如果立法者本意为两者混用，那么我们就可以简单理解为网络数据处理者与个人信息处理者为同样主体，只是在面对“数据”和“个人信息”时各有侧重。

三、《条例》适用的例外

《个人信息保护法》第72条规定，自然人因个人或者家庭事务处理个人信息不适用《个人信息保护法》。《条例》引入了类似规定，明确了《条例》不适用于自然人因个人或者家庭事务处理个人信息的情形。

四、《条例》对网络数据实行分类分级保护

《条例》在总则部分明确了数据分类分级的一般标准，贯彻了《网络安全法》和《数据安全法》有关网络数据保护的原则性要求。

在《条例》之前，《网络安全法》明确国家实行网络安全等级保护制度；《数据安全法》要求建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护；并要求通过制定重要数据目录对重要数据进行重点保护；而那些关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。《网络安全法》和《数据安全法》均数据分类分级保护制度项下提及了重要数据，此外，《数据安全法》还特别提及了核心数据，但均未给出确切定义。

为沿袭和落实《网络安全法》和《数据安全法》的立法思路，《条例》专设单章明确重要数据安全制度，对于重要数据处理者的网络数据安全管理人员和机构的设置、风险评估、向主管部门报送等义务进行了进一步细化和扩展。

五、网络数据安全保障一般要求

《条例》在《数据安全法》的基础上，细化了网络数据处理者应履行的各项网络数据安全保障义务：

六、网络安全审查

《网络安全审查办法》已于2022年2月15日生效实施。因此，《条例》第13条仅仅笼统规定了网络数据处理者开展网络数据处理活动，影响或者可能影响国家安全的，应当按照规定进行国家安全审查。

七、网络数据安全投诉举报

根据《条例》，面向社会提供产品、服务的数据处理者，无论其处理的数据或个人信息量，都必须建立便捷的网络数据安全投诉、举报渠道，公布投诉、举报方式等信息，及时受理和处置网络数据安全投诉、举报。

重要数据特别规定部分

八、重要数据的含义

征求意见稿曾对“重要数据”进行了定义，定义以及所包括的具体重要数据类型如下：

《条例》简化了“重要数据”的定义，也不再罗列重要数据的各个类型。重要数据即是指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。

九、提供、委托处理、共同处理重要数据

《数据安全法》定义的“数据处理”包括数据的收集、存储、使用、加工、传输、提供、公开等。其中并不包括委托处理和共同处理。《条例》对重要数据的“提供、委托处理和共同处理”作出特别规定，并在第62条对委托处理与共同处理进行了定义。

《条例》要求提供、委托处理、共同处理重要数据须遵守数据安全以及留存记录等规定，具体而言：

十、重点保护重要数据

为重点保护重要数据，网络数据处理者须履行诸多特别安全保护义务：

网络数据跨境管理的特别规定

十一、网络数据出境的基本条件

《条例》第35条列明了网络数据出境的条件。

具体而言，对于网络数据处理者向境外提供个人信息，应当具备下列条件之一：

（1） 通过国家网信部门组织的数据出境安全评估；

（2） 按照国家网信部门的规定经专业机构进行个人信息保护认证；

（3） 符合国家网信部门制定的关于个人信息出境标准合同的规定；

（4） 为订立、履行个人作为一方当事人的合同，确需向境外个人信息；

（5） 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息；

（6） 为履行法定职责或者法定义务，确需向境外提供个人信息；

（7） 紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息；或

（8） 法律、行政法规或者国家网信部门规定的其他条件。

除增加了“为履行法定职责或者法定义务”而向境外提供个人信息，其余各项条件与2024年3月22日起生效实施的《促进和规范数据跨境流动规定》一致。

而对于重要数据出境，网络数据处理者应当通过国家网信部门组织的数据出境安全评估。《条例》特别指出，如果出境的数据没有被相关地区、部门告知或者公开发布为重要数据，则不需要按照重要数据申报数据出境安全评估。

十二、 网络数据处理者向境外提供个人信息和重要数据的其它义务

在通过数据出境安全评估后，网络数据处理者向境外提供个人信息和重要数据不得超出报评估时明确的目的、方式、范围和种类、规模等。

网络平台的特别规定

十三、 网络平台服务者义务

《个人信息保护法》第58条对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者规定了诸多额外义务，但并未对何为“提供重要互联网平台服务”作出说明。《条例》摒弃了征求意见稿中创立的“互联网平台运营者”与“大型互联网平台运营者”概念以及各自的加重义务，新设了“网络平台”“大型网络平台”概念。《条例》并未详细说明何为“网络平台”（可能会采用一般意义上的理解），但将“大型网络平台”定义为注册用户五千万以上或者月活跃用户一千万以上，业务类型复杂，网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。尽管《个人信息保护法》与《条例》用词有差异，我们可以合理推断，《条例》所述“大型网络平台服务提供者”包含了《个人信息保护法》第58条所述的供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者。

从大型网络平台服务者义务的规定来看，大型网络服务平台需要每年发布个人信息保护社会责任报告，这与《个人信息保护法》第58条第四项的规定一致。

十四、 网络身份认证

《条例》第43条强调国家推进网络身份认证公共服务建设，按照政府引导、用户自愿原则进行推广应用。同时，《条例》鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核实真实身份信息。

其实，公安部与网信办已经于2024年7月26日发布了《国家网络身份认证公共服务管理办法（征求意见稿）》，随后全国网络安全标准化技术委员会秘书处于2024年9月12日发布了国家标准《网络安全技术 网络身份认证公共服务 应用接入规范》征求意见稿。有关网络身份公共服务的建设正紧锣密鼓开展，预计将很快落地实施。

个人信息保护的特别规定部分

十五、个人信息处理规则的详细要求

《个人信息保护法》对个人信息处理规则作了原则性规定：（1）个人信息处理规则公开，便于查询和保存；（2）处理不满十四周岁未成年人个人信息应制定专门的个人信息处理规则；（3）个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

《条例》第21条则对个人信息处理规则作了较为详细的规定。如网络数据处理者通过制定个人信息处理规则的方式向个人告知，其所制定的个人处理信息规则应满足如下条件：

（1） 个人信息处理规则应集中公开展示，易于访问并置于醒目位置；

（2） 个人信息处理规则内容明确具体、清晰易懂。

（3） 个人信息处理规则应至少包括以下内容：

• 网络数据处理者的名称或者姓名和联系方式；

• 处理个人信息的目的、方式、种类，处理敏感个人信息的必要性以及个人权益的影响；

• 个人信息保存期限和到期后的处理方式；

• 个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等。

十六、单独同意

征求意见稿将“单独同意”定义为数据处理者在开展具体数据处理活动时，对每项个人信息取得个人同意，不包括一次性针对多项个人信息、多种处理活动的同意。按照这一定义，按照《个人信息保护法》获得个人的单独同意变得较为清晰，也意味着在获取敏感个人信息、向境外提供个人信息等需要个人单独同意的场景下，采用概括性的或捆绑式的批量同意模式不符合《个人信息保护法》要求。

但是，《条例》没有沿袭征求意见稿的定义，而将“单独同意”定义为个人针对其个人信息进行特定处理而专门作出具体、明确的同意。比较而言，现在的“单独同意”语焉不详，什么是“特定处理”，何谓“专门”的“具体、明确的同意”，都不甚明了。如果按照《个人信息保护法》对于单独同意的要求，似乎可以将获取敏感个人信息、向境外提供个人信息等理解为“特定处理”，但到底如何才能达到“单独同意”却没有一个清楚的操作标准。

十七、删除个人信息或匿名化处理的特别要求

《个人信息保护法》第47条规定了个人信息处理者应当主动删除个人信息的五种情形，包括法律、行政法规规定的其他情形。《条例》在此基础上明确规定，在以下任一情形下，网络数据处理者应当删除个人信息或进行匿名化处理：

• 删除个人信息或进行匿名化处理

• 因使用自动化采集技术等，无法避免采集到的非必要个人信息

• 未依法取得个人同意的个人信息

• 个人注销账号

如果法律、行政法规规定的保存期限未届满，或者删除、匿名化处理从技术上难以实现，网络数据处理者除了进行存储和采取必要的安全保护措施外，不得进行任何其它处理。

十八、转移个人信息的具体条件与要求

《个人信息保护法》第45条规定，个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。但《个人信息保护法》并未明确何为国家网信部门规定的条件。

《条例》对此提出了个人信息转移的具体条件，在符合条件的情况下，网络数据处理者应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径。具体条件包括：

（1） 能够验证请求人的合法身份；

（2） 请求转移的是本人同意提供的或者基于合同收集的个人信息；

（3） 转移个人信息具备技术可行性；

（4） 转移个人信息不损害他人合法权益。

《条例》还特别规定，如果请求转移个人信息次数等明显超出合理范围，网络数据处理者可以根据成本收取必要费用。

十九、定期合规审计

《个人信息保护法》第54条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。《条例》进一步规定，网络数据处理者应当定期自行或委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。网信办于2023年8月公布了《个人信息保护合规审计管理办法（征求意见稿）》，详细规定了个人信息保护合规审计的各项要求，其中包括“定期”的频次。

结 语

一方面，《条例》相较征求意见稿简化条文，大幅度减少了网络数据处理者的合规义务，将大大促进网络数据的合法流动与有效利用。而另一方面，《条例》很多条款仍是原则性的规定，尤其是诸多安全保护义务方面的规定，这有待于网信部门在《条例》生效后依据实施情况不断予以补充和完善。

 【1】《数据安全法》第3条规定：本法所称数据，是指任何以电子或者其他方式对信息的记录。

 【2】征求意见稿规定：数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。

 【3】2022年9月1日生效的《数据出境安全评估办法》也直接规定“数据处理者”向境外提供重要数据和个人信息，并未区分数据处理者与个人信息处理者。

【4】《条例》第28条规定，处理1000万人以上个人信息的网络数据处理者也应当指定数据安全负责人（由管理层成员担任）并成立网络数据安全管理机构。

【5】《条例》第28条规定，处理1000万人以上个人信息的网络数据处理者应当履行相同报告义务。