2025年1月1日起,《網絡數據安全管理條例》(以下簡稱《條例》)正式施行。這是國務院在2024年8月30日第40次常務會議通過的行政法規。《條例》作為規范網絡數據處理活動,保護個人、組織在網絡空間的合法權益,維護國家安全和公共利益的重要法規,最大亮點就是對重要數據、個人信息保護、平臺治理、行業監管等方面進行規制,進一步規范電信運營商的數據處理活動,保障電信數據安全,促進數據依法合理有效利用和數字經濟高質量發展。
重要數據的界定和細化
在我國數據安全法規體系中,關于重要數據的定義一直處于不斷完善過程中。《網絡安全法》《數據安全法》作為基礎性法律均未對重要數據給出明確的界定。為了滿足實際的數據管理和安全保障需求,一些政府規章相繼出臺并對重要數據進行定義。例如《促進和規范數據跨境流動規定》《數據出境安全評估辦法》《個人信息出境標準合同辦法》《汽車數據安全管理若干規定(試行)》等規章,均將數據遭到破壞時可能帶來的風險作為認定重要數據的依據。《條例》最大的亮點是進一步發展了重要數據的定義,作出更加明確的規定。重要數據,是指特定領域、特定群體、特定區域或者達到一定精度和規模,一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據。這意味著重要數據的認定并非基于數據的固有屬性,而是要綜合考慮不同業務領域、不同區域以及數據主體等多種因素動態識別。這種定義方式與當前在工信領域、汽車行業、數據出境、安全審查等領域或場景下的重要數據規定相互呼應,體現了法規對不同行業和場景的適應性。
分類分級保護是網絡數據安全制度的重要抓手,《數據安全法》規定國家建立數據分類分級保護制度,為此《條例》設專章構建了重要數據安全制度,包括重要數據目錄、重要數據處理者的特別義務和責任、處理前的風險評估的重點內容、風險評估的報告制度、省級以上有關主管部門的監管措施等,進一步完善了網絡數據分類分級保護制度。
個人信息保護的補充與完善
在個人信息保護部分,《條例》對于《個人信息保護法》這一上位法的相關規定進行細化、補充與完善。
履行法定職責與法定義務的豁免情形。對于個人信息跨境,在《個人信息保護法》《促進和規范數據跨境流動規定》有關豁免規定情形的基礎上,《條例》新增了“為履行法定職責或者法定義務”的“可以向境外提供個人信息”情形。該情形與其他出境豁免情形并列,屬于處理者在自我評估后,可以不經備案審核而自由出境的法定情形。其目的在于鼓勵數據跨境自由流動,能夠幫助厘清很多跨境交易場景下的合規痛點問題,破解相關交易主體的合規困擾。
告知義務的履行。《條例》整合并細化了《個人信息保護法》有關規定,在告知義務的履行方面,提出集中公開展示、易于訪問、置于醒目位置三方面義務。《條例》將適用對象擴大為網絡數據處理者,如網絡數據處理者通過制定個人信息處理規則方式履行告知義務的,則應當履行該“雙清單”要求。《個人信息保護法》要求個人信息處理規則需要包含“個人信息保存期限”內容的告知,但實操中面臨保存期限較難確定的問題。為此,《條例》明確此種情形之下,數據處理者應當以合理的方式,自行確定保存期限及其方法,并予以明確告知。
個人信息委托處理、對外提供和共同處理。《條例》對于《個人信息保護法》規定的個人信息委托處理、對外提供、共同處理三類行為進行了重點內容的新增。一是對外提供行為,應當通過合同等方式約定。關于委托處理、共同處理行為的合同等約定要求在《個人信息保護法》中已有明確規定。提供方與接收方為獨立的個人信息處理者,需要獨立地對其個人信息處理行為負責,屬于默示義務而無須通過合同予以規制。二是對外提供及委托處理行為,應當保存處理情況記錄。《個人信息保護法》明確約定涉個人信息對外提供、委托處理行為下的3年的“個人信息保護影響評估記錄”留存要求,《條例》中提出了3年的“處理情況記錄”留存要求。個人信息處理者在開展對外提供或委托處理行為時,既要留存個人信息保護影響評估報告,也要盡量全面地留存該行為相關的詳細證明材料,例如數據處理協議、數據傳輸相關系統記錄、數據安全措施證明等,以履行該項合規義務。
網絡平臺服務提供者的監管新規
網絡數據高度匯聚、高頻流動、高度開放加劇網絡數據泄露風險,違法違規收集個人信息、新型網絡欺詐、黑客攻擊等安全事件頻發,如何強化互聯網大型平臺的監管成為政府監管機構面臨的重要課題,為此,《條例》重點放在網絡平臺處理網絡數據的安全保護義務履行方面。
細化行業主管部門的監督職責。在《數據安全法》《個人信息保護法》等的規定下,行業主管部門承擔重要的監管職責,《條例》對行業主管部門的網絡數據安全管理職責作了進一步細化,明確了國家網信部門統籌協調有關主管部門履行網絡數據安全事件的應急處置職責的要求。具體包括:明確本行業、本領域網絡數據安全保護工作機構,統籌制定并組織實施本行業、本領域網絡數據安全事件應急預案,定期組織開展本行業、本領域網絡數據安全風險評估,對網絡數據處理者履行網絡數據安全保護義務情況進行監督檢查,指導督促網絡數據處理者及時對存在的風險隱患進行整改。
同時規定有關主管部門及其工作人員對在履行職責中知悉的個人隱私、個人信息、商業秘密的保密義務。
明確網絡平臺服務提供者的合規義務。《條例》明確大型網絡平臺服務提供者的合規義務,即不得利用網絡數據、算法以及平臺規則等從事的活動包括:通過誤導、欺詐、脅迫等方式處理用戶在平臺上產生的網絡數據,是對《個人信息保護法》中“不得通過誤導、欺詐、脅迫等方式處理個人信息”的重申;無正當理由限制用戶訪問、使用其在平臺上產生的網絡數據;對用戶實施不合理的差別待遇,損害用戶合法權益,是對合規管理的要求。新規規定不得對用戶實施不合理的差別待遇,損害用戶合法權益。目前法律適用的“差別待遇”主要是指反壟斷法下的差別待遇或網絡不正當競爭行為,可以按照反壟斷及反不正當競爭層面的“不合理差別待遇”行為的構成要件為基準,合理確定自身針對用戶設置不同交易條件、服務條件的合規邊界。
壓實網絡數據處理者的主體責任。《條例》強調網絡平臺服務提供者的商品和服務管理義務,進一步明確各類主體責任。針對網絡數據處理者、提供生成式人工智能服務的網絡數據處理者、面向社會提供產品服務的網絡數據處理者、網絡平臺服務提供者等不同網絡數據主體提出具體要求,進一步明確各類主體責任。網絡平臺服務提供者應當通過平臺規則或者合同等明確接入其平臺的第三方產品和服務提供者的網絡數據安全保護義務,并采取措施督促第三方產品和服務提供者加強網絡數據安全管理,對所處理的網絡數據的安全承擔主體責任。值得關注的是,目前互聯網平臺運營者就第三方產品和服務對用戶的損害承擔先行賠償義務,即當第三方產品和服務對用戶造成損害時,用戶可以要求互聯網平臺運營者先行賠償。當接入平臺的第三方產品和服務對用戶造成損害的,網絡平臺服務提供者僅需“依法承擔相應賠償責任”,網絡平臺服務提供者仍可援用“避風港規則”,僅當自身存在過錯時才需就第三方產品和服務造成的損害承擔相應責任。
對企業在使用自動化采集技術過程中遇到的問題提供指導。《條例》規定,當自動化采集不可避免地收集到非必要的個人信息或未依法取得個人同意的信息從技術上難以實現刪除或匿名化時,網絡數據處理者應當停止除存儲和采取必要安全保護措施之外的任何處理行為。這一規定為諸多新技術、新應用的合規開發提供實施方向,如大模型訓練中通過爬蟲等方式獲取海量數據但無法有效剝離非必要信息的情形等,在避免數據濫用風險的同時也保障了企業的正常運營和技術進步。
監督管理與法律責任的較大調整。《條例》強調由網信部門統籌、相關主管部門在各自職責范圍內負責的分工與協同的網絡數據監督管理機制。對大型平臺及重要數據處理者的年度審計或評估要求進行調整,取消了必須由外部機構執行的規定,賦予企業更大的自主權來選擇適合自身的評估方式。在對外提供和委托處理重要數據方面,監管模式調整改為由企業自行評估風險并據此決策。在法律責任方面,《條例》與《網絡安全法》《數據安全法》《個人信息保護法》《行政處罰法》等相關法律進行了有效銜接,針對網絡數據領域的具體違規行為的罰則進行了細化,明確了相關網絡數據處理者的法律責任,同時又考慮到“包容審慎”的監管機制,為相關主體和企業提供了糾錯空間。
