2025年1月1日起���,《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》(以下簡(jiǎn)稱《條例》)正式施行�。這是國(guó)務(wù)院在2024年8月30日第40次常務(wù)會(huì)議通過的行政法規(guī)�����!稐l例》作為規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)�,保護(hù)個(gè)人、組織在網(wǎng)絡(luò)空間的合法權(quán)益���,維護(hù)國(guó)家安全和公共利益的重要法規(guī)����,最大亮點(diǎn)就是對(duì)重要數(shù)據(jù)��、個(gè)人信息保護(hù)���、平臺(tái)治理�����、行業(yè)監(jiān)管等方面進(jìn)行規(guī)制��,進(jìn)一步規(guī)范電信運(yùn)營(yíng)商的數(shù)據(jù)處理活動(dòng)����,保障電信數(shù)據(jù)安全,促進(jìn)數(shù)據(jù)依法合理有效利用和數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展��。
重要數(shù)據(jù)的界定和細(xì)化
在我國(guó)數(shù)據(jù)安全法規(guī)體系中���,關(guān)于重要數(shù)據(jù)的定義一直處于不斷完善過程中���。《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》作為基礎(chǔ)性法律均未對(duì)重要數(shù)據(jù)給出明確的界定�。為了滿足實(shí)際的數(shù)據(jù)管理和安全保障需求,一些政府規(guī)章相繼出臺(tái)并對(duì)重要數(shù)據(jù)進(jìn)行定義�����。例如《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》《數(shù)據(jù)出境安全評(píng)估辦法》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》等規(guī)章���,均將數(shù)據(jù)遭到破壞時(shí)可能帶來的風(fēng)險(xiǎn)作為認(rèn)定重要數(shù)據(jù)的依據(jù)��������!稐l例》最大的亮點(diǎn)是進(jìn)一步發(fā)展了重要數(shù)據(jù)的定義���,作出更加明確的規(guī)定。重要數(shù)據(jù)�,是指特定領(lǐng)域����、特定群體、特定區(qū)域或者達(dá)到一定精度和規(guī)模���,一旦遭到篡改���、破壞、泄露或者非法獲取�、非法利用,可能直接危害國(guó)家安全�����、經(jīng)濟(jì)運(yùn)行��、社會(huì)穩(wěn)定�、公共健康和安全的數(shù)據(jù)。這意味著重要數(shù)據(jù)的認(rèn)定并非基于數(shù)據(jù)的固有屬性���,而是要綜合考慮不同業(yè)務(wù)領(lǐng)域����、不同區(qū)域以及數(shù)據(jù)主體等多種因素動(dòng)態(tài)識(shí)別。這種定義方式與當(dāng)前在工信領(lǐng)域����、汽車行業(yè)、數(shù)據(jù)出境��、安全審查等領(lǐng)域或場(chǎng)景下的重要數(shù)據(jù)規(guī)定相互呼應(yīng)�,體現(xiàn)了法規(guī)對(duì)不同行業(yè)和場(chǎng)景的適應(yīng)性。
分類分級(jí)保護(hù)是網(wǎng)絡(luò)數(shù)據(jù)安全制度的重要抓手���,《數(shù)據(jù)安全法》規(guī)定國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度�����,為此《條例》設(shè)專章構(gòu)建了重要數(shù)據(jù)安全制度�����,包括重要數(shù)據(jù)目錄�、重要數(shù)據(jù)處理者的特別義務(wù)和責(zé)任����、處理前的風(fēng)險(xiǎn)評(píng)估的重點(diǎn)內(nèi)容�����、風(fēng)險(xiǎn)評(píng)估的報(bào)告制度�、省級(jí)以上有關(guān)主管部門的監(jiān)管措施等���,進(jìn)一步完善了網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)保護(hù)制度。
個(gè)人信息保護(hù)的補(bǔ)充與完善
在個(gè)人信息保護(hù)部分�����,《條例》對(duì)于《個(gè)人信息保護(hù)法》這一上位法的相關(guān)規(guī)定進(jìn)行細(xì)化����、補(bǔ)充與完善。
履行法定職責(zé)與法定義務(wù)的豁免情形�。對(duì)于個(gè)人信息跨境,在《個(gè)人信息保護(hù)法》《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》有關(guān)豁免規(guī)定情形的基礎(chǔ)上���,《條例》新增了“為履行法定職責(zé)或者法定義務(wù)”的“可以向境外提供個(gè)人信息”情形���。該情形與其他出境豁免情形并列����,屬于處理者在自我評(píng)估后��,可以不經(jīng)備案審核而自由出境的法定情形����。其目的在于鼓勵(lì)數(shù)據(jù)跨境自由流動(dòng),能夠幫助厘清很多跨境交易場(chǎng)景下的合規(guī)痛點(diǎn)問題�����,破解相關(guān)交易主體的合規(guī)困擾����。
告知義務(wù)的履行��!稐l例》整合并細(xì)化了《個(gè)人信息保護(hù)法》有關(guān)規(guī)定�����,在告知義務(wù)的履行方面����,提出集中公開展示��、易于訪問���、置于醒目位置三方面義務(wù)���!稐l例》將適用對(duì)象擴(kuò)大為網(wǎng)絡(luò)數(shù)據(jù)處理者����,如網(wǎng)絡(luò)數(shù)據(jù)處理者通過制定個(gè)人信息處理規(guī)則方式履行告知義務(wù)的��,則應(yīng)當(dāng)履行該“雙清單”要求���!秱(gè)人信息保護(hù)法》要求個(gè)人信息處理規(guī)則需要包含“個(gè)人信息保存期限”內(nèi)容的告知���,但實(shí)操中面臨保存期限較難確定的問題�。為此����,《條例》明確此種情形之下,數(shù)據(jù)處理者應(yīng)當(dāng)以合理的方式���,自行確定保存期限及其方法��,并予以明確告知�。
個(gè)人信息委托處理、對(duì)外提供和共同處理�������!稐l例》對(duì)于《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息委托處理����、對(duì)外提供、共同處理三類行為進(jìn)行了重點(diǎn)內(nèi)容的新增��。一是對(duì)外提供行為���,應(yīng)當(dāng)通過合同等方式約定�。關(guān)于委托處理�����、共同處理行為的合同等約定要求在《個(gè)人信息保護(hù)法》中已有明確規(guī)定。提供方與接收方為獨(dú)立的個(gè)人信息處理者���,需要獨(dú)立地對(duì)其個(gè)人信息處理行為負(fù)責(zé)����,屬于默示義務(wù)而無須通過合同予以規(guī)制�����。二是對(duì)外提供及委托處理行為���,應(yīng)當(dāng)保存處理情況記錄���。《個(gè)人信息保護(hù)法》明確約定涉?zhèn)人信息對(duì)外提供�����、委托處理行為下的3年的“個(gè)人信息保護(hù)影響評(píng)估記錄”留存要求�,《條例》中提出了3年的“處理情況記錄”留存要求���。個(gè)人信息處理者在開展對(duì)外提供或委托處理行為時(shí)�����,既要留存?zhèn)人信息保護(hù)影響評(píng)估報(bào)告��,也要盡量全面地留存該行為相關(guān)的詳細(xì)證明材料�����,例如數(shù)據(jù)處理協(xié)議�、數(shù)據(jù)傳輸相關(guān)系統(tǒng)記錄、數(shù)據(jù)安全措施證明等�����,以履行該項(xiàng)合規(guī)義務(wù)���。
網(wǎng)絡(luò)平臺(tái)服務(wù)提供者的監(jiān)管新規(guī)
網(wǎng)絡(luò)數(shù)據(jù)高度匯聚���、高頻流動(dòng)、高度開放加劇網(wǎng)絡(luò)數(shù)據(jù)泄露風(fēng)險(xiǎn)��,違法違規(guī)收集個(gè)人信息���、新型網(wǎng)絡(luò)欺詐�、黑客攻擊等安全事件頻發(fā),如何強(qiáng)化互聯(lián)網(wǎng)大型平臺(tái)的監(jiān)管成為政府監(jiān)管機(jī)構(gòu)面臨的重要課題��,為此�����,《條例》重點(diǎn)放在網(wǎng)絡(luò)平臺(tái)處理網(wǎng)絡(luò)數(shù)據(jù)的安全保護(hù)義務(wù)履行方面����。
細(xì)化行業(yè)主管部門的監(jiān)督職責(zé)。在《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等的規(guī)定下���,行業(yè)主管部門承擔(dān)重要的監(jiān)管職責(zé)���,《條例》對(duì)行業(yè)主管部門的網(wǎng)絡(luò)數(shù)據(jù)安全管理職責(zé)作了進(jìn)一步細(xì)化,明確了國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)主管部門履行網(wǎng)絡(luò)數(shù)據(jù)安全事件的應(yīng)急處置職責(zé)的要求�����。具體包括:明確本行業(yè)�����、本領(lǐng)域網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)工作機(jī)構(gòu)���,統(tǒng)籌制定并組織實(shí)施本行業(yè)���、本領(lǐng)域網(wǎng)絡(luò)數(shù)據(jù)安全事件應(yīng)急預(yù)案,定期組織開展本行業(yè)���、本領(lǐng)域網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估�,對(duì)網(wǎng)絡(luò)數(shù)據(jù)處理者履行網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)義務(wù)情況進(jìn)行監(jiān)督檢查�����,指導(dǎo)督促網(wǎng)絡(luò)數(shù)據(jù)處理者及時(shí)對(duì)存在的風(fēng)險(xiǎn)隱患進(jìn)行整改�。
同時(shí)規(guī)定有關(guān)主管部門及其工作人員對(duì)在履行職責(zé)中知悉的個(gè)人隱私、個(gè)人信息�、商業(yè)秘密的保密義務(wù)。
明確網(wǎng)絡(luò)平臺(tái)服務(wù)提供者的合規(guī)義務(wù)����。《條例》明確大型網(wǎng)絡(luò)平臺(tái)服務(wù)提供者的合規(guī)義務(wù)�����,即不得利用網(wǎng)絡(luò)數(shù)據(jù)���、算法以及平臺(tái)規(guī)則等從事的活動(dòng)包括:通過誤導(dǎo)���、欺詐�、脅迫等方式處理用戶在平臺(tái)上產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)����,是對(duì)《個(gè)人信息保護(hù)法》中“不得通過誤導(dǎo)、欺詐��、脅迫等方式處理個(gè)人信息”的重申�;無正當(dāng)理由限制用戶訪問、使用其在平臺(tái)上產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)��;對(duì)用戶實(shí)施不合理的差別待遇����,損害用戶合法權(quán)益,是對(duì)合規(guī)管理的要求���。新規(guī)規(guī)定不得對(duì)用戶實(shí)施不合理的差別待遇���,損害用戶合法權(quán)益。目前法律適用的“差別待遇”主要是指反壟斷法下的差別待遇或網(wǎng)絡(luò)不正當(dāng)競(jìng)爭(zhēng)行為���,可以按照反壟斷及反不正當(dāng)競(jìng)爭(zhēng)層面的“不合理差別待遇”行為的構(gòu)成要件為基準(zhǔn)����,合理確定自身針對(duì)用戶設(shè)置不同交易條件��、服務(wù)條件的合規(guī)邊界����。
壓實(shí)網(wǎng)絡(luò)數(shù)據(jù)處理者的主體責(zé)任����!稐l例》強(qiáng)調(diào)網(wǎng)絡(luò)平臺(tái)服務(wù)提供者的商品和服務(wù)管理義務(wù),進(jìn)一步明確各類主體責(zé)任�����。針對(duì)網(wǎng)絡(luò)數(shù)據(jù)處理者���、提供生成式人工智能服務(wù)的網(wǎng)絡(luò)數(shù)據(jù)處理者���、面向社會(huì)提供產(chǎn)品服務(wù)的網(wǎng)絡(luò)數(shù)據(jù)處理者、網(wǎng)絡(luò)平臺(tái)服務(wù)提供者等不同網(wǎng)絡(luò)數(shù)據(jù)主體提出具體要求�����,進(jìn)一步明確各類主體責(zé)任。網(wǎng)絡(luò)平臺(tái)服務(wù)提供者應(yīng)當(dāng)通過平臺(tái)規(guī)則或者合同等明確接入其平臺(tái)的第三方產(chǎn)品和服務(wù)提供者的網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)義務(wù)���,并采取措施督促第三方產(chǎn)品和服務(wù)提供者加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全管理�,對(duì)所處理的網(wǎng)絡(luò)數(shù)據(jù)的安全承擔(dān)主體責(zé)任�。值得關(guān)注的是,目前互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者就第三方產(chǎn)品和服務(wù)對(duì)用戶的損害承擔(dān)先行賠償義務(wù)��,即當(dāng)?shù)谌疆a(chǎn)品和服務(wù)對(duì)用戶造成損害時(shí)���,用戶可以要求互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者先行賠償����。當(dāng)接入平臺(tái)的第三方產(chǎn)品和服務(wù)對(duì)用戶造成損害的���,網(wǎng)絡(luò)平臺(tái)服務(wù)提供者僅需“依法承擔(dān)相應(yīng)賠償責(zé)任”��,網(wǎng)絡(luò)平臺(tái)服務(wù)提供者仍可援用“避風(fēng)港規(guī)則”�,僅當(dāng)自身存在過錯(cuò)時(shí)才需就第三方產(chǎn)品和服務(wù)造成的損害承擔(dān)相應(yīng)責(zé)任����。
對(duì)企業(yè)在使用自動(dòng)化采集技術(shù)過程中遇到的問題提供指導(dǎo)���。《條例》規(guī)定�,當(dāng)自動(dòng)化采集不可避免地收集到非必要的個(gè)人信息或未依法取得個(gè)人同意的信息從技術(shù)上難以實(shí)現(xiàn)刪除或匿名化時(shí),網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)停止除存儲(chǔ)和采取必要安全保護(hù)措施之外的任何處理行為�。這一規(guī)定為諸多新技術(shù)�、新應(yīng)用的合規(guī)開發(fā)提供實(shí)施方向,如大模型訓(xùn)練中通過爬蟲等方式獲取海量數(shù)據(jù)但無法有效剝離非必要信息的情形等�,在避免數(shù)據(jù)濫用風(fēng)險(xiǎn)的同時(shí)也保障了企業(yè)的正常運(yùn)營(yíng)和技術(shù)進(jìn)步。
監(jiān)督管理與法律責(zé)任的較大調(diào)整�。《條例》強(qiáng)調(diào)由網(wǎng)信部門統(tǒng)籌�����、相關(guān)主管部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)的分工與協(xié)同的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)督管理機(jī)制�����。對(duì)大型平臺(tái)及重要數(shù)據(jù)處理者的年度審計(jì)或評(píng)估要求進(jìn)行調(diào)整�,取消了必須由外部機(jī)構(gòu)執(zhí)行的規(guī)定,賦予企業(yè)更大的自主權(quán)來選擇適合自身的評(píng)估方式���。在對(duì)外提供和委托處理重要數(shù)據(jù)方面���,監(jiān)管模式調(diào)整改為由企業(yè)自行評(píng)估風(fēng)險(xiǎn)并據(jù)此決策���。在法律責(zé)任方面,《條例》與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《行政處罰法》等相關(guān)法律進(jìn)行了有效銜接����,針對(duì)網(wǎng)絡(luò)數(shù)據(jù)領(lǐng)域的具體違規(guī)行為的罰則進(jìn)行了細(xì)化,明確了相關(guān)網(wǎng)絡(luò)數(shù)據(jù)處理者的法律責(zé)任�����,同時(shí)又考慮到“包容審慎”的監(jiān)管機(jī)制����,為相關(guān)主體和企業(yè)提供了糾錯(cuò)空間。
