2024年9月30日,《网络数据安全管理条例》(以下称“《条例》”)正式公布,将自2025年1月1日起施行。
回顾《网络数据安全管理条例》的立法进程,早在2021年11月14日,国家互联网信息办公室就发布了《网络数据安全管理条例(征求意见稿)》(以下称“《征求意见稿》”),面向社会公开征求意见;此后国务院在2022年、2023年、2024年连续三年的立法计划中均明确要制定网络数据安全管理条例,但始终未能落地;直到2024年8月30日,国务院总理李强主持召开国务院常务会议,审议通过了《网络数据安全管理条例(草案)》;2024年9月24日,国务院总理李强签署第790号国务院令,公布《网络数据安全管理条例》(实际于2024年9月30日公布),《条例》将自2025年1月1日起施行。
《条例》性质上属于“行政法规”范畴,内容上共计九章六十四条,明确了网络数据安全管理的一般规定,进一步完善细化了个人信息保护、重要数据安全、网络数据跨境安全管理、网络平台服务提供者义务等方面的具体要求。
《条例》的发布意味着我国数据领域形成了“法律-行政法规-部门规章”的完整规范体系,但从内容上看,《条例》更像是对过往实践做法的总结,以及对已有的数据领域相关法律、部门规章要求的细化、补充。除此外,《条例》本身实际上并未创设太多新的合规义务,只是其中有不少细节内容仍然值得关注和推敲。下文中,我们将对《条例》的部分重点内容进行解析。
一、细化网络数据处理者的报告、通知和报送义务
《条例》在《网络安全法》、《数据安全法》、《个人信息保护法》基础上进一步细化规定了网络数据处理者的报告、通知和报送义务:
1、《网络安全法》第二十二条规定了网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当按照规定及时告知用户并向有关主管部门报告。《条例》第十条在此基础上进一步规定涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告。
2、《网络安全法》、《数据安全法》、《个人信息保护法》均对在发生安全事件时,对个人的告知/通知义务有所规定。《条例》第十一条第二款进一步规定网络数据安全事件对个人、组织合法权益造成危害的,网络数据处理者应当及时将安全事件和风险情况、危害后果、已经采取的补救措施等,以电话、短信、即时通信工具、电子邮件或者公告等方式通知利害关系人。此前《征求意见稿》中明确规定该等情况下数据处理者应当在三个工作日内将相关信息通知利害关系人,但本次《条例》仅概括规定应当“及时”通知。对于“通知”的前提条件,《条例》吸收了《个人信息保护法》相关规定的精神,明确只有在“造成危害”时,才需要履行该等通知义务。
3、《条例》第二十六条在《个人信息保护法》规定基础上,进一步明确境外网络数据处理者在境内设立专门机构或者指定代表的,应当将有关机构的名称或者代表的姓名、联系方式等报送所在地设区的市级网信部门,网信部门应当及时通报同级有关主管部门。
二、对外提供个人信息也需落实合同签署和监督义务
《条例》第十二条规定向其他网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况进行监督。此前《个人信息保护法》实际仅规定委托处理个人信息时,需与受托方约定处理目的、方式、双方权利义务等,对受托方进行监督。对于对外提供个人信息的,《个人信息保护法》并未做此要求。但在如《信息安全技术 个人信息安全规范》等国家标准文件中,则规定了共享个人信息的,应当通过合同等方式约定数据接收方的责任和义务等要求。而实操中企业在对外共享个人信息时,也较常见与接收方签署数据安全管理相关协议的安排。此次《条例》则更加明确规定了对外提供个人信息的,也应当与接收方通过合同等约定数据安全保护义务等内容,履行对接收方的监督义务,企业需要基于此完善自身对数据合作方的管理要求。
此外,本条也明确了提供、委托处理重要数据的管理要求,基本与此前工信部发布的《工业和信息化领域数据安全管理办法(试行)》对重要数据流转的管理要求一致。
三、个人信息告知要求进一步细化,并与过往实操做法及监管要求保持一致
《条例》第二十一条规定了个人信息处理规则的告知内容,相比较《个人信息保护法》第十七条规定的告知内容,以下几点值得关注:
1、《个人信息保护法》仅规定需告知个人信息的“保存期限”,《条例》则进一步规定需告知“到期后的处理方式”,而实际上此前《App违法违规收集使用个人信息自评估指南》中也有规定需对个人信息的“超期处理方式”进行明确说明。此外,《条例》还进一步规定“保存期限难以确定的,应当明确保存期限的确定方法”,这也符合当前企业隐私政策中普遍描述个人信息保存期限确定方法的做法。
2、《个人信息保护法》仅规定需告知“个人行使本法规定权利的方式和程序”,《条例》进一步细化要求需告知“个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等”。建议企业需对照核查自身隐私政策,对个人行权方式的说明按照《条例》要求进行完善。
3、《条例》规定网络数据处理者向个人告知收集和提供个人信息情况的,应当以清单等形式予以列明,这也对应当前实操中的“双清单”告知形式。早在工信部2021年11月1日发布的《工业和信息化部关于开展信息通信服务感知提升行动的通知》中就规定企业应当建立已收集个人信息清单和与第三方共享个人信息清单(“双清单”),并在APP二级菜单中展示,方便用户查询。
四、明确个人信息可携权的响应条件
《个人信息保护法》第四十五条第三款规定了个人信息的可携权,即“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”,但长期以来对于如何判断“符合国家网信部门规定条件”始终没有明确规定。对此,《条例》第二十五条明确规定了符合下列条件的,网络数据处理者应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径:
1、能够验证请求人的真实身份;
2、请求转移的是本人同意提供的或者基于合同收集的个人信息;
3、转移个人信息具备技术可行性;
4、转移个人信息不损害他人合法权益。
该等规定了明确个人信息可携权的响应条件,为实操中企业落地响应个人信息主体行使可携权的请求提供了指引。
五、明确个人信息量级与重要数据的关系
随着重要数据识别认定工作的推进,一定数量的个人信息是否可能构成重要数据在实操中也备受关注。对此,《条例》第二十八条规定,网络数据处理者处理1000万人以上个人信息的,还应当遵守《条例》第三十条(网络安全管理组织架构的设置)、第三十二条(合并、分立、解散、破产等情况下保障重要数据安全)的规定。相比较《征求意见稿》的规定,《条例》在个人信息量级与重要数据的认定上总体有所放宽:
1、《征求意见稿》规定处理100万人以上个人信息的,即应当遵守对重要数据处理者的规定,本次《条例》放宽到“1000万人以上”。
2、此前《征求意见稿》要求达量个人信息处理者需遵守所有《征求意见稿》第四章中对重要数据处理者的规定,但本次《条例》仅要求该等达量个人信息处理者遵守对重要数据处理者在“网络安全管理组织架构设置”以及“合并、分立、解散、破产等情况下保障重要数据安全”方面的相关义务。
此外,值得注意的是,此前实操中工信条线也在推进重要数据的识别认定工作,根据此前口径,100万人以上的个人信息即可能构成重要数据,与《条例》规定“1000万人以上”量级标准并不一致,后续工信条线关于构成重要数据的个人信息的量级规定是否会相应调整值得关注。
六、规定重要数据处理者的安全评估义务
《条例》第三十一条及第三十三条分别规定了重要数据处理者的两类安全评估义务:
1、日常事前评估:除履行法定职责或者法定义务外,重要数据的处理者提供、委托处理、共同处理重要数据前,应当进行风险评估,评估内容包括处理目的、方式、范围等是否合法、正当、必要;发生安全事件的风险以及所采取的安全措施的有效性等。
2、年度风险评估:重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告。风险评估报告的内容包括网络数据处理者基本信息;处理重要数据的情况;网络数据安全管理制度、措施及实施情况等。
工信部发布的《工业和信息化领域数据安全管理办法(试行)》中对重要数据处理者的风险评估工作也有所规定。2024年5月10日,工信部进一步发布了《工业和信息化领域数据安全风险评估实施细则(试行)》,对重要数据处理者的风险评估义务进行了细化规定。而当前实操中,工信条线实际上也在逐步推进重要数据处理者的风险评估及报告报送工作,相关企业在推进重要数据的风险评估工作时,也建议需留意《条例》的相关要求。
七、新增个人信息出境的豁免情形规定
《条例》第三十五条在吸收《个人信息保护法》以及《促进和规范数据跨境流动规定》相关规定的基础上,明确了个人信息出境的相关条件。除传统的数据出境安全评估、个人信息保护认证、个人信息出境标准合同三条路径外,还包括《促进和规范数据跨境流动规定》第五条规定的“订立、履行合同所必需”、“跨境人力资源管理所必需”、“紧急情况所必需”三种情形下可向境外提供个人信息。除了前述情形外,《条例》新增规定了“为履行法定职责或者法定义务,确需向境外提供个人信息”时,可以向境外提供个人信息,该条的具体理解和运用还有待实操中进一步观察。
八、明确大型网络平台的定义及其义务
《条例》第三十三条第三款、第四十四条、第四十五条、第四十六条规定了大型网络平台服务提供者的义务,包括发布年度个人信息保护社会责任报告、防范网络数据跨境安全风险等。同时,《条例》第六十二条规定“大型网络平台,是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台”。
该等定义相较此前《征求意见稿》以及《网络安全标准实践指南—大型互联网平台网络安全评估指南》中的定义均有所不同。《征求意见稿》规定“大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者”;而《网络安全标准实践指南—大型互联网平台网络安全评估指南》中规定“大型互联网平台,是指通过网络技术将个人与个人、商品、信息、服务、线下资源、资金、软件等进行连接,并以此为基础提供业务的较大规模的网络平台。较大规模是指在过去的一年期间,在我国累计平均月度活跃用户总数不低于5000万”。
九、避免不必要的检查和交叉重复检查;避免重复评估、审计
《条例》第五十二条规定,主管部门应当合理确定检查频次和检查方式,避免不必要的检查和交叉重复检查,合规审计、风险评估等工作应当加强衔接,避免重复评估、审计,重要数据风险评估和网络安全等级测评的内容重合的,相关结果可以互相采信。
实操中,企业往往面临着来自网信、通管、公安网安等不同数据监管条线的监督检查工作,还需要定期、不定期地开展审计、评估等工作,实际上给企业造成了较大的负担,《条例》也回应了这一现象,要求避免不必要的检查和交叉重复检查;避免重复评估、审计。
十、罚则上对违反部分具体条款进行明确规定,并兜底关联《个人信息保护法》等规定。
《条例》第八章中关于“法律责任”的规定,相比较《征求意见稿》的规定更加清晰、明确。《条例》第五十五至第五十七条明确了违反《条例》中部分具体条款时的法律责任,包括责令改正,警告,没收违法所得,责令暂停相关业务,停业整顿,吊销相关业务许可证或者吊销营业执照,罚款等,直接负责的主管人员和其他直接责任人员也可能需承担相应的法律责任,如罚款。此外,《条例》第五十八条兜底规定了“违反本条例其他有关规定的,由有关主管部门依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律的有关规定追究法律责任”。