《网络数据安全管理条例》解读二：核心规则设计的变化与延续（上）

政务 2025-01-03 16:22 西藏

作为效力仅次于“法律”的行政法规，《网络数据安全管理条例》不是对上位法进行简单的重复，而是充分发挥“行政法规”在法律体系中的重要作用。一方面细化《网络安全法》《数据安全法》《个人信息保护法》，并落实三法中明确“行政法规”可以补充规定或另行规定的事项，进行补充性或创新性规定。另一方面，结合近年数据治理经验，聚焦信息技术创新及数字经济发展中的突出问题，衔接、协调上位法律及下位部门规章相关规定。总的来说，《网络数据安全管理条例》确立的规则呈现以下变化与延续：

一、明确界定“网络数据处理者”“重要数据”等核心概念

与《数据安全法》主要以行为即“开展数据处理活动”为中心构建数据安全规则不同，《网络数据安全管理条例》中的网络数据安全保护义务与责任主要围绕“网络数据处理者”这一主体身份展开。只有“网络数据处理者”需履行等级保护基础上全流程的数据安全保护，网络数据安全风险告知报告，网络数据安全应急处置，提供、委托、共同处理环节的风险评估义务等义务。至于何为“网络数据处理者”，基于《数据安全法》并未对数据处理者做出界定。《网络数据安全管理条例》借鉴了《个人信息保护法》中“个人信息处理者”定义，在附则的含义中明确“网络数据处理者是指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织”。由此，能否“自主决定”处理目的和处理方式判定是否属于“网络数据处理者”的核心标准。“自主决定”蕴含着控制力、影响力和决定性地位的实质性判断，并与是否承担数据安全责任直接关联。实践中证明某个主体是否具备自主决定数据处理目的和处理方式，往往需要结合场景进行判断，如数据合作或服务协议中的职责界定，在集团数据处理模式中还要考虑企业股权架构、决策机制等。

《网络数据安全管理条例》另一个核心概念是“重要数据”，《网络数据安全管理条例》吸纳了国家标准《数据安全技术数据分类分级规则》对“重要数据”的界定，在附则的含义中明确“重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”。关于重要数据的认定，《网络数据安全管理条例》延续《数据安全法》确立的国家数据安全工作协调机制制定重要数据目录，各地区、各部门确定本地区、本部门以及行业、领域的重要数据具体目录的认定机制，同时吸收近年重要数据出境安全评估中的监管经验，明确网络数据处理者只需负责重要数据的识别、申报。是否属于重要数据的认定交由各地区、各部门，各地区、各部门负责审核后告知或公布。

二、新增网络数据安全风险、事件告知与报告规则

《网络数据安全管理条例》首先在《网络安全法》基础上强调“网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求”；其次，在延续《网络安全法》关于“网络产品、服务提供者”安全风险告知及补救义务规定的基础上，首次提出“涉及危害国家安全、公共利益的，网络数据处理者还应当在24小时内向有关主管部门报告”。

关于网络数据安全事件的告知与报告，《网络数据安全管理条例》延续了《数据安全法》《网络安全法》中安全事件向主管部门的报告要求，未做进一步细化。但重点补充了是否需要向利害关系人告知以及如何告知的规则。《网络数据安全管理条例》在平衡企业合规负担与个体权益保障的基础上，仅规定网络数据安全事件对个人、组织合法权益“造成危害的”才需告知。告知方式包括电话、短信、即时通信工具、电子邮件或者公告。此前征求意见稿对于以公告方式告知的，设置了前置条件，仅无法通知的才可公告告知。正式稿删除了该限制，进一步降低合规要求。

三、补充数据流转中的安全保护要求

数据流转安全问题随着数据要素开发利用日益频繁，《数据安全法》定义了数据安全有效保护和合法利用的两种状态，但并未建立数据流转安全的具体规则。《个人信息保护法》针对个人信息对外提供、委托、共同处理确立了一定要求，例如应当开展个人信息保护影响评估。对外提供个人信息的，应当履行告知义务并取得单独同意。委托处理个人信息的，应当与受托人约定各自权利义务并进行监督等。《网络数据安全管理条例》紧抓数据流动和利用安全这一数据要素时代的数据安全核心问题，关注点从“数据安全”到“数据合法有效利用”，在《数据安全法》《个人信息保护法》基础上做了诸多规则补充。

一是要求提供、委托处理个人信息和重要数据的，应当通过合同等明确安全保护义务、监督义务履行情况、记录处理情况并至少保存3年。值得注意的是，《个人信息保护法》仅要求“委托”处理个人信息的需要约定权利义务并监督，《网络数据安全管理条例》则扩展至“提供”个人信息的场景。“提供、委托处理”重要数据的要求则吸收行业、领域的实践经验。二是要求重要数据的处理者提供、委托处理、共同处理重要数据前，除为履行法定职责或者法定义务外，应当进行风险评估。三是明确了针对自动化采集豁免知情同意规则。《网络数据安全管理条例》第二十四条吸收《个人信息保护法》第十三条、第十八条规定，利用行政法规层级，实现对自动化采集知情同意规则的豁免，即免除前端采集环节义务，在后续环节处理即可。

四、新增特殊主体的供应链安全要求

《网络数据安全管理条例》对网络数据安全的关注不再是节点安全而是整个产业链供应链的安全。《网络数据安全管理条例》不仅明确提出“供应链网络数据安全”概念，也构建了较为全面的数据供应链安全体系。在规则设计上，对国家机关、关键信息基础设施运营者、公共基础设施及公共服务系统运营者、处理重要数据的大型网络平台服务提供者的供应链安全提出新增要求。

一是《网络数据安全管理条例》不仅关注国家机关网络数据安全，还首次针对为“关键信息基础设施运营者、参与其他公共基础设施、公共服务系统建设、运行、维护的”供应商，提出其与“国家机关”相关服务供应商同等安全保护要求。二是不仅关注供应链上的服务安全还关注信息系统安全，要求为国家机关提供服务的信息系统参照电子政务系统的管理要求。三是对于处理重要数据的大型网络平台服务提供者，《网络数据安全管理条例》首次明确要求前者应当充分说明关键业务和供应链网络数据安全等情况。

五、补充重要数据安全保护规则

重要数据安全保护制度是国家数据安全管理的重要抓手，《数据安全法》在一般数据基础上对重要数据设置了增强要求，包括明确数据安全负责人和管理机构、定期开展风险评估以及出境安全管理。

近年来，行业、领域在重要数据安全保护工作探索中也提出一些细化、不同强度的保护要求。例如重要数据备案要求，《工业和信息化领域数据安全管理办法（试行）》规定，工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案；重要数据安全能力核验要求，《工业和信息化领域数据安全管理办法（试行）》规定，委托处理重要数据，应当对受托方的数据安全保护能力、资质进行核验；重要数据年度风险评估要求，《工业和信息化领域数据安全管理办法（试行）》规定，工业和信息化领域重要数据处理者应当自行或委托第三方评估机构，每年对其数据处理活动至少开展一次风险评估，并向本地区行业监管部门报送风险评估报告；重要数据的存储要求，《会计师事务所数据安全管理暂行办法》规定，存储重要数据的信息系统要落实三级及以上网络安全等级保护要求；重要数据日志留存要求，《会计师事务所数据安全管理暂行办法》规定，涉及重要数据的相关日志留存时间不少于一年。涉及向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于三年等。

《网络数据安全管理条例》一是补充了网络数据安全负责人资格要求。包括具备网络数据安全专业知识、具备相关管理经验，属于管理层成员。对于掌握有关主管部门特定种类、规模重要数据的处理者，还需对网络数据安全负责人和关键岗位人员进行安全背景审查。二是补充了网络数据安全管理机构职责。三是细化了风险评估制度。《网络数据安全管理条例》规定了提供、委托处理、共同处理重要数据前需要开展风险评估以及重要数据安全年度风险评估两类评估要求。后者评估报告需向省级以上主管部门报送。四是新增了特殊情形下重要数据处置方案报告要求。此前《自然资源部数据安全管理办法》规定，数据处理者因重组等原因需要转移数据的，应当明确数据转移方案。涉及重要数据的，应当事前向行业监管部门报告数据转移方案。《网络数据安全管理条例》则明确只要因合并、分立、解散、破产等可能影响重要数据安全的，均需报告。

来源：公安部网安局

西藏网警

巡查执法，网络犯罪防范警示提示，网上违法行为告知警示。网上违法犯罪信息举报网址：www.cyberpolice.cn

最新文章

日喀则市定日县发生6.8级地震，警惕这些网络不实信息

日喀则不哭，藏蓝护您扎西德勒！

【多图直击】山河同脉寒冬温情：地震灾区的这些瞬间让人动容

公安部提醒！

日喀则市定日县“1·07”地震抗震救灾工作第二场新闻发布会召开

关于社会力量有序参与日喀则市定日县6.8级地震抗震救灾的公告

日喀则公安迅速投入震区抢险救灾

警惕利用定日县地震各类网络诈骗案件的预警提示

关于地震的那些谣言

谨防地震谣言成为另一种“次生灾害”

公安部部署西藏公安机关迅速开展抗震救灾工作

认真贯彻落实习近平总书记重要指示精神王君正第一时间调度部署并赶赴震区现场指挥

首批中央救灾物资已运抵日喀则地震灾区

日喀则市召开定日县“1·07”地震受灾救援工作新闻发布会

这三天震区天气如何？西藏气象部门发布最新提醒

受定日县地震影响的拉日铁路恢复运行

习近平对西藏日喀则市定日县6.8级地震作出重要指示

认真贯彻落实习近平总书记重要指示精神迅速开展日喀则市定日县6.8级地震抗震救灾工作王君正第一时间调度部署并赶赴震区现场指挥

最新交通管制，请让出救援通道！

习近平在二十届中央纪委四次全会上发表重要讲话

王君正主持召开自治区党委常委会会议

重点防范境外恶意网址和恶意IP（续三）

今日辟谣（2025年1月6日）

6人被抓！警方提醒：这类快递不要收

勇闯“春运”，网警提个醒

“真正成为世界上最强大的一个政党”——写在二十届中央纪委四次全会召开之际

中央政法委发布2024年第四季度见义勇为勇士榜

【你好，警察节】“探班”警营感受别样“警”彩

赞！仁布公安紧急救助国家二级保护动物雀鹰！

全国公安机关深入开展“冬季行动”

小寒至，防诈“警”相随

《网络数据安全管理条例》解读三：核心规则设计的变化与延续（下）

2号晚上造谣制造恐慌的那位～被拘留！

“好友”带你一夜暴富？小心有诈

自编自演地铁“有偿占座”闹剧已被警方行政拘留

全国公安机关深入开展“冬季行动”

公安部公布十起典型案例

紧急提醒！在朋友圈做这事，涉嫌违法

充电时，先插手机还是充电器？这几种错误的充电方法，手机坏得快！

《网络数据安全管理条例》解读二：核心规则设计的变化与延续（上）

寒假将至——网警提醒警惕未成年人网络游戏陷阱！

护航安全“不打烊”，拉萨交警持续开展电动车专项整治工作

习近平和夫人彭丽媛向美国华盛顿州中学师生代表回赠新年贺卡

自治区党委社会工作会议召开王君正出席并讲话

实现共同富裕一个民族都不能少

点赞投票就能“赚钱”？小心！

网警新年第1课——陌生快递内的“国家公文”是真的吗？

今日辟谣（2025年1月2日）

以中国式现代化全面推进强国建设、民族复兴伟业

王小洪在国家禁毒委员会全体会议暨全国禁毒工作视频会议上强调全力推动禁毒工作高质量发展坚决打赢新时代禁毒人民战争

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉