历经漫长的三年后,在部分吸收相关立法立标实践和全面总结前期监管执法经验的基础上,国务院正式发布《网络数据安全管理条例》(下称“网数条例”),自2025年1月1日起开始实施。
作为《网络安全法》《数据安全法》及《个人信息保护法》等的重要落地支撑,《网数条例》重塑了网数政策导向,进一步细化了相关法律理解与适用,对统一当前监管执法尺度和指导企业网数合规建设具有重要意义,影响深远。
就《网数条例》的主要影响及企业合规行动建议,汇业黄春林律师团队简要解读如下,仅供参考。
一、《网数条例》的主要内容
作为承上启下的重要法律文件,《网数条例》进一步细化了相关规则和合规尺度,填补了部分制度性缺陷,理清了监管执法权限及措施,同时也将前期的部分治理实践上升为行政法规,其主要内容为:
二、《网数条例》带来的法律环境变化
《网数条例》立法周期历经三年之久,期间的社会、经济环境发生了巨大的变化,这些最终将影响《网数条例》背后的法律环境,主要体现在如下几个方面:
首先,在立法层面,《网数条例》开启了“反内卷”的网数立法新时代,整体条文谦抑克制,立法技术更加成熟,合规尺度更加包容审慎,不刻意求新求全,文字处理上主动避免国际社会过度解读。
其次,在监管层面,《网数条例》进一步理清了监管执法权限和检查措施,进一步强调了部委协调机制,尤其强化了各主管部门的数据安全监督管理职能,具有重要的风向标意义。
再次,在法律适用层面,《网数条例》作为一部行政法规,其效力级别本身就意味着不能简单地解读为“新瓶装旧酒”。相较于效力级别较低的法律文件,行政法规有利于统一法律理解与适用,是各司法机构开展司法活动和不同主管部门开展监管执法的明确法律依据。
最后,在政策导向层面,《网数条例》努力减轻企业合规负担,稳定企业合规预期,倡导弹性包容的治理环境,是当前经济环境下的应时之举。
三、《网数条例》开启网数人才职业新篇章
《网数条例》带来的法律环境变化,以及对企业数据安全治理机构、人员的详细规定,有利于开启企业网数人才职业新篇章,主要体现在如下几个方面:
第一,《网数条例》开启了企业网数人才职业新高度。《网数条例》进一步明确了《个人信息保护法》《数据安全法》中关于企业数据安全治理机构、人员等规定,要求千万级个人信息处理者及重要数据处理者应当明确网络数据安全负责人和网络数据安全管理机构。《网数条例》首次从行政法规层面明确了机构职责,以及明确了负责人职级要求(由网络数据处理者管理层成员担任),对于这一制度落地具有重要的推动作用。考虑到当前行业认知情况,未来大概率是现有人员“向上兼任”的模式(例如DPO进入管理层),这也就为企业网数人才向上职业发展提供了新途径。建议各位从业人员通过学习、考证、具体项目等方式,尽快丰富“专业知识”和“管理工作经历”两个维度,提高未来职业竞争含金量。
第二,《网数条例》拓宽了企业网数人才职业新领域。《网数条例》进一步明确了《个人信息保护法》境外机构在境内设立专门机构或指定代表的机制,同时细化了报送、披露制度,对于这一制度落地具有重要的推动作用。考虑到当前行业认知情况,未来大概率是跨国集团的中国公司现有机构/人员“横向兼任”的模式(例如中国DPO同时担任HQ的代表),这也将进一步拓宽企业网数人才职业发展路径,进一步增强中国公司网数从业人员与跨国集团相关人员的纵向联系,进而增强职业稳定性和话语权。
第三,《网数条例》带来的法律环境变化,将进一步增强企业数据合规预期,强化主管部门监管联系,明确法律适用标准及合规尺度,这些都将有利于网数人才的长期职业发展。
最后,《网数条例》并未显著增加网络数据安全负责人及管理机构的法律责任,也未改变职务行为承担法律责任的基本逻辑,因此大家应当摈弃网数人才“背锅侠”的传统认知。
四、《网数条例》实施前企业应当采取哪些行动
在《网数条例》实施前,黄春林律师团队建议,企业应当根据不同的行业、性质、规模,以及合规资源、合规偏好等情况,采取包括但不限于下列合规动作:
(1) 完善企业数据合规治理。例如,依法设立网络数据安全负责人及管理机构;制定网安、数安事件的应急预案、演练、响应及报告机制;以《网数条例》为契机,开展数据合规教育培训;等等。
(2) 完善企业数据合规机制。例如,对标个人信息安全影响评估机制,依法建立重要数据常规风险评估机制;建立重要数据年评年报机制;建立自动化工具管理及评估机制;完善第三方尽调及管理机制;完善用户权利请求及响应机制;完善同意管理机制;等等。
(3) 完善数据合规相关的协议、政策及规则等文本。例如,修订数据处理协议,完善权益、记录、监督等条款;完善隐私政策有关告知内容及交互形式;完善双清单文本;完善儿童个人信息处理规则;完善自动化决策规则;等等。
(4) 完善数据安全相关的措施。例如,采取或完善加密、备份、访问控制、安全认证等技术措施、留痕机制;准备本地化建设;准备网络身份核验接口建设;等等。
(5) 准备个保合规审计资源。根据企业前期数据合规建设情况,选择适当的内审或外审机制,准备个保合规审计相关组织、人员及预算等资源,迎接即将落地的个保合规审计制度。
(6) 准备监管执法应对资源。《网数条例》进一步明确了主管部门的常规监管权限及监督检查措施,还进一步强调了数据出境等的事后监管要求。因此,企业应当准备适当的资源,以应对数据合规的“下半场”。
(7) 等等。