首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

《网络数据安全管理条例》解读一、二

学术   2025-01-02 17:01   浙江  

解读一:条例出台的必要性与重要性

2024年9月24日,《网络数据安全管理条例》正式出台,自2025年1月1日起施行。作为《网络安全法》《数据安全法》《个人信息保护法》三法的下位配套规范,《网络数据安全管理条例》的出台弥补了我国数据治理领域全位阶法律规范体系中“行政法规”的缺失,为三法框架下的制度衔接与协调、规则细化与补充提供了解决方案,在网络数据安全保护领域起到纲领性作用,也为贯彻落实“坚持高质量发展和高水平安全良性互动”理念提供了重要范式。随着《网络数据安全管理条例》的施行,我国网络数据安全规则体系将迎来新一轮调整,对当前网络数据安全监管格局、监管思路、重点与方向以及法规的合规遵从工作均会带来直接影响。

 党的二十大报告提出,高质量发展是全面建设社会主义现代化国家的首要任务。二十届三中全会通过的《中共中央关于进一步全面深化改革 推进中国式现代化的决定》强调,要实现高质量发展和高水平安全良性互动,并将其作为推进国家安全体系和能力现代化的重要内容。在构建以数据为关键要素的数字经济已成我国推动高质量发展的必然要求,同时人工智能、量子计算等颠覆性技术带来的安全形势不断变化的背景下,如何在数据治理领域贯彻落实这一国家顶层要求,已经成为事关国家发展和安全大局的重大问题。
《网络数据安全管理条例》出台之前,法律层面,我国网络与数据安全领域的三大核心立法《网络安全法》《数据安全法》《个人信息保护法》已相继施行,为保障数据安全发挥了重要作用。近年来,行业、领域及地方在数据治理方面已开展了包括重要数据安全、数据分类分级、数据出境等在内的诸多试点、调研,围绕数据安全、个人信息保护的执法检查相继开展,《促进和规范数据跨境流动规定》《自然资源领域数据安全管理办法》《工业和信息化领域数据安全管理办法(试行)》《民航数据管理办法(征求意见稿)》等部门规章、规范性文件密集出台,为数据治理方案优化提供了有益经验。值得注意的是,行业、领域、区域在规则出台进度、内容设计等方面也存在一定的差异性,需要行政法规层面予以统一或明确。
 因此,《网络数据安全管理条例》是立足于我国网络数据安全风险变化、法治建设需要以及数字经济发展形势,在总结近年监管与产业互动、磨合中的先进经验,通盘考虑高质量发展与高水平安全需求基础上提出的中国数据治理方案,明确了未来相当长时期的监管思路、重点与方向。
 从法律体系定位来看,《网络数据安全管理条例》是《网络安全法》《数据安全法》《个人信息保护法》三大立法的下位配套规范,也是目前唯一一部横跨网络安全、数据安全与个人信息保护三大领域,集三大核心立法制度设计、规则细化任务于一身的行政法规,其重要性不言而喻。从效力位阶上看,《网络数据安全管理条例》属于效力仅次于法律的行政法规。虽然此前同位阶的还有《关键信息基础设施安全保护条例》,但该条例仅适用于关键信息基础设施领域,且更侧重于网络安全而不是数据安全。《网络数据安全管理条例》出台后,先行施行的下位规范可能需要对标《网络数据安全管理条例》进行相应的规则清理和调整。而以《网络数据安全管理条例》为依据的新的地方性法规、部门规章和规范性文件的制定发布工作也会开启。

解读二:核心规则设计的变化与延续

作为效力仅次于“法律”的行政法规,《网络数据安全管理条例》不是对上位法进行简单的重复,而是充分发挥“行政法规”在法律体系中的重要作用。一方面细化《网络安全法》《数据安全法》《个人信息保护法》,并落实三法中明确“行政法规”可以补充规定或另行规定的事项,进行补充性或创新性规定。另一方面,结合近年数据治理经验,聚焦信息技术创新及数字经济发展中的突出问题,衔接、协调上位法律及下位部门规章相关规定。总的来说,《网络数据安全管理条例》确立的规则呈现以下变化与延续:

一、明确界定“网络数据处理者”“重要数据”等核心概念
与《数据安全法》主要以行为即“开展数据处理活动”为中心构建数据安全规则不同,《网络数据安全管理条例》中的网络数据安全保护义务与责任主要围绕“网络数据处理者”这一主体身份展开。只有“网络数据处理者”需履行等级保护基础上全流程的数据安全保护,网络数据安全风险告知报告,网络数据安全应急处置,提供、委托、共同处理环节的风险评估义务等义务。至于何为“网络数据处理者”,基于《数据安全法》并未对数据处理者做出界定。《网络数据安全管理条例》借鉴了《个人信息保护法》中“个人信息处理者”定义,在附则的含义中明确“网络数据处理者是指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织”。由此,能否“自主决定”处理目的和处理方式判定是否属于“网络数据处理者”的核心标准。“自主决定”蕴含着控制力、影响力和决定性地位的实质性判断,并与是否承担数据安全责任直接关联。实践中证明某个主体是否具备自主决定数据处理目的和处理方式,往往需要结合场景进行判断,如数据合作或服务协议中的职责界定,在集团数据处理模式中还要考虑企业股权架构、决策机制等。
《网络数据安全管理条例》另一个核心概念是“重要数据”,《网络数据安全管理条例》吸纳了国家标准《数据安全技术 数据分类分级规则》对“重要数据”的界定,在附则的含义中明确“重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”。关于重要数据的认定,《网络数据安全管理条例》延续《数据安全法》确立的国家数据安全工作协调机制制定重要数据目录,各地区、各部门确定本地区、本部门以及行业、领域的重要数据具体目录的认定机制,同时吸收近年重要数据出境安全评估中的监管经验,明确网络数据处理者只需负责重要数据的识别、申报。是否属于重要数据的认定交由各地区、各部门,各地区、各部门负责审核后告知或公布。
二、新增网络数据安全风险、事件告知与报告规则
《网络数据安全管理条例》首先在《网络安全法》基础上强调“网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求”;其次,在延续《网络安全法》关于“网络产品、服务提供者”安全风险告知及补救义务规定的基础上,首次提出“涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告”。 
关于网络数据安全事件的告知与报告,《网络数据安全管理条例》延续了《数据安全法》《网络安全法》中安全事件向主管部门的报告要求,未做进一步细化。但重点补充了是否需要向利害关系人告知以及如何告知的规则。《网络数据安全管理条例》在平衡企业合规负担与个体权益保障的基础上,仅规定网络数据安全事件对个人、组织合法权益“造成危害的”才需告知。告知方式包括电话、短信、即时通信工具、电子邮件或者公告。此前征求意见稿对于以公告方式告知的,设置了前置条件,仅无法通知的才可公告告知。正式稿删除了该限制,进一步降低合规要求。
三、补充数据流转中的安全保护要求
 数据流转安全问题随着数据要素开发利用日益频繁,《数据安全法》定义了数据安全有效保护和合法利用的两种状态,但并未建立数据流转安全的具体规则。《个人信息保护法》针对个人信息对外提供、委托、共同处理确立了一定要求,例如应当开展个人信息保护影响评估。对外提供个人信息的,应当履行告知义务并取得单独同意。委托处理个人信息的,应当与受托人约定各自权利义务并进行监督等。《网络数据安全管理条例》紧抓数据流动和利用安全这一数据要素时代的数据安全核心问题,关注点从“数据安全”到“数据合法有效利用”,在《数据安全法》《个人信息保护法》基础上做了诸多规则补充。
 一是要求提供、委托处理个人信息和重要数据的,应当通过合同等明确安全保护义务、监督义务履行情况、记录处理情况并至少保存3年。值得注意的是,《个人信息保护法》仅要求“委托”处理个人信息的需要约定权利义务并监督,《网络数据安全管理条例》则扩展至“提供”个人信息的场景。“提供、委托处理”重要数据的要求则吸收行业、领域的实践经验。二是要求重要数据的处理者提供、委托处理、共同处理重要数据前,除为履行法定职责或者法定义务外,应当进行风险评估。三是明确了针对自动化采集豁免知情同意规则。《网络数据安全管理条例》第二十四条吸收《个人信息保护法》第十三条、第十八条规定,利用行政法规层级,实现对自动化采集知情同意规则的豁免,即免除前端采集环节义务,在后续环节处理即可。
四、新增特殊主体的供应链安全要求
《网络数据安全管理条例》对网络数据安全的关注不再是节点安全而是整个产业链供应链的安全。《网络数据安全管理条例》不仅明确提出“供应链网络数据安全”概念,也构建了较为全面的数据供应链安全体系。在规则设计上,对国家机关、关键信息基础设施运营者、公共基础设施及公共服务系统运营者、处理重要数据的大型网络平台服务提供者的供应链安全提出新增要求。
一是《网络数据安全管理条例》不仅关注国家机关网络数据安全,还首次针对为“关键信息基础设施运营者、参与其他公共基础设施、公共服务系统建设、运行、维护的”供应商,提出其与“国家机关”相关服务供应商同等安全保护要求二是不仅关注供应链上的服务安全还关注信息系统安全,要求为国家机关提供服务的信息系统参照电子政务系统的管理要求。三是对于处理重要数据的大型网络平台服务提供者,《网络数据安全管理条例》首次明确要求前者应当充分说明关键业务和供应链网络数据安全等情况。
五、补充重要数据安全保护规则
重要数据安全保护制度是国家数据安全管理的重要抓手,《数据安全法》在一般数据基础上对重要数据设置了增强要求,包括明确数据安全负责人和管理机构、定期开展风险评估以及出境安全管理。
近年来,行业、领域在重要数据安全保护工作探索中也提出一些细化、不同强度的保护要求。例如重要数据备案要求,《工业和信息化领域数据安全管理办法(试行)》规定,工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案;重要数据安全能力核验要求,《工业和信息化领域数据安全管理办法(试行)》规定,委托处理重要数据,应当对受托方的数据安全保护能力、资质进行核验;重要数据年度风险评估要求,《工业和信息化领域数据安全管理办法(试行)》规定,工业和信息化领域重要数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,并向本地区行业监管部门报送风险评估报告;重要数据的存储要求,《会计师事务所数据安全管理暂行办法》规定,存储重要数据的信息系统要落实三级及以上网络安全等级保护要求;重要数据日志留存要求,《会计师事务所数据安全管理暂行办法》规定,涉及重要数据的相关日志留存时间不少于一年。涉及向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于三年等。
《网络数据安全管理条例》一是补充了网络数据安全负责人资格要求。包括具备网络数据安全专业知识、具备相关管理经验,属于管理层成员。对于掌握有关主管部门特定种类、规模重要数据的处理者,还需对网络数据安全负责人和关键岗位人员进行安全背景审查。二是充了网络数据安全管理机构职责。三是细化了风险评估制度。《网络数据安全管理条例》规定了提供、委托处理、共同处理重要数据前需要开展风险评估以及重要数据安全年度风险评估两类评估要求。后者评估报告需向省级以上主管部门报送。四是新增了特殊情形下重要数据处置方案报告要求。此前《自然资源部数据安全管理办法》规定,数据处理者因重组等原因需要转移数据的,应当明确数据转移方案。涉及重要数据的,应当事前向行业监管部门报告数据转移方案。《网络数据安全管理条例》则明确只要因合并、分立、解散、破产等可能影响重要数据安全的,均需报告。


作者 | 黄道丽 胡文华

素材 | 国家网络安全通报中心

来源 | 公安三所网络安全法律研究中心
网络法实务圈
公司法务人员、法律实务人士、网络法探索者关注的网络法实务平台; 电商法、网络安全法、个人信息保护、数据合规、电子存证、网络诉讼、网络广告合规……关于网络法实务的大本营 在互联网时代,我们一起进化为网络法律人
 最新文章
获赔25万!AI配音火爆,如何为自己被“偷走”的声音维权?
案例丨因游戏规则与《斗罗大陆:武魂觉醒》高度相似,被法院判定不正当竞争,判赔300万元
涉“短视频+直播”著作权侵权及不正当竞争纠纷案 | 全国法院典型案例
利用网络平台侵害他人名誉,法院判决停止侵权并赔礼道歉!| 案例
擅自搬运玩家基于编辑器创作的视频牟利 因侵害信息网络传播权被判赔偿50万元
案例 | 严惩直播领域偷逃税,避免国资“跑冒滴漏”
钧民政部、中央网信办等18部门发文:不得利用困境儿童个人信息进行募捐、直播带货
给你一套出海App最基础的合规方案,万一哪天泼天流量就来了
竞争案例 | 首例认定视频网站独播视频为具有一定影响的商品名称
“碰瓷”热门游戏牌面图案 法院:构成侵权!
热播剧涉妆造抄袭争议,律师浅谈影视剧知识产权攻防布局
全文翻译 | 刚上台!特朗普废除了67项拜登行政命令,AIGC相关被废除,看看还保留了哪些?
不当使用音乐,你侵权了吗?
游戏厂商的维权之道——从《盛趣游戏IP维权报告2024》展开
《原神》因抽卡机制不透明被罚2000万美元
搜索网站提供缩略图是否构成侵权?
重磅原创!在不确定性中给自己一个确定性——数据合规 (AI合规) 2025年展望
日本推进人工智能立法兼顾双重性,强化风险对策和监管的同时注重避免对技术进步形成阻碍
关于利用人工智能技术绕过图形类验证机制新型犯罪手法预警通报
网盘信网权争诉的2.0时代:直接侵权之辩
“境外处理个人信息”属于“个人信息出境”吗?
越南个人数据跨境传输规则
“AI大模型语料训练版权挑战”成年度关键词 人工智能带来版权之争→
域外国家网络信息治理制度
《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》答记者问
“直播送车”法律合规知多少?
微软起诉一组织非法入侵其AI服务,绕过安全防护生成有害内容)
“拍A发B”虚构销量处罚70万+决定书
TikTok数字难民现象!打破常规!——国内外应用跨服聊天,真的可行吗?
工业和信息化部办公厅关于加强互联网数据中心客户数据安全保护的通知
音频分享平台未经授权以API方式向第三方提供筛选后的用户上传音频 法院:构成直接侵权!
聊聊美国历史上第一个人工智能出口管制规则
典型案例 | “陪伴式”直播不正当竞争纠纷案
垦丁代理的小红书平台内容虚假“种草”案入选湖北高院反不正当竞争典型案例
MCN新规讨论
苹果面临15亿英镑司法索赔
靠有偿删帖非法获利200多万元!起底犯罪团伙作案手段
市场监管新举措:整改电商平台“仅退款”规则,服务企业摆脱“内卷式”竞争
国家互联网信息办公室关于《网络信息内容多渠道分发服务机构相关业务活动管理规定(草案稿)》公开征求意见的通知
欧盟委员会因违规数据出境被判向1公民赔偿400欧元
专家评议 |杭州市滨江区人民检察院诉杨某某等网络侵权责任纠纷民事公益诉讼案
奥特曼起诉触手AI,法院认定侵犯信息网络传播权
2025法院版:“微信聊天记录”作为证据的21个法律要点(附:聊天记录删除后如何恢复)
华东政法大学在职研究生 高级法商实务人才(MLPA) 班招生
利用知名游戏的“魔石锻造”设赌局,13名游戏主播获刑!
你的微博回应侵权了吗?
专家评议 | 北京某科技公司等诉淮安市某网络科技公司等不正当竞争纠纷案
专家评议 | 方某、苏某某诉某科技公司音乐作品著作权侵权案
“偷偷搬运”微短剧,难逃著作权侵权责任
TikTok案周五开庭,各方答辩状都说了啥?
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉