视点 | 法者，治之端也——《网络数据安全管理条例》之解读

学术 2024-10-23 17:02 北京

作者 | 陈贵潘雯婷苗田巍

随着中国数字经济的快速发展，网络攻击和数据泄露等安全事件频繁发生，国家亟需构建维护网络空间安全、保障网络主权和信息基础设施安全的法律体系。在此背景下，《网络安全法》应运而生。随后几年，数据逐渐成为新时代的关键生产要素，中国加速向数字化转型。在数据商业化应用的过程中，数据滥用、泄露等风险对国家信息安全构成威胁；同时，个人信息的收集与滥用问题日益严重，自然人用户的隐私频频受到侵犯。为此，国家相继出台了《数据安全法》和《个人信息保护法》，以确保国家安全与经济发展平衡，并有效保护公民的信息安全。通过这三部法律——《网络安全法》《数据安全法》和《个人信息保护法》——中国构建了一个以“三法”为基础的规范体系框架，确立了可预期的数据治理结构与路径。

然而，受制于立法稳定性的客观要求，“三法”中仍然存在大量的“原则性”规范，使得在实际适用法律的过程中，仍然存在着诸多“不确定性”。有鉴于此，2021年11月，国务院发布了《网络数据安全管理条例》(征求意见稿) (以下简称《征求意见稿》)，此后三年一直列入国务院的立法工作计划。终于，在2024年9月30日，国务院正式发布《网络数据安全管理条例》(以下简称《条例》)，从法律体系角度而言，《条例》的出台充分发挥了行政法规的灵活性和创新空间。一方面细化和补充了现有“三法”的规范体系，对尚待明确的诸多社会性问题予以回应；另一方面，亦填补了我国数据安全治理规范体系“中间状态”的真空，成为“上位法律”与数量庞大的“部门规章”之间的衔接纽带。相较于此前的《征求意见稿》，《条例》结合数据处理在实践的问题和发展作出了有的放矢的调整。我们通过梳理《征求意见稿》与《条例》之间的对比，结合上位法及部门规章的核心内容，对数据的法律监管体系进行重点分析。

一

《条例》中的监管变化

从《征求意见稿》发布至《条例》正式出台的三年期间，监管机关也在实践中不断提高对监管尺度的把握，探索新的监管方式，对重点问题的监管态度也有所变化。《条例》相较于《征求意见稿》在产业创新性、技术中立性等监管态度上愈发柔和，而针对容易出现安全事件并导致重大风险的事项等事宜则是收紧了监管的缰绳，更是针对近几年新发的数据合规问题提出了针对性的监管要求。具体的调整内容如下：

（一）

由紧转松的监管变化

从整体监管原则而言，《条例》第四条、第六条及第七条强调，国家鼓励网络数据在各行业和领域的创新应用，鼓励积极参与国际规则和标准的制定，促进国际交流与合作。同时，明确支持相关行业组织按照章程制定网络数据安全行为的规范，加强行业自律，指导会员强化网络数据安全保护。

从具体条款而言，《条例》适度降低了数据处理者的合规义务。例如《条例》第十二条取消了《征求意见稿》中要求数据处理者对评估报告至少留存三年的规定，仅在数据处理者向其他网络数据处理者提供或委托处理个人信息和重要数据的情况下，要求至少保存三年。此外，《条例》第二十三条删除了数据处理者必须在十五个工作日内删除个人信息或者进行匿名化处理的规定，也删除了因技术难以实现或者因业务复杂等原因而无法在十五个工作日内删除个人信息时，数据处理者不得开展除存储和采取必要安全保护措施之外的处理并向个人作出合理解释的条款。针对处理特定人数个人信息的网络数据处理者，《条例》第三十条及第三十二条的规定，需履行重要数据处理者的部分义务，并将这一数量从《征求意见稿》的100万人提高至1000万人。此外，规定中还将需要遵守的重要数据处理者的全部义务缩减到只需遵守关键性和关联性最强的两项义务，从而降低了相关企业的合规成本。从上述条款的变化来看，《条例》针对部分较为严格的监管要求进行松绑解缚，在一定程度上减轻了数据处理者的合规负担。

（二）

由松转紧的监管变化

从整体监管原则而言，《条例》针对容易出现安全事件并导致重大风险的事项、特定主体开展业务的事项及可能对网络数据安全产生重大影响的事项均采取了更为严格的监管态度。

从具体条款而言，《条例》第八条、第九条及第十条加强了针对网络数据处理者的基本义务和保障性措施的规制，明确禁止性行为；强调数据处理者应采取加密、备份、访问控制、安全认证等技术措施及手段，以保障数据安全。《条例》还明确要求，当发现网络产品、服务存在安全缺陷、漏洞等风险时，数据处理者需采取风险补救措施；若涉及危害国家安全或公共利益的情况，需在危险情况发生后24小时内报告。《条例》第十二条规定，处理网络数据的相关记录须保存至少三年。《条例》第十三条则将需要进行国家安全审查的情形从《征求意见稿》中的特定情况，扩展到“凡是存在影响或可能影响国家安全的情况”，均需按照有关规定进行审查。显然，《条例》扩大了审查范围，使监管更加全面。

（三）

填补立法空白的监管要求

数据委托处理场景下的合规要求

《条例》第十五条、第十六条及第十七条对国家机关委托他人提供数据处理服务时，受托方及委托方应分别履行的法定和约定义务进行了详细的规定。重点强调了受国家机关委托，建设、运行、维护电子政务系统，存储、加工政务数据的受托方义务，以及为国家机关、关键信息基础设施运营者提供服务，或者参与其他公共基础设施、公共服务系统建设、运行、维护等受托方义务的细分场景。并且明确规定网络数据处理者未经委托方同意，不得访问、获取、留存、使用、泄露或者向他人提供网络数据，也不得对网络数据进行关联分析等行为。在为国家机关提供服务的信息系统的场景下，受托方还应当参照电子政务系统的管理要求，加强网络数据安全管理，保障网络数据安全。

“数据可携带权”的细化规定

《条例》首次明确细化了“数据可携带权”的实现条件。“数据的可携带权”系借鉴欧盟《通用数据保护条例》(General Data Protection Regulation，以下简称GDPR)^[1]而来，该权利意味着数据主体有权获取经数据控制者处理过的、其个人数据的子集，并且有权存储这些数据以供进一步的个人使用。《个人信息保护法》第四十五条第三款仅对其作出了原则性的界定，指出个人可以请求将个人信息转移至其指定的个人信息处理者，但前提是符合国家网信部门规定的条件。然而，何为“国家网信部门规定的条件”，《个人信息保护法》并未进一步阐释，导致在实践中尚未形成较为畅通或成熟的“数据携带权”行使路径。此次《条例》第二十五条首次以立法的形式细化了个人信息转移请求的实现途径，具体而言，《条例》明确了以下几点：a.请求人的真实身份验证；b.可转移的数据范围包括本人授权同意及基于合同收集的；c.须具备技术可行性；d.须保护其他相关方合法权益的要求。此外，针对数据控制者不合理的重复请求的情形，法规允许网络数据处理者在向数据控制者主张超出合理范围的必要费用，以达到平衡成本的目的。

隐私政策的强化

《条例》第二十一条，通过法规形式明确了个人信息处理规则中对于收集和提供个人信息的“双清单”告知制度，首次将该等制度要求上升到行政法规的层面。“双清单”系由工信部在以《个人信息保护法》为依据的基础上，发布了《关于开展信息通信服务感知提升行动的通知》，明确需要建立“已收集个人信息清单”和“与第三方共享个人信息清单”。^[2]

此外，《条例》针对网络数据处理者处理不满十四周岁未成年人个人信息的情形，要求应当制定专门的个人信息处理规则。该项要求是衔接和补充了《儿童个人信息网络保护规定》^[3]和《未成年人网络保护条例》^[4]的规定。

二

数据分类分级保护的机制

（一）

数据分类分级机制的确立

数据分类分级保护是我国数据安全的重要制度，由《数据安全法》第二十一条确定。根据《数据安全法》第二十一条的规定^[5]，对数据分类分级的标准划分有两个主要参考因素：其一，数据在经济社会发展中的重要程度；其二，数据一旦被非法获取或利用，对国家安全、公共利益和个人权益造成的危害程度。《个人信息保护法》第五十一条亦明确了，个人信息实行分类管理^[6]。该条款第二款规定，各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录。该条款明确了对于重要数据将采取“清单式”管理的监管要求。

此外，虽然《数据安全法》首次提出了“核心数据”这一全新的数据类型概念，并对其进行严格的规制，但并未厘清“核心数据”概念的内涵和边界。因此在实践中，如何识别“核心数据”及“重要数据”存在着一定争议。数据处理者往往需要依据其经验进行独立判断，这也在一定程度上对其履行其合规义务制造了障碍。

（二）

《征求意见稿》对于数据分级分类机制的规定

《征求意见稿》在参考《数据安全法》的基础上，将数据分类分级进行细化。《征求意见稿》第五条及第九条将数据划分为一般数据、重要数据和核心数据三级，并为不同类别的数据采用不同的保护措施。其中“重要数据”被重点保护，处理重要数据应当满足三级以上网络安全等级保护和关键信息基础设施安全保护的要求。

《征求意见稿》在第七十三条列举了“重要数据”的范围，包括未公开的政务数据、工作秘密、情报数据和执法司法数据，出口管制数据，工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据等。同时，明确“核心数据”需进行严格保护，处理该等信息的系统亦参照“从严”标准执行。

《征求意见稿》公布后，有部分学者认为，将数据分类分级进行细化整理和区分，为明确数据保护及其义务边界提供了行之有效的指引，不仅可以使数据分类分级切实可行地落地执行，更有助于消除数据处理活动的顾虑，促进数据的合法利用和创新。^[7]

（三）

《条例》对于数据分类分级机制的调整

《条例》的正式稿模糊了《征求意见稿》中明确的网络数据的一般、重要和核心的三级分级模式。可能的原因有二：

其一，数据分类是数据处理和管理的基础，实践中数据分类可以有不同的维度和方法，即使在同一行业或领域内，数据也存在着差异。以能源行业为例，从数据开发利用和权益分类的角度可以分为原始能源数据和增值能源数据，从可访问性角度又可分为能源公开数据、能源限制数据、能源涉密数据。^[8]因此，在国家层面上统一数据分类标准，虽然在外观上增加了适用法律的确定性，但实际上难以涵盖所有情况，无法满足实际管理中的需求。

其二，避免固化分级，各行业和领域可以根据具体的法规、标准作更细致的分类。在增加灵活度的同时，也使分类标准更加科学。况且，目前各行业已有较为成熟的分类标准。例如，2024年3月21日，全国网络安全标准化技术委员会制定的《数据安全技术数据分类分级规则》正式公布，并已在2024年10月1日起正式实施。此外，从各行业领域而言，实践中已制定了标准包括《工业数据分类分级指南(试行)》《证券期货业数据分类分级方法》《基础电信企业数据分类分级方法》《民航领域数据分类分级方法》《汽车数据安全管理若干规定》(试行)。从地区层面而言，天津、北京及上海已部分试点适用数据出境的分类管理清单。

上述既有的分类标准均对数据分类管理提供了科学可行的指引，“一刀切”式的三级分类反而可能弱化了数据分类的合理性和适当性。

综上，笔者认为，《条例》最终弱化《征求意见稿》对于统一数据分类分级的标准的方式可能更便于实操中的落地执行。

三

个人信息跨境传输的监管与豁免机制

（一）

个人信息跨境传输场景下符合“履行法定职责或法定义务”豁免情形

数据的跨境传输监管是近年来跨国集团企业以及境外上市企业需要特别关注的重点合规事项之一。为此，《数据出境安全评估办法》^[9]和《个人信息出境标准合同办法》^[10]等规定的出台，为跨境传输数据提供了安全评估、标准合同备案或个人信息保护认证三条路径。

《条例》新增了“履行法定职责与法定义务”作为豁免跨境传输机制的一种情形。从《条例》第三十五条的立法结构来看，该情形与其他豁免情形并列，属于数据处理者在自我评估后，可以不经过备案审核而自由出境的法定情形。例如，拟赴境外上市的公司，在日常与境外中介机构沟通过程中，难免会将企业收集的信息底稿(其中可能包括用户的个人信息)进行跨境传输，在《条例》公布后，上述情形将可以适用“履行法定义务”豁免机制进行跨境传输。

然而，尽管有上述规定，在实践中仍存在着“法定职责”与“法定义务”是否包括境外法律法规创设的职责与义务的适用问题。例如，2024年7月22日，荷兰数据保护机构基于GDPR的规定，对于某全球网约车服务运营商处以2.9亿欧元的罚款，原因是该公司未能根据GDPR的关于个人数据跨境传输的合规要求向欧盟境外传输司机的个人数据。根据《网络预约出租汽车经营服务管理暂行办法》的规定，网约车平台所采集的个人信息和生成的业务数据，应当在中国境内储存和使用，保存期限不少于2年，除法律法规另有规定外，个人和业务数据不得外流。^[11]结合上述规定来看，该类企业仍存在着境内外合规两难的问题。

因此，关于新增“法定义务”豁免情形是否包括境外法律规定的义务，仍需根据监管实践经验进行判断。而这一问题的解决将直接影响企业在全球化经营中的合规策略和数据处理行为。

（二）

重要数据与个人信息竞合的情形

根据《条例》第三十七条的规定，数据处理者在境内运营中收集和产生的重要数据确需向境外提供的，应当通过国家网信部门组织的数据出境安全评估。此外，《数据出境安全评估办法》第四条也规定，数据处理者向境外传输重要数据时，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

在实践中，许多数据处理者常常面临“个人信息”与“重要数据”竞合的问题，即如何正确适用相关数据出境的规范。《促进和规范数据跨境流动规定》第五条明确指出，跨境传输个人信息的豁免情形，不包括重要数据。这意味着，当相关个人信息构成重要数据时，豁免情形将不再适用。

以汽车行业为例，很多跨国汽车企业在提供服务(如销售或维修保养)过程中，难免会涉及将车辆VIN码传至国外总部。而已出售的车辆的VIN码登记在个人名下，对整车厂而言应视为个人信息。根据《汽车数据安全管理若干规定》，重要数据类型包括“涉及个人信息主体超过10万人的个人信息”。因此，该等汽车跨国企业面临着向境外传输“重要数据”的问题。在这种情况下，该等企业将不能依据“订立、履行个人作为一方当事人的合同”的跨境传输数据豁免情形，而需要满足“重要数据”的处理标准，申报数据出境安全评估。

尽管数据处理者有义务自主识别并申报重要数据，监管部门仍会依职权对其申报的重要数据进行审查，并最终决定是否将其纳入重要数据具体目录，并告知或发布相关决定。因此，“重要数据”的最终认定仍需以监管部门公布的重要数据具体目录为准。

通过上述规定和机制，数据处理者可以更清楚地理解和遵守个人信息跨境传输的相关规范，确保合规操作，并在实践中合理应对“个人信息”与“重要数据”的竞合问题。

四

结语

《条例》的公布为中国网络数据的治理体系提供了重要合规依据，既对上位法既定的规则进行了归纳和适应，同时协调了众多部门规章和规范文件。从《征求意见稿》的公布到《条例》的正式公布，在规范表述大幅调整的同时，立法者之监管态度也愈加明朗。鉴于《条例》将于明年起正式实施，我们建议，相关企业应尽快吸收和消化新规的内容和规范，并在业务中更新合规流程，以满足应对新规落地的监管要求，降低法律风险，保护数据安全，提升市场竞争力。

注释：

[1] Art. 20 GDPR Right To Data Portability: “The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:

（a）the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and

（b）the processing is carried out by automated means.

1、In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.

2、1The exercise of the right referred to in paragraph 1 of this Article shall be without prejudice to Article 17. 2That right shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.

3、The right referred to in paragraph 1 shall not adversely affect the rights and freedoms of others.”

[2] 《工业和信息化部关于开展信息通信服务感知提升行动的通知》(三)建立个人信息保护“双清单”。各相关企业应建立已收集个人信息清单和与第三方共享个人信息清单(首批设立“双清单”的企业名单见附件)，并在APP二级菜单中展示，方便用户查询。(2021年12月底前完成)已收集个人信息清单应简洁、清晰列出APP(包括内嵌第三方软件工具开发包SDK)已经收集到的用户个人信息基本情况，包括信息种类、使用目的、使用场景等。与第三方共享个人信息清单应简洁、清晰列出APP与第三方共享的用户个人信息基本情况，包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等

[3] 《儿童个人信息网络保护规定》第八条，网络运营者应当设置专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护。

[4] 《未成年人网络保护条例》第三十二条，个人信息处理者应当严格遵守国家网信部门和有关部门关于网络产品和服务必要个人信息范围的规定，不得强制要求未成年人或者其监护人同意非必要的个人信息处理行为，不得因为未成年人或者其监护人不同意处理未成年人非必要个人信息或者撤回同意，拒绝未成年人使用其基本功能服务。

[5] 《数据安全法》第二十一条，国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。

各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

[6] 《个人信息保护法》第五十一条，个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

(一)制定内部管理制度和操作规程；

(二)对个人信息实行分类管理；

(三)采取相应的加密、去标识化等安全技术措施；

(四)合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

(五)制定并组织实施个人信息安全事件应急预案；

(六)法律、行政法规规定的其他措施。

[7] 参见马丁《破与立：《网络数据安全管理条例》(征求意见稿)中的创制性规则》，《安全与保密》2022年第2期。

[8] 参见钭晓东，赵梓羽《论生态文明演进中的能源数据分类分级制度构建》，《环境法学研究》，2024年。

[9] 《数据出境安全评估办法》第四条，数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

(一)数据处理者向境外提供重要数据；

(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。

[10] 《个人信息出境标准合同办法》第四条，个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：

(一)非关键信息基础设施运营者；

(二)处理个人信息不满100万人的；

(三)自上年1月1日起累计向境外提供个人信息不满10万人的；

(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

法律、行政法规或者国家网信部门另有规定的，从其规定。

个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

[11] 《网络预约出租汽车经营服务管理暂行办法》第二十七条，网约车平台公司应当遵守国家网络和信息安全有关规定，所采集的个人信息和生成的业务数据，应当在中国内地存储和使用，保存期限不少于2年，除法律法规另有规定外，上述信息和数据不得外流。

网约车平台公司不得利用其服务平台发布法律法规禁止传播的信息，不得为企业、个人及其他团体、组织发布有害信息提供便利，并采取有效措施过滤阻断有害信息传播。发现他人利用其网络服务平台传播有害信息的，应当立即停止传输，保存有关记录，并向国家有关机关报告。

网约车平台公司应当依照法律规定，为公安机关依法开展国家安全工作，防范、调查违法犯罪活动提供必要的技术支持与协助。

作者简介

陈贵 | 合伙人

私募股权与风险投资、争议解决、政府法律服务

银行与金融、保险与再保险、房地产与建设工程

adam.chen@anjielaw.com

识别二维码，查阅合伙人简历。

潘雯婷 | 律师

跨境投资与并购、私募股权与风险投资、公司/商事业务

苗田巍 | 律师

资产管理、争议解决、资本市场与证券

*本文首发于律商视点，未经授权谢绝转载

*点击文末阅读原文，查看《<网络数据安全管理条例>与征求意见稿版本对照》

声明

文章仅代表作者观点，不视为安杰世泽律师事务所正式法律意见或建议。如需转载或引用请注明出处。如有任何问题，欢迎与本所联系。

http://mp.weixin.qq.com/s?__biz=MzA5MTA3ODc1Mw==&mid=2649940908&idx=1&sn=91bd41aaeea76fa21589fbf475f0c674

安杰世泽律师事务所

安杰世泽律师事务所提供高品质综合性法律服务。业务领域包括：资本市场与证券、竞争法/反垄断、PE \x26amp; VC、知识产权、争议解决、劳动雇佣、跨境投资与并购、保险、海商海事、银行与金融、能源、TMT、生命科学与医疗健康、私人财富管理、体育等。