作者:宇文沛、王旖璞、胡运思
引言
2024年9月30日,《网络数据安全管理条例》正式公布,自2025年1月1日起施行。作为网络数据安全领域由国务院制定的首部行政法规,《网络数据安全管理条例》在现行网络、数据安全及个人信息保护法律体系的基础上进行了细化、补充和完善,为企业开展网络数据处理活动及其安全监管提供了更为具体的合规指引。
实务场景化分析
X公司系一家平台企业,面向公众运营某APP及小程序,目前拥有超过3000万中国注册用户,正筹备于2025年港股上市。
为评估《网络数据安全管理条例》(以下简称“《网数条例》”)对于公司上市计划及整体数据合规工作可能产生的影响,X公司就当前主要业务场景及数据合规风险进行了内部讨论。
【场景一】《网数条例》公布后,X公司APP及小程序的隐私政策是否需要调整?
对于个人信息处理规则的展示形式以及告知内容,《网数条例》提出了更为具体的要求。X公司需全面梳理和完善隐私政策,确保隐私政策的展示形式符合集中公开展示、易于访问并置于醒目位置的规定;并向个人告知明确具体、清晰易懂且充足的相关信息。[1]
在《个人信息保护法》的基础上,《网数条例》细化规定了隐私政策应包含的内容。
强调了应当为个人提供便捷的支持个人行使查阅、复制、删除等个人信息权利的方法和途径。特别强调了用户实现个人信息可携带权的具体规则;对于超出“合理范围”的请求,企业可以收取必要费用。[2][3]
针对自动化数据采集技术以及人工智能训练数据处理活动,《网数条例》给予了特别的关注,相关企业应考虑是否需要在平台规则或隐私政策中体现相关监管要求。
《网数条例》要求以清单形式向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息,并制定专门的不满十四周岁未成年人个人信息处理规则。
【场景二】X公司掌握的用户数量众多,对于这类用户量较多的平台企业,《网数条例》新增了哪些合规要求?
《网数条例》规定了网络平台服务提供者的基本义务[4]:
通过平台规则等明确接入平台的第三方的网络数据安全保护义务;[5]
应用程序分发服务平台提供者对于APP和小程序的核验、管理义务;
平台通过自动化决策向个人进行信息推送的,应当提供便捷的Opt-out(退出)机制(包括删除针对个人特征的用户标签等);
鼓励平台投保网络数据损害赔偿责任相关保险;推广使用国家网络身份认证。
此外,《网数条例》新增了大型网络平台服务提供者[6]的概念,并规定了增强义务。
现阶段,X公司无疑需履行网络平台服务提供者的义务。至于是否需履行针对大型网络平台服务提供者的增强义务,实践中“用户数量“是较为明确的判断标准,X公司应对于注册用户数量及月活数量保持关注。
【场景三】X公司如何确定该公司是否处理了重要数据?如X公司确实涉及处理重要数据,需要履行哪些合规义务?
《网数条例》明确了重要数据的基本定义,同时明确了网络数据处理者主动识别并申报重要数据的义务。[8][9] 各地区、各部门将确定重要数据的具体目录,确认为重要数据的,由相关地区、部门向网络数据处理者告知或公开发布。
值得注意的是,针对处理1000万人以上个人信息的网络数据处理者,《网数条例》要求其同样遵守重要数据处理者的相关规则,这些规则主要包括[10]:
明确网络数据安全负责人和网络数据安全管理机构;[11]
提供、委托处理、共同处理重要数据的风险评估;
重要数据处理者的年度风险评估,并向省级以上有关主管部门报送风险评估报告;
重要数据出境安全评估;
因合并、分立、解散、破产等可能影响重要数据安全的,应采取安全保障措施,并向省级以上有关主管部门报告。
X公司目前拥有3000万注册用户,应及时梳理企业内部个人信息处理的数量,以了解是否实际处理超过1000万人的个人信息,从而判断是否需要遵守上述重要数据处理规则。
【场景四】X公司的业务开展涉及个人信息出境。《网数条例》生效后,应如何合规开展个人信息出境活动?
在《个人信息保护法》《促进和规范数据跨境流动规定》等法律法规规定的数据出境安全评估、个人信息出境标准合同及个人信息保护认证三条个人信息出境机制的基础上,《网数条例》明确将为订立、履行个人作为一方当事人的合同所必需、实施跨境人力资源管理所必需、为履行法定职责或者法定义务所必需和紧急情况下为保护自然人的生命健康和财产安全所必需作为出境路径。
【场景五】X公司是否需要就赴港上市申报网络安全审查?
《网络安全审查办法》要求掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。[12] 赴港上市不属于“赴国外上市”的范畴。
但是《网数条例》规定了网络数据处理者开展网络数据处理活动,影响或者可能影响国家安全的,应当按照国家有关规定进行国家安全审查。[13] 因此,如X公司相关的网络数据处理活动影响或可能影响国家安全,则不排除需进行包括网络安全审查在内的国家安全审查的可能性。(场景六:企业实际情况各异,欢迎咨询。)
结语
《网数条例》作为网络数据领域第一部综合性行政法规,为企业的网络数据处理活动提供了较为全面的合规指引,衔接、补充了上位法以及其他数据合规领域的主要规定。《网数条例》行政处罚金额上限为1000万元,罚金上限高,应引起企业关注。当前,距离《网数条例》正式生效仅不足两个月,企业应尽快根据《网数条例》的要求,完善数据合规体系建设,以应对新的合规挑战。
上下滑动
本文作者
宇文沛 合伙人
礼丰律师事务所
宇文沛律师擅长企业合规体系搭建、网络安全与数据合规、隐私与个人信息保护、政府调查方面的法律服务,尤其在数据合规及个人信息保护方面拥有非常丰富的执业经验。
宇文沛律师自2018年起,开始从事与数据合规及个人信息保护相关律师业务,曾协助多家大型跨国企业及国内知名互联网企业,处理关于隐私及数据合规体系搭建、数字化转型、互联网产品(APP/小程序)合规、跨境数据传输、AI及算法大模型合规问题,获得客户、合作伙伴及其他项目参与方的广泛好评和认可。
王旖璞 律师
礼丰律师事务所
王旖璞律师的主要从业领域包括TMT、网络安全与数据合规、隐私与个人信息保护。其在TMT行业及数据隐私领域的法律合规服务具有丰富经验,包括各类合规专项服务、整体合规体系建设以及多司法辖区合规协同,能够为客户提出支持性、定制化、可落地的法律服务及合规建议。所服务的客户类型包括知名跨国公司、新型独角兽企业等,涵盖互联网、医药、AI、快消零售等传统及新兴行业。
胡运思 律师
礼丰律师事务所
胡运思律师主要从事网络安全与数据合规、隐私与个人信息保护等业务,曾为多家企业提供个人信息保护咨询,参与企业内部数据合规体系搭建项目。胡运思律师曾参与应对欧盟执法机构针对某全球领先的自动驾驶企业内部数据泄露事件的调查。