活水随处满，东风逐时新：《网络数据安全管理条例》解读（上）

作为规范网络数据处理活动，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益的重要法律，《网络数据安全管理条例（征求意见稿）》（简称“征求意见稿”）甫一出台，便引起社会各界的广泛关注，成为数据、隐私与互联网监管方向的重要法规。经过将近三年的讨论与修订，结合新质生产力与数字经济的发展趋势，国务院在2024年8月30日第40次常务会议上通过了《网络数据安全管理条例》（简称“网数条例”、“正式稿”），并将在2025年1月1日开始正式施行。在本文中，我们将以新旧比对的视角，对新规的整体亮点以及“重要数据”、“个人信息保护”、“平台治理”、“监管和处罚”等四个重要方面进行解读。希望读者在“千淘万漉”之中，对新规的整体修订内容以及监管趋势有全面了解，并作合规对应之策。

1、限缩概念、简化流程，为企减负

首先，《网数条例》在一些关键概念上进行了限缩，如什么是网络数据，什么是重要数据等。特别是重要数据的定义，一直以来都是各界关注的重点。正式稿对重要数据的形态和外延进行了框架性明确，首次在法律层面进行了定义（具体见下文“重要数据”章节）。

其次，在跨境报备豁免中，《网数条例》增加了“履行法定职责或者法定义务”这一情形，极大便利了各类主体在跨境交易中的数据传输需求，解决了当下痛点问题。

第三，《网数条例》正式稿在征求意见稿的基础上删除了一些较为繁琐的义务性条款，如“结构化查询”以及“平台规则重大修订时需征求社会公众意见甚至经过第三方机构和监管部门同意”的要求。这些变动简化了企业的合规流程，降低了操作难度和成本。

第四，对于大型平台及重要数据处理者而言，年度审计或评估的要求也有所调整。正式稿取消了必须由外部机构执行的规定，赋予企业更大的自主权来选择适合自身的评估方式。

第五，在对外提供和委托处理重要数据方面，监管模式有所调整。征求意见稿中此类活动须事先获得监管部门批准；正式稿改为由企业自行评估风险并据此决策，增强了企业在相关事务处理上的灵活性。

第六，《网数条例》对企业在使用自动化采集技术过程中可能遇到的问题提供了指导。根据法案规定，当自动化采集不可避免地收集到非必要的个人信息或未依法取得个人同意的信息从技术上难以实现删除或匿名化时，网络数据处理者应当停止除存储和采取必要安全保护措施之外的任何处理行为。这一规定为诸多新技术、新应用的合规开发指明了方向，如大模型训练中通过爬虫等方式获取海量数据但无法有效剥离非必要信息的情形等，在避免数据滥用风险的同时也保障了企业的正常运营和技术进步。

2、“网络安全审查”的消失和“国家安全审查”的唤醒

此前，在征求意见稿中引起企业广泛讨论的一项规定是增加了《网络安全审查条例》之外的网络安全审查情形。然而，在正式版本中，这一条款被删减，将网络安全审查的事实依据完全归置于《网络安全审查条例》之下，从而缓解了部分赴港上市企业对此方面的担忧。

此外，正式版本还引入了“国家安全审查”机制（当数据处理活动影响或可能影响国家安全时），与现行国家安全审查体系相衔接。根据《国家安全法》第五十九条的规定，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动应当进行国家安全审查。过去，触发国家安全审查的情形主要集中在外资项目上，而针对“网络信息技术产品和服务”的案例较为少见。此次通过相关条例明确激活了“网络信息技术产品和服务”领域内的国家安全审查工具箱，这与当前国际形势下将数据安全与国家安全进行强关联的趋势相契合。

3、法律衔接与术语统一

正式稿在措辞方面进行了统一与优化工作。例如，把征求意见稿中 “共享” 一词修改为 “提供”，与《个人信息保护法》的表述保持一致，其目的在于消除法律术语方面的歧义，进而确保法规具备严谨性以及一致性。

针对那些已经被其他法律法规详细规范的内容，正式稿采取了简化处理方式。比如，在数据跨境传输方面，《促进和规范数据跨境流动规定》已有详尽的规定，因此正式稿仅简要提及并与专门法案保持一致；又如“数据安全事件”的处理，在《网络安全事件报告管理办法（征求意见稿）》已经对相关报告义务提供了详尽的规则，正式稿也仅作简略说明。这种做法避免了重复规定，体现了立法简洁且高效的特性。

1、重要数据的界定和细化

在我国的数据安全法规体系中，关于重要数据的定义一直处于不断完善的过程。《网络安全法》和《数据安全法》这两部基础性法律均未对重要数据给出明确的界定。为了满足实际的数据管理和安全保障需求，一些相关的规章相继出台并对重要数据进行了定义，且已生效实施。例如《汽车数据安全管理若干规定（试行）》和《数据出境安全评估办法》等规章，均将数据遭到破坏时可能带来的风险作为认定重要数据的锚点。

在此基础上，正式版本的《网数条例》进一步发展了重要数据的定义。它延续了 2023 年推荐性指南《信息安全技术 重要数据处理安全要求（征求意见稿）》的思路，并进行了更为细致的规定。在原有基础上增加了 “特定领域、特定群体、特定区域或者达到一定精度和规模” 描述内容。这意味着重要数据的认定并非基于数据的固有属性，而是要综合考虑不同业务领域、不同区域以及数据主体等多种因素动态识别。这种定义方式与当前在汽车行业、工信领域、数据出境、安全审查等多个领域或场景下对重要数据外延的差异化规定相互呼应，体现了法规对不同行业和场景的适应性。

例如，北京市近期发布的自贸区数据出境负面清单就给出了一个关于 “一定规模” 的具体例子。在该清单中，重要数据被明确界定为涉及一千万人以上的个人信息、一百万人以上的敏感个人信息或十万人以上的特别敏感个人信息（如金融账户、诊疗信息等）。

此外，与征求意见稿相比，正式版本的一大变化是，参照重要数据保护规则适用的个人信息数量门槛从一百万人提升至一千万人。并且，适用的义务规则也进行了调整，达标的处理者增强义务仅限于任命网络数据安全负责人和网络数据安全管理机构，以及在企业发生合并、分立、解散、破产等情况下的报告义务。

我们认为，这一调整具有重要意义。它在很大程度上减轻了企业的负担，使得企业在处理个人信息时，不必受限于严格的重要数据保护规则。这也反映出监管机构在界定“重要数据”，以及区分不同处理者时采取了更为谨慎的态度，避免因范围过宽而给企业带来不必要的合规成本。此外，这也体现了《个人信息保护法》实施三年后，监管机构对一般个人信息处理者的监管模式更趋于采用“事后监管”，相信他们在处理未达到重要数据标准的个人信息时，能够自觉遵守相关法律法规，确保数据安全。

2、重要数据的监管机构

在《网数条例》征求意见稿中，重要数据的监管涉及多个部门，常见表述为“网信部门和主管、监管部门”。这种多头监管模式本质上类似于“九龙治水”， 不仅使企业的合规成本显著攀升，还可能造成因监管机构不明晰而导致的各种“消耗”问题。在正式稿中，监管职责被归口于“主管部门”，一定程度上将监管进行了集中。

为什么选择 “主管部门” 而非 “网信部门” 作为重要数据的主要监管机构？我们理解，这与重要数据的认定方式密切相关。同一数据字段在不同垂直领域可能具有完全不同的性质和风险，因此由负责该领域的行业主管部门来把控风险更为合理与可信。此外，《网数条例》将更广义的“网络数据”同样归口于“主管部门”，这与重要数据的规定保持一致，确保企业在实际操作流程中能够有章可循地确定一个对接部门。但在实践中，我们注意到很多企业面临多个主管部门或无清晰明确的主管部门的情况，此种情形已经出现在网络安全审查等类似案例中，这可能为重要数据的监管带来了较多不确定性。我们希望立法者能够对此进行相应的明晰。

3、数据处理者合规义务：不止于重要数据和个人信息

《网数条例》针对重要数据处理者设定了诸多新的要求，例如负责人任命、年度风险评估等。然而，需引起读者关注的是，整个《网数条例》对于非个人信息的规制范畴，并非仅仅局限于重要数据，而这一点恰恰容易被忽视。

在《网数条例》颁布之前，人们普遍认为对于非个人信息及非重要数据的监管尚处于空白状态。尽管《数据安全法》第二十七条和第二十九条包含了一些有关制度和流程方面的要求，但据我们观察，这些规定实践中难以落地，缺乏实际的可操作性以及明确的指引作用。在《网数条例》中，明确规制的义务主体为网络数据的处理者，而网络数据定义较为宽泛，包含了一般数据（排除个人信息和重要数据）。为便于读者参考，我们特拟以下表进行总结：

点击可查看大图

在个人信息保护部分，《网数条例》对于《个人信息保护法》这一上位法的相关规定进行了细化、补充与完善。我们梳理了以下要点问题，以资参考：

1、个人信息跨境：新增“履行法定职责与法定义务”豁免情形

对于个人信息跨境，在《个人信息保护法》第三十八条以及《促进和规范数据跨境流动规定》第五条豁免情形的基础上，《网数条例》第三十五条新增了“为履行法定职责或者法定义务”这一“可以向境外提供个人信息”的情形。

从第三十五条的立法结构上看，该情形与其他出境豁免情形并列，属于处理者在自我评估后，可以不经备案审核而自由出境的法定情形。该条的设置意图在于鼓励数据跨境自由流动，能够帮助厘清很多跨境交易场景下的合规痛点问题。如企业在境外并购和上市等交易中，往往涉及较多中外中介机构参与。为履行有关法定义务，中介机构与交易主体之间不免会进行较多的文件、数据的跨境传输和往来，以推进交易的进行。而在以往的规定中，并未将此作为法定豁免情形，造成了很多相关交易主体的合规困扰。此项豁免的引入将会极大便利各类正常的跨境交易。作为数据处理者，我们建议其在进行网络数据跨境处理活动之前，谨慎评估法定义务的边界，并据此进行数据跨境活动。我们理解，履行数据跨境活动中的诸项义务以形成有效的合规证明将会成为企业合规中的必选动作。

2、“集中公开展示”+“双清单”

《网数条例》第二十一条整合并细化了《个人信息保护法》第十七条、第三十条、第三十一条的有关规定，在告知义务的履行方面，建议个人信息处理者关注以下重点问题：

1）“集中公开展示”：对于《个人信息保护法》第十七条规定的“显著方式”义务，《网数条例》进一步细化提出了“集中公开展示”+“易于访问”+“置于醒目位置”三方面义务。针对“集中公开展示”这一义务的履行，《网数条例》并未再进一步细化，有待后续澄清。在目前阶段，我们建议个人信息处理者可关注以下应对要点：

* 同时涉及多份个人信息处理规则（同时制定《隐私政策》《未成年人个人信息处理》等）、或同时涉及生效中的个人信息处理规则和已失效的历史个人信息处理规则时，建议通过一个界面（含嵌入形式界面）进行集中展示；

* 避免用户仅可通过注册界面或仅可通过客服咨询等方式查找个人信息处理规则。

2）“双清单”：此前，工信部印发的《关于开展信息通信服务感知提升行动的通知》（规范性文件行政）首次提出了该要求，要求部分主体予以落实。后续部分地区通管局结合实际对于“双清单”的适用范围进行了拓展。本次《网数条例》将该要求的效力位阶提升，并将适用对象扩大为“网络数据处理者”，如网络数据处理者通过制定个人信息处理规则方式履行告知义务的，则应当履行该“双清单”要求。建议此前未履行该义务但落入前述适用情形的相关主体，及时履行该项合规义务。

3、“法律责任变化”+“APP特殊合规义务”

《网数条例》第二十二条整合与细化了《个人信息保护法》第五条、第六条、第十四条、第二十九条、第三十一条等关于“同意”的相关规定。在适用“同意”这一合法性基础时，建议个人信息处理者关注以下重点问题：

1）法律责任问题：作为下位法，针对违反第二十二条的罚款责任，《网数条例》并未直接转致适用《个人信息保护法》：其第五十五条对于上述行为“拒不改正或情节严重的”设定的罚款幅度上限为“100万元”，而《个人信息保护法》第六十六条对于所有“违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的”、“情节严重的”均设定了罚款上限为“5000万元以下或者上一年度营业额5%以下”。对于该法律责任的设定，我们在此暂不探究下位法与上位法的冲突问题，仅提示数据处理者关注后续的立法澄清和执法实操。

2）APP特殊合规义务：

* “提供产品或者服务所必需”：在APP合规方面，建议优先划分“基本业务功能”和“扩展业务功能”，并以此细化区分各个功能下的个人信息收集是否为提供产品或者服务所必需；

* “频繁征求同意”：在APP合规方面，《网数条例》未明确频繁应对标准的前提下，建议可参考不具有强制约束力的《移动互联网应用程序（App）收集使用个人信息自评估指南》等规定中提供的“48小时内问询超过1次”的频繁认定标准。

4、个人信息存储：自行设定方法

《个人信息保护法》第十七条要求个人信息处理规则需要包含“个人信息保存期限”内容的告知，但实操中个人信息主体往往面临着保存期限较难确定的问题。《网数条例》明确了此种情形之下，数据处理者应当以合理的方式，自行确定保存期限及其方法，并予以明确告知。

5、个人信息委托处理、对外提供和共同处理

对于《个人信息保护法》第二十一条、二十三条和二十条下的个人信息委托处理、对外提供、共同处理三类行为，《网数条例》进行了以下重点内容的新增：

1）对外提供行为，应当通过合同等方式与接收方进行约定。关于委托处理、共同处理行为的合同等约定要求已在《个人信息保护法》第二十一条、第二十条中进行了明确规定，但《个人信息保护法》第二十三条中并未明确此类处理行为需要通过合同方式进行约定，在实践中亦有不同的理解。如主张无需进行约定的观点认为，提供方与接收方为独立的个人信息处理者，需独立地对其个人信息处理行为负责，属于默示义务而无需通过合同予以规制；而另一方则认为，该要求虽未明确规定在《个人信息保护法》第二十三条中，但此前的《信息安全技术 个人信息安全规范》9.2条已明确约定个人信息共享需要“通过合同等方式规定数据接收方的责任和义务”。最终《网数条例》解决了上述分歧，对于个人信息处理者而言，对于个人信息的对外提供，“应当”通过合同等方式与接收方约定个人信息处理相关问题。

2）对外提供及委托处理行为，应当保存处理情况记录。《个人信息保护法》第五十五条、第五十六条明确约定了涉个人信息对外提供、委托处理行为下的3年的“个人信息保护影响评估记录”留存要求，《网数条例》中提出了3年的“处理情况记录”留存要求。我们理解，后者与GDPR下的数据处理活动记录类似，具体要素仍有待于澄清。我们建议，个人信息处理者在开展对外提供或委托处理行为时，既要留存个人信息保护影响评估报告，也要尽量全面地留存该行为相关的详细证明材料，例如数据处理协议、数据传输相关系统记录、数据安全措施证明等，以履行该项合规义务。

6、携带权适用条件进一步明确

对于个人信息可携带权问题，与征求意见稿相比，《网数条例》正式稿有以下变化：

1）增加“转移个人信息具备技术可行性”的适用条件：司法裁判中关于可携带权的多个争议认定中也强调了此适用条件，《网数条例》的规定，进一步明确了落地标准。

2）由“提供转移服务”修改为“提供访问、获取途径”：该点减轻了企业的合规负担，数据处理者在响应该类行权请求时，可进行更为灵活的安排与设置。

3）不增加额外成本作为行权准则。对于请求次数等明显超出合理范围的收费，由“收取合理费用”修改为“根据转移个人信息的成本收取必要费用”。在此，处理者应当有针对性地留存证明材料，并结合成本制定费用收取标准，以免发生争议。

此外，关于可携带权问题，除《网数条例》规定外，网安标委今年4月曾发布《信息安全技术 基于个人请求的个人信息转移要求（征求意见稿）》，预计后续该文件的正式稿会在《网数条例》规定内容的基础上进一步细化，建议保持关注。

7、个人信息合规审计

对于个人信息保护合规审计问题，此前国家网信办已发布《个人信息保护合规审计管理办法（征求意见稿）》，后续该文件会对于个人信息保护合规审计问题进行细化规定。对此，《网数条例》虽未进一步细化，但规定了多种评估、审计机制之间的协调问题，即个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估要加强衔接，避免重复评估、审计。该点对于减轻企业合规负担具有重要意义。

8、域外适用：适用情形衔接+报送部门确定

对于境外网络数据处理者而言，值得关注以下要点：

1）适用情形：《网数条例》第二条第二款衔接了《个人信息保护法》第三条第二款的规定，无新增内容，仍需依据《个人信息保护法》的情形进行适用性判断；

2）报送的具体监管部门：《网数条例》第二十六条明确了《个人信息保护法》第五十三条境外网络数据处理者在境内设置专门机构或者指定代表的报送监管部门，并指明该类主体应当向市级网信部门报送。类似于GDPR下的DPO设置，对于落入上述适用范围的境外网络数据处理者而言，建议重视此项合规义务，尽快在中国境内专门机构或者指定代表，明确其个人信息保护具体职责，并向有关机构备案。