《网络数据安全管理条例》专家解读

《网络数据安全管理条例》专家解读

自2016年以来，《网络安全法》《数据安全法》《个人信息保护法》（“三法”）和《关键信息基础设施保护条例》构建了中国“三法一条例”的基本立法框架。针对前述三法中述及的以及近年来作为监管关注的诸如数据分类分级、数据跨境流动、个人信息处理活动等具体制度一直有待一部行政法规展开和细化。

早在2021年，《网络数据安全管理条例》（“《条例》”）即发布了征求意见稿向社会征求意见。征求意见稿显露了监管机构彼时对于重要数据、跨境数据处理活动、赴境外上市处理活动的额外关注和重点监管，也引发了社会广泛关注和担忧。随着个人信息保护检查和通报常态化、数据跨境审批备案工作逐步标准化、重要数据的识别工作亦展开多轮试点或调研，监管机构对于数据管理具备了更为全局的视野和周到的考量。

2024年9月30日，国务院发布《网络数据安全管理条例》。《条例》从行政法规层级补充了现有立法框架，构建了“法律-行政法规-部门规章”的全位阶法律规范体系。更重要的是，相比征求意见稿内容，正式稿《条例》删除了大量严厉的数据处理活动规则，整体显示了更为柔性、灵活和全面的规范态度，重点完善重要数据的处理规则，与个人信息监管构成“对称平衡”的范式，统筹了三法的相关关系，展开和细化了相关制度的具体实施规则。

司法部、国家网信办负责人就《网络数据安全管理条例》答记者问

2024年9月24日，国务院总理李强签署第790号国务院令，公布《网络数据安全管理条例》（以下简称《条例》），自2025年1月1日起施行。日前，司法部、国家网信办负责人就《条例》有关问题回答了记者提问。

问：请简要介绍一下《条例》出台的背景。

答：党中央、国务院高度重视网络数据安全管理工作。党的二十届三中全会强调，提升数据安全治理监管能力，建立高效便利安全的数据跨境流动机制。近年来，随着信息技术和人们生产生活交汇融合，数据处理活动更加频繁，数据安全风险日益聚焦在网络数据领域，违法处理网络数据活动时有发生，给经济社会发展和国家安全带来严峻挑战。

《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》对数据安全和个人信息保护制度作了基本规定。为做好法律实施，规范网络数据处理活动，保障网络数据安全，促进网络数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益，有必要制定配套行政法规。国务院将制定《条例》列入立法工作计划。

国家网信办在总结近年来网络数据安全管理实践经验、征求有关方面意见并向社会公开征求意见的基础上，向国务院报送了《条例（草案送审稿）》。司法部在立法审查中，广泛征求有关中央单位、地方人民政府、企事业单位、行业协会和专家学者意见，赴地方开展实地调研，多次召开企业和行业协会座谈会听取意见，会同国家网信办反复研究修改，形成了《条例（草案）》。2024年8月30日，国务院常务会议审议通过了《条例（草案）》。

问：制定《条例》的总体思路？

答：《条例》制定工作坚持以习近平新时代中国特色社会主义思想为指导，深入贯彻习近平法治思想和习近平总书记关于网络强国的重要思想，在总体思路上主要把握了以下四点：

一是坚持党的领导，全面贯彻党的二十大和二十届二中、三中全会精神，将习近平总书记关于网络数据安全管理的重要指示批示精神以及党中央、国务院决策部署落实到具体条文中。

二是坚持总体国家安全观，统筹发展和安全，既加强网络数据安全保护，又鼓励和促进网络数据依法合理有效利用。三是坚持问题导向，聚焦个人信息、重要数据、网络数据跨境流动等方面突出问题，有针对性地健全制度措施。

四是坚持统筹协调，妥善处理与《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等上位法的关系，对相关制度规定予以细化、补充、完善。

问：《条例》对个人信息保护主要作了哪些规定？

答：《条例》重点细化了《中华人民共和国个人信息保护法》关于告知、同意、个人行使权利等方面的规定。

一是明确通过制定个人信息处理规则履行告知义务的内容、形式等要求。二是明确基于个人同意处理个人信息应当遵守的基本要求。

三是明确行使个人信息查阅、复制、更正、补充、删除等权利的要求，细化个人信息转移的具体条件。

四是明确按照《中华人民共和国个人信息保护法》第五十三条规定在境内设立专门机构或者指定代表的要求。五是明确网络数据处理者处理1000万人以上个人信息还应当履行的义务。

问：《条例》关于保障重要数据安全主要作了哪些规定？

答：《条例》所规定的重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。

为了保障重要数据安全，《条例》一是明确制定重要数据目录的要求，规定网络数据处理者识别、申报重要数据义务。

二是规定网络数据安全负责人和网络数据安全管理机构责任。

三是要求提供、委托处理、共同处理重要数据前进行风险评估，并明确重点评估内容。

四是要求重要数据的处理者每年度对其网络数据处理活动开展风险评估，并明确风险评估报告内容。

问：《条例》在建立高效便利安全的数据跨境流动机制方面是怎样规定的？

答：《条例》在总结《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等部门规章制定实施经验基础上，进一步优化数据跨境流动机制。

一是明确国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制，研究制定国家网络数据出境安全管理相关政策，协调处理网络数据出境安全重大事项。

二是规定网络数据处理者可以向境外提供个人信息的条件，明确未被相关地区、部门告知或者公开发布为重要数据的，不需要将其作为重要数据申报数据出境安全评估。

三是明确网络数据处理者通过数据出境安全评估后向境外提供个人信息和重要数据的，不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。此外，还规定国家采取措施，防范、处置网络数据跨境安全风险和威胁。

问：《条例》对网络平台服务提供者义务作出专门规定的主要考虑是什么？具体是怎样规定的？

答：网络平台服务提供者面向大量用户和平台内经营者提供服务，一些网络平台服务提供者还向政府部门提供服务，对于促进数字经济发展、优化公共服务发挥了重要作用。实践中存在网络平台服务提供者不履行网络数据安全义务、滥用数据优势从事法律、行政法规禁止的活动等情况。国内外相关立法对此作了实践探索。

为此，《条例》一是规定了网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者的网络数据安全保护义务，并要求提供应用程序分发服务的网络平台服务提供者建立应用程序核验规则并开展网络数据安全相关核验。

二是针对当前个性化推荐服务关闭难、收集个人信息类型多、个人精准画像数据滥用等问题，明确网络平台服务提供者应当设置易于理解、便于访问和操作的个性化推荐关闭选项，为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。

三是明确国家推进网络身份认证公共服务建设，按照政府引导、用户自愿原则进行推广应用。鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息。四是规定大型网络平台服务提供者每年度发布个人信息保护社会责任报告、防范网络数据跨境安全风险的要求，以及明确不得利用网络数据、算法、平台规则等从事相关活动的义务。

问：《条例》关于开展网络数据安全管理工作的部门职责分工是什么？

答：《条例》规定，国家网信部门负责统筹协调网络数据安全和相关监督管理工作。公安机关、国家安全机关依照有关法律、行政法规和本条例的规定，在各自职责范围内承担网络数据安全监督管理职责，依法防范和打击危害网络数据安全的违法犯罪活动。

国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责。各地区、各部门对本地区、本部门工作中收集和产生的网络数据及网络数据安全负责。各有关主管部门承担本行业、本领域网络数据安全监督管理职责。