作為效力僅次于“法律”的行政法規,《網絡數據安全管理條例》不是對上位法進行簡單的重復,而是充分發揮“行政法規”在法律體系中的重要作用。一方面細化《網絡安全法》《數據安全法》《個人信息保護法》,并落實三法中明確“行政法規”可以補充規定或另行規定的事項,進行補充性或創新性規定。另一方面,結合近年數據治理經驗,聚焦信息技術創新及數字經濟發展中的突出問題,銜接、協調上位法律及下位部門規章相關規定。總的來說,《網絡數據安全管理條例》確立的規則呈現以下變化與延續:
數據跨境安全規則是重要的對外經貿規則。黨的二十屆三中全會《決定》再次強調,“要提升數據安全治理監管能力,建立高效便利安全的數據跨境流動機制”。近年來,我國數據出境規則在監管與產業的互動、磨合中迅速調試。《網絡數據安全管理條例》在總結《數據出境安全評估辦法》《促進和規范數據跨境流動規定》等部門規章制定、實施經驗基礎上,進一步優化了數據跨境流動機制,尤其是吸納了《促進和規范數據跨境流動規定》諸多規則。
一是明確國家網信部門統籌協調有關部門建立國家數據出境安全管理專項工作機制。二是擴展個人信息可自由出境的情形。《網絡數據安全管理條例》吸納《促進和規范數據跨境流動規定》豁免規定,在《個人信息保護法》的基礎上新增“明確為訂立、履行個人作為一方當事人的合同”、“按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理”、“緊急情況下為保護自然人的生命健康和財產安全”情形下確需向境外提供個人信息的,個人信息可以出境。值得注意的是,《網絡數據安全管理條例》在《促進和規范數據跨境流動規定》基礎上又增加了“為履行法定職責或者法定義務,確需向境外提供個人信息”,作為可以向境外提供個人信息的情形。《促進和規范數據跨境流動規定》規定的“關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的”則并未納入《網絡數據安全管理條例》。但基于《個人信息保護法》第38條明確法律、行政法規或者國家網信部門規定可以對個人信息出境條件做出規定。《促進和規范數據跨境流動規定》作為“國家網信部門規定”,該條款依然有效。三是吸納《促進和規范數據跨境流動規定》規定,明確未被相關地區、部門告知或者公開發布為重要數據的,不需要將其作為重要數據申報數據出境安全評估。值得注意的是,相較2021年征求意見稿,《網絡數據安全管理條例》還規定國家采取措施,防范、處置網絡數據跨境安全風險和威脅。大型網絡平臺服務提供者應當健全相關技術和管理措施,防范網絡數據跨境安全風險。
七、擴展網絡平臺服務提供者安全保護規則
《網絡數據安全管理條例》借鑒了歐盟《數字服務法》《數字市場法》的“守門人”制度,專章規定了網絡平臺服務提供者的安全義務。與2021年征求意見稿相比,《網絡數據安全管理條例》整體體現了對數字經濟更為柔性、靈活的監管態度,如刪除了征求意見稿中“大型互聯網平臺運營者在境外設立總部或者運營中心、研發中心,向國家網信部門和主管部門報告”的要求,平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂需要公開征求意見以及網絡平臺服務提供者先行賠付要求,調整法律責任的設置等。何為“網絡平臺服務提供者”,《網絡數據安全管理條例》并未做出明確界定,僅在附則的含義中明確“大型網絡平臺是指注冊用戶5000萬以上或者月活躍用戶1000萬以上,業務類型復雜,網絡數據處理活動對國家安全、經濟運行、國計民生等具有重要影響的網絡平臺”。
《網絡數據安全管理條例》第40條規定,網絡平臺服務提供者應當通過平臺規則或者合同等明確接入其平臺的第三方產品和服務提供者的網絡數據安全保護義務,督促第三方產品和服務提供者加強網絡數據安全管理。從文義來看,《網絡數據安全管理條例》中的“網絡平臺”應當是有第三方產品和服務提供者接入的。純自營沒有接入第三方產品和服務提供者是否屬于“網絡平臺”還有待進一步明確。 《網絡數據安全管理條例》一是規定了網絡平臺服務提供者對第三方產品、服務提供者的監督義務,建立了造成用戶損害的責任分配機制,并將規則適用范圍擴展至預裝應用程序的智能終端等設備生產者。同時細化了通過自動化決策進行信息推送的用戶拒絕機制。二是用專條對提供應用程序分發服務的網絡平臺服務提供者設置了特殊的安全要求,包括核驗要求及應用程序的處置要求。三是特別關注大型網絡平臺服務提供者安全義務,要求健全相關技術和管理措施防范網絡數據跨境安全風險,并明確不得非法利用網絡數據、算法、平臺規則從事損害用戶權益及其他違法違規活動。
在個人信息保護方面,《網絡數據安全管理條例》在現行法律法規框架下補充了以下規則:
一是在行政法規層面確立“清單”告知要求。《網絡數據安全管理條例》吸收2024年行業、領域在個人信息保護領域的治理經驗,在用戶告知方面引入“雙清單”,即已收集個人信息清單和與第三方共享個人信息清單告知要求。 二是明確自動化采集特殊要求,明確通過自動化采集技術等無法避免采集到非必要個人信息,或者未依法取得個人同意的個人信息的情形,應當及時刪除個人信息或者進行匿名化處理,如技術上難以實現,應停止除存儲和采取必要的安全保護措施之外的處理。 三是細化個人信息可攜權規定,明確該權利行使的前提包括限于基于個人同意或合同收集的個人信息場景,基于法定職責、法定義務等其他事由收集的個人信息不適用。此外,還應當在技術上具備可行性。 四是明確處理1000萬人以上個人信息處理者應履行重要數據處理者在人員和機構設置及處置方案報告方面(而非2021年征求意見稿中重要數據處理者的全部義務)的增強要求。
九、調整網絡數據安全監管機制
《網絡數據安全管理條例》在延續《數據安全法》確立的監管機制基礎上,一是回應國家數據局的成立,將國家數據局納入監管機制,明確“國家數據管理部門在具體承擔數據管理工作中履行相應的網絡數據安全職責”。此前施行的《促進和規范數據跨境流動規定》就已明確自貿區負面清單需要報國家網信部門、國家數據管理部門備案。二是增加公安機關、國家安全機關依法防范和打擊危害網絡數據安全違法犯罪活動職責。三是細化行業、領域監管職責的具體內容,包括明確網絡數據安全保護工作機構、統籌制定并組織應急預案,定期開展相關風險評估,對網絡數據處理者進行監督檢查、指導督促整改等等。
此外,《網絡數據安全管理條例》建立了監管機構協調規則,特別是明確個人信息保護合規審計、重要數據安全風險評估、重要數據出境安全評估等應當加強銜接,避免重復評估、審計。重要數據風險評估和網絡安全等級測評的內容重合的,相關結果可以互相采信。
十、明確對利用數據從事非法活動的全鏈條打擊
《網絡數據安全管理條例》首次在網絡數據使用環節明確要求“不得利用網絡數據從事非法活動”。在三法基礎上,吸收《刑法》及相關司法解釋中對于侵犯公民個人信息罪、幫助信息網絡犯罪活動罪的相關規定和表述,涵蓋了包括竊取、以其他非法方式獲取、非法出售、非法提供網絡數據等禁止性行為規定,并進一步禁止提供非法活動的程序、工具,禁止提供技術支持和推廣、結算幫助,明確對利用數據從事非法活動的全鏈條打擊要求。
浙公網安備 33010502006954號 
