数据安全新乐章之《网络数据安全管理条例》出台

近几年，国家接连出台了《网络安全法》、《数据安全法》、《个人信息保护法》。今天，在此基础上，又出台了《网络数据安全管理条例》。实际在2021年开始，《网络数据安全管理条例》就已经开始起草，可以看出，国家对数据安全越发关注。

当今已经是一个数字时代，数据已成为关键的生产要素和国家基础性战略资源。随着信息技术的飞速发展，网络数据处理活动日益频繁，数据安全风险也不断加剧。违法处理网络数据活动时有发生，“”滴滴出行”被处罚事件，衡阳市政务数据资源和智慧城市特许经营权出让项目被叫停事件均告诉我们，目前数据安全问题已经给经济社会发展和国家安全带来严峻挑战。

• 网络安全等级保护方面

《网络安全法》规定国家实行网络安全等级保护制度，网络运营者应当按照该制度的要求履行安全保护义务，如制定内部安全管理制度和操作规程、采取防范计算机病毒和网络攻击等危害网络安全行为的技术措施、留存相关的网络日志不少于六个月等。

《网络数据安全管理条例》在此基础上进一步强调，网络数据处理者应当在网络安全等级保护的基础上，加强网络数据安全防护，建立健全网络数据安全管理制度，采取加密、备份、访问控制、安全认证等技术措施和其他必要措施，保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用。这一条文明确了网络数据处理者在网络安全等级保护基础上的额外责任，突出了对网络数据的专门保护要求。

• 数据处理活动的规定方面

《网络安全法》对于网络运营者收集、使用用户个人信息有一定的要求，规定网络产品、服务的提供者涉及用户个人信息的，应当遵守相关法律、行政法规关于个人信息保护的规定，但相对来说较为笼统。

《网络数据安全管理条例》则对网络数据处理活动进行了更详细的规范，例如规定网络数据处理者在处理个人信息前，要通过制定个人信息处理规则的方式依法向个人告知相关内容，且个人信息处理规则应当集中公开展示、易于访问并置于醒目位置，内容要明确具体、清晰易懂。这使网络数据处理者在处理个人信息时的操作更加明确和具体，增强了对个人信息的保护力度。

• 数据分类分级保护方面

《数据安全法》提出国家建立数据分类分级保护制度，根据数据的重要程度和危害程度对数据实行分类分级保护，并要求各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

《网络数据安全管理条例》也强调国家对网络数据实行分类分级保护，并对不同级别的网络数据在处理、存储、传输等环节的安全要求进行了细化规定。例如，对于重要数据的处理者，不仅要明确数据安全负责人和管理机构，落实数据安全保护责任，还对数据的跨境传输等情况作出了具体规定。这进一步完善了数据分类分级保护制度在网络数据领域的应用，使其更具操作性。

• 数据安全审查方面

《数据安全法》建立了数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

《网络数据安全管理条例》对网络数据处理活动中的国家安全审查进行了细化，明确了网络数据处理者因合并、分立、解散、破产等原因需要转移网络数据时，网络数据接收方应当继续履行网络数据安全保护义务，并且规定网络数据处理者开展网络数据处理活动，影响或者可能影响国家安全的，应当按照国家有关规定进行国家安全审查。这有助于确保在网络数据处理过程中，国家安全得到充分保障。

• 个人信息处理的同意规则方面

《个人信息保护法》规定收集个人信息应当取得个人的同意，处理敏感个人信息需要取得个人的单独同意等。

《网络数据安全管理条例》进一步明确，网络数据处理者基于个人同意处理个人信息的，收集个人信息应为提供产品或者服务所必需，不得超范围收集个人信息，不得通过误导、欺诈、胁迫等方式取得个人同意；处理生物识别、宗教信仰等敏感个人信息的，应当取得个人的单独同意；处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。这细化了个人信息处理的同意规则，防止网络数据处理者滥用个人信息收集的同意权。

• 个人信息的处理规则告知方面

《个人信息保护法》要求个人信息处理者向个人告知其处理个人信息的规则，但对于告知的方式和内容没有详细规定。

《网络数据安全管理条例》则明确规定，网络数据处理者在处理个人信息前，个人信息处理规则应当集中公开展示、易于访问并置于醒目位置，内容包括网络数据处理者的名称或者姓名和联系方式、处理个人信息的目的、方式、种类等，并且要求以清单等形式列明向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息。这使得个人信息处理者的告知义务更加明确和具体，便于个人了解自己的信息是如何被处理的。

• 平台合规负担调整

正式稿相较于征求意见稿，大幅减轻了平台的合规负担。其中，删减了大型互联网平台运营者部分条款，如征求意见稿中要求日活用户超过一亿的大型互联网平台运营者，其平台规则、隐私政策制定或者对用户权益有重大影响的修订，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。这一规定在正式稿中被删除，使得平台在规则和隐私政策的制订、变更方面不再面临如此严格的外部评估和审批流程，平台的合规压力明显减小。此外，正式稿对大型平台如何利用网络数据、算法、规则做出了明确要求，不得利用网络数据、算法以及平台规则，通过误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据；不得无正当理由限制用户访问、使用其在平台上产生的网络数据；不得对用户实施不合理的差别待遇，损害用户合法权益等。这些规定在一定程度上平衡了平台的发展与用户权益保护，既为平台的创新和发展提供了空间，又确保了用户在平台上的合法权益。

• 个人信息保护要求变化

正式稿在个人信息保护方面进行了多方面的调整。在落实用户同意方面，明确网络数据处理者基于个人同意处理个人信息时，不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息；不得在个人明确表示不同意处理其个人信息后，频繁征求同意；个人信息的处理目的、方式、种类发生变更的，应当重新取得个人同意等。对于个人行权，正式稿针对个人信息主体需要转移个人信息行使个人权利的问题，明确规定了实施个人信息转移的条件，并且要求网络数据处理者应当为个人信息主体行使相关权益提供可落地的具体路径。正式稿也减轻了网络数据处理者的部分负担，如在删除权的落地方面，将原“十五个工作日” 的时间要求删除。

• 数据跨境规定调整

正式稿在数据跨境传输方面做出了调整，有效地降低了企业在此过程中的合规成本。例如，《网络数据安全管理条例》取消了网络数据处理者提交关于数据出境年度报告的要求，同时明确了未被认定为重要数据的信息无须作为重要数据进行申报以进行数据出境安全评估。这一调整简化了企业在数据跨境传输方面的申报流程，减少了企业的合规负担，为企业的国际业务合作提供了便利。同时，这也体现了我国在数据跨境管理方面更加注重实际情况和企业需求，以更加灵活和高效的方式进行监管。

• 金融行业

金融数据具有天然的公共价值，在数据加密方面需承担更多社会责任。随着生成式人工智能大规模语料数据收集的发展，金融系统需实现数据处理者与数据应用者身份的统一，即实现金融数据算法的自主研发与应用。《条例》的实施将促使金融企业更加重视数据安全，在数据分类分级、网络数据跨境安全管理等方面加大投入，采取更严格的保护措施，提升数据安全防护能力。例如，金融企业需聘请专业测评机构，结合系统内数据的规模与敏感程度进行全面判断，并提供相适应的技术建议，以确保客户敏感信息的安全。

• 互联网行业

网络平台服务提供者面向大量用户和平台内经营者提供服务，在数据安全方面责任重大。《条例》明确了网络平台服务提供者的义务，要求其不得利用网络数据、算法以及平台规则，通过误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据。这将促使互联网企业加强对平台数据的管理，提升数据安全防护水平，优化用户体验。同时，互联网企业也需在数据跨境传输方面更加谨慎，确保符合《条例》的要求，降低合规风险。

• 制造业

对于制造业来说，数据安全同样至关重要。尤其是装备制造企业，重要数据的识别和保护是关键。例如，太仓发布的《装备制造企业重要数据识别指南》为制造业企业提供了重要参考。《条例》的实施将推动制造业企业加强数据安全管理，建立健全数据安全管理制度，采取必要的安全技术措施，保护企业的核心数据和商业秘密，提升企业的竞争力。

•  监管难度大

笔者认为虽然《条例》对之前的法律法规已经进行了进一步的明确与补充，但是数据有技术更新换代快的特点，随着信息技术的不断发展，新的技术和应用不断涌现，给数据安全也带来挑战。例如，自动化采集技术、生成式人工智能等新技术的应用，可能带来新的隐私风险。而无论什么样的规定，确实在操作层面还有待进一步的考证。就比如上文提到的本次的《条例》已经相较之前的规定有一定程度上的宽松。此外，中小企业在安全技术措施和安全能力方面均存在不足，但是如果要进行合规，考量合规成本是必然要面对的问题，往往认为等保测评与认证就能解决所有技术措施问题，或者依赖大厂的网络服务产品自带的安全措施。这也会给监管带来挑战，如何更好的加强对中小企业的指导和监督或者通过其他方式提供一定的保住以确保其落实数据安全责任也是需要考虑的。

• 平衡数据利用与安全

如何平衡数据利用与数据安全之间的关系是一个难题。一方面，企业需要充分利用数据来推动业务发展和创新；另一方面，又要确保数据的安全，防止数据泄露和滥用。这需要企业在数据安全管理方面投入更多资源，同时也需要政府加强监管，制定合理的政策和标准，引导企业在数据利用和安全之间找到平衡。

《网络数据安全管理条例》更加注重平衡各方利益，提高监管的科学性和有效性。其出台是我国在数据安全领域的重大举措，对于保障国家、企业和个人的数据安全具有重要意义，也是我国数据安全领域的重要里程碑。