作为效力仅次于“法律”的行政法规,《网络数据安全管理条例》不是对上位法进行简单的重复,而是充分发挥“行政法规”在法律体系中的重要作用。一方面细化《网络安全法》《数据安全法》《个人信息保护法》,并落实三法中明确“行政法规”可以补充规定或另行规定的事项,进行补充性或创新性规定。另一方面,结合近年数据治理经验,聚焦信息技术创新及数字经济发展中的突出问题,衔接、协调上位法律及下位部门规章相关规定。总的来说,《网络数据安全管理条例》确立的规则呈现以下变化与延续:六、补充数据跨境安全规则数据跨境安全规则是重要的对外经贸规则。党的二十届三中全会《决定》再次强调,“要提升数据安全治理监管能力,建立高效便利安全的数据跨境流动机制”。近年来,我国数据出境规则在监管与产业的互动、磨合中迅速调试。《网络数据安全管理条例》在总结《数据出境安全评估办法》《促进和规范数据跨境流动规定》等部门规章制定、实施经验基础上,进一步优化了数据跨境流动机制,尤其是吸纳了《促进和规范数据跨境流动规定》诸多规则。一是明确国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制。二是扩展个人信息可自由出境的情形。《网络数据安全管理条例》吸纳《促进和规范数据跨境流动规定》豁免规定,在《个人信息保护法》的基础上新增“明确为订立、履行个人作为一方当事人的合同”、“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理”、“紧急情况下为保护自然人的生命健康和财产安全”情形下确需向境外提供个人信息的,个人信息可以出境。值得注意的是,《网络数据安全管理条例》在《促进和规范数据跨境流动规定》基础上又增加了“为履行法定职责或者法定义务,确需向境外提供个人信息”,作为可以向境外提供个人信息的情形。《促进和规范数据跨境流动规定》规定的“关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的”则并未纳入《网络数据安全管理条例》。但基于《个人信息保护法》第38条明确法律、行政法规或者国家网信部门规定可以对个人信息出境条件做出规定。《促进和规范数据跨境流动规定》作为“国家网信部门规定”,该条款依然有效。三是吸纳《促进和规范数据跨境流动规定》规定,明确未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。值得注意的是,相较2021年征求意见稿,《网络数据安全管理条例》还规定国家采取措施,防范、处置网络数据跨境安全风险和威胁。大型网络平台服务提供者应当健全相关技术和管理措施,防范网络数据跨境安全风险。七、扩展网络平台服务提供者安全保护规则《网络数据安全管理条例》借鉴了欧盟《数字服务法》《数字市场法》的“守门人”制度,专章规定了网络平台服务提供者的安全义务。与2021年征求意见稿相比,《网络数据安全管理条例》整体体现了对数字经济更为柔性、灵活的监管态度,如删除了征求意见稿中“大型互联网平台运营者在境外设立总部或者运营中心、研发中心,向国家网信部门和主管部门报告”的要求,平台规则、隐私政策制定或者对用户权益有重大影响的修订需要公开征求意见以及网络平台服务提供者先行赔付要求,调整法律责任的设置等。何为“网络平台服务提供者”,《网络数据安全管理条例》并未做出明确界定,仅在附则的含义中明确“大型网络平台是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台”。《网络数据安全管理条例》第40条规定,网络平台服务提供者应当通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务,督促第三方产品和服务提供者加强网络数据安全管理。从文义来看,《网络数据安全管理条例》中的“网络平台”应当是有第三方产品和服务提供者接入的。纯自营没有接入第三方产品和服务提供者是否属于“网络平台”还有待进一步明确。《网络数据安全管理条例》一是规定了网络平台服务提供者对第三方产品、服务提供者的监督义务,建立了造成用户损害的责任分配机制,并将规则适用范围扩展至预装应用程序的智能终端等设备生产者。同时细化了通过自动化决策进行信息推送的用户拒绝机制。二是用专条对提供应用程序分发服务的网络平台服务提供者设置了特殊的安全要求,包括核验要求及应用程序的处置要求。三是特别关注大型网络平台服务提供者安全义务,要求健全相关技术和管理措施防范网络数据跨境安全风险,并明确不得非法利用网络数据、算法、平台规则从事损害用户权益及其他违法违规活动。八、补充个人信息保护规则在个人信息保护方面,《网络数据安全管理条例》在现行法律法规框架下补充了以下规则:一是在行政法规层面确立“清单”告知要求。《网络数据安全管理条例》吸收2024年行业、领域在个人信息保护领域的治理经验,在用户告知方面引入“双清单”,即已收集个人信息清单和与第三方共享个人信息清单告知要求。二是明确自动化采集特殊要求,明确通过自动化采集技术等无法避免采集到非必要个人信息,或者未依法取得个人同意的个人信息的情形,应当及时删除个人信息或者进行匿名化处理,如技术上难以实现,应停止除存储和采取必要的安全保护措施之外的处理。三是细化个人信息可携权规定,明确该权利行使的前提包括限于基于个人同意或合同收集的个人信息场景,基于法定职责、法定义务等其他事由收集的个人信息不适用。此外,还应当在技术上具备可行性。四是明确处理1000万人以上个人信息处理者应履行重要数据处理者在人员和机构设置及处置方案报告方面(而非2021年征求意见稿中重要数据处理者的全部义务)的增强要求。九、调整网络数据安全监管机制《网络数据安全管理条例》在延续《数据安全法》确立的监管机制基础上一是回应国家数据局的成立,将国家数据局纳入监管机制,明确“国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责”。此前施行的《促进和规范数据跨境流动规定》就已明确自贸区负面清单需要报国家网信部门、国家数据管理部门备案。二是增加公安机关、国家安全机关依法防范和打击危害网络数据安全违法犯罪活动职责。三是细化行业、领域监管职责的具体内容,包括明确网络数据安全保护工作机构、统筹制定并组织应急预案,定期开展相关风险评估,对网络数据处理者进行监督检查、指导督促整改等等。此外,《网络数据安全管理条例》建立了监管机构协调规则,特别是明确个人信息保护合规审计、重要数据安全风险评估、重要数据出境安全评估等应当加强衔接,避免重复评估、审计。重要数据风险评估和网络安全等级测评的内容重合的,相关结果可以互相采信。十、明确对利用数据从事非法活动的全链条打击《网络数据安全管理条例》首次在网络数据使用环节明确要求“不得利用网络数据从事非法活动”。在三法基础上,吸收《刑法》及相关司法解释中对于侵犯公民个人信息罪、帮助信息网络犯罪活动罪的相关规定和表述,涵盖了包括窃取、以其他非法方式获取、非法出售、非法提供网络数据等禁止性行为规定,并进一步禁止提供非法活动的程序、工具,禁止提供技术支持和推广、结算帮助,明确对利用数据从事非法活动的全链条打击要求。
作为效力仅次于“法律”的行政法规,《网络数据安全管理条例》不是对上位法进行简单的重复,而是充分发挥“行政法规”在法律体系中的重要作用。一方面细化《网络安全法》《数据安全法》《个人信息保护法》,并落实三法中明确“行政法规”可以补充规定或另行规定的事项,进行补充性或创新性规定。另一方面,结合近年数据治理经验,聚焦信息技术创新及数字经济发展中的突出问题,衔接、协调上位法律及下位部门规章相关规定。总的来说,《网络数据安全管理条例》确立的规则呈现以下变化与延续:六、补充数据跨境安全规则数据跨境安全规则是重要的对外经贸规则。党的二十届三中全会《决定》再次强调,“要提升数据安全治理监管能力,建立高效便利安全的数据跨境流动机制”。近年来,我国数据出境规则在监管与产业的互动、磨合中迅速调试。《网络数据安全管理条例》在总结《数据出境安全评估办法》《促进和规范数据跨境流动规定》等部门规章制定、实施经验基础上,进一步优化了数据跨境流动机制,尤其是吸纳了《促进和规范数据跨境流动规定》诸多规则。一是明确国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制。二是扩展个人信息可自由出境的情形。《网络数据安全管理条例》吸纳《促进和规范数据跨境流动规定》豁免规定,在《个人信息保护法》的基础上新增“明确为订立、履行个人作为一方当事人的合同”、“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理”、“紧急情况下为保护自然人的生命健康和财产安全”情形下确需向境外提供个人信息的,个人信息可以出境。值得注意的是,《网络数据安全管理条例》在《促进和规范数据跨境流动规定》基础上又增加了“为履行法定职责或者法定义务,确需向境外提供个人信息”,作为可以向境外提供个人信息的情形。《促进和规范数据跨境流动规定》规定的“关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的”则并未纳入《网络数据安全管理条例》。但基于《个人信息保护法》第38条明确法律、行政法规或者国家网信部门规定可以对个人信息出境条件做出规定。《促进和规范数据跨境流动规定》作为“国家网信部门规定”,该条款依然有效。三是吸纳《促进和规范数据跨境流动规定》规定,明确未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。值得注意的是,相较2021年征求意见稿,《网络数据安全管理条例》还规定国家采取措施,防范、处置网络数据跨境安全风险和威胁。大型网络平台服务提供者应当健全相关技术和管理措施,防范网络数据跨境安全风险。七、扩展网络平台服务提供者安全保护规则《网络数据安全管理条例》借鉴了欧盟《数字服务法》《数字市场法》的“守门人”制度,专章规定了网络平台服务提供者的安全义务。与2021年征求意见稿相比,《网络数据安全管理条例》整体体现了对数字经济更为柔性、灵活的监管态度,如删除了征求意见稿中“大型互联网平台运营者在境外设立总部或者运营中心、研发中心,向国家网信部门和主管部门报告”的要求,平台规则、隐私政策制定或者对用户权益有重大影响的修订需要公开征求意见以及网络平台服务提供者先行赔付要求,调整法律责任的设置等。何为“网络平台服务提供者”,《网络数据安全管理条例》并未做出明确界定,仅在附则的含义中明确“大型网络平台是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台”。《网络数据安全管理条例》第40条规定,网络平台服务提供者应当通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务,督促第三方产品和服务提供者加强网络数据安全管理。从文义来看,《网络数据安全管理条例》中的“网络平台”应当是有第三方产品和服务提供者接入的。纯自营没有接入第三方产品和服务提供者是否属于“网络平台”还有待进一步明确。《网络数据安全管理条例》一是规定了网络平台服务提供者对第三方产品、服务提供者的监督义务,建立了造成用户损害的责任分配机制,并将规则适用范围扩展至预装应用程序的智能终端等设备生产者。同时细化了通过自动化决策进行信息推送的用户拒绝机制。二是用专条对提供应用程序分发服务的网络平台服务提供者设置了特殊的安全要求,包括核验要求及应用程序的处置要求。三是特别关注大型网络平台服务提供者安全义务,要求健全相关技术和管理措施防范网络数据跨境安全风险,并明确不得非法利用网络数据、算法、平台规则从事损害用户权益及其他违法违规活动。八、补充个人信息保护规则在个人信息保护方面,《网络数据安全管理条例》在现行法律法规框架下补充了以下规则:一是在行政法规层面确立“清单”告知要求。《网络数据安全管理条例》吸收2024年行业、领域在个人信息保护领域的治理经验,在用户告知方面引入“双清单”,即已收集个人信息清单和与第三方共享个人信息清单告知要求。二是明确自动化采集特殊要求,明确通过自动化采集技术等无法避免采集到非必要个人信息,或者未依法取得个人同意的个人信息的情形,应当及时删除个人信息或者进行匿名化处理,如技术上难以实现,应停止除存储和采取必要的安全保护措施之外的处理。三是细化个人信息可携权规定,明确该权利行使的前提包括限于基于个人同意或合同收集的个人信息场景,基于法定职责、法定义务等其他事由收集的个人信息不适用。此外,还应当在技术上具备可行性。四是明确处理1000万人以上个人信息处理者应履行重要数据处理者在人员和机构设置及处置方案报告方面(而非2021年征求意见稿中重要数据处理者的全部义务)的增强要求。九、调整网络数据安全监管机制《网络数据安全管理条例》在延续《数据安全法》确立的监管机制基础上一是回应国家数据局的成立,将国家数据局纳入监管机制,明确“国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责”。此前施行的《促进和规范数据跨境流动规定》就已明确自贸区负面清单需要报国家网信部门、国家数据管理部门备案。二是增加公安机关、国家安全机关依法防范和打击危害网络数据安全违法犯罪活动职责。三是细化行业、领域监管职责的具体内容,包括明确网络数据安全保护工作机构、统筹制定并组织应急预案,定期开展相关风险评估,对网络数据处理者进行监督检查、指导督促整改等等。此外,《网络数据安全管理条例》建立了监管机构协调规则,特别是明确个人信息保护合规审计、重要数据安全风险评估、重要数据出境安全评估等应当加强衔接,避免重复评估、审计。重要数据风险评估和网络安全等级测评的内容重合的,相关结果可以互相采信。十、明确对利用数据从事非法活动的全链条打击《网络数据安全管理条例》首次在网络数据使用环节明确要求“不得利用网络数据从事非法活动”。在三法基础上,吸收《刑法》及相关司法解释中对于侵犯公民个人信息罪、帮助信息网络犯罪活动罪的相关规定和表述,涵盖了包括窃取、以其他非法方式获取、非法出售、非法提供网络数据等禁止性行为规定,并进一步禁止提供非法活动的程序、工具,禁止提供技术支持和推广、结算帮助,明确对利用数据从事非法活动的全链条打击要求。