文\卢岳
北京岳成律师事务所北京总所律师助理
《网络数据安全管理条例》已经 2024 年 8 月 30 日国务院第 40 次常务会议通过,自 2025 年 1 月 1 日起施行。《条例》的出台,标志着我国数据安全法规体系的进一步完善,对我国强化数据安全和个人信息保护、保障数据要素有序开发利用、促进数字经济健康有序发展意义重大。
一、制订背景
近年来,信息技术和人们生产生活日益融合,数据处理活动愈发频繁,数据安全风险逐渐聚焦于网络数据领域。违法处理网络数据活动时有发生,这给经济社会发展和国家安全带来了严峻挑战。为了应对这些挑战,国家高度重视网络数据安全管理工作。《网络数据安全管理条例》的制订,可以明显提升数据安全治理监管能力,建立高效便利安全的数据流动机制,为公民的个人信息安全保驾护航。
二、主要内容
1、《条例》重点细化了《中华人民共和国个人信息保护法》关于告知、同意、个人行使权利等方面的规定。
一是明确通过制定个人信息处理规则履行告知义务的内容、形式等要求。
二是明确基于个人同意处理个人信息应当遵守的基本要求。
三是明确行使个人信息查阅、复制、更正、补充、删除等权利的要求,细化个人信息转移的具体条件。
四是明确按照《中华人民共和国个人信息保护法》第五十三条规定在境内设立专门机构或者指定代表的要求。
五是明确网络数据处理者处理 1000 万人以上个人信息还应当履行的义务。
2、为了保障重要数据安全。
一是明确制定重要数据目录的要求,规定网络数据处理者识别、申报重要数据义务。
二是规定网络数据安全负责人和网络数据安全管理机构责任。
三是要求提供、委托处理、共同处理重要数据前进行风险评估,并明确重点评估内容。
四是要求重要数据的处理者每年度对其网络数据处理活动开展风险评估,并明确风险评估报告内容。
3、《条例》进一步优化数据跨境流动机制。
一是明确国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制,研究制定国家网络数据出境安全管理相关政策,协调处理网络数据出境安全重大事项。
二是规定网络数据处理者可以向境外提供个人信息的条件,明确未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。
三是明确网络数据处理者通过数据出境安全评估后向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。此外,还规定国家采取措施,防范、处置网络数据跨境安全风险和威胁。
4、为规范网络平台服务提供者处理网络数据。
一是规定了网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者的网络数据安全保护义务,并要求提供应用程序分发服务的网络平台服务提供者建立应用程序核验规则并开展网络数据安全相关核验。
二是针对当前个性化推荐服务关闭难、收集个人信息类型多、个人精准画像数据滥用等问题,明确网络平台服务提供者应当设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。
三是明确国家推进网络身份认证公共服务建设,按照政府引导、用户自愿原则进行推广应用。鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息。
四是规定大型网络平台服务提供者每年度发布个人信息保护社会责任报告、防范网络数据跨境安全风险的要求,以及明确不得利用网络数据、算法、平台规则等从事相关活动的义务。
5、《条例》规定,国家网信部门负责统筹协调网络数据安全和相关监督管理工作。公安机关、国家安全机关依照有关法律、行政法规和本条例的规定,在各自职责范围内承担网络数据安全监督管理职责,依法防范和打击危害网络数据安全的违法犯罪活动。国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责。各地区、各部门对本地区、本部门工作中收集和产生的网络数据及网络数据安全负责。各有关主管部门承担本行业、本领域网络数据安全监督管理职责。
