日韩精品一区二区三区色欲av,亚洲欧美影院,欧美日韩一区综合

引言

歷時3年，《網絡數據安全管理條例》（下稱“《網數條例》”）終將于2025年1月1日起生效。在數據保護領域的法規標準迭出、監管機構交錯的大背景下，《網數條例》提出的關鍵詞是聚焦重點、合規減負、監管協同。本文將著重介紹《網數條例》下需關注的合規行動。

一、重要數據：終于平穩落定

1. 企業如何履行“重要數據”的識別申報義務？

答：政府確定目錄→企業自行識別→企業申報→政府確認。

重要數據一貫采取自上而下的路徑，先由監管機構定調、再由企業落地。《網數條例》免除了其《征求意見稿》中的重要數據備案義務，但仍要求企業申報重要數據、由監管機構予以確認。這一方面為企業增設了合規義務，另一方面則增加了重要數據的可確定性。

保護重要數據的第一步是識別重要數據，而企業面臨的老大難問題正是“什么是重要數據”。《網數條例》在重要數據的定義中提出了定性要件，至于具體標準，則交由各地區、各部門確定重要數據具體目錄。其后，由企業據此識別自己掌握的重要數據，并向監管機構進行申報。最后，由監管機構確認重要數據，并告知企業或公開發布。

此外，《網數條例》提出，企業如果處理1000萬人以上個人信息，則應遵守重要數據處理者的兩類義務，但并未擴展至所有義務，也未將“1000萬以上個人信息”與“重要數據”直接劃等號。實踐中，可能仍有賴于部門規定（如《汽車數據安全管理若干規定（試行）》）、地方規定（如《中國（北京）自由貿易試驗區數據出境管理清單（負面清單）（2024版）》）進行細致的界定。

2. 誰可以擔任“網絡數據安全負責人”？

答：專業知識和管理工作經歷+管理層成員+有權向主管機構匯報。

三大法均提及網絡安全負責人、數據安全負責人、個人信息保護負責人，而企業的實踐難題在于誰來擔任這些負責人。《網數條例》要求重要數據的處理者設置“網絡數據安全負責人”，且對該負責人提出了具體要求，包括：（1）具備網絡數據安全專業知識和相關管理工作經歷，（2）屬于企業的管理層成員，（3）有權直接向有關主管部門報告網絡數據安全情況。

由此可見，網絡數據安全負責人必須由企業的管理層成員擔任，例如，分管數據安全的高管。該負責人本身應具備相關知識與經歷，向上應被賦權向監管機構匯報情況，向下應設置專業團隊及人員共同支撐。

此外，《網數條例》沒有明確規定網絡數據安全負責人的個人責任，對于企業的違法行為，仍由“直接負責的主管人員”和“其他直接責任人員”承擔相應的個人責任。

3. 重要數據生命周期管理中應重點關注哪些環節？

答：涉及第三方的流轉環節：提供、委托處理、共同處理、出境、轉移。

相較于企業內部的重要數據處理，當重要數據在企業與第三方之間流轉，則天然增加了風險。因此，《網數條例》重點關注提供、委托處理、共同處理、出境、轉移這些環節。

（1）提供、委托處理、共同處理：提供、委托處理、共同處理重要數據時企業應事先進行風險評估，除非是為履行法定義務。風險評估的內容與數據出境風險自評估較為相似，但并不需要取得監管批準，而是需在向主管部門報送年度風險評估報告時包含相關風險評估情況。評估內容具體對比如下表：

《網數條例》.png

此外，參考《個人信息保護法》（下稱“《個保法》”）的規定，《網數條例》要求企業在提供、委托處理重要數據時，應與接收方進行合同約定，對接收方進行監督，并保留處理情況記錄至少3年。

（2）出境：《網數條例》重申，企業出境重要數據前應通過國家網信部門的安全評估。此外，企業在向主管部門報送年度風險評估報告時，應包括網絡數據出境情況。

（3）轉移：企業如果發生合并、分立、解散、破產等事件，可能影響重要數據安全，則應向主管部門報告重要數據處置方案、接收方的名稱/姓名和聯系方式等，以免重要數據落入無人保障的真空狀態。

4. 如何通過開展重要數據風險評估把握監管脈絡？

答：自評估+合規整改+監管報送。

“自評估+監管報送”是數據保護領域常見的監管方式，履行報送義務后自然就知道如何保護重要數據。

《網數條例》細化了《數據安全法》關于重要數據的風險評估、報告內容及監管報送的要求。企業開展風險評估、撰寫報告，其實也是同步合規整改的過程，合規要點包括：數據及處理活動的基本情況、企業采取的組織措施和技術措施、第三方數據流轉情況、安全事件風險及處置；大型網絡平臺需額外注意關鍵業務和供應鏈安全。

二、網絡平臺：監管走向深入

1. 如何理解“網絡平臺服務提供者”的適用范圍？

答：法規未明確，實踐中應當具備外接第三方產品和服務、面向公眾的屬性。

《網數條例》未對“網絡平臺服務提供者”作出明確定義，其適用范圍主要取決于對“網絡”范圍的解釋。《網絡安全法》項下的“網絡”覆蓋范圍較為寬泛。本處的“網絡”究竟采廣義解釋（互聯網、局域網、內網等均被包含在內）還是狹義解釋（僅涉及面向公眾開放的互聯網）已引發討論，但從抓重點的立法本意而言不宜做擴大解釋。

以下主體屬于《網數條例》項下的“網絡平臺服務提供者”或需適用相關規定，且將受到特別關注：

● 大型網絡平臺服務提供者：僅就字面解讀，其需同時滿足“注冊用戶5000萬以上或者月活躍用戶1000萬以上”“業務類型復雜”“網絡數據處理活動對國家安全、經濟運行、國計民生等具有重要影響”三個要件。實踐中，用戶量可能會成為判斷企業是否落入“大型網絡平臺服務提供者”范圍的主要因素。一方面，用戶量為量化標準，較容易判斷；另一方面，達到用戶量標準通常意味著其具有“重要影響力”，在平臺功能日益聚合化的當下亦不難認定“業務類型復雜”。例如，即便是垂類的電商平臺，亦融合了銷售、廣告、支付、物流等諸多業務。

放眼全球，歐盟的平臺治理亦以較為限定的大型網絡平臺為主要抓手，對“守門人”和“超大型在線平臺”進行重點監管。

● 預裝應用程序的智能終端等設備生產者：例如手機、車機、電腦等智能終端設備生產者將被視為網絡平臺服務提供者，督促第三方產品和服務提供者加強網絡數據安全管理。

● 提供應用程序分發服務的網絡平臺服務提供者：作為應用程序分發平臺，需開展應用程序及網絡數據安全相關核驗，并在發現不符合強制要求時采取警示、不予分發、暫停分發或者終止分發等措施。

2. 為何對網絡平臺服務提供者施以額外的嚴格義務？

答：不履行網安義務+濫用數據優勢+平臺“力量”膨脹。

《網數條例》的官方解讀對此作出答復，理解源于對網絡平臺服務提供者的監管實踐：（1）基礎原因：平臺不履行網絡數據安全義務；（2）進階原因：平臺濫用數據優勢從事法律、行政法規禁止的活動。尤其是后者，可以看出監管部門已充分認識到平臺的優勢地位以及其對社會秩序的巨大影響。

法律、社群規范、市場、架構（技術）是社會控制的主要手段。在當今時代，平臺通過網絡技術手段深深嵌入（甚至是重塑）人們的生活，影響著人們衣食住行的各個維度。這一點在大型網絡平臺處展現得更為明顯，正如《網數條例》第46條所道“三條路徑”，數據、算法和平臺規則助推平臺“力量”膨脹，自然也成為監管的主要切入點。

相較于歐盟《數字市場法》和《數字服務法》等相對“大一統”的平臺監管框架，我國現階段的平臺監管要求散落在不同立法之中。《網數條例》作為其中一塊拼圖，劃定了網數角度針對平臺監管的重點。

3. 網絡平臺服務提供者的哪些監管要求值得被特別關注？

答：（1）所有網絡平臺：第三方產品和服務的監督及責任承擔+用戶標簽刪除功能+網絡身份認證。

（2）大型網絡平臺：社會責任報告+數據跨境管理+禁止濫用數據、算法和平臺規則。

整體而言，《網數條例》對網絡平臺服務提供者的監管態度較為嚴格：

● 第三方產品和服務的監督及責任承擔：第三方產品和服務提供者違法違約處理數據，對用戶造成損害的，網絡平臺服務提供者、第三方產品和服務提供者、預裝應用程序的智能終端等設備生產者應當依法承擔相應責任。鑒于實踐中平臺往往會接入諸多第三方產品和服務，本項要求可能會擴大平臺的責任范圍。

此外，根據《民法典》第176條，民事主體依照法律規定或當事人約定承擔民事責任。因此，《網數條例》（僅為行政法規）規定的前述責任當指行政責任，而非民事責任。

● 針對個人特征的用戶標簽刪除功能：本處是對《個保法》第24條第二款（保障個人在自動化決策信息推送中的拒絕權）的延伸規定。此前，《互聯網信息服務算法推薦管理規定》就曾要求算法推薦服務提供者為用戶提供該等用戶標簽的選擇或刪除功能。但在實踐中，本項要求存在一定落地阻力：既涉及技術困難，也包括可能會對精準營銷業務產生重大影響。

● 網絡身份認證：我國早在《網絡安全法》就已為網絡運營者設置身份認證義務，《網數條例》將在此基礎上按照“政府引導、用戶自愿”的原則進一步推廣網絡身份認證。

除以上要求外，大型網絡平臺服務提供者將適用加重義務：

● 個人信息保護社會責任報告：本處對《個保法》第58條第四款作出細化，將報告發布周期由“定期”明確為“每年度”，并規定了報告的主要披露事項，可見本項義務將切實走向落地。

● 數據跨境管理、禁止濫用數據、算法和平臺規則：本處主要是重復現有法律法規要求的宣示性規定，再次強調大型網絡平臺服務提供者的前述義務要求，表明監管部門日后可能會對其采取更為嚴厲的執法行動。

4. 如何看待網絡數據安全保險的發展前景？

答：較為明朗，但受限于不能承保行政罰款。

基于網絡數據對個人、企業、社會、國家安全的重要意義，一旦發生數據泄漏等安全事件，可能會引發較大規模的損害，網絡平臺服務提供者即面臨承擔巨額損害賠償的風險，由此，事先購買網絡數據安全保險的意義則凸顯出來。《網數條例》亦明確提出鼓勵保險公司開發相關險種、鼓勵網絡平臺服務提供者等投保。

不過需注意的是，在現行中國法項下，責任保險的承保范圍不包括行政罰款，可能會一定程度上限制網絡數據安全保險的推廣。

三、個人信息：強調、明確及優化

1. 已存在個人信息保護專項立法的情況下，個人信息保護章節意義何在？

答：“強調（突出監管重點）”“明晰（方便推進落地）”“優化（貼合實際情況）”。

《網數條例》系行政法規，基于《個保法》及其實施三年來的經驗，對個人信息保護要求進行“強調”“明晰”及“優化”。具體而言：

（1）強調：通過重申、整合《個保法》及相關法律法規的重點內容，強調個人信息處理全生命周期中的重點監管環節及相應要求，包括告知、同意、個人信息權利的行使等；

（2）明確：明確個別事項的合規要求，以便企業推進落地，例如明確網絡數據處理者響應個人信息轉移請求的要求及限制，要求網絡數據處理者落實信息收集/共享“雙清單”；

（3）優化：在《個保法》的基礎上，結合個人信息保護監管的實踐經驗，優化個別事項的合規要求，以使個人信息保護要求更加貼合實際，例如允許網絡數據處理者在難以確定保存期限的情況下，向個人告知保存期限的確定方法。

2. 具體有哪些值得關注的亮點？

答：“同意”及相關要求、轉移權的行使、“雙清單”、保存期限披露方式。

（1）“同意”及相關要求

《網數條例》通過專門條款對同意及相關要求/概念（單獨同意、重新同意、必要性）進行梳理、強調，突出了“同意”在各類合法性基礎中的重要地位。

其中，以下要點值得提及：

● 即便在“同意”情形下，“必要性”仍是基本原則。超出“提供產品或者服務所必需”而收集的個人信息，即便獲得個人同意，仍有違“必要性”原則。即，同意不是萬能的。

● 明確定義“單獨同意”，但應如何獲取單獨同意仍有待觀察。《網數條例》將“單獨同意”定義為“個人針對其個人信息進行特定處理而專門作出具體、明確的同意”。有觀點認為通過“獨立勾選框”獲得單獨同意的模式將成為過去式。但是，僅從文本層面，我們理解尚無法作出此類解釋。

● 關注“同意”后的持續性義務。獲得個人同意后，網絡數據處理者不得超出個人同意的范圍處理個人信息。當個人信息的處理目的、方式、種類發生變更時，網絡數據處理者應重新取得個人同意。

（2）轉移權的行使

在滿足四項限制性條件的情況下，網絡數據處理者應當響應個人信息轉移請求：（一）能夠驗證請求人的真實身份；（二）請求轉移的是本人同意提供的或者基于合同收集的個人信息；（三）轉移個人信息具備技術可行性；（四）轉移個人信息不損害他人合法權益。

相較于保障個人權利，轉移權對于消除鎖定效應、促進市場競爭的意義將更為深遠。作為我國數據基礎制度建設的頂層設計，“數據二十條”明確提出“保障數據來源者享有獲取或復制轉移由其促成產生數據的權益”，與歐盟《數據法》項下用戶的數據獲取及利用權益異曲同工。因其自帶的沖突性和使命感，料想轉移權的落地將會是緩慢卻又堅定的過程。

技術層面，個人行使轉移權的范圍，應僅包括網絡數據處理者收集的、有關其個人的原始數據，而不包括經加工、處理后的衍生數據；主要針對面向個人直接收集的個人信息，即以同意或“為訂立、履行合同所必需”作為合法性基礎所收集的個人信息。

（3）“雙清單”要求法定化

《網數條例》第21條第二款規定，“網絡數據處理者按照前款規定向個人告知收集和向其他網絡數據處理者提供個人信息的目的、方式、種類以及網絡數據接收方信息的，應當以清單等形式予以列明。”

該款內容系對于《關于開展信息通信服務感知提升行動的通知》中個人信息保護“雙清單”要求的法定化，使這一義務對網絡數據處理者普遍適用，規范了收集、共享個人信息的披露形式要求。網絡數據處理者需注意調整隱私政策等告知文本。

（4）保存期限披露方式

《網數條例》關注到部分場景下，要求網絡數據處理者確定確切的個人信息保存期限可能存在困難，故允許僅明確保存期限的確定方式，如此將會更加貼合實踐做法。

3. 境外網絡數據處理者處理境內自然人個人信息，如何設立及向監管機關報送境內機構/代表信息？

答：首先判斷是否符合《個保法》第53條要求；若符合，根據《網數條例》進行報送。

根據《個保法》及《網數條例》規定，境外網絡數據處理者處理境內自然人個人信息，若屬于“以向境內自然人提供產品或者服務為目的”，或為“分析、評估境內自然人的行為”，需在中國境內設立專門機構或指定代表，負責處理個人信息保護相關事務，并將有關機構的名稱或者代表的姓名、聯系方式等報送所在地設區的市級網信部門。

目前，符合條件的境外網絡數據處理者完成機構設立和報送工作的時間線、具體規則尚不清晰。實踐中，一些境外網絡數據處理者可能持觀望態度，特別是在中國境內所獲實質利益有限的情況下。

作者信息

楊建媛

境外投資并購，反腐敗與合規，數據合規與網絡安全

在线观看一区二区三区三州_日韩精品免费播放_日韩中文娱乐网_日韩欧美一区二

《網數條例》合規行動建議

作者信息