2024年9月30日,中国国务院发布了《网络数据安全管理条例》(以下简称“新条例”), 新条例有效地整合了不同监管维度下对相关数据规则的理解和适用,传递出企业合规负担正在减轻的积极信号,并将于2025年1月1日起正式施行。
三年前征求意见稿公开时,中国网络数据安全监管领域的“三驾马车”——《网络安全法》、《数据安全法》和《个人信息保护法》——已相继生效。新条例的主要目的在于对这些法律的实施细节进行补充和细化。
在这三年中,中国数据监管领域涌现了一系列立法和执法活动,法规也经历了从无到有,从有到优的历程。新条例几乎涵盖了所有涉华的数据处理活动。与征求意见稿相比,其监管口径更为宽松。以下是我们梳理的要点内容。
A. 个人信息
(1)个人信息处理披露要求的调整 与额外规定了诸多披露事项的征求意见稿相比,新条例基本遵循了《个人信息保护法》,未进行加码,只是单独强调了应披露账户注销和撤回同意的方法,并允许在难以确定具体保存期限时使用保存期限计算标准代替。此外,新条例优化了披露方式,除要求集中公开展示处理规则以供外部参考外,还要求普遍采用原本专门针对APP隐私政策展示方式的“双清单”要求,即无论何种形式的数据处理活动,个人信息的收集和对外提供都应以清单形式披露。
(2)明确了可携权的前置条件和行使方式 可携权能够进一步保护个人信息知情权和控制权。新条例填补了何时以及如何行使可携权的空白,允许在能验证真实身份、不侵害他人权益且技术上可行的情况下,转移基于同意或履行合同所必需而收集的个人信息,并允许在请求超出合理范围时收取必要费用。
(3)取消响应个人信息权利请求的时限规定 与征求意见稿相比,新条例取消了15天内响应个人信息请求的规定,使企业能够更灵活地平衡合规要求与业务需求。特别是当个人行使删除权时,新条例不再要求在15天内完成删除/匿名化操作,也不再要求在无法完成删除时向个人说明。
(4)个人信息合规审计逐渐常态化 自2023年以来,中国一直在探索制定个人信息保护审计相关的法规和标准,反映出中国立法者希望通过持续性自我监督来确保一般处理活动安全性的趋势。新条例将审计范围限定在个人信息处理活动内。
B. 重要数据
(1)整合了重要数据的认定标准及申报规则 新条例明确了“重要数据”的定义,并提出了系统的识别方法和管理要求。“重要数据”的最终认定以相关地区、部门告知网络数据处理者或者公开发布重要数据目录或清单为准。
(2)细化了重要数据处理者的内部安全管理要求 新条例基于《数据安全法》,对重要数据处理者的数据安全负责人和管理机构提出了细化要求,包括专业知识、工作经验、职位级别、权限等。值得注意的是,新条例要求管理层(而非决策层)的成员担任负责人,且有权直接向有关部门报告网络数据安全情况。
(3)协调整合了重要数据风险评估机制 新条例要求避免不必要的交叉重复检查,并促进风险评估机制的衔接和相互认可。目前针对重要数据的风险评估主要分为年度风险评估和专项风险评估。
(4)新增报告并购交易后数据处置方案的义务 新条例引入了在合并、分立、解散、破产等可能影响重要数据安全的情况下,报告数据处置方案、接收方信息等的义务。
C. 其他数据
对于既非个人信息也非重要数据的其他数据,新条例根据《网络安全法》、《数据安全法》和《个人信息保护法》等设定了一般安全义务。例如,对于网络设备或服务提供商,应在24小时内向有关部门报告可能影响国家安全的数据事件。
此外,与某些行业(如汽车)和某些地区(如北京自贸区)的做法类似,新条例也试图打破个人信息和重要数据之间的概念壁垒。尽管1000万人的个人信息并不等同于重要数据,但该级别的个人信息处理仍需要履行重要数据处理者的某些义务。
新条例重点针对对外提供、委托处理、共同处理、并购交易和跨境流动等高风险场景设定了更高的合规义务。
(1)加强对个人信息和重要数据接收方的监督 与《个人信息保护法》关于委托处理的规定保持一致,新条例要求对外提供个人信息的主体应签署数据处理协议,约定处理目的、方式、范围和安全保护义务,并监督接收方。此外,新条例要求上述活动的记录保留3年。新条例未采纳征求意见稿中重要数据共享、交易、委托处理时需要取得行政许可的要求。
(2)实施重要数据风险评估机制 如前所述,新条例整合了重要数据风险评估机制。其中,对外提供、委托处理或共同处理重要数据的,除非因履行法定职责和义务所需,则均应进行专项风险评估。其中,重要数据出境应进行数据出境安全评估。
(3)持续推动数据有序跨境流动 2024年3月22日,国家互联网信息办公室发布了《促进和规范数据跨境流动规定》,开启了减轻数据出境政府前置审批负担的新阶段。新条例延续了这一趋势,认可了现有的数据出境合法性基础,并将法定义务履行作为一项新基础。在根据国际条约向境外传输数据方面,中国已经与香港、澳门、德国和欧盟分别开展了涉及数据跨境流动的国际合作。
此外,由于《个人信息保护法》也适用于境外实体直接从中国收集个人信息的情况,对于此类境外企业,新条例细化了其在中国指定专门机构或代表并向网信部门报告相关信息的义务。
(1)平台在维护公平公开环境方面的主导地位 新条例规定了网络平台服务提供者(“平台”)应对接入的第三方进行管理并在对个人造成损害时承担相应责任。新条例明确了平台的年度社会责任报告要求,并吸收了算法治理和反不正当竞争领域与数据安全接轨的要求。对于注册用户数超过5000万或月活跃用户数超过1000万,业务类型复杂,以及网络数据处理活动对国家安全、经济运行和国计民生有重要影响的大型平台,新条例要求在年度风险评估中说明关键业务和供应链的网络数据安全状况。
(2)新增与个性化推送相关的个人标签删除义务 新条例在个性化推送关闭义务的基础上,支持用户同时请求平台删除针对其个人特征生成的用户标签。
(3)为自动化技术造成的非必要个人信息收集提供合规解决方案 新条例对“最小必要原则”提供了更符合技术实际的解释。它为由于自动化技术而导致的无法避免的非必要收集提供了合规解决方案,允许“ 先收集,后删除”的方法。此类规定可被视作对AI产业的利好性信号,尤其是通过爬虫技术获得的AI学习训练数据。
合规性建议: 据观察,新条例没有涉及太多全新话题或内容,而是主要是对现有的《网络安全法》、《数据安全法》和《个人信息保护法》进行了细化,对不同层级的规章制度、政策和标准进行了整合。同时,也是对网络数据安全领域三法生效以来监管执法实践成果的总结。新条例的发布标志着中国网络安全和数据合规执法的逐步成熟,也为未来的执法活动提供了更详细和可行的法律依据。
鉴于其较高的法律层级和更详实的规定,新条例将成为未来监管执法的重要工具。其为企业预留的过渡期已经不足3个月。因此,我们建议企业对照新条例进行以下合规性自检:
了解本文相关的更多信息,敬请联系联系:rousedigitalservicesteam@rouse.com
本文由罗思国际的数据团队和罗思战略合作伙伴路盛律师事务所联合撰写
作者:Sunny Su, Laura Cao
