三万字精读《网络数据安全管理条例》：洞悉数字战役背后的护航力量丨威科先行

作者丨孟洁、殷坤、田梓仪、朱含章

机构丨北京环球律师事务所

* 本文为威科先行独家文章，未经授权请勿转载

较此前《征求意见稿》，《条例》从整体上呈现出针对产业创新性、鼓励性与技术中立性等事项的监管态度较之前变得相对柔和放松；而针对容易出现安全事件并导致重大风险的事项、应设置事先预防机制的事项、特定主体开展业务、运用相关技术、提供相关产品或服务且可能对网络数据安全产生较大影响等事宜均收紧了监管；针对上位法涉及的流程性事宜或者遗留的待进一步解释明确的条款，《条例》则通过更加精细化的立法技术使其呈现体系性和规范化。当然，《条例》属于行政法规，因此针对应更加系统性规定进行补充和阐明的规则，交由下位法，如部门规章、地方性法规、规章、司法解释等已进行或者将进行规制，当然，此类规则也可通过国家或者行业标准等进行技术支撑。

《条例》中体现出监管释放某种信号、并将温和、放缓地处理相关事宜的条款，例如： 鼓励网络数据在各行业、各领域的创新应用（第四条）；积极参与网络数据相关国际规则和标准的制定、促进国际交流与合作（第六条）；支持相关行业组织按照章程制定网络数据安全行为规范，加强行业自律，指导会员加强网络数据安全保护（第七条）；个人信息保存期限难以确定的，明确保存期限的确定方法（第二十一条第一款第三项）；与此同时，《条例》删除了必须于十五个工作日内删除个人信息或者进行匿名化处理的规定；也删除了若技术上难以实现或者因业务复杂等原因，在十五个工作日内删除个人信息确有困难的，数据处理者不得开展除存储和采取必要安全保护措施之外的处理并向个人做出合理解释的条款（《征求意见稿》第二十二条）。

在重要数据处理规定方面，《条例》规定了网络数据安全负责人由网络数据处理者的管理层成员担任，修改了《征求意见稿》要求决策层担任的规定，并且网络数据安全负责人有权直接向有关主管部门报告网络数据安全情况（第三十条第二款），修订了《征求意见稿》要求向网信部门和主管、监管部门反映数据安全情况的要求，减轻了企业在网络数据安全负责人任命和报告义务上的负担；此外，《条例》规定重要数据处理者应当定期组织宣传教育培训等活动（第三十条第一款第二项），取消了《征求意见稿》要求对相关技术和管理人员每年教育培训时间不得少于二十小时的强制性规定；《条例》只要求重要数据处理者每年度对其网络数据处理活动开展风险评估，并向省级以上有关主管部门报送风险评估报告（第三十三条），没有采取《征求意见稿》对年度风险评估的开展设定前提条件、频率、报送时间等详细要求；针对处理特定人数个人信息的网络数据处理者需要同时履行重要数据处理者的部分义务，《条例》将此数量从《征求意见稿》中的100万人提高至1000万人，同时也提高了符合门槛的条件，另外还将《征求意见稿》中要求遵守重要数据处理者的全部义务限定到只需要遵守关键性和关联性最强的两项义务（即第三十条、第三十二条），降低了相关企业的一部分合规成本。

除上述放缓措施以外，《条例》取消了《征求意见稿》要求数据处理者对评估报告留存至少三年的规定，只规定当出现数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的情况时，须将记录至少保存三年（第十二条）；删除了《征求意见稿》第四十一条第三款规定的境内用户访问境内网络的，其流量不得被路由至境外的规定，对CDN等网络加速产业的发展起到了支持和推动的作用；删除了《征求意见稿》第四十三条针对平台规则、隐私政策或对用户权益有重大影响的条款修订前，要求互联网平台运营者在该互联网平台或者行业协会平台面向社会公开征求意见不少于三十日、向用户提供充分表达意见、以易于访问的方式公布意见采纳情况、说明未采纳的理由、接受社会监督的条款；同时，还删除了《征求意见稿》中针对日活用户超过一亿的大型互联网平台在其平台规则、隐私政策的制定或者对用户权益有重大影响的条款修订前，要求大型互联网平台经过国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意的条款。因为实践中互联网平台产品/功能更迭变化之快需要平台规则随之迅速更新，并于上线前获取用户的同意，但是一般很少有用户会在三十日的等待期内提供有效且有价值的意见反馈，并且国家网信部门也未曾认定哪些第三方评估机构可以作为指导部门对平台更新的用户规则和隐私政策进行确认，因此《征求意见稿》的初衷虽好，但落实起来难度较大，因此《条例》对此类条款也进行了删减。此举措体现了在当前形势下，对相关互联网平台的保护与促进，同时，执法的步伐应当相对放宽和放缓。与之相关的条款还有：删除《征求意见稿》中涉及第三方产品和服务对用户造成损害的，用户有权要求平台运营者先行赔偿的条款（《征求意见稿》第四十四条）；鼓励保险公司开发网络数据损害赔偿责任险种，鼓励网络平台服务提供者、预装应用程序的智能终端等设备生产者投保（第四十条）等。

《条例》相较于《征求意见稿》，部分呈现收紧且加强监管态势的条款有： 《条例》第八条、第九条针对网络数据处理者的基本义务和保障性措施进行了加严规制；第十条针对风险补救措施、危险情况发生后24小时内的报告义务、制定数据安全事件应急预案等要求进行了明确，以防止危害事件出现后发生不可控的危害后果并因此影响国家安全、社会公共利益以及人民群众权益。同时，《条例》要求针对处理网络数据情况的记录须保存至少三年；网络数据处理者开展任何网络数据处理活动（不限于《征求意见稿》针对处理一百万人以上个人信息的数据处理者赴国外上市和赴香港上市的数据处理活动影响或者可能影响国家安全这二类特定情形），如果存在影响或者可能影响国家安全的情况，均应当按照有关规定进行国家安全审查（也已不仅限于《征求意见稿》第十三条中涉及的网络安全审查），审查范围更加广泛，重点维护国家整体安全。此外，《条例》针对“数据可携带权”规定了网络数据处理者在收到转移个人信息次数超出合理范围的请求时，享有根据其所付出的成本收到必要（而非合理）费用的权利（第二十五条）。针对企业掌握重要数据的认定标准，《条例》与《促进与规范数据跨境流动规定》保持一致，即以相关地区、部门告知网络数据处理者或者公开发布重要数据目录或清单为依据，同时要求网络数据处理者、制定并实施网络数据管理制度，采取加密、备份、访问控制、安全认证等技术措施，并且鼓励网络数据处理者使用数据标签标识等技术和产品（第二十九条）、采取添加标签标识的技术措施（第三十三条）来提高重要数据的安全管理水平；此外，《条例》规定对处理特定重要数据的网络数据安全负责人和关键岗位的人员进行安全背景审查，必要时，可以申请公安机关和国家安全机关协助审查（第三十条）。针对一些特殊属性的技术（自动化采集、自动化决策）或产品（如应用分发程序）、平台（大型网络平台）的服务提供方，《条例》对此施加了须履行更加严格的义务和须受社会监督的责任（第四十一至第四十六条），具体规定将在文章正文中逐一展开分析。《条例》不仅针对网络数据处理者的义务在特定情形下作缩紧规定，针对承担监管职责的主管部门也提出了从严管理的要求。例如，要求有关主管部门开展网络数据安全监督检查应当客观公正，不得向被检查单位收取费用、不得访问、收集与网络数据安全无关的业务信息，获取的信息只能用于维护网络数据安全的需要，不得用于其他用途（第五十一条）；多个主管部门开展网络数据安全监督检查时，应当加强协同配合、信息沟通，避免不必要的检查和交叉重复检查。重要数据风险评估和网络安全等级测评的内容有重合的，相关结果可以互相采信。企业可以在开展个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等各类风险评估工作之间建立一套有效且统一的体系，互相之间进行衔接、切换，避免重复评估、审计（第五十二条），减少企业在人力、财务、物力方面的负担，提升内部合规工作的动力。

针对《征求意见稿》中的某些条款，在历经近三年时间的检验后，《条例》进行了更加细化的处理，起到了对《网安法》《数安法》《个保法》中相关规定更好地支撑与落地的作用。 例如，在委托处理场景下，《条例》规定了委托方和受托方应分别履行法定和约定的义务，重点提出了受国家机关委托，建设、运行、维护电子政务系统，存储、加工政务数据的受托方义务（第十五条），以及为国家机关、关键信息基础设施运营者提供服务，或者参与其他公共基础设施、公共服务系统建设、运行、维护等受托方义务的细分场景，这为近期讨论热烈的公共数据授权运营涉及的相关方义务提供立法基础。并且《条例》规定网络数据处理者未经委托方同意，不得访问、获取、留存、使用、泄露或者向他人提供网络数据，不得对网络数据进行关联分析（第十六条）。针对自动化工具访问、收集网络数据的，分别由第十八条和第二十四条进行细化规定；针对使用自动化决策技术向个人推送信息的，《条例》第四十二条进行了细化；提供生成式人工智能服务（第十九条）和面向社会提供产品、服务（第二十条）的网络数据处理者，也分别由《条例》对其进行了细化约束；针对单独设置《儿童隐私保护声明》、在隐私政策外设置“双清单”（第二十一条）、落实个人信息保护合规审计制度（第二十七条），《条例》也都进行了明确；同时还针对“数据可携带权”的实现条件（第二十五条）、重要数据风险评估的内容（第三十一条）进行了详细规定。在对上位法规定颗粒度的细化方面，还涉及针对重要数据的处理者报送风险评估报告的内容；区别于《征求意见稿》，《条例》还处理重要数据的大型网络平台服务提供者报送风险评估报告时还须充分说明关键业务和供应链网络数据安全等情况（第三十三条）；涉及接入平台的第三方产品和服务提供者违规处理数据对用户造成损害的，《条例》区分了网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者，分别应承担的相应责任（第四十条）。同时，《条例》也针对国家不同监管部门的职责进行了分别明确（第四十七条）；针对主管部门可以采取的网络数据安全监督检查措施进行了具体描述（第五十条）。以上规则均将在文章正文中详细分析。

《条例》依托于《网安法》《数安法》《个保法》等上位法，属于国务院发布的行政法规，与上位法共同构成了我国网络数据安全法律体系的主干，又为上位法进行了补充和细化，为上位法的网络和数据安全的相关条款进行具体化、操作化，以便责任主体能够更加有效地执行，也为行政监管提供了具体的执法依据。在整体数据安全管理体系中起到了承上启下、细化落实的关键作用。

《网安法》围绕维护国家网络安全（网络架构、设备和运行安全），对网络运营者提出网络安全保护责任，涵盖了网络基础设施安全、网络产品与服务安全、个人信息保护以及关键信息基础设施运营者（CIIO）保护等内容，强调网络空间的主权和网络运行的安全。《数安法》从国家顶层设计开始，建立了数据安全管理制度，主要聚焦于数据的分类分级管理、数据安全监测和防护、数据跨境传输的管理规则，设定与国家安全、公共利益密切相关数据的保护，以及各类数据处理者的责任与义务。《个保法》主要针对个人信息的收集、存储、使用、处理、传输、提供、公开、删除等环节进行全生命周期的保护，保障个人在个人信息处理活动中的合法权益。

《条例》一方面针对《网安法》中网络运营者处理网络数据时的安全管理措施进行了更加具体和细致的规定，确保其处理的不同类型的数据在网络运营各个方面的安全；另一方面针对《数安法》，《条例》细化了数据处理者的责任、数据处理流程等风险控制措施；进一步细化了数据跨境传输合规机制的条件、明确了不同类型数据的出境要求；针对涉及网络数据处理的组织和个人，特别是网络平台、应用服务提供者等企业，进一步细化了他们在收集、存储、传输、提供、委托处理、删除数据时的具体安全要求。结合了上述两法，《条例》还提出了更加详细的技术措施和操作细节，例如加密、备份、访问控制、安全认证等，确保数据在不同处理阶段的安全。特别是对网络数据的处理提出了更高的要求，强调网络数据处理者在收集、存储、使用、传输时，必须采取必要技术手段防止数据泄露、篡改等安全事件。明确要求重要数据处理者定期对数据处理活动进行安全风险评估并报送风险评估报告，尤其是当数据处理活动涉及提供、委托处理、共同处理重要数据时，必须对潜在的安全风险进行评估。此外，《条例》也会依据《个保法》中的基本原则进行数据安全管理的细则制定，两者在适用中形成互补。只是《个保法》以个人权益保护为核心，《条例》则更关注整体数据（包括个人信息）的安全性管理和风险防控。两者在实际操作中，需要综合理解和遵守，以确保数据处理活动的合法性和合规性。

相较于上位法，《条例》也存在一些相对独特的内容。例如，《数安法》适用范围广泛，涵盖所有从事数据处理活动的个人、企业和政府机构，无论其是否与网络相关；《条例》进一步明确了适用对象为网络数据处理者，包括网络平台、应用服务提供者和其他涉及网络数据处理的主体。其规定的内容主要集中在对网络环境中的数据处理进行安全管理。并且《条例》明确了多个管理部门（如网信办、工信部、公安机关等）在数据安全管理中的具体职责与分工。《网安法》第五十九条至第七十五条对网络运营者未履行安全义务规定了相应的处罚，包括行政处罚、民事赔偿以及其他法律责任；《数安法》第四十四条至第五十二条对违反数据安全规定的行为也规定了警告、罚款等行政责任、民事责任以及其他法律责任。《条例》虽然也规定了行政处罚、民事赔偿以及其他法律责任，但是对违反网络数据安全规定的处罚措施根据违规行为的性质、影响程度等进行了比较详细的分级规定。详细分析请见正文部分。

《条例》的出台，旨在进一步规范网络数据处理活动，保障数据安全，促进网络数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益。本文将基于《条例》的整体框架，对《条例》进行分析解读。

《条例》第二条延续《网安法》《数安法》《个保法》等上位法规定，明确其适用于中华人民共和国境内利用网络开展的网络数据处理活动及其安全监督管理。

何为“网络数据”？此处的“网络”需要结合《网安法》进行理解，即由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。另外，根据《条例》第六十二条第一款，网络数据是指通过网络处理和产生的各种电子数据。结合上述定义，网络数据具备两方面要素：一是，它指向于电子数据，相较于《数安法》中对于数据更广的定义（即“任何以电子或者其他方式对信息的记录”），《条例》将其管辖的范围仅限定于以电子方式记录的数据；二是须通过网络处理和产生，此处的网络应既包括互联网也包括局域网。

另外，《条例》还明确适用于境外开展网络数据处理活动的场景。《数安法》第二条规定了特定情形下的域外适用效力，即 以“后果论”为标准 ，如果境外的数据活动对我国国家、社会、公民利益造成损害的，相关组织和个人应被追究法律责任。《个保法》第三条第二款规定，以向境内自然人提供产品或者服务为目的，或者分析、评估境内自然人的行为，即使处理活动位于境外，也适用《个保法》。《条例》第二条第二款表明其同样适用《个保法》第三条第二款的情形；倘若不构成《个保法》第三条第二款的情形，但是处理活动（无论是个人信息还是非个人信息）损害国家安全、公共利益或者公民、组织合法权益的，也适用《条例》。这体现出《条例》融合了《数安法》以“后果论”适用的域外长臂管辖的精髓。同时，《条例》第五十四条明确规定，境外的组织、个人从事危害中华人民共和国国家安全、公共利益，或者侵害中华人民共和国公民的个人信息权益的网络数据处理活动的，国家网信部门会同有关主管部门可以依法采取相应的必要措施，这也进一步彰显我国以国家利益为主导掌握数据安全主动权的坚定信念。

此外，《条例》沿袭了《个保法》的规定，同样认为自然人因个人或者家庭事务进行的个人信息处理活动不被适用。《条例》还指出，开展涉及核心数据、国家秘密、工作秘密的网络数据处理活动十分特殊，应当依据国家专门法规或者规定执行，也排除于本《条例》的适用范围。

《条例》的规制对象覆盖面广泛，主要包括境内网络数据处理者、境外网络数据处理者，以及既作为监管主体又作为被约束主体的监督管理机构。《条例》还认为在跨境数据流动背景下，境外数据接收者的合规管理同样不容忽视，特别是在处理涉及国家安全、个人隐私和重要数据时，需满足《条例》的特殊要求。总体来看，这些主体的合规行为将直接影响整个网络数据安全管理的秩序与有效性。《条例》通过对多元主体的规制，为不同场景和角色下的数据处理行为设定了明确的红线。这种全方位、多层次的监管模式，既体现了立法者对保障网络数据安全的决心，也标志着国家在数字安全领域的法治化进程上又迈出了坚实一步。然而，《条例》的实施对企业的合规管理提出了前所未有的挑战，不同类型的主体需要投入更多资源与精力去理解并遵守复杂的法律要求。如何在合规与发展之间找到平衡，将成为企业在未来发展中必须面对的重要课题。

根据《条例》第六十二条，网络数据处理者，是指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织。根据网络数据处理者处理数据的地域，可将其划分在中华人民共和国境内开展网络数据处理活动的处理者与在中华人民共和国境外开展网络数据处理活动的处理者；根据处理数据类型不同，网络数据处理者可分为重要数据处理者以及个人信息处理者。此外，根据网络数据处理者提供的业务类型不同，网络数据处理者涵盖了网络服务提供商、网络平台服务提供者（其中根据平台规模的大小，还可区分出大型网络平台服务提供者）、预装应用的智能终端设备生产者、应用程序分发平台、网络身份统一认证公共服务平台等广泛群体。

网络数据处理者需要承担一般性的安全、合规义务与主体责任，通常不难理解。但在特殊场景和情形下，其义务及责任还可能提升和加重。具体来说：首先，当网络数据处理者因为处理了某些特殊类型的数据而需要承受比一般性合规义务更重的责任。例如其处理活动涉及重要数据或者敏感个人信息，或者开展委托处理或者共同处理活动但涉及电子政务活动和政务数据、公共服务系统和公共数据，那么网络数据处理者的合规义务将会由此升级。其次，若相关运营主体在开展业务过程中提供了网络产品与服务，或者利用网络数据面向社会提供产品或者服务，那么这些网络数据处理者都因将受保护客体的特殊性而被施加特殊义务。再者，如果网络数据处理者的某些行为较为特殊，例如使用了技术类工具收集或访问网络数据、利用网络数据向公众进行个性化推荐、使用生成式人工智能工具向公众提供服务，那么上述处理者需要遵守更高的合规义务，以保证数据处理的安全性。最后，如果网络数据处理者向境外提供产生或者来源于境内的个人信息或者重要数据，或者由于公司实体结构发生变更（如因合并、分立、解散等）而需要转移网络数据，那么该网络数据处理者也需提前履行相应的合规义务，以避免因处理活动可能产生的风险。

根据《条例》，重要数据处理者，是指处理特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据的个人、组织。重要数据处理者本身也属于网络数据处理者中的一类，其因处理的数据量大、数据敏感性强、潜在风险高，一旦泄露、滥用或破坏，可能会对国家安全、社会稳定或经济秩序产生严重后果，因而受到更加严格的监管。因此《条例》也因此在第四章针对重要数据处理者的义务进行了专章规定，要求内部建立严格的安全管理制度，包括识别与申报重要数据、明确网络数据安全责任人和管理机构、以及针对责任人和关键岗位人员进行背景审查；提供、委托处理、共同处理重要数据前，应当进行风险评估；涉及合并、分立、解散、破产等情形，应当采取措施保障网络数据安全，并向相关主管部门报告重要数据处置方案；定期开展安全风险评估并向相关部门报送风险评估报告等。

《条例》以专章的形式对网络平台服务提供者的责任和义务进行了明确规定。对于网络平台服务提供者，《征求意见稿》使用了“互联网平台运营者”的概念，将“互联网平台运营者”定义为向用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。此次《条例》对网络平台服务提供者并未进行明确定义，而是直接沿用了《未成年人网络保护条例》中的描述，同时又为满足全文表述一致性的要求，使用了《条例》网络数据处理者中的“网络”这一概念。结合《条例》第四十条和第四十一条的规定，预装应用的智能终端等设备生产者、提供应用程序分发的服务提供者，都需要适用网络平台服务提供者的相关规定。

相较于《征求意见稿》，此次《条例》对于网络平台服务提供者的义务和责任有所放宽，例如，前文中所述《征求意见稿》曾要求网络平台在平台规则的重大修订前向社会公开征求意见不少于30个工作日，超大型网络平台需要报请主管部门同意等，此次《条例》已不再体现。单设第六章明确网络平台服务提供者义务（取代《征求意见稿》互联网平台运营者义务），通过七个条款，分别规定了一般网络平台服务提供者和大型网络平台服务提供者的责任和义务。

针对一般网络平台服务提供者，《条例》第四十条第一款要求其必须通过平台规则或合同形式明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务。这意味着网络平台需要对第三方产品和服务的网络数据安全履行平台监督义务，确保他们接入平台提供的服务能够采取足够的技术和管理措施来保护数据安全。《条例》第四十条第二款进一步明确了预装应用程序的智能终端设备生产者也同样适用《条例》第四十条第一款，即预装应用程序的智能终端设备生产者需要对预装应用程序的安全性起到整体管理责任，在接入预装应用前应确保预装应用能够符合法律法规的要求。此外，根据《条例》第四十条第三款，第三方产品和服务提供者违反法律、行政法规的规定或者平台规则、合同约定开展数据处理活动，对用户造成损害的，各方应当依法承担相应责任。这里首先应当注意的是，立法者在第三方产品和服务违反法定与约定义务之间用了“或者”而不是“和”和“以及”，代表消费者只要主张平台内的第三方产品和服务提供者违法或者违约，只要二者未遵守其一，相关责任人即应当按照过错承担责任。预装应用程序若违法或违约，也应适用此规则。其次，如前所述，此前《征求意见稿》第四十四条第二款规定，第三方产品和服务提供者对用户造成损害的，用户可以要求平台运营者先行赔偿。此次《条例》第四十条第三款不再要求平台运营者先行赔偿，一定程度上体现了对于网络平台服务提供者责任的放宽，但各方可能需要在损害责任认定以及赔偿比例分担方面进行举证和主张。最后，值得注意的是，《条例》第四十条最后一款还鼓励保险公司开发网络数据损害赔偿责任险种，以增强网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端设备生产厂商的风险抵御能力，为义务方积极履行损害赔偿责任、为用户提出正当救济权利均提供了保障。

除上述三类网络平台服务提供者以外，《条例》第四十一条还对应用程序分发服务这一类网络平台服务提供者（例如苹果的App Store、安卓的Google Play、华为应用市场等）提出了相关要求。首先，应用程序分发平台应当建立应用程序核验规则并开展网络数据安全相关核验。其次，当该类平台发现待分发或者已分发的应用程序不符合法律、行政法规的规定或者国家标准的强制性要求的，应当及时采取警示、不予分发、暂停分发或者终止分发等措施。以上规定意味着，应用分发服务的网络平台服务提供者需要制定一套针对应用程序的审核标准，确保这些应用程序在上架前和运营中不会存在危害用户隐私、数据安全或影响网络安全的风险，特别是涉及用户数据的收集、存储、传输等方面的安全措施。除发布规则外，在应用程序上架到应用商店或在运营过程中，应用商店还需要对这些应用进行定期或不定期的安全检查。例如，应用程序在首次运行时，是否弹出符合规范的隐私政策，是否告知用户其将收集哪些个人信息。如果应用程序涉及跨境数据传输，是否符合相关的跨境数据传输规定。应用程序是否明确规定了数据的保存期限、删除机制、用户对其个人数据的控制权等内容，如果隐私政策不清晰或不符合要求，应用商店应拒绝该应用上架。此外，还应核查应用程序在与其服务器通信时，是否使用了安全的加密协议（如HTTPS），如果应用程序通过明文传输用户的聊天记录或照片，应当拒绝上架。当应用程序请求了过多的系统权限，平台应进一步核查这些权限是否合理，例如，当一个社交应用程序要求访问用户的通话记录，且未能给出合理的解释或无法向用户解释其用途，应用程序分发平台应要求该应用修改或拒绝其上线。如果涉及金融类应用，应用程序分发平台还应检查应用程序是否对用户的账户信息、交易记录等进行了端到端加密、是否采取了有效的账户保护措施，例如多因素身份验证（MFA）、密码强度要求、是否安装了防止身份盗用、异常交易监控等功能，以减少网络诈骗和数据泄露的风险。并且，应用程序分发平台还应使用自动化安全工具检测应用是否存在已知的安全漏洞或风险，譬如是否有被恶意代码注入的可能。如果相关应用程序存在能够被恶意攻击者利用的安全漏洞，应用程序分发平台应要求开发者修复后再重新提交。

《条例》第四十三条明确国家推进网络身份认证公共服务建设，按照政府引导、用户自愿原则，鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份。2024年7月26日，公安部和网信办曾发布《国家网络身份认证公共服务管理办法（征求意见稿）》并提出了“网号”“网证”的概念，以规范网络空间中的身份认证服务，确保在网络活动中的真实身份可追溯，防止虚假身份、匿名使用网络服务所带来的网络安全风险。此次《条例》以《个保法》《网安法》中关于网络实名制认证的要求为基础，从行政法规层级上明确了立法态度，为未来《国家网络身份认证公共服务管理办法》的正式出台明确了方向，以便推动国家级的网络身份认证平台的建设。目前《条例》对用户使用国家网络身份认证公共服务登记、核验真实身份信息持鼓励支持的政策，实则当用户在使用特定网络服务（例如社交媒体注册、在线支付、网络购物、网络游戏、网络评论等）时，通过国家认证平台的统一技术标准进行真实身份信息，包括姓名、身份证号码等内容的校验，能确保所验证的身份信息准确、真实。因此，身份认证服务网络平台提供者在提供此服务的过程中需要承担用户实名制认证中的管理责任，若发生信息泄露或违规行为，相关方需要承担法律后果。

《条例》在本章中还提到了另一类网络平台服务提供者，即大型网络平台服务提供者。关于如何认定“大型”的门槛，根据《条例》第六十二条定义，大型网络平台是指注册用户5000万以上或者月活用户1000万以上，业务类型复杂，网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。相比于此前《征求意见稿》对于大型互联网平台运营者的定义（用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者），《条例》将用户规模大分成两个维度理解，其一为用户注册数量多，其二为用户月活程度高。此次设定的数量门槛并没有采取此前讨论过的《互联网平台分类分级指南（征求意见稿）》和《互联网平台落实主体责任指南（征求意见稿）》中对大型、超大型平台以年活跃用户的计数标准，也未纳入市值（估值）作为衡量规模的尺度。《条例》虽然保留了“业务类型复杂”这一考量因素，但使用“网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响”取代了《征求意见稿》中“具有强大社会动员能力和市场支配地位”这一要素，主要是从受影响主体的广度和潜在风险的严重程度出发进行考量，而不仅看平台的规模和其在市场上的垄断和支配能力，确保对用户数据和公共利益产生重大影响的平台能够承担更严格的合规要求。因此，符合前述条件的网络平台提供者应当遵守《条例》第四十四条至四十六条的要求，包括每年度发布社会责任报告、不得实施差别待遇、不得无正当理由限制用户访问和使用网络数据、不得以误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据等。这也与《个保法》对大型互联网平台责任加重的规定一脉相承，其中对涉及处理大量个人信息的运营者，要求其建立独立的个人信息保护机构，并定期进行外部审计。特别地，《条例》第四十六条还兼容了《反垄断指南——关于平台经济领域的反垄断指南》《平台经济反垄断指南（草案）》《国务院关于促进平台经济规范健康发展的指导意见》《关于推动平台经济健康发展的实施意见》等立法精神，对用户基数庞大的平台，明确要求其承担更多的社会责任，以消除这些平台可能利用网络数据、算法、平台规则等从事对用户产生不合理差别待遇等反竞争行为。并且，企业也应结合《互联网信息服务算法推荐管理规定》《关于加强互联网信息服务算法综合治理的指导意见》等规定理解《条例》内容，主管机构有可能依据《条例》及其他法规进一步加强对算法治理和公开透明实践的监管，规范大型网络平台服务提供者在使用算法进行信息推送、个性化推荐等服务时的合规义务。

虽然政府部门本身不是被直接规制的对象，但它们在执行条例、进行数据监管和执法过程中也受到相应的约束和监督。《条例》第七章主要围绕网络数据安全监督管理的职责划分、监督检查机制、衔接和互认等方面进行了详细规定。虽然从文章体系角度，应当将监管机构的监督管理放置于责任章节之前，但由于监管机构本身也是条例的受监督对象，从避免赘述的角度，我们统一放在此处进行梳理和解读。

从职责分工来看，根据《条例》第四十七条、第四十九条以及第三十七条，国家网信部门负责统筹协调数据安全和相关监督管理工作；统筹协调主管部门及时汇总、研判、共享、发布数据安全风险相关信息；统筹协调网络数据安全信息共享、风险和威胁监测预警、安全事件应急处置；同时统筹协调有关部门建立国家数据出境安全管理专项工作机制，研究制定国家网络数据出境安全管理相关政策，协调处理网络数据出境安全重大事项。公安机关、国家安全机关在各自职责范围内承担数据安全监管职责，依法防范、查处、打击危害国家安全、公共利益的网络数据安全违法行为和犯罪活动。各地区和行业主管部门承担所在区域、行业和领域的数据安全监管职责，明确本领域、本行业网络数据安全保护工作机构的设定、统筹制定并组织本行业、本领域网络数据安全事件应急预案、定期组织开展本行业、本领域网络数据安全风险评估，并对网络数据处理者履行网络数据安全保护义务的情况进行监督、检查（包括《条例》第五十条要求数据处理者出具情况说明、查阅文件和记录、检查设备物品和数据安全措施的运行情况等）并指导、督促其整改相关风险隐患。

值得注意的是，《条例》第四十七条第三款还提及了国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责。对此，可结合2023年中共中央、国务院发布的《国务院关于提请审议国务院机构改革方案的议案》和《国务院机构改革方案》中对国家数据局在安全管理职能方面的描述进行理解，文件特别提及国家数据局将承担“数据安全和数据开发利用的统筹监管职责”，为全国范围的数据管理和安全工作提供指导和规范。

《条例》第七章通过四个条款说明了各监管机构之间的职责分工，而后通过第五十一条、第五十二条和第五十三条对监管机构执法工作提出了管理要求。首先，第五十条第二款、第五十二条第二款，强调了各类监管机构工作之间应当配合、衔接和互认，包括个人信息保护合规审计、重要数据风险评估、数据出境安全评估等，避免企业对于此类评估或审计工作存在重复作业的情况。 同时，针对重要数据风险评估和网络安全等级测评涉及内容重合的部分，认可相关结果之间互相采信的方式，降低企业合规成本和人力、物力的重复铺设。除此以外，针对监管机构在开展执法监督过程中的行为与措施提出严格要求，譬如，有关主管部门开展网络数据安全监督检查，应当客观公正，不得向被检查单位收取费用；在网络数据安全监督检查中不得访问、收集与网络数据安全无关的业务信息，获取的信息只能用于维护网络数据安全的需要，不得用于其他用途；不得将知悉的个人隐私、个人信息、商业秘密、保密商务信息等网络数据泄露或者非法向他人提供，应当依法予以保密。未履行《条例》中规定的上述要求，相关主管机关会根据《条例》第六十条的规定被依法追究法律责任。

《条例》第二章“一般规定”作为本法规的核心章节，为我国网络数据处理活动提供了系统的规范框架。该章从多个维度对网络数据的处理、保护和管理进行了详细规定，涵盖了非法活动的禁止性要求、网络数据处理者的责任、产品和服务的安全性要求、应急预案的制定、国家安全审查、自动化工具使用限制以及针对生成式人工智能服务安全管理等方面内容。在充分吸收《征求意见稿》及公众意见的基础上，相较于之前的《个保法》《数安法》和《网安法》，本章呈现出一系列值得关注的要点。具体分析如下：

相较于《征求意见稿》，《条例》第八条释明了何为利用网络数据从事非法活动的行为，具体涵盖窃取、以非法方式获取、非法出售及非法提供网络数据。同时，《条例》特别强调，任何个人和组织都不得提供专门用于非法活动的程序、工具；如果明知他人从事此类非法活动，也不得为其提供任何形式的技术支持或帮助，具体包括互联网接入、服务器托管、网络存储、通讯传输以及广告推广和支付结算等技术支持和服务类型。这一修订对《网安法》第二十七条、《数安法》第三十二条中所禁止的危害网络安全行为和从事非法网络数据处理活动又进行了细化，提高了法律法规的可操作性和对非法从事网络数据处理活动的打击精度。

与现行《数安法》相比，虽然《数安法》第四章规定了数据处理者的安全保护义务，但未详细列明非法技术支持和服务提供的具体内容，而“非法网络数据活动”的背后往往涉及多种技术支持，包括互联网接入、服务器托管、网络存储和通讯传输等。《条例》新增规定对此进行了补充，若相关网络数据处理者及其相关技术支持者在明知是非法活动的情况下仍然予以协助或者提供支持的，则都可能会被认为违反本《条例》规定。例如，某个网络服务提供商明知其客户（如“丝绸之路”）从事非法活动，仍继续为其提供互联网接入服务，那么该服务提供商可能面临法律责任；如果某托管公司为一个非法运营的网站（例如销售非法商品的暗网市场）提供服务器支持，并且在知晓该网站从事非法活动后未能及时切断服务，这类行为也可能违反《条例》；类似的，提供云存储服务的公司如果已经知道存储了非法平台的数据或内容（例如非法交易记录或用户信息），而没有采取行动进行切断和报告，也可能触犯该法规；又如，平台之间或用户与平台之间的非法通讯，如果得到了技术层面的帮助，例如通过加密传输系统或私有通讯网络帮助非法活动规避监管，对被协助事宜事先知悉的技术提供方也可能受到法律追责。

《条例》第九条要求网络数据处理者在网络安全等级保护的基础上，建立健全网络数据安全管理制度，加强网络数据安全防护手段，处置网络数据安全事件，防范针对和利用网络数据实施的违法犯罪活动，这说明国家希望通过技术手段和管理制度相结合的方式，提升网络数据的安全防护水平。并且，该条强调了网络数据处理者对其所处理的网络数据安全承担主体责任，一旦发生数据泄露、篡改或非法获取等安全事件，网络数据处理者将直接面临法律责任。这不仅迫使企业在遵守《信息安全等级保护管理办法》《信息安全技术 网络安全等级保护基本要求（GB/T 22239-2019）》等法律法规和标准的基础上，根据不同数据的特点和风险程度，加强安全投入，采取动态的网络数据安全保障措施，防止网络数据被违法犯罪分子利用，也反映出国家在应对日益复杂的网络安全威胁时，采取了更为系统、全面的治理思路，对企业提出了更高的安全管理要求。

《条例》第十条对网络数据处理者提供网络产品和服务提出了安全性要求。相较于《征求意见稿》及此前发布的《网络产品安全漏洞管理规定》，《条例》第十条更加注重提升整体网络安全水平、保护用户权益，不仅与《数安法》保持了一致标准，强制性要求网络产品和服务须符合国家标准，而且规定当存在安全缺陷、漏洞等风险时，应立即采取补救措施，并及时告知用户、报告主管部门。相比之下，《网络产品安全漏洞管理规定》仅规定了网络产品提供者在发现或获知安全漏洞后2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关信息。此外，《条例》还要求在涉及国家安全和公共利益时，网络数据处理者应具备快速响应能力，当安全缺陷、漏洞等风险涉及危害国家安全、公共利益时，网络数据处理者须在24小时内向有关主管部门报告。这与2023年12月8日网信办发布的《网络安全事件报告管理办法（征求意见稿）》要求对较大、重大或特别重大网络安全事件在24小时内补报相关情况和《计算机信息系统安全保护条例》要求在24小时内向当地县级以上人民政府公安机关报告计算机系统中发生的案件存在异曲同工之处。实践中，对无任何风险应对经验的企业来说，履行24小时内的网络风险报告义务存在一定的压力，因此建议相关企业在日常管理中做好充分的准备和演练。

针对网络安全事件的报告和通知，《网安法》第二十五条中已明确要求网络运营者应当事前制定网络安全事件应急预案，并在发生网络安全事件时立即启动该应急预案，防止危害扩大，并按照规定向有关主管部门报告。《数安法》也提及了发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。相较于《征求意见稿》，《条例》删除了安全事件报告的具体时间要求（如“在发生安全事件的八小时内”和“在事件处置完毕后五个工作日内”），而是采用了更为原则性的表述，这可能是为了给予网络数据处理者根据事件的具体情况灵活处理的空间，这种灵活性也意味着关于报告程序的具体要求将依赖于《网络安全事件报告管理办法》正式稿的出台。除了制定应急预案和向主管部门报告、通知受影响主体，《条例》第十一条还增加了网络数据处理者在处置网络数据安全事件过程中发现涉嫌违法犯罪线索时的报案、配合侦查、调查和处置工作的义务。

除此以外，《条例》第二十条还要求面向社会提供产品、服务的网络数据处理者应当接受社会监督，建立便捷的网络数据安全投诉、举报渠道，公布投诉、举报方式等信息，及时受理并处理网络数据安全投诉、举报。通过强化社会监督，鼓励公众积极举报潜在的网络数据安全问题，不仅能够及时发现和解决潜在的网络数据安全风险，还能有效地保障公众在网络数据安全保护中的知情权和参与权。这种双重监督模式有助于提高网络数据安全问题处理的透明度，形成一种更广泛的监督体系，增强网络数据处理者的安全意识和自律性，进而促使其在网络数据安全管理中更加严谨和负责。

首先，《条例》第六十二条对委托处理和共同处理的概念进行了明确。虽然基本定义与《个保法》中的概念如出一辙，但《条例》将处理重要数据也纳入定义范围。针对对外提供或委托处理个人信息和重要数据，《条例》第十二条规定了网络数据处理者必须通过合同等形式与网络数据接收方明确约定处理目的、方式、范围及安全保护义务，并由网络数据处理者对网络数据接收方的履行情况进行监督。同时，相较于《征求意见稿》，《条例》将相关数据处理情况记录的保存期限从“至少五年”缩短为“至少三年”。我们理解，这种调整可能是为了减轻网络数据处理者的合规负担，同时也考虑到了实际操作的可行性和数据安全保护的基本需求。

此外，在电子政务系统以及公共服务系统的委外承建事宜方面，相较于《征求意见稿》，《条例》加强了对政务数据处理的监管和保护要求。第十五条和第十六条明确，一方面国家机关在委托他人建设、运行、维护电子政务系统时，必须经过严格的依法批准程序，国家机关需要监督受托方履行网络数据安全保护义务，确保政务数据的安全。另一方面，国家机关应当通过合同约定，明确受托方的网络数据处理权限、履行网络数据安全保护义务和保护责任，不得在未经委托方同意的情况下对网络数据进行关联分析。这主要是针对许多企业受国家机关委托处理数据的现状进行了更加明确的规制，可结合导读一相关内容进行参考。

《条例》第十四条规定了当网络数据处理者发生因合并、分立、解散、破产等原因需要转移网络数据的情形，其与《个保法》第二十二条的规定类似，都要求接收方继续履行网络数据安全保护义务或者个人信息保护义务。当前，随着资产收购、股权转让和企业破产等商业行为日益频繁，网络数据作为企业的一项重要资产，往往成为交易中不可忽视的部分。然而，在这些商业活动中，数据的安全转移和后续保护往往面临巨大挑战。首先，如果交易仍处于保密状态，若被交易的网络数据涉及个人信息，需要考虑是否对个人进行告知，这取决于交易双方针对原先处理目的、处理方式是否发生变更的商议。其次，针对提供方，需要按照交易条件进行交割，不得擅自留存数据，且在交易前妥善存储被交易的网络数据；针对接收方，则需严格遵循相关法律规定和安全标准，确保在转移过程中的传输安全和最小范围的人员接触，否则交易前或者交易中一旦发生交易数据泄露或遭到非法利用，将可能对交易双方产生重大且无法挽回的影响。特别是在企业破产清算或解散的情况下，很多公司易忽视对剩余数据的安全处理，或未对数据的去向做出明确交代，导致用户个人信息、商业机密，甚至破产企业涉及处理的重要数据泄露风险增大。《条例》第十四条明确要求了公司主体结构产生特殊情况下，数据接收方仍须承担保护责任，从而避免数据因企业破产、分立、解散等而被非法获取或被滥用。

重要数据处理者因合并、分立、解散、破产等可能影响重要数据安全的，《条例》第三十二条另有规定，我们将在下文进一步分析。

与《生成式人工智能服务管理暂行办法》第七条中的规定相衔接，《条例》第十九条要求提供生成式人工智能服务的网络数据处理者加强针对训练数据的安全管理。数据质量和安全直接决定了模型的表现和风险，因此《生成式人工智能服务管理暂行办法》要求服务提供者使用具有合法来源的数据和基础模型，且在涉及处理个人信息时，应当事先取得个人同意或者符合法律法规的其他情形。在实际操作中，生成式人工智能的应用已渗透到各个行业，如自动化文本生成、图像生成、聊天机器人等。一旦训练数据包含有害、不合规信息，或者处理不当，生成的内容便有可能出现偏见、错误，甚至侵犯个人隐私、侵犯他人权益。因此，网络数据处理者有责任从源头上加强数据安全管理，通过严格筛选、清理和监管训练数据，降低生成内容的潜在风险。《条例》进一步强调了防范和处置网络数据安全风险的必要性，要求网络数据处理者采取有效措施，对训练数据采取严格的安全措施，如加密存储、访问控制、去标识化等，以防止数据泄露或被不法分子利用。同时，处理者还需要制定完善的应急预案，及时处置因数据不当使用引发的网络安全事件或数据合规风险，防范各种安全隐患。

此外，《条例》第十八条明确地规范了网络数据处理者在使用自动化工具访问和收集网络数据时的行为。根据该条规定，《条例》间接承认了自动化采集工具本身的技术中立性，因此要求网络数据处理者在使用自动化工具前应当进行风险影响评估，此外，《条例》明确要求不得利用爬虫等自动化采集工具非法侵入他人的网络或干扰第三方网络服务的正常运行。《数据安全管理办法（征求意见稿）》第十六条规定，当采用爬虫技术访问收集流量超过网站日均流量三分之一时，可能会被认为“严重影响网站运行”。但《条例》没有纠结究竟多大流量构成干扰网络正常运行，实践中网络数据处理者也往往没有能力测试到被爬网站的流量数量，原有规定反而造成不少网络数据处理者的困惑，甚至权利人凭借此条寻求救济的也寥寥无几。与《条例》第十八条相媲美的还有《网络反不正当竞争暂行规定》，其明确规定利用技术手段，非法获取、使用其他经营者合法持有的数据，妨碍、破坏其他经营者合法提供的网络产品或者服务的正常运行的行为，可能构成不正当竞争，从反不正当竞争的角度规范爬虫等自动化采集数据的行为。

然而，自动化工具和生成式人工智能服务的技术复杂性较高，如何科学合理地评估其影响并进行有效的监管，有赖于实践层面进不断探索和总结。此外，《条例》还进一步规定了利用自动化采集技术采集非必要个人信息的影响和相关处置措施，我们将在下一章节中进一步分析。

《条例》第三章在《个保法》及其他个人信息保护相关法律法规和标准的基础上，进一步细化了个人信息处理活动中的告知义务、同意的获取、主体权利的保障以及跨境数据流动等方面的要求。特别地，《条例》针对自动化采集技术的应用和“数据可携带权”，提出明确具体的执行路径。此外，相较于《征求意见稿》，本章内容在个人信息保护规则上进行了优化，更加注重实践中的可行性，体现了我国在数字经济背景下对个人信息保护的重视和对国际立法趋势的积极回应，具体关注要点如下：

首先，《个保法》第十七条规定了处理个人信息时，个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项，《条例》第二十一条进一步细化了上述规则。在告知上，《条例》明确了个人信息处理规则的展示方式，即“集中公开展示”“易于访问”“置于醒目位置”。同时，对于网络数据处理者向其他网络数据处理者提供个人信息的情况，《条例》要求以清单等形式予以列明，这一规定与2021年11月工业和信息化部发布的《关于开展信息通信服务感知提升行动的通知》中提出的“双清单”制度相呼应。上述通知要求相关企业建立“已收集个人信息清单”和“与第三方共享个人信息清单”，以增强用户对个人信息处理活动的感知和控制。而《条例》的出台，标志着来源于工信部规范性文件的“双清单”制度已经正式上升到了行政法规层面规范的内容。在告知内容上，除《个保法》中提到的基本信息外，《条例》还特别指出需包含处理敏感个人信息的必要性及对个人权益的影响、个人信息保存期限及其确定方法等内容。我们理解，这一调整有利于提高个人信息主体对自身合法权益被侵犯风险的认知水平，同时也促使网络数据处理者在设计产品时应充分考虑隐私保护的因素。

值得注意的是，相较于《征求意见稿》，《条例》第二十一条中对于个人信息保存期限的规定更加灵活。针对难以事先确定保存期限的情况，允许网络数据处理者根据实际情况制定具体的确定方法，这种灵活性既保证了个人信息主体的信息安全，又给予了网络数据处理者一定的操作空间。从落地角度，企业可基于内部数据存储策略，在个人信息处理规则中明确具体的存储期限，也可将确定存储期限的流程和要求向用户进行告知。

最后，《条例》第二十一条沿袭了《儿童个人信息网络保护规定》的规定，特别指出对于不满十四周岁未成年人的信息处理需要具备专门的个人信息处理规则。考虑到儿童作为特殊群体，在使用互联网服务时往往缺乏足够的判断力和自我保护能力，因此给予他们额外的关注具有必要性。

《条例》第二十二条建立在《个保法》第十三条合法性基础上，但特别针对“同意”这项合法性基础进行了重申并细化了具体要求，包括同意的表达应当“自愿”、同意的范围应该符合必要性、当个人信息的处理目的、方式、种类发生变更的，应当重新取得个人同意。该条第一款第五项还规定“不得在个人明确表示不同意处理其个人信息后，频繁征求同意”。在实践中，一些应用程序或网络数据处理者可能会采用不断弹出请求窗口的方式，试图改变用户的决定，这种行为不仅干扰了用户体验，也违背了用户的真实意愿，即使用户无奈最后按了“同意”键，但这样的同意应当属于“无效”的同意。与《信息安全技术 个人信息安全规范（GB∕T 35273-2020）》第5.3条d) 项规定相呼应，这个规定有利于减少网络数据处理者利用模糊规则进行反复请求的机会，从而避免相关用户受到不必要的打扰，能够有效提升整体用户体验。针对处理除儿童个人信息以外的敏感个人信息，《条例》还规定应当取得个人的单独同意或者法律、行政法规规定的书面同意；针对处理儿童个人信息，《条例》要求网络数据处理者应当取得未成年人的父母或者其他监护人的同意。以上规定连同《条例》第二十三条个人行权要求，均未超出《个保法》的相关规定。

“数据可携带权”作为一类新型权利，在借鉴欧盟《通用数据保护条例》（GDPR）立法经验的基础上，《个保法》第四十五条第三款仅对其做出原则性的界定，即个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。然而，何为“国家网信部门规定的条件”，《个保法》并未公布其解。并且，《个保法》实施后，由于缺乏实施细则，实践中，要实现此条的操作技术难度也较高，因此企业目前仅实现了“数据可携带权”的一半含义，即“副本下载”，尚未能充分实现另一半立法本意，即数据向第三方产品和服务提供方实现完全移送。

《条例》第二十五条首次以立法形式细化了个人信息转移请求的实现途径，使得个人信息转移请求不再是抽象的原则。这不仅提高了法律条文的可执行性，还减少了因解释模糊而产生的争议。具体而言，该条明确规定个人信息转移请求的条件，须涵盖请求人的真实身份验证、待转移个人信息的范围（仅限于本人同意或基于合同约定部分）、具备可转移此个人信息的技术可行性及保护其他相关方合法权益的要求，这一规定为网络数据处理者提供了清晰的操作指南，对《个保法》第四十五条第三款预留的伏笔进行了填补。此外，为平衡转移方与转入方的利益，例如由于用户请求多次转移，使网络数据处理者发生了额外的运营和技术成本，法规允许网络数据处理者在评估后向提出请求的用户主张超出合理范围的必要费用。在评估前述问题的过程中，网络数据处理者可以引入个人信息保护影响评估等流程，以便评估与平衡转移行为对个人信息主体权利和他人合法权益可能造成的影响。

即使前文已经针对《条例》第十八条关于使用自动化工具访问、收集网络数据的规定进行了分析，《条例》第二十四条又针对使用自动化采集技术等手段无法避免采集到非必要个人信息或者采集了未依法取得个人同意的个人信息等情况提出了解决方案——即删除或匿名化处理此类不合规信息。此外，《条例》还特别考虑了实践中的复杂性和多样性，对于法律、行政法规规定的保存期限未届满或者凭借网络数据处理者当时的技术手段和经验难以实现删除的，允许网络数据处理者停止除存储和必要的安全保护措施之外的处理活动。这种灵活的处理方式既为网络数据处理者提供了在特定条件下合理的应对策略，从而避免了过于僵化的法律规定给实际操作带来的困难，又敦促网络数据处理者仍然有义务采取必要措施妥善管理和保护个人信息，并且更加谨慎地对待自动化采集过程中可能产生的非必要信息，防止用户个人信息被滥用或泄露。

《条例》第二十六条主要适用于境外网络数据处理者处理中国境内自然人个人信息的情形，特别强调个人信息保护层面的责任落实。这体现了中国对境外数据处理活动的监管力度不断加强，并释放出明确的信号：境外网络数据处理者不仅要符合当地法律，还必须遵守中国的数据保护法律法规，这也为国际企业在华运营（特别是在中国境内未设立法人实体、办事机构，且服务器部署于境外但收集中国境内个人信息的企业）提供了清晰的合规指引。该条首先要求境外网络数据处理者按照《个保法》第五十三条的要求，在境内设立专门机构或指定代表，并向所在地的市级网信部门报送相关信息，如机构名称、代表姓名及联系方式。这一要求旨在确保境外企业处理中国境内用户个人信息时有具体的责任主体可以追溯和监管，防止出现个人信息管理的“真空地带”，确保数据保护法律法规能够得到有效执行。其次，该条明确了具体的报送对象为“设区的市级网信部门”，增加了信息共享和协同监管的机制，规定接收到信息的网信部门应当及时通报同级有关主管部门，从而增强信息透明度，便于各监管部门在发现数据泄露、滥用等安全事件时，能够迅速采取应对措施，对违规行为进行及时查处。

关于重要数据的识别和认定，《信息安全技术 重要数据识别指南（征求意见稿）》《数据安全技术 数据分类分级规则（GB/T 43697-2024）》及特定行业的法律规范和标准已提供了一定的指导，但是其中对于特定数量的个人信息能否构成重要数据尚未形成统一标准。《条例》第二十八条明确规定，处理1000万人以上个人信息的网络数据处理者，还应当遵守《条例》第三十条（任命数据安全负责人及管理机构）和第三十二条（合并、分立、解散、破产时的报送义务）中对于重要数据的处理者的规定。相较于《征求意见稿》中100万的量级规定，本次《条例》放宽了认定门槛，这意味着对于处理个人信息数量在100万到1000万之间的企业，可以免于按重要数据处理者的合规要求和监管措施予以执行；同时，《条例》也缩小了适用条款的范围，要求符合条件的网络数据处理者仅遵守《条例》第三十条和第三十二条的规定，而非遵守《征求意见稿》第四章中针对重要数据处理者的所有规定。这反映了立法者在平衡监管力度与企业运营成本之间进行了成熟考虑，避免对部分百万级企业造成过大的合规负担。

《条例》第四章规定了针对重要数据的安全管理要求，重点包括如下方面：

《条例》第六十二条明确，重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。相比于《征求意见稿》的列举式定义，《条例》的定义进行了提炼和精简，并基于《数据出境安全评估办法》《数据安全技术 数据分类分级规则（GB/T 43697-2024）》等相关法规标准中对于重要数据的定义[1]进一步优化和更新了表述。

为了保障重要数据安全，《条例》第二十九条第一款首先基于《数安法》的原则性要求[2]，明确国家数据安全工作协调机制，统筹协调有关部门制定重要数据目录，加强对重要数据的保护。同时敦促各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的网络数据进行重点保护。

《条例》第二十九条第二款重点规定了网络数据处理者对重要数据的识别、申报义务与相关地区、部门的确认和告知、公开要求，具体可包括如下步骤：

首先，网络数据处理者应当按照国家有关规定识别重要数据。即企业应当首先自行判断是否涉及处理重要数据。具体而言，企业需要对于所持有的数据资产进行梳理，参考行业相关法律法规、各地区发布的重要数据目录和/或《数据安全技术 数据分类分级规则（GB/T 43697-2024）》等国家标准所列举的重要数据识别因素进行判断，明确企业收集的数据类型，识别数据资产清单中各类数据的用途、面临的主要安全威胁，判断数据安全性（保密性、完整性、可用性等）遭破坏后可能对国家安全及公共利益造成的影响，形成本企业的重要数据目录。

其次，在识别企业内部的重要数据后，该网络数据处理者还需要履行申报义务。但《条例》尚未明确申报重要数据的具体流程、时限和申报监管机构，因此实践中企业如何进行申报还有待未来相关监管机构的进一步明确。另外，《条例》未采纳《征求意见稿》中要求数据处理者在识别重要数据后的十五个工作日内向设区的市级网信部门备案的义务[3]。

最后，待企业完成自主申报后，根据《条例》的规定，最终是否属于重要数据的判定结果应当由相关地区、部门进行确认。对确认为重要数据的，相关地区、部门应当及时向企业告知或者公开发布重要数据目录、清单，企业应当履行网络数据安全保护责任。

此外，《条例》第二十九条第三款还鼓励性地建议企业使用数据标签标识等技术和产品。根据属性、用途、敏感度等信息给特定数据打上相应的标签或标识，不仅能够帮助企业实现对数据的分类分级，以此清晰地知道某一数据的类型、重要性、访问权限以及处理方式，还能提高本企业对重要数据安全管理水平，以及帮助企业在出现数据合规问题时更容易追踪数据的来源、流动情况和处理过程，以便有效应对潜在的数据泄露和风险事件，并提升审计效率。

《条例》第三十条第一款要求重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构。网络数据安全管理机构应当履行下列网络数据安全保护责任：

1）制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案；

2）定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动，及时处置网络数据安全风险和事件；

3）受理并处理网络数据安全投诉、举报。

在网络数据安全负责人的任职方面，《条例》第三十条第二款要求网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历，由网络数据处理者管理层成员担任，有权直接向有关主管部门报告网络数据安全情况。

值得注意的是，《条例》第三十条第三款还明确要求“掌握有关主管部门规定的特定种类、特定规模重要数据的网络数据处理者，应当对网络数据安全负责人和关键岗位的人员进行安全背景审查，加强相关人员培训”。因此，建议企业应当特别关注所在行业主管部门是否已经发布过针对特定种类、规模的重要数据认定清单或者应当专项咨询监管。例如，虽然《汽车数据安全管理若干规定（试行）》明确规定了汽车领域特定种类（如车辆流量、物流等反映经济运行情况的数据、包含人脸信息、车牌信息等的车外视频、图像数据等）、规模（涉及个人信息主体超过10万人的个人信息）属于重要数据[4]，但交通部仍然需要对掌握哪些种类和规模重要数据的企业应当对网络数据安全负责人和关键岗位人员进行严格意义的背景审查做出明确指示。在主管部门尚未给出明确指引前，若已经有相关部门规章规定了某行业特定类型数据为重要数据的，建议该处理重要数据的网络数据处理者对聘用的网络数据安全负责人和关键岗位人员在入职前或者启动专项前均宜启动背景审查。针对背景审查的具体内容，企业可以参考《信息安全技术 个人信息安全规范（GB/T 35273-2020）》第11.6（a）条的规定，包括审查相关人员的犯罪记录、诚信状况等情况。《条例》规定，符合上述条件进行背景审查时，可以申请公安机关、国家安全机关协助。具体如何申请公安机关和国家公安机关的协助，可能有赖于实践中的进一步观察。

根据《条例》第三十一条，如果企业作为重要数据处理者，涉及向外部第三方提供、委托处理或者共同处理重要数据的，应当依据《条例》的规定就该处理活动开展风险评估；但如果是企业为了履行法定职责或者相关法定义务的，则可以豁免该风险评估的要求。相比于《征求意见稿》，《条例》未将“交易”“向境外提供”两种场景纳入风险评估范畴，原因是“交易”的范围太大，可能涉及第三十二条（合并、分立、解散、破产等）中的某些场景，也可能被第十二条向其他网络数据处理者提供所包含；如果未得到合法授权的，还可能落入第八条规定的非法向他人提供的情况。企业“向境外提供重要数据”前必须经过数据出境安全评估，而企业向网信部门提出安全评估申请前还会进行数据出境风险自评估。这些都已经在在《数据出境安全评估办法》中进行了规定且评估内容比较特殊，因此无需包括在《条例》第三十一条中。此外，《条例》还删除了在共享、交易、委托处理重要数据前获取主管部门或网信部门同意的前置审批要求[5]。这一变化体现了立法层面从强调事前的行政审批向企业履行自主合规管理和风险管理的转变，不仅提高了企业的自主性和灵活性，也更加符合国际数据安全管理的趋势。同时，这种自主评估机制并不意味着放松监管。企业的风险评估结果可能需要在后续监管中接受检查，一旦被发现未能进行适当评估或未采取足够的安全措施，相关网络数据处理者仍将面临严厉处罚。这种事后监督的方式也增强了监管的弹性，优化了监管资源的配置，使得监管部门可以根据实际情况调整监管力度。

根据《条例》，在涉及提供、委托处理、共同处理场景下的风险评估应当重点评估下列内容：

1）合法正当必要性： 提供、委托处理、共同处理网络数据，以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要；

2）数据泄露的风险： 提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险，以及对国家安全、公共利益或者个人、组织合法权益带来的风险；

3）数据接收方背景： 网络数据接收方的诚信、守法等情况；

4）合同义务约定： 与网络数据接收方订立或者拟订立的相关合同中关于网络数据安全的要求能否有效约束网络数据接收方履行网络数据安全保护义务；

5）技术管理措施有效性： 采取或者拟采取的技术和管理措施等能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险；

6）其他内容： 有关主管部门规定的其他评估内容。

与《征求意见稿》相比，《条例》虽然未明确评估风险为高的后果，但从合规实践来看，如果企业经过评估认为重要数据的共享、委托处理或共同处理可能危害国家安全、经济发展和公共利益，则企业应当避免共享、委托处理或共同处理数据，以免引发监管部门的关注和相关处罚后果。

《条例》第三十二条规定了重要数据处理者发生合并、分立、分散、破产等情况且经过评估认为可能影响重要数据安全的，重要数据处理者应采取措施履行网络安全保障与上报义务。不难理解，企业在合并、分立、解散、破产等情况下，可能会涉及数据资产的转移或处置，而重要数据的特殊性决定了其处理不当会对国家安全、公共利益、个人隐私等产生重大影响。因此，《条例》要求重要数据处理者上报处置方案、接收方信息等，旨在确保数据处理过程经过充分的安全考量，防止数据的滥用、泄露或非法转移。同时，通过上报处置方案，主管部门能够全面了解重要数据的处置过程，从而在需要时进行指导、干预或采取措施，以保证网络数据的安全和合规性。由于重要数据涉及到国家安全、经济运行、社会稳定等重大利益，因此需要受到较高层级的监管，以确保各级政府能够有足够的权限和能力来应对潜在风险。省级以上的主管部门通常具备更高的资源和权威，能够处理更复杂和重大的数据安全事件，因此相比于《征求意见稿》[6]，提高了上报部门的级别、细化了需要上报的内容，要求重要数据的处理企业需要向省级以上有关主管部门报告重要数据处置方案、接收方的名称或者姓名和联系方式等；主管部门不明确的，应当向省级以上数据安全工作协调机制报告。“省级以上数据安全工作协调机制”是指由中央网信办及相关部委组成的跨部门协调机构，负责跨行业、跨领域的网络数据安全监管。对于很多企业来说，在合并、分立或解散时，可能不清楚具体应该向哪个主管部门报告，尤其是在数据涉及多个行业或跨区域的情况下，不同部门之间的管辖权还可能不明确。如果行业主管部门或网信部门没有清晰界定的，对重要数据的处置需要由更高行政级别的行政机关进行综合协调。省级以上的主管部门或协调机制能够跨部门、跨地区进行监督管理，避免地方保护主义或部门壁垒，确保跨部门和区域下的的数据安全措施在全国统一实施。

《数安法》第三十条提出，重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括网络数据处理者所处理的重要数据的种类、数量、开展数据处理活动的情况、面临的数据安全风险及其应对措施等。部分行业（例如汽车行业）也在部门规章中明确了年度风险评估报告报送的要求。《条例》第三十三条进一步细化规定了重要数据年度风险评估的频率与报告应涉及的内容等。首先，重要数据的处理者应当每年度对其网络数据处理活动开展风险评估；其次，重要数据处理者需要向省级以上有关主管部门报送风险评估报告；再次，由于网络数据安全涉及网信部门、公安机关等多个监管和执法机构的共同管理，形成合力提前准备提升风险预警和应对能力，防范潜在的网络安全事件，因此有关主管部门在接收到重要数据处理者提交的年度风险评估报告后，还应当及时通报同级网信部门、公安机关。最后，年度风险评估报告应当包括下列内容：

1）网络数据处理者基本信息、网络数据安全管理机构信息、网络数据安全负责人姓名和联系方式等；

2）处理重要数据的目的、种类、数量、方式、范围、存储期限、存储地点等，开展网络数据处理活动的情况，不包括网络数据内容本身；

3）网络数据安全管理制度及实施情况，加密、备份、标签标识、访问控制、安全认证等技术措施和其他必要措施及其有效性；

4）发现的网络数据安全风险，发生的网络数据安全事件及处置情况；

5）提供、委托处理、共同处理重要数据的风险评估情况；

6）网络数据出境情况；

7）有关主管部门规定的其他报告内容。

《条例》特别指出，处理重要数据的大型网络平台服务提供者（定义详见本文第二章第3点的内容）报送的风险评估报告，除包括前款规定的内容外，还应当充分说明关键业务和供应链网络数据安全等情况。

如前所述，首先，大型网络平台涉及到的用户数量巨大，且业务类型通常涵盖电子商务、支付服务、社交媒体、云服务等，业务流程极其复杂，其处理网络数据的影响力远远超过一般的网络数据处理者。一旦这些平台的关键业务或供应链受到攻击，可能产生系统性风险，不仅关乎企业本身，也可能影响多个行业和领域的稳定性，乃至对国家安全产生重大影响。

大型网络平台的关键业务往往涉及大量的数据交互和共享，存在多种多样的数据风险，例如涉及用户数据、支付信息、交易记录等敏感数据。因此，在评估报告中详细说明关键业务的数据安全状况，有助于主管机构提前了解并识别该平台的哪些业务节点可能出现数据泄露或滥用的风险，有可能帮助该大型网络平台采取针对性的保护措施进行事先防范。同时，大型网络平台往往也依赖复杂的供应链，包括硬件提供商、软件供应商、外包服务等，某些合作伙伴或外包商倘若存在较低的安全保障措施，链条中的任何一方出现任何漏洞都可能成为攻击者的突破口，进而波及整个平台。况且，有些大型网络平台的供应链中还可能涉及到海外的软硬件供应商，特别是网络平台在使用国外服务器、数据存储设备或软件的时候，还存在潜在的供应链攻击或服务断供的风险。这类平台的数据安全问题一旦被利用，可能对国家经济、公共服务以及社会稳定造成巨大影响。因此，要求充分说明供应链的安全情况，有助于主管部门识别和控制这种外部安全威胁，提前掌握企业是否存在过度依赖国外供应链的情况，评估可能的地缘政治风险带来的安全威胁。

大型网络平台的关键业务与供应链的安全性，往往直接或间接地与国家安全和公共利益挂钩，但由于其规模和业务复杂性，网络数据安全的管理需要差异化的措施，不可能一刀切。因此，要求大型平台报告中详细说明关键业务和供应链安全情况，有助于主管部门针对具体的业务场景制定更精细化的监管要求。

《条例》还要求，如果重要数据的处理者存在可能危害国家安全的重要数据处理活动的，省级以上有关主管部门应当责令其采取整改或者停止处理重要数据等措施，重要数据的处理者应当按照有关要求立即采取措施。此外，相比于《征求意见稿》第三十二条，《条例》删除了赴境外上市的数据处理者进行年度风险评估的要求，因为现在香港联交所在聆讯前会要求发行人提供数据合规相关的专业法律意见，而律师出具专业法律意见前，一般都会要求企业进行严格的由第三方中介机构主导的全面风险评估或审计；而赴境外上市的数据处理者如果涉及处理重要数据的，则仍然需要遵守《条例》第三十三条的规定，因此《征求意见稿》的考虑之意，实践中都有在被执行。立法者从抓主要矛盾解决问题的视角，取消赴境外上市的数据处理者进行年度风险评估是合理的，也是进一步对企业合规义务减负的表现。同时，《条例》也删除了须“在每年1月31日前”提交报告的时间要求以及评估报告“应当至少保留三年”的要求，而留给企业很多自主、灵活处理的权利。

《条例》第五章规定了涉及数据跨境传输的安全管理要求，重点包括如下方面：

在总结《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等部门规章制定实施经验基础上，《条例》第三十四条进一步明确了国家网信部门在网络数据出境活动中的功能与作用，同时优化了数据跨境流动的合规机制。《条例》第三十五条规定了七种向境外提供个人信息的条件以及一项兜底条款，既融合了《个保法》的三大数据跨境传输合规机制，也包括《促进和规范数据跨境流动规定》中规定的豁免情形（ 相关解读可参考《流动与安全并重：《促进和规范数据跨境流动规定》来了，企业应当如何应对？》 ）。并且，结合《条例》第三十六条规定的依据中国加入的国际条约、协定向境外提供个人信息的特殊情形，我国合规地向境外传输个人信息的条件总共有以下八项：

1）通过数据出境安全评估： 通过国家网信部门组织的数据出境安全评估；