深度分析丨从合规视角看《网络数据安全管理条例》

自 2016 年以来，《网络安全法》《数据安全法》《个人信息保护法》（“三法”）和《关键信息基础设施保护条例》构建了中国 “三法一条例” 的基本立法框架。针对三法中述及的以及近年来作为监管关注的诸如数据分类分级、数据跨境流动、个人信息处理等具体制度一直有待一部行政法规展开和细化。

在此背景下，《网络数据安全管理条例》应运而生。2024年9月30日，国务院发布《网络数据安全管理条例》（以下简称《条例》）。《条例》从行政法规层级补充了现有立法框架，构建了“法律-行政法规-部门规章”的全位阶法律规范体系。《条例》对网络数据处理活动及其安全监督管理进行了全面而细致的规范。它进一步明确了数据分类分级的标准和方法，为企业和组织在数据管理中提供了具体的指导。在数据跨境流动方面，条例详细规定了网络数据处理者向境外提供个人信息和重要数据的条件及程序，确保跨境数据安全有序流动。对于个人信息处理活动，条例强化了网络数据处理者的责任和义务，从收集、使用到存储、删除等各个环节，都提出了严格的要求，切实保护个人信息安全。
《条例》作为网络数据安全法规制度体系的关键组成部分，进一步完善了网络数据分类分级保护制度，压实了网络数据处理者的主体责任，细化了网络数据处理活动的制度要求，同时健全了网络数据监督管理机制等，对于全面提升网络数据治理监管能力具有深刻的意义。《条例》的出台，填补了 “三法” 在具体制度实施层面的空白，为我国网络数据安全管理提供了坚实的法律保障。
本文从合规的视角，对《条例》展开深度分析与解读。
第二章一般规定
条例原文
第九条　网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求，在网络安全等级保护的基础上，加强网络数据安全防护，建立健全网络数据安全管理制度，采取加密、备份、访问控制、安全认证等技术措施和其他必要措施，保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用，处置网络数据安全事件，防范针对和利用网络数据实施的违法犯罪活动，并对所处理网络数据的安全承担主体责任。
小知解读
在《数据安全法》第二十七条第一款（开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务）规定的数据安全保护基础通用义务基础上，《条例》第九条进一步细化了要求。企业必须在《数据安全法》相关规定框架内，严格遵循《条例》第九条。
企业应强化网络数据安全防护意识，建立完善的网络数据安全管理制度。这包括但不限于制定明确的操作流程、人员职责规范以及应急处理预案等。同时，积极采取加密、备份、访问控制、安全认证等技术措施，以及其他符合要求的必要措施，全方位保障网络数据安全。鉴于数据接口在网络数据传输中的关键作用以及面临的风险，企业应将数据接口安全纳入整体安全管理体系。可借鉴相关数据接口安全风险监测（DiRM）专题工作的理念和方法，对数据接口进行实时监测和分析，及时发现并处理潜在的安全威胁，确保数据接口的安全性，同时有效处置可能出现的网络数据安全事件，防范相关违法犯罪活动。
第三章个人信息保护
条例原文
第二十一条：网络数据处理者在处理个人信息前，通过制定个人信息处理规则的方式依法向个人告知的，个人信息处理规则应当集中公开展示、易于访问并置于醒目位置，内容明确具体、清晰易懂，包括但不限于下列内容：（一）网络数据处理者的名称或者姓名和联系方式；（二）处理个人信息的目的、方式、种类，处理敏感个人信息的必要性以及对个人权益的影响；（三）个人信息保存期限和到期后的处理方式，保存期限难以确定的，应当明确保存期限的确定方法；（四）个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等。
小知解读
《个人信息保护法》明确规定了个人信息保护影响评估的要求，在实践中，企业通常以评估表的方式开展个人信息保护影响评估（PIA）。随着《网络数据安全管理条例》的出台与即将施行，企业必须及时更新个人信息保护影响评估的表格，以确保完全符合新的法规要求。
企业要密切关注个人信息保护合规审计相关规定的进展，按照《条例》的要求，妥善落实各项规定，为个人信息保护合规审计做好充分准备。例如，在处理个人信息前，要通过制定个人信息处理规则的方式依法向个人告知相关内容，并确保规则集中公开展示、易于访问并置于醒目位置，内容明确具体、清晰易懂。
第四章 重要数据安全
条例原文
第二十九条：国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的网络数据进行重点保护。网络数据处理者应当按照国家有关规定识别、申报重要数据。对确认为重要数据的，相关地区、部门应当及时向网络数据处理者告知或者公开发布。网络数据处理者应当履行网络数据安全保护责任。
第三十条：重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构。网络数据安全管理机构应当履行下列网络数据安全保护责任：（一）制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案；（二）定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动，及时处置网络数据安全风险和事件；（三）受理并处理网络数据安全投诉、举报。
第三十一条：重要数据的处理者提供、委托处理、共同处理重要数据前，应当进行风险评估，但是属于履行法定职责或者法定义务的除外。风险评估应当重点评估下列内容：（一）提供、委托处理、共同处理网络数据，以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、楷正、必要；（二）提供、委托处理、共同处理的网络数据遭到篡改、与对国家安全、公共利益或者个人、其组织合法权益带来的风险；（三）网络数据接收方的诚信、守法等情况；（四）与网络数据接收方订立或者拟订立的相关合同中关于网络数据安全的一个能够有效约束网络数据接收方履行网络数据安全保护义务；（五）采取或者拟采取的技术和管理措施等能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险；（六）有关主管部门规定的其他评估内容。
小知解读
第四章主要包括了重要数据识别对接机制的建立、重要数据安全保护责任构建、重要数据处理者主体变动报告，以及重要数据处理者的两项评估义务，即重要数据传输风险评估义务和处理网络数据年度风险评估。
企业应当按照《条例》要求，建立重要数据识别对接机制，明确自身在重要数据安全保护中的责任。对于涉及重要数据的处理活动，要履行重要数据传输风险评估义务和处理网络数据年度风险评估义务。若企业处理 1000 万人以上个人信息，或者掌握特定重要数据，应当明确网络数据安全负责人和网络数据安全管理机构，并对相关人员进行安全背景审查和培训，确保重要数据的安全管理和处理符合法规要求。
第五章 网络数据跨境安全管理
条例原文
第三十四条：国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制，研究制定国家网络数据出境安全管理相关政策，协调处理网络数据出境安全重大事项。
第三十五条：符合下列条件之一的，网络数据处理者可以向境外提供个人信息：（一）通过国家网信部门组织的数据出境安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）符合国家网信部门制定的关于个人信息出境标准合同的规定；（四）为订立、履行个人作为一方当事人的合同，确需向境外提供个人信息；（五）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息；（六）为履行法定职责或者法定义务，确需向境外提供个人信息；（七）紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息;

小知解读
《条例》在新设国家网信部门将统筹协调有关部门建立国家数据出境安全管理专项工作机制基础上，充分吸纳了《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》和《促进和规范数据跨境流动规定》的现有规定和实践经验，重新梳理了个人信息和重要数据出境的合规路径，也重申了数据出境安全评估的严肃评估结论，即“通过数据出境安全评估后，网络数据处理者向境外提供个人信息和重要数据的，不得超出评估时明确的数据出境目的、方式、范围和种类、规模等”。
企业在涉及网络数据跨境传输时，应当遵循国家网信部门规定的条件和《条例》要求，通过合法的途径进行数据出境。例如，可通过国家网信部门组织的数据出境安全评估，或者取得专业机构的个人信息保护认证等。对于涉及跨境数据传输的数据接口，企业要严格把控，确保符合规定的目的、方式、范围等要求。如果数据使用目的发生变化，应及时重新进行评估和审批，以确保跨境数据传输的合规性。
第八章 法律责任
条例原文
第五十五条：违反本条例第十二条、第十六条至第二十条、第二十二条、第四十条第一款和第二款、第四十一条、第四十二条规定的，由网信、电信、公安等主管部门依据各自职责责令改正，给予警告，没收违法所得；拒不改正或者情节严重的，处100万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款。
第五十八条 违反本条例其他有关规定的，由有关主管部门依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律的有关规定追究法律责任。
第六十一条：违反本条例规定，给他人造成损害的，依法承担民事责任；构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。
小知解读
《条例》第八章专章规定了“法律责任”，其中第五十五条至五十七条构建了新的罚则体系，而第五十八条则作为兜底条款，明确表示任何违反该条例规定的行为都有可能承担相应的法律责任。值得注意的是，行政罚款中最重的责任可参照《个人信息保护法》第六十六条第二款规定的顶格处罚，即上一年度营业额百分之五以下罚款。虽然这一最重处罚并不会落到每个企业身上，但企业必须高度重视《条例》的落地。
若企业出现违反《条例》规定且未造成危害后果或者初次违法且危害后果轻微的情况，企业应积极按照第五十九条要求，主动采取措施消除或者减轻违法行为的危害后果，并及时进行改正，争取从轻、减轻甚至不予行政处罚，这既是对企业自身利益的保护，也是对网络数据安全合规环境的维护。
企业合规建议
随着数据处理活动日益频繁，网络数据领域的安全风险不断凸显。企业务必在严格遵循《网络数据安全管理条例》要求的基础上，积极构建健全的数据安全管理体系，全面提升自身在数据安全领域的核心竞争力，从而为可持续发展筑牢坚实的数据安全防线。
企业应建立完善的内部培训机制，加强员工对《条例》的学习和理解，确保员工在日常工作中能够遵守相关规定。同时，企业可借助专业机构或技术工具，对自身的数据安全管理体系进行评估和优化，及时发现并解决潜在的安全问题。此外，企业还应密切关注行业动态和法规变化，不断调整和完善自身的合规策略，以适应不断变化的网络数据安全环境。

全知科技作为 “数工委” 认证专题工作支撑单位，不仅牵头编制了《数据安全技术 数据接口安全风险监测方法》国家标准，为数据接口安全提供了权威的技术规范，同时，全知科技还为个人信息保护影响评估（PIA）专题工作组和数据接口安全风险监测（DiRM）专题工作组提供了的技术支持，助力企业在个人信息保护和数据接口安全等关键领域实现合规。未来，全知科技将持续深耕网络数据安全领域，不断创新技术与服务，以更加专业、高效的解决方案，为企业提供全方位的数据安全保障。