随着数据与人工智能、物联网技术的深入融合，数据的开发利用能够为人们生产生活带来高效与便利，与此同时数据安全风险日益凸显，也为国家安全、公共利益、组织和个人的合法权益带来挑战。在《中华人民共和国网络安全法》(“《网安法》”)、《中华人民共和国数据安全法》(“《数安法》”)、《中华人民共和国个人信息保护法》(“《个保法》”)的法律框架下，制定配套行政法规以细化三大上位法，推动其执行落地可谓是势在必行。

2021年11月，《网络数据安全管理条例(征求意见稿)》(“《征求意见稿》”)经国家互联网信息办公室(“国家网信办”)发布以来就引起了各界广泛关注。后《网络数据安全管理条例》(“《网数条例》”)又连续三年被写入国务院立法计划。历经近三年的反复锤炼，《网数条例》于2024年9月30日正式发布，自2025年1月1日起施行，进一步完善了我国数据安全管理制度体系，为治网管网提供有力的法治保障。

《网数条例》共9章64条，旨在规范网络数据处理活动，保障网络数据安全，促进网络数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益。本文通过对《网数条例》的重点内容进行解读，识别分析其中的合规义务，为相关主体提供借鉴。

1. 适用范围与定义厘清

1.1 适用范围

就域内效力而言，《网数条例》适用于在中华人民共和国境内开展网络数据处理活动及其安全监督管理。在域外效力方面，衔接《个保法》第三条第二款规定，保留了在境外处理境内自然人个人信息的适用情形，即“向境内自然人提供产品或者服务为目的;分析、评估境内自然人的行为;以及法律、行政法规规定的其他情形”。同时，《网数条例》基本沿用了《数安法》第二条第三款规定，“在境外开展网络数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”

1.2 网络数据

《网数条例》第六十二条第一款列明，“网络数据”的定义为“通过网络处理和产生的各种电子数据”。对“网络”的理解可参考《网安法》第七十六条，即“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统 ”。同时，《网数条例》将范围限定为电子数据，排除了纸张等非电子形式的数据。

1.3 网络数据处理者

依据《网数条例》第六十二条第三款，“网络数据处理者”是指“在网络数据处理活动中自主决定处理目的和处理方式的个人、组织。”《网数条例》继承了《个保法》中“个人信息处理者”的概念，突出“处理者”的核心内涵，即“自主决定处理目的和处理方式”，《网数条例》也给出了“委托处理”和“共同处理”的定义，均在强调“网络数据处理者”应当对网络数据处理活动具有控制能力，并因此承担相应的主体责任。据此，企业在与第三方机构合作时，需要基于对数据实质上的控制力，厘清双方的身份定位，通过相关协议等方式明确双方的权利义务关系。

2.《网数条例》的一般规定

《网数条例》在总则和第二章规定了网络数据处理活动的基本规则，既强调了应当合法使用、分类分级保护、数据安全事件应急预案等，细化了《网安法》《数安法》《个保法》等相关要求，同时也具有一定前瞻性，对“爬虫”“人工智能”等热点问题作出回应。下表对基本规则涉及的网络数据处理者主要的合规义务进行解读并提供相应指引。

3.《网数条例》与三法的协调

《网数条例》对《网安法》《数安法》《个保法》的相关制度规定予以细化、补充、完善，坚持问题导向，聚焦个人信息、重要数据、网络数据跨境流动等方面的突出问题，针对性地健全制度措施。

3.1细化个人信息保护

明确以个人信息处理规则履行告知义务的内容、形式要求

《网数条例》第二十一条总结提炼近年来监管层面提出的要求和行业层面的实践经验，进一步细化了《个保法》对告知的相关要求，新增需要进一步披露“个人信息保存期限和到期后的处理方式，保存期限难以确定的，应当明确保存期限的确定方法”，并列举个人信息主体的查阅、复制、转移、更正等权利。在实践中，网络数据处理者需要按照法律、行政法规规定和用户约定的方式、期限，并结合业务实际情况和诉讼时效规定等方面因素进行数据存储期限的设置，具有复杂性。该条指出保存期间可不列明具体特定的数字，而通过“说明保存期限的确定方法”，能够回应不同场景中个人信息保存期限的差异性。

形式上，《网数条例》认可《工业和信息化部关于开展信息通信服务感知提升行动的通知》中建立个人信息保护“双清单”制度的要求，要求网络数据处理者以清单等形式向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息。网络数据处理者应当根据个人信息处理活动的实际情况，核对个人信息处理规则是否真实、准确、完整披露信息，是否清晰易懂，避免歧义等。

基于个人同意处理个人信息的基本要求

《网数条例》明确了基于个人同意处理个人信息应当遵守的基本要求，对处理敏感个人信息、十四周岁未成年人个人信息等情形下的“同意”做了列举细化，同时明确规定了禁则，“不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息；不得在个人明确表示不同意处理其个人信息后，频繁征求同意”等。

网络数据处理者应当建立有效同意获取的标准，且提供撤回同意的路径，确保同意在充分知情的前提下自愿、明确作出，且以主动点击、勾选、填写等肯定性动作自主作出；梳理敏感个人信息类型，仅在具有特定的目的和充分的必要性，并采取严格保护措施的情形下进行处理；确定未满十四周岁未成年人的个人信息处理规则，如向其提供产品或服务，应取得监护人同意，并制定专门的个人信息处理规则。

个人信息转移的具体条件

此前，《个保法》第四十五条第三款规定，“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”，被视为是中国版“数据可携带权”，但目前除了在电信领域“携号转网”方面的实践外，由于一直缺乏具体的规则，该权利往往难以实现。

《网数条例》第二十五条细化了个人信息转移的具体条件，要求网络数据处理者应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径：(1)能够验证请求人的真实身份；(2)请求转移的是本人同意提供的或者基于合同收集的个人信息；(3)转移个人信息具备技术可行性；(4)转移个人信息不损害他人合法权益。网络数据处理者需根据二十五条调整个人信息主体权利响应机制，建立响应流程和相关技术手段支持个人信息主体的权利实现。

此外，《网数条例》还要求网络数据处理者衔接《个保法》第五十三条规定在境内设立专门机构或者指定代表的，履行相应的报送要求(第二十六条);履行个人信息保护合规审计义务(第二十七条)以及处理1000万人以上个人信息的网络数据处理者处理应当参照重要数据处理者履行“安全保护义务”和“因合并、分立、解散、破产等可能影响数据安全时的措施保障和报告义务”(第二十八条)，该条调整了《征求意见稿》中“100万”的阈值，减轻了企业的合规负担。

3.2 完善重要数据安全制度

《数据安全法》对数据安全保护的要求比较零散，尚未对重要数据提出一整套保护要求，《网数条例》完善重要数据安全制度，将“重要数据”定义为“特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”，同时对重要数据处理者的管理义务提出明确的要求，具体而言：

重要数据识别申报义务(第二十九条)。《网数条例》删除了《征求意见稿》中对“重要数据”的列举说明，重申《数安法》第二十一条有关重要数据保护的相关机构职能规定，指出由国家数据安全工作协调机制统筹协调有关部门制定重要数据目录。网络数据处理者应当按照国家有关规定识别、申报重要数据，若相关主管部门已颁布重要数据识别指南，则需要对现有重要数据清单作出调整;若仍在制定阶段，作为数据处理者可根据核心业务涉及的数据类型进行内部初步评估，判断企业是否可能掌握重要数据，评估哪类数据构成重要数据可能性较大，以明确后续业务或数据范围调整。

重要数据安全保护义务(第三十条)。建立网络数据安全负责人和网络数据安全管理机构：(1)制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案;(2)定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动，及时处置网络数据安全风险和事件;(3)受理并处理网络数据安全投诉、举报。第三十条第二款和第三款强调网络数据安全负责人应当具备专业知识和相关管理工作经历，由管理层成员担任。特殊种类、规模的重要数据的网络数据处理者的安全负责人和关键岗位的人员则与《关键信息基础设施安全保护条例》第十四条规定相一致，应当进行安全背景审查，可申请公安机关、国家安全机关协助。

风险评估义务(第三十一条、第三十三条)。《网数条例》细化了《数安法》关于重要数据处理者开展风险评估的情形和风险评估报告内容要求，规定了重要数据处理者在“提供、委托、共同处理重要数据”时应进行风险评估，以及应“每年度对网络数据处理活动开展风险评估”，并报送有关部门。据此，重要数据处理者应制定针对重要数据的定期风险评估及报告制度，结合重要数据所处业务特性、应用场景及流转路径，定期开展风险评估工作，评估工作应涉及处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

3.3 优化网络数据跨境安全管理规定

《网数条例》在总结《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等规定实施经验基础上，进一步优化数据跨境流动机制，第三十五条和三十六条明确了网络数据处理者可以向境外提供个人信息的条件，并规定可以按照缔结或者参加的国际条约、协定向境外提供个人信息。

第三十七条规定未被相关地区、部门告知或者公开发布为重要数据的，不需要将其作为重要数据申报数据出境安全评估。第三十八条明确网络数据处理者通过数据出境安全评估后向境外提供个人信息和重要数据的，不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。

网络数据处理者应当针对可能存在数据跨境传输的场景，进行梳理和评估，筛选出受中国法规制的数据跨境传输场景;及时跟进数据出境相关法律法规的立法进展，并根据现行法要求建立数据跨境传输管理机制，包括签署与接收方的数据传输协议，明示跨境情况并保障个人信息主体权利、开展安全评估、留存记录等。

4.压实网络平台服务提供者主体责任

《网数条例》通过专章对网络平台服务提供者进行规制，虽然未对“网络平台服务提供者”作出定义，但在附则中列出了“大型网络平台”的定义，“注册用户5000万以上或者月活跃用户1000万以上，业务类型复杂，网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。”

《网数条例》第四十和四十一条规定了网络平台服务提供者、第三方产品和服务提供者等主体的网络数据安全保护要求，并要求提供应用程序分发服务的网络平台服务提供者建立应用程序核验规则并开展网络数据安全相关核验。总体而言，较之于《征求意见稿》施加的合规义务而言，进行了一定程度的放宽和简化。

第四十二条针对当前个性化推荐服务关闭难、收集个人信息类型多、个人精准画像数据滥用等问题，明确网络平台服务提供者应当设置易于理解、便于访问和操作的个性化推荐关闭选项，为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。

《网数条例》针对“大型网络平台服务提供者”进行进一步规范管理，要求其每年度发布个人信息保护社会责任报告(第四十四条)、健全相关技术和管理措施以防范网络数据跨境安全风险(第四十五条)，以及明确不得利用网络数据、算法、平台规则等从事相关活动的义务(第四十六条)。

5.结语

《网数条例》作为《网安法》《数安法》及《个保法》的重要补充，细化了上述法律中的具体要求，同时也对网络数据安全管理领域的前瞻性问题给出了回应。《网数条例》相较于《征求意见稿》而言做了简化与调整，展示了在确保数据安全底线和红线的同时，立法者为统筹发展与安全，促进产业发展减轻合规负担的努力。渐行渐实，相信《网数条例》的出台及后续的有效实施，会带来企业合规意识和合规水平的不断提升，为数字经济的发展创造一个更加开放、包容的生态环境。

作者简介：

孙鹏程 大成中国区数字业务中心副秘书长，数据安全共同体计划专家

徐安妮 北京大成(宁波)律师事务所

文章来源：数据安全共同体计划