其次,在跨境报备豁免中,《网数条例》增加了“履行法定职责或者法定义务”这一情形,极大便利了各类主体在跨境交易中的数据传输需求,解决了当下痛点问题。
第三,《网数条例》正式稿在征求意见稿的基础上删除了一些较为繁琐的义务性条款,如“结构化查询”以及“平台规则重大修订时需征求社会公众意见甚至经过第三方机构和监管部门同意”的要求。这些变动简化了企业的合规流程,降低了操作难度和成本。
第四,对于大型平台及重要数据处理者而言,年度审计或评估的要求也有所调整。正式稿取消了必须由外部机构执行的规定,赋予企业更大的自主权来选择适合自身的评估方式。
第六,《网数条例》对企业在使用自动化采集技术过程中可能遇到的问题提供了指导。根据法案规定,当自动化采集不可避免地收集到非必要的个人信息或未依法取得个人同意的信息从技术上难以实现删除或匿名化时,网络数据处理者应当停止除存储和采取必要安全保护措施之外的任何处理行为。这一规定为诸多新技术、新应用的合规开发指明了方向,如大模型训练中通过爬虫等方式获取海量数据但无法有效剥离非必要信息的情形等,在避免数据滥用风险的同时也保障了企业的正常运营和技术进步。
2、“网络安全审查”的消失和“国家安全审查”的唤醒
此前,在征求意见稿中引起企业广泛讨论的一项规定是增加了《网络安全审查条例》之外的网络安全审查情形。然而,在正式版本中,这一条款被删减,将网络安全审查的事实依据完全归置于《网络安全审查条例》之下,从而缓解了部分赴港上市企业对此方面的担忧。
3、法律衔接与术语统一
正式稿在措辞方面进行了统一与优化工作。例如,把征求意见稿中“共享”一词修改为“提供”,与《个人信息保护法》的表述保持一致,其目的在于消除法律术语方面的歧义,进而确保法规具备严谨性以及一致性。
二、关于重要数据
1、重要数据的界定和细化
重要数据,是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
在此基础上,正式版本的《网数条例》进一步发展了重要数据的定义。它延续了2023年推荐性指南《信息安全技术重要数据处理安全要求(征求意见稿)》的思路,并进行了更为细致的规定。在原有基础上增加了“特定领域、特定群体、特定区域或者达到一定精度和规模”描述内容。这意味着重要数据的认定并非基于数据的固有属性,而是要综合考虑不同业务领域、不同区域以及数据主体等多种因素动态识别。这种定义方式与当前在汽车行业、工信领域、数据出境、安全审查等多个领域或场景下对重要数据外延的差异化规定相互呼应,体现了法规对不同行业和场景的适应性。
例如,北京市近期发布的自贸区数据出境负面清单就给出了一个关于“一定规模”的具体例子。在该清单中,重要数据被明确界定为涉及一千万人以上的个人信息、一百万人以上的敏感个人信息或十万人以上的特别敏感个人信息(如金融账户、诊疗信息等)。
此外,与征求意见稿相比,正式版本的一大变化是,参照重要数据保护规则适用的个人信息数量门槛从一百万人提升至一千万人。并且,适用的义务规则也进行了调整,达标的处理者增强义务仅限于任命网络数据安全负责人和网络数据安全管理机构,以及在企业发生合并、分立、解散、破产等情况下的报告义务。
2、重要数据的监管机构
在《网数条例》征求意见稿中,重要数据的监管涉及多个部门,常见表述为“网信部门和主管、监管部门”。这种多头监管模式本质上类似于“九龙治水”,不仅使企业的合规成本显著攀升,还可能造成因监管机构不明晰而导致的各种“消耗”问题。在正式稿中,监管职责被归口于“主管部门”,一定程度上将监管进行了集中。
3、数据处理者合规义务:不止于重要数据和个人信息
在《网数条例》颁布之前,人们普遍认为对于非个人信息及非重要数据的监管尚处于空白状态。尽管《数据安全法》第二十七条和第二十九条包含了一些有关制度和流程方面的要求,但据我们观察,这些规定实践中难以落地,缺乏实际的可操作性以及明确的指引作用。在《网数条例》中,明确规制的义务主体为网络数据的处理者,而网络数据定义较为宽泛,包含了一般数据(排除个人信息和重要数据)。为便于读者参考,我们特拟以下表进行总结:
点击可查看大图
三、关于个人信息保护
1、个人信息跨境:新增“履行法定职责与法定义务”豁免情形
对于个人信息跨境,在《个人信息保护法》第三十八条以及《促进和规范数据跨境流动规定》第五条豁免情形的基础上,《网数条例》第三十五条新增了“为履行法定职责或者法定义务”这一“可以向境外提供个人信息”的情形。
2、“集中公开展示”+“双清单”
*同时涉及多份个人信息处理规则(同时制定《隐私政策》《未成年人个人信息处理》等)、或同时涉及生效中的个人信息处理规则和已失效的历史个人信息处理规则时,建议通过一个界面(含嵌入形式界面)进行集中展示;
*避免用户仅可通过注册界面或仅可通过客服咨询等方式查找个人信息处理规则。
3、“法律责任变化”+“APP特殊合规义务”
2)APP特殊合规义务:
*“提供产品或者服务所必需”:在APP合规方面,建议优先划分“基本业务功能”和“扩展业务功能”,并以此细化区分各个功能下的个人信息收集是否为提供产品或者服务所必需;
*“频繁征求同意”:在APP合规方面,《网数条例》未明确频繁应对标准的前提下,建议可参考不具有强制约束力的《移动互联网应用程序(App)收集使用个人信息自评估指南》等规定中提供的“48小时内问询超过1次”的频繁认定标准。
4、个人信息存储:自行设定方法
《个人信息保护法》第十七条要求个人信息处理规则需要包含“个人信息保存期限”内容的告知,但实操中个人信息主体往往面临着保存期限较难确定的问题。《网数条例》明确了此种情形之下,数据处理者应当以合理的方式,自行确定保存期限及其方法,并予以明确告知。
5、个人信息委托处理、对外提供和共同处理
对于《个人信息保护法》第二十一条、二十三条和二十条下的个人信息委托处理、对外提供、共同处理三类行为,《网数条例》进行了以下重点内容的新增:
6、携带权适用条件进一步明确
对于个人信息可携带权问题,与征求意见稿相比,《网数条例》正式稿有以下变化:
1)增加“转移个人信息具备技术可行性”的适用条件:司法裁判中关于可携带权的多个争议认定中也强调了此适用条件,《网数条例》的规定,进一步明确了落地标准。
2)由“提供转移服务”修改为“提供访问、获取途径”:该点减轻了企业的合规负担,数据处理者在响应该类行权请求时,可进行更为灵活的安排与设置。
3)不增加额外成本作为行权准则。对于请求次数等明显超出合理范围的收费,由“收取合理费用”修改为“根据转移个人信息的成本收取必要费用”。在此,处理者应当有针对性地留存证明材料,并结合成本制定费用收取标准,以免发生争议。
7、个人信息合规审计
对于个人信息保护合规审计问题,此前国家网信办已发布《个人信息保护合规审计管理办法(征求意见稿)》,后续该文件会对于个人信息保护合规审计问题进行细化规定。对此,《网数条例》虽未进一步细化,但规定了多种评估、审计机制之间的协调问题,即个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估要加强衔接,避免重复评估、审计。该点对于减轻企业合规负担具有重要意义。
8、域外适用:适用情形衔接+报送部门确定
1)适用情形:《网数条例》第二条第二款衔接了《个人信息保护法》第三条第二款的规定,无新增内容,仍需依据《个人信息保护法》的情形进行适用性判断;
2)报送的具体监管部门:《网数条例》第二十六条明确了《个人信息保护法》第五十三条境外网络数据处理者在境内设置专门机构或者指定代表的报送监管部门,并指明该类主体应当向市级网信部门报送。类似于GDPR下的DPO设置,对于落入上述适用范围的境外网络数据处理者而言,建议重视此项合规义务,尽快在中国境内专门机构或者指定代表,明确其个人信息保护具体职责,并向有关机构备案。