2024年9月24日,国务院正式公布了《网络数据安全管理条例》(下称《网数条例》),将于2025年1月1日起施行。《网数条例》细化和明确了个人信息保护、重要数据安全保障、数据跨境流动机制建立、网络平台服务提供者义务、网络数据安全管理工作的部门职责分工等板块的管理规范和要求,对企业等网络数据处理者开展、落实数据安全合规、自查和纠正工作具有重要指导意义。
一、要点速递
(一)个人信息保护要求
1、制定个人信息处理规则履行告知义务的,应以清单形式列明,并集中、公开、醒目展示,内容包括数据处理者的名称、联系方式,删除、限制处理个人信息的方法和途径,处理敏感个人信息的必要性及对个人权益的影响,信息保存期限等。
2、明确基于个人同意处理个人信息应当遵守的基本要求,如收集个人信息应当为提供产品或服务所必需、不得超范围收集,敏感个人信息需要书面同意的,应当依照相关规定执行。
3、信息处理者应为个人行使对个人信息的查阅、复制、更正、补充、删除等权利提供便捷途径,个人要求转移个人信息的,符合条件的应予以办理。
4、数据处理者应定期自行或委托专业机构对个人信息处理的情况进行审计。
5、处理1000万人以上个人信息的,应按照对重要数据处理者的要求,设置安全负责人和管理机构,在出现合并、分立、解散、破产等可能影响数据安全的情况时,应采取安全保障措施并向省级以上主管部门报备。
(二)重要数据安全保障
1、《网数条例》所规定的重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
2、各地区、各部门按照数据分类分级保护制度,制定本地区、本部门及相关行业、领域的重要数据目录,网络数据处理者需要按照相关规定进行识别、申报重要数据,并履行数据安全保护义务。
3、重要数据处理者应设置网络数据安全负责人和网络数据安全管理机构,负责制定实施数据安全管理制度、操作规程、应急预案、定期风险监测及风险评估、宣传培训、及时处置数据安全风险和事件,受理投诉及举报等工作。其中数安负责人应由处理者的管理层成员担任,需进行安全背景审查。
4、重要数据的处理者应每年度对其网络数据处理活动开展风险评估,并明确风险评估报告内容;要求提供、委托处理、共同处理重要数据前,应当对该行为的合法、正当、必要性、信息接收方的诚信守法和安全防范情况等进行风险评估;如出现公司合并、分立、解散、破产等可能影响重要数据安全的,还应采取相关措施保障数据安全,并省级以上主管部门报备。
(三)网络数据跨境安全管理
《网数条例》在总结《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等部门规章制定实施经验基础上,进一步优化数据跨境流动机制。
1、由国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制,研究制定国家网络数据出境安全管理相关政策,协调处理网络数据出境安全重大事项。
2、需向境外提供个人信息的,视不同情况需要满足相应的条件,如应通过国家网信部门的数据出境安全评估,或按照网信部门规定经专业机构进行个人信息保护认定,以及按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息等。
3、确需向境外提供重要数据的,应通过国家网信部门组织的数据出境安全评估。未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。
4、通过数据出境安全评估后向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等要求。
5、规定国家采取措施,防范、处置网络数据跨境安全风险和威胁。
(四)网络平台服务提供者义务
1、网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者负有网络数据安全保护义务,提供应用程序分发服务的网络平台服务提供者应当建立应用程序核验规则并开展网络数据安全相关核验。
2、针对当前个性化推荐服务关闭难、收集个人信息类型多、个人精准画像数据滥用等问题,明确网络平台服务提供者应当设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。
3、国家推进网络身份认证公共服务建设,鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息。
4、大型网络平台服务提供者还应遵守特别规范要求,如应每年度发布个人信息保护社会责任报告、防范网络数据跨境安全风险的要求,以及明确不得利用网络数据、算法、平台规则等从事相关活动的义务。
5、大型网络平台,是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。
二、视点小结
随着网络科技和数据化的高速发展,国家、社会和个人对于数据安全的重视程度与日俱增,企业在提供产品和服务的同时,还承担着保障国家安全以及相关个人合法权益的重要社会责任。《网数条例》的出台对网络数据安全合规工作的开展和落地提供了重要规范依据,为顺应合规要求,企业应主动做好文件的宣传学习并依照规定履行相关职责。