作者：金茂律师事务所  金文玮 律师

国庆长假前国务院颁布了《网络数据安全管理条例》，算是给我们从事数据法业务的律师送了个国庆学习礼包。好在《网络数据安全管理条例》（以下简称安全条例）总共六十四条，连标题才9624个字，相比于《个人信息保护法》的七十四条，总共13420字要少了许多（当然比只有五十五条总共5363字 的《数据安全法》还是要多了许多），解读的工作量还不算太大。

2021年《个人信息保护法》、《数据安全法》颁布实施，之后又有2022年《数据出境安全评估办法》，2023年又发布了《个人信息保护安全审计管理办法》的征求意见稿，《网络数据安全管理条例》是行政法层面对三年来数据安全规范的一次小结，同时又有一些制度上的创新。

一、总则

总则部分有七条，共647字。总则的规定总是比较原则性的，不可能有什么具体的规范，但总则体现了立法者的态度和对未来趋势的预判（或者说期待）。
长臂管辖：第二条第二款重申了对在境外处理境内个人信息的管辖，第三款规定了境外数据处理行为损害国家安全、公共利益以及其他境内主体权益的，依法追究法律责任。

这是从《个人信息保护法》、《数据安全法》以来，一以贯之的“长臂管辖”思路。
数据业务重点方向：第四条是立法者给大家划重点，国家鼓励数据创新应用、加强安全防护能力建设、支持技术产品服务创新、开展宣传教育和人才培养、促进开发利用和产业发展。

国际化视野：第六条“积极参与网络数据安全相关国际规则和标准的制定”体现了立法者的国际化视野，这在之前的立法中都未曾有过提及。

二、一般规定

一般规定部分有十三条，共1645字。“一般规定”十三条中有十条规定的是网络数据处理者的义务，所以“一般规定”更像是对网络数据处理者“一般义务”的规定，由于大部分“一般义务”都是重申了之前《个人信息保护法》、《数据安全法》的内容，所以本文只挑一些值得说的地方予以解读。

“等保”只是基础：第九条规定“在网络安全等级保护的基础上，加强网络数据安全防护，建立健全网络数据安全管理制度，采取加密、备份、访问控制、安全认证等技术措施和其他必要措施”。

很多企业都有一个误解，以为网络完全只要做完等保即可。此次安全条例明确了网络安全等级保护只是基础，安全防护、安全管理等都是在等保的基础上继续加强——万一发生了网络数据安全事件，“完成等保”将不再是企业免于行政处罚的“免死金牌”。

重大风险24小时内报告：第十条规定了发现存在安全缺陷、漏洞风险时，网络数据处理者应采取的措施，有一点需要特别注意“涉及危害国家安全、公共利益的，网络数据处理者还应当在24小时内向有关主管部门报告”。

告知利害关系人：第十一条第二款首次规定了网络数据处理者向利害关系人告知安全事件的义务，当然前提是对合法权益造成了危害。立法者还贴心的列举了告知的方式“电话、短信、即时通信工具、电子邮件或者公告等方式”，个人判断在未来的实践中，“公告”可能是最主流的告知方式——毕竟成本最低。

首次明确“爬虫”的界线：第十八条对“使用自动化工具访问、收集网络数据”也就是大家俗称“爬虫技术”的界线做出了规定——不得非法侵入他人网络，不得干扰网络服务正常运行。

在我的印象中，这是首次在立法中对“爬虫”合法与非法的界线做出明确规定。之前“爬虫”技术获取数据的案例，都是涉及个人信息的案件，对爬取非个人信息数据的情况，其实存在立法的空白，这次第十八条填不上了这个空白。

而且违反第十八条的，可以适用第五十五条的罚则，法律后果包括没收违法所得、罚款、停业整顿、吊销相关业务许可证、营业执照等，对直接责任人也有可处以罚款。

说了等于没说的人工智能：第十九条对生成式人工智能的数据安全也做了规定，但是内容非常笼统，有种想说却不知道该说什么，只能说些说了等于没说的话。

三、个人信息保护

第三章“个人信息保护”有八条，共1410字，大部分内容是对《个人信息保护法》中规定的重申与文字细化，不过毕竟《个人信息保护法》已经实施了三年，我们可以在安全条例中看到立法者根据三年实践中积累的经验对个人信息保护内容做出的微调。

保存期限定不了，就定确定保存期的方法：《个人信息保护法》规定告知个人信息处理规则中应该包含信息保存期限，安全条例第二十一条第一款第（三）项，做出了更加进一步的细化——个人信息保存期限和到期后的处理方式，保存期限难以确定的，应当明确保存期限的确定方法。这明显是对实践中争议做出的解答。

不得频繁征求同意：第二十二条第一款（五）项规定不得在个人明确表示不同意处理其个人信息后，频繁征求同意。这项应该是实践中经验教训的总结。

个人查询复制权的延伸：第二十五条规定了个人可以指定其他网络数据处理者访问、获取原网络数据处理者手中的个人信息。这其实延伸了《个人信息保护法》中个人对自己信息的查询、复制权。

四、重要数据安全

第四章“重要数据安全”只有五条，但有1558字，比个人信息保护的字数还多，可见这一章受重视的程度。由于都是细致的具体规定，因为篇幅关系，所以我只挑三点内容。

重要数据的定义发生了变化：读第四章前，先要看第九章第六十二条中对重要数据的定义：“指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。”

相比于之前对重要数据的定义，安全条例中增加了“特定领域、特定群体、特定区域或者达到一定精度和规模”，表面上定语增加范围缩小，但实际上扩大了重要数据的外延——重要数据以危害国家安全、经济运行、社会稳定、公共健康和安全为判断标准，但定义太大会导致很多数据不被认为是重要数据（例如某一地方所有居民的医疗数据），安全条例对此做了修正，限缩了危害的范围，反而达到了扩大重要数据外延的效果。

数据安全负责人；第三十条规定了重要数据处理者应设置数据安全管理机构、负责人，尤其值得注意的第二款与第三款。

第二款规定“网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历，由网络数据处理者管理层成员担任，有权直接向有关主管部门报告网络数据安全情况”——数据安全负责人并不是第一次出现在立法中，但这是首次立法规定负责人不但要有专业知识和相关管理工作经历，还要是管理层成员。

第三款规定掌握特定种类、规模的重要数据的网络数据处理者，应当对网络数据安全负责人和关键岗位的人员进行安全背景审查，加强相关人员培训。审查时，可以申请公安机关、国家安全机关协助。这也是数据法体系首次在立法中提出对关键岗位人员进行“安全背景审查”的要求。

年度风险评估报告：第三十三条规定重要数据处理者每年度都要开展风险评估，并向省级以上有关主管部门报送风险评估报告。而且大型网络平台服务提供者报送的风险评估报告，除一般内容外，还应当充分说明关键业务和供应链网络数据安全等情况。

五、网络数据跨境安全管理

第五章网络数据跨境安全管理有六条，共738字。由于数据出境已经有很多单行的管理办法，所以安全条例没有在这里用过多的篇幅。

数据出境途径的归纳：第三十五条对数据出境的途径做了归纳

1.数据出境安全评估

2.个人信息保护认证

3.个人信息出境标准合同

4.为订立、履行个人作为一方当事人的合同

5.跨境人力资源管理

6.履行法定职责或者法定义务

7.紧急情况下为保护自然人的生命健康和财产安全

六、网络平台服务提供者义务

第六章网络平台服务提供者义务共七条，875字。

这是数据法体系首次区分“数据处理者”与“网络平台服务提供者”的概念。个人认为数据收集、储存、传输都属于数据处理行为，那么不存在不处理数据的网络平台服务提供者，网络平台服务提供者应该属于数据处理者的一个子集；但是立法者的思路应该是试图区分出“不处理数据，仅提供平台接入”的平台服务提供者——有点类似于网络信息传播中的网络空间服务提供者。

纠结的网络平台服务提供者责任：第四十条第一款规定网络平台服务提供者通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务；第二款规定预装应用程序的智能终端等设备生产者适用第一款规定；第三款规定对用户造成损害的，网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者应当依法承担相应责任；第四款规定鼓励通过保险的方式解决损害赔偿。

从第四十条的内容可以看出立法者对平台服务提供者责任的纠结。如果数据由第三方处理，那么要求平台服务提供者对数据安全承担太多责任并不公平，但如果就此免除平台服务提供者的责任似乎也不妥当，所以立法者对平台服务提供者的数据安全责任与承担的损害赔偿责任都做了比较模糊的处理，最后还鼓励采用保险方式解决损害赔偿。

“网络身份证”的自愿原则：第四十三条客观上回应了前段时间网上吵得沸沸扬扬的“网络身份证”话题——网络身份证按照政府引导、用户自愿原则进行推广应用。

七、监督管理

第七章监督管理共八条，1146字。网络安全法、数据安全法和个人信息保护法都没有单独列章规定监督管理，安全条例作为行政法规对监督管理的行政行为进行细化的梳理与规定。

国家数据局出场：第四十七条第三款规定国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责。

数据安全检查措施：第五十条规定了数据安全检查的措施包括1. 要求网络数据处理者及其相关人员就监督检查事项作出说明；2.查阅、复制与网络数据安全有关的文件、记录；3.检查网络数据安全措施运行情况；4.检查与网络数据处理活动有关的设备、物品；5.法律、行政法规规定的其他必要措施。

数据安全检查的“最小化原则”与“绿色原则”：第五十一条第二款规定网络数据安全监督检查中不得访问、收集与网络数据安全无关的业务信息，获取的信息只能用于维护网络数据安全的需要，不得用于其他用途。

第五十二条规定应避免不必要的检查和交叉重复检查，避免重复评估、审计；重要数据风险评估和网络安全等级测评的内容重合的，相关结果可以互相采信。

八、法律责任

第八章法律责任有八条，共954字。其中第五十九条规定有了三种可以从轻、减轻或者不予行政处罚的情形：
1.主动消除或者减轻违法行为危害后果；

2.违法行为轻微并及时改正且没有造成危害后果；

3.初次违法且危害后果轻微并及时改正。

《网络安全法》规定违法后拒不改正的，予以行政处罚，《数据安全法》删除了“拒不改正”这一前置条件，等于有违法行为就可以予以行政处罚，此次安全条例第五十九条实际上是在引导网络数据处理者主动消除或减轻危害后果，并进行整改。