《网络数据安全管理条例》解读分析
2024年9月24日国务院总理李强签署国务院令,公布《网络数据安全管理条例》(以下简称《条例》),自2025年1月1日起施行。《条例》旨在规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益。《条例》共9章64条,主要规定了以下内容。
一是细化个人信息保护规定。明确处理个人信息的规则和应当遵守的具体规定。要求网络数据处理者提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求。明确使用自动化采集技术等采集个人信息的保护义务,细化个人信息转移请求实现途径等。
二是提出网络数据安全管理总体要求和一般规定。明确鼓励网络数据在各行业、各领域的创新应用,对网络数据实行分类分级保护,积极参与网络数据安全相关国际规则和标准的制定,加强行业自律,禁止非法网络数据处理活动。要求网络数据处理者履行建立健全网络数据安全管理制度、安全风险报告、安全事件处置等义务。
三是完善重要数据安全制度。明确制定重要数据目录职责要求,规定网络数据处理者识别、申报重要数据义务。规定网络数据安全管理机构和网络数据安全负责人的责任。明确重要数据风险评估具体要求。
四是优化网络数据跨境安全管理规定。明确网络数据处理者可以向境外提供个人信息的条件,规定可以按照缔结或者参加的国际条约、协定向境外提供个人信息。规定未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。
五是明确网络平台服务提供者义务。规定网络平台服务提供者、第三方产品和服务提供者等主体的网络数据安全保护要求。明确通过自动化决策方式向个人进行信息推送的规则,规定大型网络平台服务提供者发布个人信息保护社会责任年度报告、防范网络数据跨境安全风险等要求。
为进一步筑牢网络安全屏障,通过深入分析总结过往网络安全实战经验的经典案例,总结网络与信息安全防护的“三要点”。
要点一:依法合规处理第三方信息
接入第三方产品和服务提供者的网络数据时,应当通过平台规则或者合同等明确接入第三方的网络数据安全保护义务。第三方违法并造成损害的,应当依法同时承担相应责任。
要点二:强化数据安全风险管理
通过自动化决策方式向个人进行信息推送时,应当设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。
要点三:主动开展实战化安全防护评估
每年度报送风险评估报告,风险评估报告应当包括处理者基本信息、处理情况、安全管理制度、安全事件及处置情况、提供大型网络平台服务提供者还应当充分说明关键业务和供应链网络数据安全情况。
跨境数据服务是数字经济全球化的重要组成部分,对于促进国际贸易、加强国际合作、推动技术创新和经济发展具有重要意义。为进一步夯实网络安全工作,提炼过往经典案例总结出可以向境外提供个人信息的主体。
一是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理的主体,确需向境外提供员工个人信息。
二是按照国家网信部门的规定关于个人信息出境标准合同的规定。
三是为订立、履行个人作为一万当事人的合问确需向境外提供个人信息。
为进一步贯彻落实网络数据安全管理条例,保障网络数据安全,应加强网络平台服务提供者履行义务的自驱力。
接入第三方产品和服务提供者提供的网络数据时应当通过平台规则或者合同等明确接入第三方的网络数据安全保护义务。第三方违法并造成损害的,应当依法同时承担相应责任。
提供应用程序分发服务时应当建立应用程序核验规则并开展网络数据安全相关核验,发现违法时应当予以处理。通过自动化决策方式向个人进行信息推送时应当设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。
大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告。依法遵守国家数据跨境安全管理要求。不得利用网络数据、算法以及平台规则通过误导、欺诈、胁迫等方式处理数据。不得无正当理由限制用户访问、使用其在平台上产生的网络数据。不得对用户实施不合理的差别待遇,损害用户合法权益。