政策解读 | 构建产业安全新格局,深度解读《网络数据安全管理条例》最新政策
2024年9月30日,国务院总理李强日前签署国务院令,公布《网络数据安全管理条例》(以下简称《条例》),自2025年1月1日起施行。《条例》作为中央立法规划之一,历经三年时间终于正式发布,其位阶和效力是一部仅次于《网络安全法》和《数据安全法》等法律的“行政法规”,弥补了此前我国数据安全领域法律规则体系中行政法规层级的制度空白,完善了该领域“法律-行政法规-部门规章”的全位阶法律规范体系。
出台背景及意义
回顾《条例》近3年的制定历程,2021年11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》并向社会公开征求意见。此后《条例》于2022年、2023年、2024年连续三年写入国务院立法规划中。国家网信办在总结近年来网络数据安全管理实践经验、征求有关方面意见并向社会公开征求意见的基础上,向国务院报送了《条例(草案送审稿)》。司法部在立法审查中,广泛征求有关中央单位、地方人民政府、企事业单位、行业协会和专家学者意见,赴地方开展实地调研,多次召开企业和行业协会座谈会听取意见,会同国家网信办反复研究修改,形成了《条例(草案)》。2024年8月30日,国务院常务会议审议通过了《条例(草案)》,2024年9月30日《条例》正式发布。
《条例》可看作是数据安全领域三大基础性法律的实施细则,通过一部行政法规统筹落实了《网络安全法》、《数据安全法》、《个人信息保护法》三部基础性上位法所规定的数据安全管理要求,对在个人信息保护、重要数据安全管理、网络数据跨境安全管理、网络平台服务提供者义务等方面的相关制度规定予以细化、补充、完善,理清并强化了数据安全领域不同法律规范之间的制度衔接,增强法律规范的系统性。进一步地,《条例》明确要求对网络数据采用加密等技术措施保护,为《密码法》、《商用密码管理条例》等密码推广与创新发展工作规划构建主要应用场景,塑造密码与数据安全二元赛道相互促进、过程与结果双合规的产业新格局。《条例》的正式发布进一步夯实了我国数据安全管理制度底座,具有鲜明的系统性、创新性、时代性和开放性。
《条例》重点内容解读
《条例》共9章64条,内容包括:总则、一般规定、个人信息保护、重要数据安全、网络数据跨境安全管理、网络平台服务提供者义务、监督管理、法律责任和附则共九个部分。此次的正式稿与征求意见稿对比做出了70多处修订。相较于21年征求意见稿中对于“重要数据、跨境数据处理活动、赴境外上市处理活动”等内容的额外关注和重点监管,本次正式稿中删除了大量严厉的数据处理活动规则,整体显示了更为柔性、灵活和全面的规范态度,重点完善重要数据的处理规则,与个人信息监管构成“对称平衡”的范式,统筹了三法的相关关系,展开和细化了相关制度的具体实施规则。
此次发布的《条例》主要规定了以下三方面内容:
提出网络数据安全管理总体要求和一般规定。明确鼓励网络数据在各行业、各领域的创新应用,对网络数据实行分类分级保护,积极参与网络数据安全相关国际规则和标准的制定,加强行业自律,禁止非法网络数据处理活动。要求网络数据处理者履行建立健全网络数据安全管理制度、安全风险报告、安全事件处置等义务。
细化个人信息保护规定。明确处理个人信息的规则和应当遵守的具体规定。要求网络数据处理者提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求。明确使用自动化采集技术等采集个人信息的保护义务,细化个人信息转移请求实现途径等。
完善重要数据安全制度。明确制定重要数据目录职责要求,规定网络数据处理者识别、申报重要数据义务。规定网络数据安全管理机构和网络数据安全负责人的责任。明确重要数据风险评估具体要求。
下面,澳门永利皇宫官网入口将结合《条例》的修订对重点内容做出详细解读:
一、《条例》对网络数据的类型及形式做出调整
1、在《条例》第六十二条中指出,“网络数据,是指通过网络处理和产生的各种电子数据”。对比《个人信息保护法》和《数据安全法》的定义,网络数据的数据类型限制在“电子数据”范畴内,非电子形态的数据不在《条例》管制范畴内。
2、同时,对于《数据安全法》和《个人信息保护法》中“个人信息的处理”“重要数据的处理者”“个人信息处理者”等表述,《条例》做了提炼整合,给出“网络数据处理者”这一重要概念,并在该概念基础上对不同数据类型及相应数据处理活动的处理者义务进行了规范:
在所处理的数据类型方面,《条例》所关注的数据处理主体包括了“个人信息处理者”和“重要数据处理者”两大核心主体,并将后者细分出“掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者”和“处理重要数据的大型网络平台服务提供者”等。
在所涉及的数据处理场景方面,《条例》所关注的数据处理主体还包括了“国家机关”和“网络平台服务提供者”,后者并进一步细化为“大型网络平台服务提供者”、“预装应用程序的智能终端等设备生产者”、“提供应用程序分发服务的网络平台服务提供者”等。
3、《条例》仍旧延续了以数据分类分级为基础开展网络数据保护工作。《条例》并未新增新型数据类型,同时删减了大量数据类型规定,沿袭和明确了“个人信息”和“重要数据”等经典概念,对诸多数据类型,包括个人信息、政务数据、一般数据、重要数据、核心数据、国家秘密和工作秘密做出了调整,如下:
个人信息:沿用《个人信息保护法》定义,即“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。
重要数据:对重要数据《条例》首次进行了行政法规层级的定义,即“重要数据,是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”。该定义与GB_T 43697-2024《数据安全技术 数据分类分级规则》中的规定几乎保持一致,但值得注意的是,《条例》并未作出类似《数据安全技术 数据分类分级规则》中的排除项,即并未在行政法规层面明确认为“仅影响组织自身或公民个体的数据一般不作为重要数据”。
核心数据、国家秘密和工作秘密:《条例》明确确定核心数据、国家秘密和工作秘密不受《条例》规定和约束。对于该三者的定义,依旧参考《数据安全技术 数据分类分级规则》和《中华人民共和国保守国家秘密法》。
二、《条例》确立了不同的网络数据处理者的义务
针对上述各不同数据处理主体,《条例》在三法基础上整合并确立了不同的网络数据处理者义务,具体如下:
1、一般性义务
《条例》第二章“一般规定”中,规定了网络数据处理者的一般性义务,对比《条例》征求意见稿,值得关注的一般性义务包括:
禁止性义务:禁止性义务涵盖了包括窃取、以其他非法方式获取、非法出售、非法提供网络数据等禁止性行为,并首次在网络数据使用环节明确要求“不得利用网络数据从事非法活动”。
网络数据安全保护义务:确立了以网络安全等级保护基础上的网络数据安全防护,捋顺了三法之间在安全保护义务上的以网络安全为底座,以数据分类分级为抓手,管控不同数据类型的安全处理逻辑。
网络产品、服务安全风险报告义务:对比征求意见稿,正式稿中补充了为网络数据处理者提供网络产品、服务引入了符合国家标准作为强制性要求,并明确了相关网络产品、服务出现安全缺陷、漏洞且有可能涉及危害国家安全、公共利益时网络数据处理者在24小时内向有关主管部门的报告义务。
网络数据安全事件应急处置义务:该义务要求网络数据处理者应当建立健全网络数据安全事件应急预案并在发生网络数据安全事件时立即启动预案、按规定报告主管业务部门、通知相关权益受损方、对涉嫌犯罪活动依规定报案,并明确了网络数据处理者应当“配合开展侦查、调查和处置工作”。相比《条例》征求意见稿,在通知相关权益受损方时,取消了“公告通知”的合法性基础。
网络数据第三方传输义务:该义务在借鉴《个人信息保护法》中个人信息传输义务的基础上,规定了重要数据的第三方传输义务。具体约束行为包括对外提供、委托处理个人信息和重要数据活动,所应遵循的义务包括了签署合同义务、监督接收方义务以及为期3年的处理情况记录。对比于《个人信息保护法》中,对于对外提供个人信息,并未明确签署合同义务及监督接收方义务,该义务可视为对个人信息第三方传输义务的重要补充。
国家安全审查义务:《条例》第二章第十三条规定,“网络数据处理者开展网络数据处理活动,影响或者可能影响国家安全的,应当按照国家有关规定进行国家安全审查”。该条款相比征求意见稿发生了相当大的调整,删除了“数据处理者赴香港上市,影响或者可能影响国家安全的”审查情形,将大大安抚赴港上市上市企业的担忧。但也需要注意,无论是《条例》还是《网络安全审查办法》,始终保留“影响或者可能影响国家安全”的数据处理活动将面临“依职权审查”的法定审查情形,换言之,在新《条例》的柔性规定下,若赴港上市上市企业的数据处理活动影响或者可能影响国家安全的,仍有可能面临网络安全审查。
网络数据接收方义务:针对不同处理活动下的网络数据接收方,《条例》新增或修改了不同的情形下的网络数据接收方义务(第二章第十四条至第十八条),具体可参考《条例》原文。
2、个人信息处理者义务
《条例》第三章为《个人信息保护》,其中规定了网络数据处理者处理个人信息的相关义务。对比征求意见稿和《个人信息保护法》,主要在以下方面需要特别注意:
1)处理超过1000万个人信息的网络数据处理者,应当履行重要数据处理者义务中的重要数据安全保护责任和重要数据处理者主体变动报告义务。
该规定明确了个人信息和重要数据的边界不会发生混淆,即超过规定数量的个人信息其性质仍然为个人信息,但需要依照《条例》要求履行重要数据处理者的特定义务。
2)“同意”规则的细化并明确定义。
《条例》第二十二条(原征求意见稿第二十一条)对实践中存在普遍困惑的争议,进行了细化明确:
对“单独同意”作出了明确定义:“指个人针对其个人信息进行特定处理而专门作出具体、明确的同意”。在实践中,单独同意往往被理解为“单独形式的告知”与“单独动作”的结合;
强调了处理个人信息的必要性原则,即使以“同意”作为合法性基础处理个人信息,也应基于“提供产品或者服务所必需”;
未依法取得个人同意的个人信息应当依法予以删除或者进行匿名化处理;
从行政法规层面确认了违规红线:(1) 不得超范围收集个人信息; (2)不得通过误导、欺诈、胁迫等方式取得个人同意;(3)不得在个人明确表示不同意处理其个人信息后,频繁征求同意。
3) 对个人信息删除义务进行了整合。
在个人信息删除权之外,赋予了无须个人请求行使权利而网络数据处理者必须履行的删除义务,在下列情形下,网络数据处理者应当删除个人信息或者进行匿名化处理。法律、行政法规规定的保存期限未届满,或者删除、匿名化处理个人信息从技术上难以实现的,网络数据处理者应当停止除存储和采取必要的安全保护措施之外的处理:
因使用自动化采集技术等无法避免采集到非必要个人信息;
未依法取得个人同意的个人信息;
个人注销账号的情形。结合《条例》中将个人注销账号纳入个人信息请求权,以及注销账号后的处理方式的规定,该新增规定实质上为监管执法热点“注销权”的形式提供了法定依据。
3、重要数据处理者义务
《条例》第四章为《重要数据安全》其中规定了很多之前未明确的相关内容,包括重要数据处理者义务,其核心主要包括了重要数据识别对接机制的建立、重要数据安全保护责任构建、重要数据处理者主体变动报告,以及重要数据处理者的两项评估义务,即重要数据传输风险评估义务和处理网络数据年度风险评估。
1)重要数据识别申报义务
《条例》延续了《数据安全法》自上而下的重要数据目录制定方式,同时沿袭了《促进和规范数据跨境流动规定》的要求,确立了网络数据处理者应当按照国家有关规定识别、申报重要数据的新增法定义务。
2)重要数据安全保护责任(千万量级个人信息处理者须履行该义务)
明确网络数据安全负责人和网络数据安全管理机构,二者并行存在;网络数据安全负责人由《条例》赋予了网络数据安全负责人直接向有关主管部门报告网络数据安全情况的独立监督权利,并规定了其任职资格。
此外《条例》新增规定对网络数据安全负责人和关键岗位的人员进行安全背景审查,加强相关人员培训。由于实践中往往无法把握审查尺度,因此《条例》还特别规定,“审查时,可以申请公安机关、国家安全机关协助”。
明确重要数据安全保护责任的基本框架,即首先在“在网络安全等级保护的基础上,加强网络数据安全防护”,制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案;定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动,及时处置网络数据安全风险和事件;受理并处理网络数据安全投诉、举报。
3)重要数据处理者主体变动报告(千万量级个人信息处理者须履行该义务)
《条例》规定,重要数据的处理者因合并、分立、解散、破产等可能影响重要数据安全的,应当采取措施保障网络数据安全,并向省级以上有关主管部门报告重要数据处置方案、接收方的名称或者姓名和联系方式等;主管部门不明确的,应当向省级以上数据安全工作协调机制报告。
4)重要数据处理者网络数据年度风险评估
《条例》第三十一至三十三条规定了重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关。值得注意的是,该项评估义务对象并非仅包括重要数据,而是对重要数据处理者所处理的全部网络数据,包括但不限于《条例》述及的个人信息、重要数据、政务数据以及其他《条例》排除数据类型下的一般数据的情况进行全面评估。
对比征求意见稿,《条例》新增、删减、修改了大量评估内容,正式稿中评估内容涵盖了网络数据处理者基本情况;重要数据和个人信息的处理情况,并尤其关注处理重要数据的目的、种类、数量、方式、范围、存储期限、存储地点;相关网络数据安全保护义务的落实情况;网络数据安全风险及其处置情况;重要数据传输风险评估义务的落实情况;网络数据出境情况。若重要数据处理者为大型网络平台服务提供者的,则应额外充分说明关键业务和供应链网络数据安全等情况。
三、《条例》对重要数据做了新的界定和细化
1、重要数据的界定
在我国的数据安全法律法规体系中,关于重要数据的定义一直处于不断完善的过程。《网络安全法》和《数据安全法》这两部基础上位法均未对重要数据给出明确的界定。为了满足数据和数据安全工作中的实际需求,一些相规章文件对重要数据进行了定义,例如《汽车数据安全管理若干规定(试行)》和《数据出境安全评估办法》等规章,均将数据遭到破坏时可能带来的风险作为认定重要数据的判断依据。
在此基础上,《条例》进一步发展了重要数据的定义。它延续了2023年推荐性指南《信息安全技术 重要数据处理安全要求(征求意见稿)》的思路,并进行了更为细致的规定。在原有基础上增加了“特定领域、特定群体、特定区域或者达到一定精度和规模” 描述内容。这意味着重要数据的认定并非基于数据的固有属性,而是要综合考虑不同业务领域、不同区域以及数据主体等多种因素动态识别。这种定义方式与当前在汽车行业、工信领域、数据出境、安全审查等多个领域或场景下对重要数据外延的差异化规定相互呼应,体现了法规对不同行业和场景的适应性。
此外,与征求意见稿相比,正式稿中参照重要数据保护规则适用的个人信息数量门槛从一百万人提升至一千万人。并且,适用的义务规则也进行了调整,达标的处理者增强义务仅限于任命网络数据安全负责人和网络数据安全管理机构,以及在企业发生合并、分立、解散、破产等情况下的报告义务。这在很大程度上减轻了企业的负担,使得企业在处理个人信息时,不必受限于严格的重要数据保护规则。这也反映出监管机构在界定“重要数据”,以及区分不同处理者时采取了更为谨慎的态度,避免因范围过宽而给企业带来不必要的合规成本。
2、重要数据的监管机构
在征求意见稿中,重要数据的监管涉及多个部门,常见表述为“网信部门和主管、监管部门”,在正式稿中,监管职责被归口于“主管部门”,一定程度上将监管进行了集中。
此外,《条例》中将更的“网络数据”同样归口于“主管部门”,这与重要数据的规定保持一致,确保企业在实际操作流程中能够有章可循地确定一个对接部门。
四、“监督管理与法律责任”的变化调整
对比征求意见稿,正式稿在“监督管理与法律责任”方面做了较大的调整。《条例》进一步强调了由网信部门统筹、相关主管部门在各自职责范围内负责的分工与协同的网络数据监督管理机制。在法律责任方面,《条例》与《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等相关法律进行了有效衔接。
1、国家数据管理部门将承担网络数据安全职责
《条例》第四十七条对网络数据安全和监管工作提出了分工要求。值得注意的是,特别针对国家数据管理部门提出了具体工作职责,指出国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责。作为国家数据管理部门,国家数据局于2023年挂牌成立,其主要承担推进数据要素有序流通、数据基础制度建设等数据管理职责,亦先后发布相关文件以履行其数据管理工作职责,如基于“数据二十条”发布的具体细化政策规则等。
2、细化行业主管部门的监督职责
在《数据安全法》《个人信息保护法》等的规定下,行业主管部门在其行业、领域内的承担着重要的监管职责。实践中,相关领域主管部门通过发布行业的数据安全管理规定,以履行其监管职责,如工业和信息化领域、金融领域等。
《条例》第四十八条在相关法律的基础上,对行业主管部门的网络数据安全管理职责进一步的进行了细化,对主管部门提出了诸多主动的数据安全管理要求,以督促行业主管部门落实网络数据安全监管职责,如下:
明确本行业、本领域网络数据安全保护工作机构;
统筹制定并组织实施本行业、本领域网络数据安全事件应急预案;
定期组织开展本行业、本领域网络数据安全风险评估;
对网络数据处理者履行网络数据安全保护义务情况进行监督检查;
指导督促网络数据处理者及时对存在的风险隐患进行整改。
3、明确网信部门统筹开展网络数据安全应急处置工作
《数据安全法》中提出国家建立数据安全应急处置机制,此次《条例》进一步明确了国家网信部门统筹协调有关主管部门履行网络数据安全事件的应急处置职责的要求,包括及时汇总、研判、共享、发布网络数据安全风险相关信息,同时加强网络数据安全信息共享、网络数据安全风险和威胁监测预警以及网络数据安全事件应急处置工作。
4、进一步优化了数据安全监督检查措施
《条例》在征求意见稿的基础上针对监督检查措施进行了进一步优化。在网络数据安全监督检查中,主管部门不仅可以要求相关人员进行说明,同时还可以查阅复制相关文件和记录,以及检查网络数据安全措施运行情况和网络数据处理活动有关的设备、物品等。
《条例》还进一步强调了有关主管部门在网络数据安全监督检查获取的信息只能用于维护网络数据安全的需要,不得访问、收集与网络数据安全无关的业务信息。该规定对相关企业应对主管部门的监管检查过程中的不规范执法行为提供了重要的法律依据,据此切实保护企业的合法权益。此外,在征求意见稿的基础上,新增了有关主管部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密的保密义务。
同时,正式稿中亦为相关企业应对主管部门的监督检查进行了一定程度的“松绑减负”。法案不仅要求有关主管部门在开展网络数据安全监督检查时,应当加强协同配合、信息沟通,合理确定检查频次和检查方式,避免不必要的检查和交叉重复检查,并指出重要数据风险评估和网络安全等级测评的内容重合的,相关结果可以互相采信。
5、首次提出网信部门有权对境外组织、个人的网络数据处理活动进行监管
《条例》第五十四条提出,国家网信部门会同有关主管部门可以依法对境外的组织、个人从事的相关网络数据处理活动采取相应的必要措施,这是首次在法律法规层面明确提出网信部门针对境外组织、个人的监管职责。
此前《数据安全法》和《个人信息保护法》仅在法律层面明确了针对相关境外数据活动的法律适用。《条例》提出针对境外组织、个人的监管,进一步厘清了《数据安全法》和《个人信息保护法》的适用范围。
6、进一步细化法律责任
《条例》在《网络安全法》《数据安全法》《个人信息保护法》的基础上,进一步针对网络数据领域的具体违规行为的罚则进行了细化,明确了相关网络数据处理者的法律责任。
《条例》第八章“法律责任”共7条:
第55条、第56条、第57条规定较为详细,针对违反《条例》所规定的特定合规义务设置了明确的法律责任;
第58条作为兜底条款,将违反《条例》其他合规要求的法律责任交由三法等法律法规处理;
第59条则充分借鉴吸收《行政处罚法》的“包容、教育”理念,对于网络数据处理者主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正的,依照《行政处罚法》的规定从轻、减轻或者不予行政处罚;
第60条与“三法”保持一致,要求国家机关正确履行网络数据安全保护义务;
第61条规定了因违反《条例》而可能承担民事责任、行政责任,以及刑事责任。
五、企业应该做什么
此次《条例》的正式稿较之征求意见稿有大量修订内容,通读《条例》,原以为其是对三法及相关配套文件的重申、补充和梳理,细读后却发现其潜含着许多重要且细微的规则变化,在简化相当规模严厉的数据处理活动规则的同时也为企业新增了很多义务要求。其内容之多、之广、之深,值得我们细读深读、反复理解。
作为数据安全行业从业者,我们需要更为深入地揣摩和理解《条例》相关变化背后监管关切;作为企业服务者,也建议企业遵从《条例》的立法逻辑,做好数据分类分级工作及数据安全管理工作,及时调整网络数据合规的工作抓手。
在此,澳门永利皇宫官网入口结合以往为工业企业提供数据安全技术及服务的实践经验,分享几点针对本《条例》企业应该重点关注的内容,包括但不限于以下几点:
1、积极承担并履行主体责任,在网络安全等级保护的基础上,采取技术措施和其他必要措施,加强网络数据安全防护。
2、依据《条例》更新本企业的数据安全、个人信息保护相关管理制度及细化主题制度,健全企业数据安全管理体系,如《数据安全管理制度》中可考虑修订增加《条例》第八条、第九条、第十三条、第十四条等的规定;《个人信息保护办法》中可考虑修订增加《条例》等十二条、第二十一条、第二十二条、第二十四条、第二十七条等的规定等。
3、更新对外部合作方的数据合规准入管控文本和约束文本,新增/加强对网络数据接收方履行义务的情况进行监督,如需要修订增加《条例》第九条、第十一条、第十二条、第十三条、第十八条、第二十条等的规定。
4、提供网络产品、服务的安全要求、风险处置和告知、报告要求,发生网络数据安全事件后的处置、报告、通知和报案,可参考《条例》第十条、第十一条。
5、处理1000万人以上个人信息的企业还需要特别关注《条例》第三十条、第三十二条对处理重要数据的网络数据处理者作出的规定。
6、使用爬虫等自动化工具访问、收集网络数据的企业还需要特别关注《条例》第十八条,及时自行爬虫等自动化工具评估对网络服务、数据带来的影响。
7、重要数据处理者需要特别关注第四章内容,注意:
确认本企业处理的被相关地区、部门告知或者公开发布的重要数据范围
对外提供、委托处理重要数据的,应事先开展风险评估,通过合同等与接收方约定特定内容,对接收方履行义务的情况进行监督,并保存处理情况记录至少3年
共同处理重要数据的,应事先开展风险评估,并约定各自的权利和义务
合并、分立、解散、破产等可能影响重要数据安全情形下的保护义务和报告要求
重要数据的处理者应每年度对其网络数据处理活动开展风险评估并报送风险评估报告
处理重要数据的大型网络平台服务[25]提供者报送的年度风险评估报告还需报送额外内容
掌握特定重要数据的企业,还应当对网络数据安全负责人和关键岗位的人员进行安全背景审查,加强相关人员培训
8、网络平台服务提供者需要特别关注第六章“网络平台服务提供者义务”内容,除了履行大型网络平台服务提供者责任及义务之外,处理重要数据的大型网络平台服务提供者还有额外需要关注的重点内容,此处不做列举。
9、提供生成式人工智能服务的企业需要《条例》第十九条规定,其中规定更多在于从高位阶层面明确基本要求,相应的具体要求已经由《生成式人工智能服务管理暂行办法》(国家互联网信息办公室令第15号)第七条[35]作出了规定,同时可参考已于2024年2月29日发布的《TC260-003 生成式人工智能服务安全基本要求》及其他生成式人工智能相关规范文件。
10、向境外提供个人信息的企业需要在《个人信息保护法》第三章“个人信息跨境提供的规则”(第三十八条至第四十三条)《数据出境安全评估办法》(国家互联网信息办公室令第11号)《个人信息出境标准合同办法》(国家互联网信息办公室令第13号)《促进和规范数据跨境流动规定》(国家互联网信息办公室令第16号)等规定的基础上,特别关注《条例》第三十四条至第三十九条中对个人信息和重要数据出境的要求。
11、政务、关基、公共服务相关企业需要在《条例》第十五条至第十七条基础上重新审视自身获取的以及对外提供的与此相关的数据,其来源的授权是否充分,合同约定是否有效。
结语
当前,数字经济持续快速发展,数据作为数字时代的新型生产要素在推动经济高质量发展和新质生产力形成中的作用更加凸显。《条例》的发布全面贯彻了党的二十大和二十届二中、三中全会精神,将习近平总书记关于网络数据安全管理的重要指示批示精神以及党中央、国务院决策部署落实到具体条文中,开启了我国数据治理法治化新阶段。作为国家数字经济时代网络安全领域继“三法一条例”之后的又一重要条例,不仅统筹促进网络数据开发利用与保障网络数据安全,夯实了维护数据安全的法治根基,也体现了国家和监管部门在如今的经济环境下,主动为企业减负,增强数据要素市场,建立高效、便利数据流通机制,以高水平数据法治建设护航数字经济高质量发展的决心。
《条例》将在明年正式实施,澳门永利皇宫官网入口建议企业在“过渡期”内,积极履行责任义务,重新审视企业合规工作,更新合规基线,构建更加有力的数据治理安全保障体系,强化数据安全法规制度宣传推广,保障数据依法有序自由流动,切实以数据治理法治化助力网络强国和数字中国建设。