2025年1月1日,《网络数据安全管理条例》正式施行,这是我国网络数据安全法律体系中的重要一环。如果说数据安全法是网络数据安全的上位法,个人信息保护法是个人信息保护的专门法,那么网络数据安全管理条例就是承上启下的行政法规,将数据安全法的原则要求细化为可操作的管理规范。很多企业在这部条例征求意见阶段就开始关注,正式施行后更是直接影响了企业的数据安全管理实践。这篇内容梳理条例的核心要点和对企业的实际影响。
网络数据安全管理条例的定位非常明确,就是依据数据安全法、网络安全法和个人信息保护法制定,对网络数据处理活动进行规范。条例适用于在中华人民共和国境内利用网络开展数据处理活动的所有组织和个人,对网络数据的定义涵盖了所有通过网络收集、存储、使用、加工、传输、提供和公开的数据。这意味着绝大多数企业的信息处理活动都处在条例的覆盖范围之内。
条例对网络数据分类分级保护制度作出了细化规定。条例明确要求国家数据安全工作协调机制统筹协调有关部门制定网络数据分类分级保护规则,行业主管部门对本行业网络数据进行分类分级。企业应当按照国家规定对网络数据进行分类分级,并采取相应的保护措施。条例将网络数据分为一般数据、重要数据和核心数据三个级别,不同级别的数据适用不同的保护要求。
条例对重要数据和核心数据的管理提出了更高要求。处理重要数据的企业应当明确数据安全负责人和管理机构,落实数据安全保护责任。重要数据的处理者应当每年至少开展一次数据安全评估,并向有关主管部门报送评估报告。对于核心数据的处理者,安全评估频次和保护要求更高。条例明确要求重要数据和核心数据的处理者应当优先采购安全可信的网络产品和服务。
条例对网络数据跨境传输管理进行了系统规定。条例与数据出境安全评估办法、个人信息出境标准合同办法等配套规定相互衔接,构成了完整的跨境数据管理制度体系。条例明确重要数据的出境应当通过国家网信部门组织的安全评估,个人信息出境可以采取安全评估、标准合同和认证三种合规路径。条例还特别规定了国际司法协助中的数据出境管理要求,为跨国司法数据协作提供了法律依据。
条例对网络平台服务提供者提出了专门的合规义务。网络平台服务提供者应当建立数据安全管理体系,明确数据安全负责人,对平台内数据处理活动进行监督。大型网络平台还应当定期发布个人信息保护社会责任报告,接受社会监督。条例对平台通过自动化决策方式进行信息推送、商业营销等活动的合规要求进行了细化,要求平台提供不针对个人特征的选项或便捷的拒绝方式。
条例对网络数据安全事件应急管理提出了明确要求。企业应当制定网络数据安全事件应急预案,定期组织应急演练。发生数据安全事件时,应当立即启动应急预案,采取补救措施,向有关主管部门报告。涉及个人信息的,还应当按照个人信息保护法的要求通知个人信息主体。条例明确了事件报告的时间要求,企业在发现数据安全事件后应当在规定时间内完成报告。
条例的行政执法框架更加完善。条例明确了网信部门、电信主管部门、公安部门和其他有关主管部门在数据安全管理中的职责分工,建立了跨部门的信息共享和执法协作机制。违反条例规定的行为将依法受到行政处罚,拒不改正或情节严重的,可以责令暂停相关业务、停业整顿,甚至吊销许可证。条例还设置了信用惩戒机制,将违规行为纳入信用记录。
企业应当如何应对网络数据安全管理条例的施行。建议企业从几个方面入手:第一,组织对条例原文的系统学习,理解条例与现有法律的关系。第二,对照条例要求开展合规差距分析,识别当前管理实践中的不足。第三,更新企业数据安全管理制度,将条例要求内化到内部规范中。第四,加强数据安全技术防护能力建设,部署符合条例要求的技术措施。第五,建立常态化的数据安全监测和报告机制。
常见问题
Q1:网络数据安全管理条例和已有的数据安全法是什么关系? A:条例是数据安全法的配套行政法规,对数据安全法的原则性规定进行了细化和补充,具有更强的操作性。
Q2:条例对中小企业的要求是否有所区别? A:条例对中小企业的基础安全要求没有差别,但在重要数据和核心数据处理等义务设定上,根据数据处理规模进行了分级管理。
Q3:条例实施后企业之前的数据安全管理制度还能用吗? A:企业现有的数据安全管理制度需要对照条例要求进行修订和补充,特别是在重要数据管理、跨境数据传输和应急管理等方面。
