網(wǎng)絡(luò)數(shù)據(jù)安全管理新規(guī)解讀匯報人：XXX前言主要內(nèi)容解讀13目錄3適用范圍01前言前言

2024年9月30日,網(wǎng)絡(luò)數(shù)據(jù)安全管理新規(guī)正式公布,于2025年1月1日起正式施行。自網(wǎng)信辦于2021年11月公布征求意見稿以來,新規(guī)經(jīng)歷3年的等待終于“靴子落地”。其出臺標(biāo)志著我國網(wǎng)絡(luò)安全與數(shù)據(jù)領(lǐng)域的合規(guī)監(jiān)管逐漸成熟,并將正式邁入新的階段。02適用范圍適用范圍適用范圍

其適用于“網(wǎng)絡(luò)數(shù)據(jù)處理活動”和“網(wǎng)絡(luò)數(shù)據(jù)處理者”。03內(nèi)容解讀內(nèi)容解讀

內(nèi)容基本承襲了“數(shù)據(jù)三法”的框架,但其中對于“數(shù)據(jù)三法”進(jìn)行重申或補充的部分,很可能成為未來監(jiān)管部門關(guān)注和執(zhí)法的重點:

(一)爬蟲與AIGC

1.規(guī)范使用爬蟲等自動化采集工具對于使用爬蟲等自動化采集工具訪問、收集網(wǎng)絡(luò)數(shù)據(jù)的熱門場景,繼今年5月從反不正當(dāng)競爭角度提出監(jiān)管要求后,新規(guī)進(jìn)一步從網(wǎng)絡(luò)數(shù)據(jù)安全角度新增兩項義務(wù)——第18條對網(wǎng)絡(luò)數(shù)據(jù)處理者新增了評估影響的義務(wù)、第24條則新增了合規(guī)處置特殊個人信息的義務(wù)。(一)爬蟲與AIGC

2.加強管理AIGC訓(xùn)練數(shù)據(jù)及其處理活動

對于時興的生成式人工智能(AIGC),繼去年7月發(fā)布的《生成式人工智能服務(wù)管理暫行辦法》,新規(guī)第19條首次對訓(xùn)練數(shù)據(jù)提出安全管理要求——提供AIGC的網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)加強對訓(xùn)練數(shù)據(jù)及其處理活動的安全管理,采取有效措施防范和處置網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險。(二)網(wǎng)絡(luò)平臺服務(wù)

1.加強對接入平臺的第三方產(chǎn)品/服務(wù)提供者的監(jiān)督

《第40條強調(diào)網(wǎng)絡(luò)平臺服務(wù)者對接入其平臺的第三方產(chǎn)品和服務(wù)提供者具有監(jiān)督義務(wù)并負(fù)有相應(yīng)連帶責(zé)任:

應(yīng)通過平臺規(guī)則或者合同等明確接入其平臺的第三方產(chǎn)品和服務(wù)提供者的網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)義務(wù)應(yīng)督促第三方產(chǎn)品和服務(wù)提供者加強網(wǎng)絡(luò)數(shù)據(jù)安全管理(如因該第三方違法違規(guī)或違約開展網(wǎng)絡(luò)數(shù)據(jù)處理活動,對用戶造成損害的,網(wǎng)絡(luò)平臺服務(wù)提供者與該第三方產(chǎn)品和服務(wù)提供者將承擔(dān)相應(yīng)責(zé)任)

此外,該條款還特別強調(diào)“預(yù)裝應(yīng)用程序的智能終端等設(shè)備生產(chǎn)者”同樣需適用上述規(guī)定。注意，涉及生產(chǎn)智能家電、醫(yī)療化工器械(例如,檢測儀預(yù)裝分析程序)等設(shè)備的企業(yè)也應(yīng)予以注意,及時更新相應(yīng)合作協(xié)議、加強監(jiān)督工作,還可考慮投保網(wǎng)絡(luò)數(shù)據(jù)損害賠償相關(guān)責(zé)任險種。(二)網(wǎng)絡(luò)平臺服務(wù)

2. “大型網(wǎng)絡(luò)平臺”的認(rèn)定和義務(wù)

首次從行政法規(guī)層面明確了“大型網(wǎng)絡(luò)平臺”的量化標(biāo)準(zhǔn)。此外,尚未明確企業(yè)是需要自行開展認(rèn)定,還是后續(xù)會由主管部門公布相應(yīng)名單。(二)網(wǎng)絡(luò)平臺服務(wù)

如企業(yè)初步判斷認(rèn)定其服務(wù)涉及大型網(wǎng)絡(luò)平臺,則需注意新增義務(wù):

每年度發(fā)布《個人信息保護(hù)社會責(zé)任報告》(說明個人信息保護(hù)措施和成效、個人行使權(quán)利的申請受理情況、主要由外部成員組成的個人信息保護(hù)監(jiān)督機(jī)構(gòu)履行職責(zé)情況等內(nèi)容)；

跨境提供網(wǎng)絡(luò)數(shù)據(jù)的,應(yīng)遵守國家數(shù)據(jù)跨境安全監(jiān)管要求；

不得利用網(wǎng)絡(luò)數(shù)據(jù)、算法以及平臺規(guī)則等損害用戶合法權(quán)益；

處理重要數(shù)據(jù)的,還應(yīng)在其年度風(fēng)險評估報告充分說明關(guān)鍵業(yè)務(wù)和供應(yīng)鏈網(wǎng)絡(luò)數(shù)據(jù)安全等情況。(三)個人信息保護(hù)

1.啟動個人信息合規(guī)審計準(zhǔn)備工作

個信法要求個人信息處理者定期開展合規(guī)審計,第27條從行政法規(guī)層面對網(wǎng)絡(luò)數(shù)據(jù)處理者重申這一要求,并明確了審計的開展方式——“自行或者委托專業(yè)機(jī)構(gòu)”。結(jié)合去年公布的意見稿)、今年7月公布的國家標(biāo)準(zhǔn)個人信息保護(hù)合規(guī)審計要求意見稿),這進(jìn)一步預(yù)示個人信息審計相關(guān)法律或標(biāo)準(zhǔn)即將正式出臺。(三)個人信息保護(hù)

2.指定境內(nèi)專門機(jī)構(gòu)/指定代表并報送信息(僅限境外企業(yè))

對于在中國境外處理中國境內(nèi)個人信息的企業(yè)而言,新規(guī)第26條重申了個信息法下境外個人信息處理者在境內(nèi)設(shè)立專門機(jī)構(gòu)或指定代表的信息報送要求,進(jìn)一步明確報送對象為“所在地設(shè)區(qū)的市級網(wǎng)信”,并要求“網(wǎng)信部門應(yīng)當(dāng)及時通報同級有關(guān)主管部門”。(三)個人信息保護(hù)

3.完善個人信息轉(zhuǎn)移請求配套機(jī)制

第25條首次明確了個人行使其個信保護(hù)法下“轉(zhuǎn)移權(quán)”的具體條件,很有可能增加用戶請求企業(yè)轉(zhuǎn)移其個人信息的頻次。(三)個人信息保護(hù)

4.處理1000萬人以上個人信息的企業(yè)

第28條要求處理1000萬人以上個人信息的網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)參照遵守重要數(shù)據(jù)處理者的部分義務(wù)。這意味著首次在一般法規(guī)的層面,將滿足一定數(shù)量級的個人信息界定為重要數(shù)據(jù)。

根據(jù)目前的規(guī)定,其他有關(guān)重要數(shù)據(jù)的義務(wù)暫時不適用于處理1000萬以上個人信息的企業(yè),例如專項風(fēng)險評估和年度風(fēng)險評估和報送(但個人信息的提供、委托處理和共同處理在現(xiàn)行法律下也需要進(jìn)行安全影響評估)。(四) 重要數(shù)據(jù)

1.及時識別并申報重要數(shù)據(jù)

第29條重申了數(shù)安法有關(guān)部門制定重要數(shù)據(jù)目錄的內(nèi)容,并且繼《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》后再次強調(diào)網(wǎng)絡(luò)數(shù)據(jù)處理者識別、申報重要數(shù)據(jù)的義務(wù)。重要數(shù)據(jù)的識別無疑是后續(xù)合規(guī)義務(wù)履行的基石。由于數(shù)安法、網(wǎng)安法均無重要數(shù)據(jù)的定義,數(shù)據(jù)出境安全評估辦法、汽車數(shù)據(jù)安全管理若干規(guī)定(試行)以及國家標(biāo)準(zhǔn)《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則》曾在實踐中起重要參考作用。(四) 重要數(shù)據(jù)

2.重要數(shù)據(jù)專項風(fēng)險評估

第31條新增了重要數(shù)據(jù)的“專項風(fēng)險評估”要求——除履行法定職責(zé)或者法定義務(wù)外,重要數(shù)據(jù)的處理者應(yīng)當(dāng)在提供、委托處理、共同處理重要數(shù)據(jù)前進(jìn)行風(fēng)險評估(對比而言,個人信息的影響評估還包括處理敏感個人信息和數(shù)據(jù)出境。但由于重要數(shù)據(jù)本身均屬于“敏感數(shù)據(jù)”,且其出境需要經(jīng)過安全評估。重點評估內(nèi)容包括:

(四) 重要數(shù)據(jù)

3.重要數(shù)據(jù)處理者的年度風(fēng)險評估與報送

對于處理重要數(shù)據(jù)的網(wǎng)絡(luò)數(shù)據(jù)處理者,第33條新增了“年度風(fēng)險評估”與報送要求:

(五)

網(wǎng)絡(luò)數(shù)據(jù)跨境

1. 個人信息出境路徑的拓寬

不僅重申了個信法下的個人信息出境路徑,更從行政法規(guī)層面將《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》規(guī)定的3種豁免條件確立為出境路徑。(五)

網(wǎng)絡(luò)數(shù)據(jù)跨境

2.數(shù)據(jù)出境安全評估時需明確出境規(guī)模

此前數(shù)據(jù)出境安全評估辦法規(guī)定,如數(shù)據(jù)處理者出境數(shù)據(jù)的目的、方式、范圍與種類發(fā)生變化的,則需重新申報數(shù)據(jù)出境安全評估。

對此,進(jìn)一步增加了對“規(guī)?！钡南拗茥l件。即,要求網(wǎng)絡(luò)數(shù)據(jù)處理者僅能按照其已通過數(shù)據(jù)出境安全評估的出境目的、方式、范圍和種類、規(guī)模等向境外提供個人信息和重要數(shù)據(jù)。(六)

網(wǎng)絡(luò)數(shù)據(jù)安全事件應(yīng)對

1.24小時內(nèi)上報網(wǎng)絡(luò)產(chǎn)品重大風(fēng)險

第10條新增有關(guān)網(wǎng)絡(luò)產(chǎn)品或服務(wù)危害國安、公共利益的上報要求——當(dāng)網(wǎng)絡(luò)數(shù)據(jù)處理者發(fā)現(xiàn)其提供的網(wǎng)絡(luò)產(chǎn)品、服務(wù)涉及危害國安、公共利益時,其應(yīng)在24小時內(nèi)報告。(六)

網(wǎng)絡(luò)數(shù)據(jù)安全事件應(yīng)對

2.網(wǎng)絡(luò)數(shù)據(jù)安全事件的上報與通知義務(wù)

第11條重申了數(shù)安法、網(wǎng)安法中網(wǎng)絡(luò)安全事件的上報義務(wù),要求網(wǎng)絡(luò)數(shù)據(jù)局處理者在發(fā)生網(wǎng)絡(luò)數(shù)據(jù)安全事件時“按照規(guī)定向有關(guān)主管部門報告”。

此外,第11條還新增了網(wǎng)絡(luò)數(shù)據(jù)安全事件的通知義務(wù)——除法律、行政法規(guī)另有規(guī)定外,當(dāng)網(wǎng)絡(luò)數(shù)據(jù)安全事件對個人、組織合法權(quán)益造成危害時,網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)及時以特定方式將特定內(nèi)容通知利害關(guān)系人。(七)

監(jiān)管減負(fù)

為合理銜接此前網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)領(lǐng)域的既