煉石-100問《網絡數(shù)據安全管理條例》V1.0.0

煉石網絡2024年10月2《網絡數(shù)據安全管理條例》規(guī)范網絡數(shù)據處理活動，保障網絡數(shù)據安全學號04M日：04年00月30日中華人民共和國國務院令網絡數(shù)據安全管理條例為了服思同絡國理活,本多,本多二中舉人RAK中半人展其和外處理人民具Kaa內燃人個人的活，得合(半人Ka。國家程行e國家程行e公布《網絡數(shù)據安全管理條例》,自2025年1月1日起施2017年6月1日起施行2021年9月1日起施行2021年11月1日起施行302數(shù)據安全實踐落地參考煉石解讀《網絡數(shù)據安全管理條例》百問類型分布100問網絡數(shù)據安全管理條例一、總體要求類24問(1-24)18問(25-42)18問(43-60)13問(61-73)7問(89-95)3問(96-98)2問(99-100)4《條例》的出臺，通過一部行政法規(guī)統(tǒng)籌落實了上位法律所規(guī)定的數(shù)據安全管理要求，細化了數(shù)據分類分級、數(shù)據跨境流動、個人信息處理等制度規(guī)定,進一步強化了不同法律之間的制度銜接，增強法律規(guī)范的系統(tǒng)性，進一步推動構建形成了“法律-行政法規(guī)-部門規(guī)章”的全位階法律規(guī)范體系。行政行政法規(guī)地方性地方性法規(guī)地方政府規(guī)章部門規(guī)章地方人民政府《網絡數(shù)據安全管理條例》《網絡數(shù)據安全管理條例》5網絡數(shù)據安全管理條例第一章總則1.立法目的2.適用范圍3.基本原則4.鼓勵支持5.分類分級7.行業(yè)自律第五章網絡數(shù)據跨境安全管理第二章一般規(guī)定第三章個人信息保護9.加密保護等措施10.風險補救11.應急處置12.委托處理義務13.網絡安全審查14.網絡數(shù)據轉移義務15.國家機關數(shù)據安全責任16.網絡數(shù)據處理者義務17.電子政務數(shù)據安全管理18.自動化工具19.生成式人工智能服務21.告知方式及內容23.個人合理請求24.匿名化處理第七章監(jiān)督管理47.監(jiān)管體系及職責48.各有關主管部門職責49.國家網信部門職責50.監(jiān)督檢查內容51.客觀公正原則52.協(xié)同配合53.保密義務54.侵害我國利益防范措施25.個人信息轉移途徑26.境外網絡數(shù)據處理者要求27.合規(guī)審計28.處理1000萬人以上個人信息的要求第八章法律責任55.網絡數(shù)據處理者/網絡平臺服務捉供者罰則56.影響國家安全的罰則57.違反重要數(shù)據保護罰則58.法律追責他法遵循59.器免情形60.國家機關違法罰則61.民事/刑事責任20.社會監(jiān)督投訴20.社會監(jiān)督投訴第六章網絡平臺服務提供者義務40.網絡平臺服務提供者義務41.應用程序分發(fā)服務的網絡平臺服務提供者義務43.網絡身份認證公共服務44.大型網絡平臺服務提供者要求45.大型網絡平臺服務提供者跨境網絡數(shù)據處理要求34.數(shù)據出境安全管理機制35.向境外捉供個人信息情形36.國際條約37.數(shù)據出境安全評估42.42.自動化決策信息推送要求38.數(shù)據出境安全評估后要求46.大型網絡平臺服務捉供者不得從事的活動46.大型網絡平臺服務捉供者不得從事的活動39.防范數(shù)據跨境風險39.防范數(shù)據跨境風險第四章重要數(shù)據安全29.重要數(shù)據目錄30.網絡數(shù)據安全負責人要求及管理機構責任31.風險評估內容32.重要數(shù)據處置33.年度風險評估及風險評估報告內容第九章附則62.定義63.他法遵循64.施行日期67第3問：《條例》立法目的和依據是什么? 文機：國務國中華人民共和國國務院令024年24日網絡數(shù)據安全管理條例為了服思同絡國理活為了服思同絡國理活個人，積的合程，中半人展其和外處理人民具Kaa內燃人個人的活，得合(半人Ka個人信保ra)三二2024年9月30日，國務院總理李強日前簽署國務院令，公布《網絡數(shù)據安全管理條例》,自2025年1月1日起施行，旨在規(guī)范網絡數(shù)據處理活動，保障網絡數(shù)據安全，促進網絡數(shù)據依法合理有效利用，保護個人、組織的合法權益，維護國家安全和公共利益。2017年6月1日起施行2021年9月1日起施行2021年11月1日起施行《網絡數(shù)據安全管理條例》《網絡數(shù)據安全管理條例》第4問：《條例》與三部上位法的關系?《個人信息保護法》依托在整體數(shù)據安在整體數(shù)據安全管理體系中起到承上啟下、細化落實的關鍵作用細化落實補充細化落實三部上位法中提出的數(shù)據安全制度，明確實施路徑原則性要求，給出進一步明確規(guī)定重要數(shù)據處理者備案要求和年度報告要求落實三部上位法中提出的數(shù)據安全制度，明確實施路徑原則性要求，給出進一步明確規(guī)定9第5問：《條例》在行政法規(guī)層級有哪些重要影響?《條例》作為行政法規(guī)，以三法為立法依據，在立法層級上低于法律、高《條例》作為行政法規(guī)，以三法為立法依據，在立法層級上低于法律、高于規(guī)章，在三部法律和大量的網信辦等主管部門各種規(guī)章之間形成了一個1.提升立法層級《條例》是對三法的實施細則，將法律的原則性內容制定操作性規(guī)定，同時又將此前大量的規(guī)章甚至更低層級的規(guī)定上升到行政法規(guī)層面，提升了一個立法層級；2.遵守強制性規(guī)定2.遵守強制性規(guī)定《條例》在效力層級上屬于行政法規(guī)，對《條例》中在強制性規(guī)定范疇內的義務設定需特別注意，宜明確在《條例》中對哪些規(guī)定的違反可能會導致民事法律行為因違反“強制性規(guī)定”而被認定為無效的情形。對此，基于規(guī)避風險、從嚴把握的考量，在開展網絡數(shù)據處理相關業(yè)務時，應重點關注相關民事法律行為是否違反第8、16、18、22、23、46條。利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對網絡預案，采取措施防止危害擴大，消除安全隱患，并按照規(guī)定向有關主取警示、不予分發(fā)、暫停分發(fā)或者終止分發(fā)等措施。第四十三條：國家推進網絡身份認證公共服務建設，按照政府引導、用戶自愿原則鼓勵網絡平臺服務捉供者支持用戶使用國家網絡身份認證公共服務登記、核驗條款相較《征求意見稿》,《條例》從風險的事項、應設置事先預防機制的事項、特定主體開展業(yè)務、運用《條例》則通過更加精細化的立法修訂和補充部分條文修訂和補充放寬監(jiān)管放寬監(jiān)管數(shù)據的情況時，須將記錄至少保存三年(第十二條);收緊監(jiān)管部分條文修訂和補充部分條文修訂和補充聯(lián)分析；解疑釋惑完善數(shù)據安全管理法律體系筑牢數(shù)據安全管理制度底座開啟我國數(shù)據治理法治化新階段的基礎性和戰(zhàn)略性價值，如歐盟理事會2023一是構建更加完備的數(shù)據治理法律規(guī)范體系,建立健全數(shù)據交易流通等基礎制度規(guī)則，術發(fā)展帶來的數(shù)據安全風險挑戰(zhàn)，科學運用法律法規(guī)引導新興領域發(fā)展。二是構建更加高效的數(shù)據治理法律實施體系，持續(xù)深化《管理相統(tǒng)一，充分發(fā)揮《條例》在推動數(shù)據展嚴格規(guī)范公正文明網絡執(zhí)法。三是構建更加有力的數(shù)據治理保障體系，強化數(shù)據安全實以數(shù)據治理法治化助力網絡強國和數(shù)字中第12問：《條例》對數(shù)據安全工作提出哪些具體要求?《條例》共9章64條，貫徹總體國家安全觀，界定適用范圍、保護對象、監(jiān)管主體，提出責任義完善網絡數(shù)據分類分級保護制度分類分級保護是網絡數(shù)據安全制度的重要抓手?！稐l例》不僅在總則部分明確了數(shù)據分類分級的一般標準，而且專章構建了重要數(shù)據安全制度。例如，重要數(shù)據目錄、重要數(shù)據的處理者的特別義務和責任、處理前的風險評估的重點內容、風險評估的報告制度、省級以上有關主管部門的監(jiān)壓實網絡數(shù)據處理者責任義務壓實網絡數(shù)據處理者的主體責任是做好網絡數(shù)據安全管理工作的關鍵?！稐l例》提出，一是網絡數(shù)據處理者對所處理網絡數(shù)據的安全承擔主體責任，并要求做好管理制度建設、技術措施使用、漏洞發(fā)現(xiàn)上報、事件應急處置等工作。二是針對為國家機關和關鍵信息基礎設施運營者捉供服務的網絡數(shù)據處理者、提供生成式人工智能服務的網絡數(shù)據處理者、面向社會提供產品服務的網絡數(shù)據處理者、網絡平臺服務捉供者等不同網絡數(shù)強化個人信息、重要數(shù)據保護《條例》在上位法的基礎上，針對網絡數(shù)據處理者提出，一是響應個人信息轉移請求，提供訪問、獲取其個人信息的途徑。二是定期開展個人信息保護合規(guī)審計。三是處理1000萬人以上個人信息的，還應當履行明確網絡數(shù)據安全負責人和管理機構等義務。《條例》針對重要數(shù)據的處理者明確，一是應當按照國家有關規(guī)定識別、申報重要數(shù)據，落實網絡數(shù)據安全保護責任。二是明確網絡數(shù)據安全負責人和管理機構。三是定期開展風險評估。做好網絡數(shù)據跨境安全管理《條例》明確重要數(shù)據出境需要評估，一般數(shù)據依法流動的管理原則，提出了個人信息出境的條件，建立了與新發(fā)展格局相適宜的網絡數(shù)據跨境流動安全監(jiān)管模式。來自：時建中《強化網絡數(shù)據安全治理體系和能力現(xiàn)代化的法治保障》,楊建軍《加快構建網絡數(shù)據安全法規(guī)制度體系全面捉升治理監(jiān)管能力》規(guī)范網絡平臺服務提供者義務《條例》捉出，一是網絡平臺應加強對接入其平臺的第三方產品和服務的網絡數(shù)據安全管理，對應用程序進行安全核驗，規(guī)范使用自動化決策方式進行信息推送，鼓勵使用國家網絡身份認證公共服務。二是明確了大型網絡平臺的定義，并要求其每年發(fā)布年度個人信息保護社會責任報告、報送風險評估報告等要求。健全網絡數(shù)據監(jiān)督管理體制機制規(guī)范網絡數(shù)據處理活動，保障網絡數(shù)據安全，促進網絡數(shù)據依法合理有效利用，是一項需要政府、企業(yè)、社會和個人等各方共同參與的系統(tǒng)工程,特別是建立健全科學高效的監(jiān)管體制，更好發(fā)揮政府的作用?！稐l例》構建了分工與協(xié)同相結合的網絡數(shù)據監(jiān)督管理體制機制，有助于形成網絡數(shù)據安全監(jiān)管合力。第13問：如何理解“網絡數(shù)據”定義?中華人民共和國網絡安全法中華人民共和國網絡安全法網絡數(shù)據，是指通過網絡收集、存儲、傳輸、處理和產生的各種中華人民共和國數(shù)據安全法中華人民共和國數(shù)據安全法第三條本法所稱數(shù)據，是指任何以電子或者其他方式對信息的記錄。中華人民共和國個人信息保護法中華人民共和國個人信息保護法第四條個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人電子數(shù)據。有關的各種信息，不包括匿名化處理后的信息。電子數(shù)據。網絡數(shù)據具備兩方面要素：一是，它指向于電子數(shù)據，相較于《數(shù)安法》中對于數(shù)據更廣的定義(即“任何以電子或者其他方式對信息的記錄”),《條例》將其管轄的范圍僅限定于以電子方式記錄的數(shù)據；二是須通過網絡處理和產生，此處的網絡應既包括互聯(lián)網也包括局域網。強調“屬地原則”原則原則在中華人民共和國境外處理中華人民共和國(一)以向境內自然人捉供產品或者服務為(二)分析、評估境內自然人的行為；域外適用問題十分嚴肅，在這個問題上，《條例》不能突破上位法的規(guī)定。為此，《條例》作為執(zhí)行《個人信息保護法》和《數(shù)據安全法》有關規(guī)定的一部行政法規(guī)，沿襲了《個人信息保護法》的域外適用范圍，融合了《數(shù)安法》以“后果論”適用的域外長臂管轄的精髓，并借第15問：《條例》對數(shù)據開發(fā)利用和產業(yè)發(fā)展有何影響?第三條第四條第三條第四條國家統(tǒng)籌安全和發(fā)展鼓勵創(chuàng)新，加大宣傳教育網絡數(shù)據安全管理工作堅持中國共產黨的網絡數(shù)據安全管理工作堅持中國共產黨的領導，貫徹總體國家安全觀，統(tǒng)籌促進網絡數(shù)據開發(fā)利用與保障網絡數(shù)據安全。解讀第16問：如何落實上位法的數(shù)據分類分級要求?第五條第五條第五十一條個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益行政法規(guī)的規(guī)定，并防止未經授權的訪問以及個人信息泄(一)制定內部管理制度和操作規(guī)程；(二)對個人信息實行分類管理；第17問：數(shù)據分類分級重點要求是什么?第五條：國家根據網絡數(shù)據在經濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對網絡數(shù)據實行分類分級保護。3貫徹上位法分類分級是數(shù)據治理的思路淡化征求意見稿中分類分級表述《數(shù)據安全法》在2021年9月1日實施以來，各方面對數(shù)據分類分級保護制度的內容非常關心。為了落實法律要求、推動數(shù)據安全重要制度的落地，《條例》淡化了征求意見階段對網絡數(shù)據所做一般、重要、核心的三級分級模式，應理解這并非是放棄《數(shù)據安全法》的分類分級規(guī)則。相反，這一法規(guī)層面的“技術處理”考慮在于：維度和分類方法。即使在國家層面上，也很難將管理目標確定為唯一的一種或幾種，這導致在法律法規(guī)中很難明確一種或幾種數(shù)據分類方法。以上原因，導致《條例》最終并沒有對數(shù)據分類作出規(guī)定。這些觀點在《促進和規(guī)范數(shù)據跨境流動規(guī)定》和各地先行先試的數(shù)據出境、跨境清單中得到了充分體現(xiàn)；·另一方面，不固化分級層級，各類網絡數(shù)據處理實踐做更細致分級，例如對復雜或重要的網絡和系統(tǒng)，應細化到四到五級的安全分級，避免組織照搬照抄三級分級模式，反而削弱了對數(shù)據重要性的衡量粒度和量化能力。標準體系可參考的主要標準素引《數(shù)據安全法》個人信息《數(shù)據安全技術數(shù)據分類分級規(guī)則》:附錄B(個人息和重要數(shù)據等內容)《數(shù)據安全技術數(shù)據分類分級規(guī)則》:附錄G(重要《中國(天津)自由貿易試驗區(qū)數(shù)據出境管理清單中國(上海)自由貿易試驗區(qū)臨港新片區(qū)數(shù)據跨境流動分類分級管理辦法(試行)參考來源：《網絡數(shù)據安全管理條例》解讀系列(五):網絡數(shù)據分類分級保護原則22第19問：數(shù)據分類分級的主要國標是什么?器中華人民共和國國家標準Datascurilytechndsg-Ralosfordatadas建議本標準為推薦性國家標準建議本標準為推薦性國家標準標準概述：指導各行業(yè)領域、各地區(qū)、各部門和數(shù)據處理者開展數(shù)據分類分級工作定依據中華人民共和國中華人民共和國網絡安全法定依據中華人民共和國中華人民共和國網絡安全法數(shù)據安全法個人信息保護法數(shù)據安全法在國家數(shù)據安全工作協(xié)調機制指導下開展數(shù)據分類分級保護工作時，首先需要對數(shù)據進行分類和分級，識別涉及的重要數(shù)據和核心數(shù)據，然后建立相應的數(shù)據安全保護措施。2024年3月15日，全國網絡安全標準化技術委員會歸口的國家標準2024年10月1日起實施《數(shù)據安全技術數(shù)據分類分級規(guī)則》發(fā)布?標準適用范圍：第20問：數(shù)據分類分級的基本原則是什么?遵循國家數(shù)據分類分級保護要求，按照數(shù)據所屬行業(yè)領域進行分類分級管理，依據以下原則對數(shù)據進行分類分級?？茖W實用原則邊界清晰原則就高從嚴原則點面結合原則動態(tài)更新原則第21問：數(shù)據分類基本思路是什么?數(shù)據分類基本思路：先行業(yè)領域分類、再業(yè)務屬性分類先按行業(yè)領域分先按行業(yè)領域分再按業(yè)務屬性分特殊情況各行業(yè)各領域主管(監(jiān)管)部門根據本行業(yè)本領域業(yè)務屬性,對本行業(yè)領域數(shù)據進行細化按照行業(yè)領域，將數(shù)據分為工業(yè)數(shù)據、電信數(shù)據、金融數(shù)據、能源數(shù)據、交通運輸數(shù)據、自然資源數(shù)據、衛(wèi)生健康數(shù)據、教育數(shù)據、科學數(shù)據等。如涉及法律法規(guī)有專門管理要求的數(shù)據類別(如個人信息等),應按照有關規(guī)定和標準進行識別和分類。責任部門高高低重要程度核心數(shù)據重要程度核心數(shù)據數(shù)據重要數(shù)據數(shù)據兩大判斷維度兩大判斷維度危害程度一般數(shù)據第23問：數(shù)據分類分級按什么流程落地?數(shù)據處理者進行數(shù)據分類分級時，應在遵循國家和行業(yè)領域數(shù)據分類分級要求的基礎上，參考以下步驟開展數(shù)據分類分級工作。數(shù)據資產梳理制定內部規(guī)則實施數(shù)據分類實施數(shù)據分級審核上報目錄動態(tài)更新管理屬的行業(yè)領域。數(shù)據和核心數(shù)據目,參考影示(一席據分級考)對一服數(shù)程序報送目錄。,動態(tài)更新情形見附錄J(動態(tài)更新情形第24問：如何落實數(shù)據安全國際交流、加強行業(yè)自律等要求?國家積極參與網絡數(shù)據安全相關國際規(guī)則和標準的制定，促進國際交流與合作。國家支持相關行業(yè)組織按照章程，制定網絡數(shù)據安全行為規(guī)范，加強行業(yè)自律，指國家積極參與網絡數(shù)據安全相關國際規(guī)則和標準的制定，促進國際交流與合作。解讀利用網絡數(shù)據從事非法活動從事竊取或者以其他非法方式獲取網絡數(shù)據、非法出售或者非法向他人提供網絡數(shù)據等非法網絡數(shù)據處理活動提供專門用于從事前款非法活動的程序、工具明知他人從事前款非法活動的，不得為其提供互聯(lián)網接入、服務器托管、網絡存儲、通訊傳輸?shù)燃夹g支持，或者提供廣告推廣、支付結算等幫助第八條：任何個人、組織不得利用網絡數(shù)據從事非法活動，不得從事竊取或者以其他非法方式獲取網絡數(shù)據、非法出售或者非法向他人第八條：任何個人、組織不得利用網絡數(shù)據從事非法活動，不得從事竊取或者以其他非法方式獲取網絡數(shù)據、非法出售或者非法向他人提供網絡數(shù)據等非法網絡數(shù)據處理活動。任何個人、組織不得提供專門用于從事前款非法活動的程序、工具；明知他人從事前款非法活動的，不得為其提供互聯(lián)網接入、服務器托管、網絡存儲、通訊傳輸?shù)燃夹g支持，或者提供廣告推廣、支付結算等幫助。切斷和報告，也可能觸犯該法規(guī)；律追責。切斷和報告，也可能觸犯該法規(guī)；律追責。情形1第九條第九條建立健全網絡數(shù)據安全管理制度破壞網絡利用非法獲取泄露篡改·網絡數(shù)據安全保護義務：在客觀上，無論是網絡安全還是數(shù)據安全，其保護要求一定是全面和成體系的，這導致法律條文不可能窮盡所有要求，更多的需要通過標準規(guī)范予以落實。網絡數(shù)據處理者應當履行的安全保護義務不僅僅限于條款列舉的技術措施。相關條款的重點是確立保護制度，特別是建立監(jiān)管體系。監(jiān)管所依據的標準規(guī)范對數(shù)據處理者而言肯定要嚴格遵循，這同樣是屋行法律義務所必需。截至2024年5月，我國已經制定超400余部網絡和數(shù)據安全國家標準，其中網絡安全273項、數(shù)據安全53項、密碼技術93項；從發(fā)展趨勢看，數(shù)據安全標準占比正加速上升?！ねㄟ^技術手段和管理制度相結合的方式，是提升網絡數(shù)據的安全防護水平的必要途徑。強化網絡數(shù)據處理者處置安全事件的責任，不僅迫使企業(yè)在遵守等法律法規(guī)和標準的基礎上，根據不同數(shù)據的特點和風險程度，加強安全投入，采取動態(tài)的網絡數(shù)據安全保障措施，防止網絡數(shù)據被違法犯罪分子利用，也反映出國家在應對日益復雜的網絡安全威脅時，采取了更為系統(tǒng)、全面的治理思路，對企業(yè)提出了更高的安全管理要求。第28問：網絡安全等級保護與數(shù)據安全的關系?第第九條：網絡數(shù)據處理者應當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求，在網絡安全等級保護的基礎上，加強網絡數(shù)據安全防護，建立健全網絡數(shù)據安全管理制度，采取加密、備份、訪問控制、安全認證等技術措施和其他必要措施，保護網絡數(shù)據免遭篡改破壞、泄露或者非法獲取、非法利用，處置網絡數(shù)據安全事件，防范針對和利用網絡數(shù)據實施的違法犯罪活動，并對所處理網絡數(shù)據的安全承擔主體責任。網絡安全和數(shù)據安全交織融合以網絡安全為基礎網絡安全和數(shù)據安全交織融合以網絡安全為基礎雖然我國針對網絡安全和數(shù)據安全分別立法，且理論界、監(jiān)管部門一直在探討網絡安全立法和數(shù)據安全立法孰為上孰為下的問題，但毫無疑問的是，保護網絡安全與保護數(shù)據安全的措施不可能完全區(qū)分開。很難說，防黑客入侵的網絡安全技術手段不是為了保護數(shù)據安全。因此，不能脫離網絡安全保護而談數(shù)據安全，網絡安安全法》第二十七條提出，利用互聯(lián)網等信息網絡開展數(shù)據處理活動,應當在網絡安全等級保護制度的基礎上，履行上述數(shù)據安全保護義務。這一要求符合技術規(guī)律。這并不意味著所有的數(shù)據安全保護目標都可以通過等級保護制度去實現(xiàn)，例如數(shù)據處理者收集使用數(shù)據的合等級保護要求主要是防范外部攻擊和內部人員濫用。但如果數(shù)據處理者自身非法收集、濫用數(shù)據呢?這的確超出了以往安全技術體系的范疇。為此，《條例》落實《數(shù)據安全法》第二十七條的規(guī)定，說清楚什么叫做“在網絡安全等級保護制度的基礎上，履行上述數(shù)據安全保護義務”。為此，《條例》確立了以網絡安全等級保護基礎上的網絡數(shù)據安全防護，捋順了三法之間在安全保護義務上的以網絡安全為底座，以數(shù)據分類分級為抓手，管控不同數(shù)據類型的安全處理邏輯。注意的是，數(shù)據安全的法律法規(guī)將數(shù)據安全與等級保護進行關聯(lián)后，等級保護的技術標準(包括等保測評規(guī)范)有可能第29問：如何理解網絡數(shù)據處理者?解讀整合上位法表述網絡數(shù)據處理者類型承擔更多責任義務處理者”等表述，《條例》提煉整合“網絡數(shù)據處理者”這一重要概念，并在該概念基礎上對不同數(shù)據類型及相應數(shù)據處理活動的處理者義務進行了規(guī)范。人民共和國境內開展網絡數(shù)據處理活動的處理者、在中華人民共和國境外開展網絡數(shù)據處理活動的處理蓋了網絡服務提供商、網絡平臺服務捉供者(其中根據平臺規(guī)模的大小，還可區(qū)分出大型網絡平臺服務提供者)、預裝應用的智能終端設備生產者、應用程序分發(fā)平臺、網絡身份統(tǒng)一認證公共服務平臺等廣泛群體。在特殊場景和情形下，網絡數(shù)據處理者義務及責任可能提升和加·處理特殊數(shù)據：當網絡數(shù)據處理者因處理某些特殊類型的數(shù)據而需要承受比一般性合規(guī)義務更重的責任。例如其處理活動涉及重要數(shù)據或者敏感個人信息，或者開展委托處理或者共同處理活動但涉及電子政務活動和政務數(shù)據、公共服務系統(tǒng)和公共數(shù)據，那么網絡數(shù)據處理者·提供網絡產品服務：若相關運營主體在開展業(yè)務過程中提供了網絡產品與服務，或者利用網絡數(shù)據面向社會提供產品或者服務，這些網絡數(shù)據處理者因將受保護客體的特殊性而被施加特殊義務?！?shù)據收集/使用/提供等：如果網絡數(shù)據處理者的某些行為較為特殊，例如使用技術類工具收集或訪問網絡數(shù)據、利用網絡數(shù)據向公眾進行個性化推薦、使用生成式人工智能工具向公眾提供服務，那么上述處理者需要遵守更高的合規(guī)義務，以保證數(shù)據處理的安全性?？缇硵?shù)據業(yè)務：如果網絡數(shù)據處理者向境外提供產生或來源于境內的個人信息或者重要數(shù)據，或由于公司實體結構發(fā)生變更(如因合井、分立、解散等)而需要轉移網絡數(shù)據，也需提前履行相應的合規(guī)義務,以避免因處理活動可能產生的風險。2023年5月1日，國家市場監(jiān)督管理總局、國家標準化管理委員會發(fā)布的GB/T39204-2022《信息安全技術關鍵信息基礎設數(shù)據安全防護數(shù)據安全防護數(shù)據安全管理數(shù)據安全管理據安全保護計劃，實施數(shù)據安全技術防護，開展數(shù)據安全風險評估，制定數(shù)據安全事件應急預案，及時處置安全事件，組織數(shù)據安全教育、培訓?！⒒跀?shù)據分類分級的數(shù)據安全保護策路，明確重要數(shù)據和個人信息保護相應措施?！⒃谖覈硟冗\營中收集和產生的個人信息和重要數(shù)據存儲在境內。因業(yè)務需要，確需向境外提供數(shù)據的，應當按照國家相關規(guī)定和標準進行安全評估·應建立數(shù)據處理活動全流程的安全能力，數(shù)據安全防護數(shù)據安全防護加工、傳輸、提供和公開等關鍵環(huán)節(jié)，并采取加密、脫敏、去標識化等技術手段保護敏感數(shù)據安王。·應在關鍵信息基礎設施退役廢棄時，按照數(shù)據安全保護策略對存儲數(shù)據進行處理。數(shù)據高可用性數(shù)據高可用性第31問：數(shù)據處理者的應急處置要求有哪些?第十條第十條網絡數(shù)據處理者網絡數(shù)據處理者派全缺陷、漏洞等風險時4解讀解讀應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告網絡數(shù)據處理者還應當在24小時內向有關主管部門報告網絡產品、服務安全風險報告義務：該義務首先為網絡數(shù)據處理者提供網絡產品、服務引入了符合國家標準作為強制性要求，并明確了相關網絡產品、服務出現(xiàn)安全缺陷、漏洞且有可能涉及危害國家安全、公共利益時網絡數(shù)據處理者在24小時內向有關主管部門的報告義務?！稐l例》第十條對網絡數(shù)據處理者提供網絡產品和服務提出了安全性要求。相較于《征求意見稿》及此前發(fā)布的《網絡產品安全漏洞管理規(guī)定》,《條例》第十條更加注重提升整體網絡安全水平、保護用戶權益，不僅澄清《數(shù)據安全法》第二十九條“數(shù)據安全漏洞”等易引起誤解和歧義的表述，便于理解上位法，且與上位法保持一致標準，強制性要求網絡產品和服務須符合國家標準，而且規(guī)定當存在安全缺陷、漏洞等風險時，應立即采取補救措施，并及時告知用戶、報告主管部門。相比之下，《網絡產品安全漏洞管理規(guī)定》僅規(guī)定了網絡產品捉供者在發(fā)現(xiàn)或獲知安全漏洞后2日內向工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺報送相關信息。此外，《條例》還要求在涉及國家安全和公共利益時，網絡數(shù)據處理者應具備快速響應能力，當安全缺陷、漏洞等風險涉及危害國家安全、公共利益時，網絡數(shù)據處理者須在24小時內向有關主管部門報告。這與2023年12月8日網信辦發(fā)布的《網絡安全事件報告管理辦法(征求意見稿)》要求對較大、重大或特別重大網絡安全事件在24小時內補報相關情況和《計算機信息系統(tǒng)安全保護條例》要求在24小時內向當?shù)乜h級以上人民政府公安機關報告計算機系統(tǒng)中發(fā)生的案件存在異曲同工。實踐中，對無任何風險應對經驗的企業(yè)來說，履行24小時內的網絡風險報告義務存在一定的壓力，因此建議相關企業(yè)在日常管理中做好充分的準備和演練。第32問：如何理解數(shù)據安全事件告知義務?第十第十一條網絡數(shù)據處理者應當建立健全網絡數(shù)據安全事件應急預案，發(fā)生網絡數(shù)據安全事件時，應當立即啟動預案，采取措施防止危害擴大，消除安全隱患，并按照規(guī)定向有關主管部門報告。網絡數(shù)據安全事件通知措施網絡數(shù)據安全事件對個人、組織合法權益造成危害的，網絡數(shù)據處理者應當及時將安全事件和風險情況、危害后果、已經采取的補救措施等，以電話、短信、即時通信工具、電子郵件或者公告等方式通知利害關系人；法律、行政法規(guī)規(guī)定可以不通知的，從其規(guī)定。違法犯罪線索舉報機制網絡數(shù)據處理者在處置網絡數(shù)據安全事件過程中發(fā)現(xiàn)涉嫌違法犯罪線素的，應當按照規(guī)定向公安機關、國家安全機關報案，并配合開展偵查、調查和處置工作。解讀解讀第33問：數(shù)據第三方傳輸義務的具體要求是什么?第十二條第十二條1網絡數(shù)據接收方個人信息和重要數(shù)據的網絡數(shù)據接收方提供、委托他人處理個人信息和重要數(shù)據提供、委托他人處理個人信息和重要數(shù)據·應當通過合同等與網絡數(shù)據接收方約定處理目的、方式、范圍以及安全保護義務等，并對網絡數(shù)據接收方履行義務的情況進行監(jiān)督。向其他網絡數(shù)據處理者提供、委托處理個人信息和重要數(shù)據的處理情況記錄，應當至少保存3年。2多個網絡數(shù)據處理者共同處理網絡數(shù)據處理者網絡數(shù)據處理者多個網絡數(shù)據處理者共同處理網絡數(shù)據處理者網絡數(shù)據處理者解讀解讀第34問：《個人信息保護法》對個人信息保存期限的要求是什么?個人信息保存期限以最短必要為原則沒有固定期限：根據必要性的要求，規(guī)定在滿足處理目的后，最短時間內盡快予以刪除。需要企業(yè)制定相應內部合規(guī)制度，就個人信息的存儲及刪除時間進行明確規(guī)定。兜底條款：對個人信息保存期限另有規(guī)定的，從其規(guī)定。常見的法律、法規(guī)另有規(guī)定的情形包括：反洗錢法反洗錢法證券法第35問：什么情形將觸發(fā)國家安全審查?國家安全審查網絡數(shù)據處理者開展網絡數(shù)據處理活動，影響或者可能影響國家安全的，應當按照國家有關規(guī)定進行國家安全審查?！稊?shù)據安全法》第二十四條國家建立數(shù)據安全審查制度，對影響或者可能影響國家安全的數(shù)據處理活動進行國家安全審國家安全審查義務：該條款相比《條例》征求意見稿發(fā)生相當大的調整，明確刪除了“數(shù)據處理者赴香港上市,影響或者可能影響國家安全的”審查情形，將大大安撫赴港上市上市企業(yè)和中介機構的擔憂。依職權審查：但也需要注意，無論是《條例》還是《網絡安全審查辦法》,始終保留“影響或者可能影響國家安全”的數(shù)據處理活動將面臨“依職權審查”的法定審查情形。換言之，若赴港上市上市企業(yè)的數(shù)據處理活動影響或者可能影響國家安全的，仍有可能面臨網絡安全審第十三條：第十三條：網絡數(shù)據處理者開展網絡數(shù)據處理活動，影響或者可能影響國家安全的，應當按照國家有關規(guī)定進行國家安全審查。為落實法律的要求，國家互聯(lián)網信息辦于2017年5月印發(fā)了《網絡產品和服務安全審查辦法(試行)》,表明我國正式建立了該項制度?！毒W絡安全審查辦法》修訂并于2022年2月15日施行，審查重點調整為關鍵信息基礎設施運營者采購網絡產品和服務，數(shù)據處理者開展數(shù)據處理活動，影響或可能影響國家安全的，應當進行網絡安全審查。網絡安全審查重點評估采購活動、數(shù)據處理活動以及國外上市可能帶來的國家安全風險。《條例》出臺，進一步呼應法律法規(guī)的精神內涵，突出數(shù)據安全方面的審查。mm第37問：公司結構發(fā)生變化時，數(shù)據接收方應盡什么義務?第第十四條：網絡數(shù)據處理者因合并、分立、解散、破產等原因需要轉移網絡數(shù)據的，網絡數(shù)據接收方應當繼續(xù)履行網絡數(shù)據安全保護義務?！稐l例》第十四條規(guī)定了當網絡數(shù)據處理者發(fā)生因合并、分立、解散、破產等原因需要轉移網絡數(shù)據的情形，其與提供方與接收方針對提供方，需要按照交易條件進提供方與接收方針對提供方，需要按照交易條件進交易前妥善存儲被交易的網絡數(shù)據法律規(guī)定和安全標準，確保在轉移過程中的傳輸安全和最小范圍的人員接觸，否則交易前或者交易中一旦發(fā)生交易數(shù)據泄露或遭到非法利用，將可能對交易雙方產生重大且無法挽回的影響。清算解散情形特別是在企業(yè)破產清算或解散的情清算解散情形特別是在企業(yè)破產清算或解散的情況下，很多公司易忽視對剩余數(shù)據的安全處理，或未對數(shù)據的去向做商業(yè)機密，甚至破產企業(yè)涉及處理的重要數(shù)據泄露風險增大。保密情形如果交易仍處于保密狀態(tài)，若被交易的網絡數(shù)據涉及個人信息，需要考慮是否對個人進行告知，這取決于交易雙方針對原先處理目的、處理方式是否發(fā)生變更的商議?！稐l例》第十四條明確要求了公司主體結構產生特殊情況下，數(shù)據接收方仍須承擔保護責任，從而避免數(shù)據因企業(yè)破產、分立、解散等而被非法獲取或被濫用。第38問：關鍵信息基礎設施對數(shù)據保護的要求是什么?第十六條：網絡數(shù)據處理者為國家機關、關鍵信息基礎設施運營者提供第十六條：網絡數(shù)據處理者為國家機關、關鍵信息基礎設施運營者提供服務，或者參與其他公共基礎設施、公共服務系統(tǒng)建設、運行、維護的，應當依照法律、法規(guī)的規(guī)定和合同約定履行網絡數(shù)據安全保護義務，提供安全、穩(wěn)定、持續(xù)的服務。前款規(guī)定的網絡數(shù)據處理者未經委托方同意，不得訪問、獲取、留存、使用、泄露或者向他人提供網絡數(shù)據，不得對網絡數(shù)據進行關聯(lián)分析。安全防護安全防護·根據已識別的關鍵業(yè)務、資產、安全風險·在安全管理制度、安全管理機構、安全管理人員、安全通信網絡、安全計算環(huán)境、安全建設管理、安全運維管理等方面實施安全管理和技術保護揩施，確保關鍵信息基礎設施的運行安全檢測評估檢測評估事件處置事件處置·運營者對網絡安全事件進行報告和處置·采取適當?shù)膽獙Υ胧?恢復由于網絡安全事件而受損的功能或服務保護的主要內容及活動主動防御主動防御①主動采取收斂暴露面、捕獲、溯源、干擾和阻斷等措施，開展攻防演習和威脅情報工作②提升對網絡威脅與攻擊行為識別、分析和主動防御能力監(jiān)測預警①建立并實施網絡安全監(jiān)測預警和信息通報制度，針對發(fā)生的網絡安全事件或發(fā)現(xiàn)的網絡安全威脅,提前或及時發(fā)出安全警示②建立威脅情報和信息共享機制，落實相關措施，提高主動發(fā)現(xiàn)攻擊能力本活動是開展安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置等活動的基礎第39問：數(shù)據接收方和受托方應履行哪些義務?第十四~十七條3網絡數(shù)據接收方轉移→網絡數(shù)據接收方需要轉移網絡數(shù)據的國家機關加工政務數(shù)據監(jiān)督受托方履行網絡數(shù)據安全保護義務。履行網絡數(shù)據安全保護義務。第40問：如何保障自動化工具和生成式人工智能服務安全?第十八條第十八條生成式人工智能服務提供生成式人工智能服務的網絡數(shù)據處理者應當生成式人工智能服務提供生成式人工智能服務的網絡數(shù)據處理者應當加強對訓練數(shù)據和訓練數(shù)據處理活動的安全管理，采取有效措施防范和處置網絡數(shù)據安全風險。自動化工具網絡數(shù)據處理者使用自動化工具訪問、收集網絡數(shù)據,應當評估對網絡服務帶來的影響，不得非法侵入他人網絡，不得干擾網絡服務正常運行。解讀《條例》第十八條明確地規(guī)范了網絡數(shù)據處理者在使用自動化工具訪問和收集網絡數(shù)據時的行為。根據該條規(guī)定，《條例》間接承認了自動化采集工具本身的技術中立性，因此要求網絡數(shù)據處理者在使用自動化工具前應當進行風險影響評估。此外，《條例》明確要求不得利用爬蟲等自動化采集工具非法侵入他人的網絡或干擾第三方網絡服務的正常運行。但《條例》沒有糾結究竟多大流量構成干擾網絡正常運行，實踐中網絡數(shù)據處理者也往往沒有能力測試到被爬網站的流量數(shù)量，原有規(guī)定反而造成不少網絡數(shù)據處理者的困惑，甚至權利人憑借此條尋求救濟的也寥寥無幾。與《條例》第十八條相媲美的還有《網絡反不正當競爭暫行規(guī)定》,其明確規(guī)定利用技術手段，非法獲取、使用其他經營者合法持有的數(shù)據，妨礙、破壞其他經營者合法提供的網絡產品或者服務的正常運行的行為，可能構成不正當競爭，從反不正當競爭的角度規(guī)范爬蟲等與《生成式人工智能服務管理暫行辦法》第七條中的規(guī)定相銜接，《條例》第十九條要求提供生成式人工智能服務的網絡數(shù)據處理者加強針對訓練數(shù)據的安全管理。數(shù)據質量和安全直接決定了模型的表現(xiàn)和風險，因此《生成式人工智能服務管理暫行辦法》要求服務提供者使用具有合法來源的數(shù)據和基礎模型，且在涉及處理個人信息時，應當事先取得個人同意或者符合法律法規(guī)的其他情形。在實際操作中，生成式人工智能的應用已滲透到各個行業(yè)，如自動化文本生成、圖像生成、聊天機器人等。一旦訓練數(shù)據包含有害、不合規(guī)信息，或者處理不當，生成的內容便有可能出現(xiàn)偏見、錯誤，甚至侵犯個人隱私、侵犯他人權益。因此，網絡數(shù)據處理者有責任從源頭上加強數(shù)據安全管理，通過嚴格篩選、清理和監(jiān)管訓練數(shù)據，降低生成內容的潛在風險。第十九條第十九條第41問：數(shù)據爬蟲、訓練數(shù)據合規(guī)等場景如何滿足合規(guī)要求?第十八條：第十八條：網絡數(shù)據處理者使用自動化工具訪問、收集網絡數(shù)據，應當評估對網絡服務帶來的影響，不得非法侵入他人網絡，不得干擾網絡服務正常運行。第十九條：提供生成式人工智能服務的網絡數(shù)據處理者應當加強對訓練數(shù)據和訓練數(shù)據處理活動的安全管理，采取有效措施防范和處置網絡數(shù)據安全風險。第二十四條：因使用自動化采集技術等無法避免采集到非必要個人信息或者未依法取得個人同意的個人信息，以及個人注銷賬號的，網絡數(shù)據處理者應當刪除個人信息或者進行匿名化處理。法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除、匿名化處理個人信息從技術上難以實現(xiàn)的，網絡數(shù)據處理者應當停止除存儲和采取必要的安全保護措施之外的處理。數(shù)據爬蟲規(guī)范第18、19條：目前，數(shù)據爬蟲在法律上并無對合法合規(guī)標準做明確的規(guī)定，此次依然是數(shù)據爬蟲規(guī)范第18、19條：目前，數(shù)據爬蟲在法律上并無對合法合規(guī)標準做明確的規(guī)定，此次依然是僅做原則性規(guī)定。如果未經許可爬取個人數(shù)據的，應當刪除或做匿名化處理，如此處理后的法律責任筆者理解應該是豁免的。這一點具有實踐意義，因為數(shù)據爬蟲的行為實在太過普遍，合規(guī)把握難度極大。料數(shù)據合規(guī)作出原則性規(guī)定，并未作出具體的限制，僅原則性要求加強安全管理，防范和處置數(shù)據安全風險，實際上影響很小。如從積極角度觀察，有可能為后續(xù)立法和司法第42問：如何落實上位法的投訴機制?第二十條社會監(jiān)督投訴面向社會提供產品、服務的網絡數(shù)據處理者應當接受社會監(jiān)督，建立便捷的網絡數(shù)據安全投訴、舉報渠道,公布投訴、舉報方式等信息，及時受理并處理網絡數(shù)據安全投訴、舉報?！稐l例》第二十條通過強化社會監(jiān)督，鼓勵公眾積極舉報潛在的網絡數(shù)據安全問題，不僅能夠及時發(fā)現(xiàn)和解決潛在的網絡數(shù)據安全風險，還能有效地保障公眾在網絡數(shù)據安全保護中的知情權和參與權。這種雙重監(jiān)督模式有助于提高網絡數(shù)據安全問題處理的透明度，形成一種更廣泛的監(jiān)督體系，增強網絡數(shù)據處理者的安全意識和自律性，進而促使其在網絡第43問：提供生成式人工智能產品或服務有哪些要求?提供生成式人工智能產品或服務應當遵守法律法規(guī)的要求，尊重社會公德、公序良俗，符合以下要求：1社會主義核心價值觀2防止歧視3不得實施4真實準確5個人隱私保護不公平競爭觀據選擇、模型生成和尊重知識產權、商能生成的內容應當觀據選擇、模型生成和尊重知識產權、商能生成的內容應當·優(yōu)化、捉供服務等過業(yè)道德，不得利用真實準確，采取措心健康，損害肖像·優(yōu)化、捉供服務等過業(yè)道德，不得利用真實準確，采取措心健康，損害肖像對應《互聯(lián)網信息服務算法推薦管理規(guī)定》對應《互聯(lián)網信息服務深度合成管理規(guī)定》第44問：提供者對產品生成內容有哪些責任義務?提供者利用生成式人工智能產品提供聊天和文本、圖像、聲音生成等服務的組織和個人(“提供者”),包括通過提供可編程接口等方式支持他人自行生成文本、圖像、聲音等*除了AIGC技術研即使是提供API接口等接入服務的提涉及個人信息的用于生成式人工智能產品的預訓練、優(yōu)化訓練數(shù)據，應滿足以下要求：民共和國網絡安全法》等法不含有侵犯知數(shù)據包含個人信息的，應當征得個人信息主體同意或者符合法律、行政法規(guī)規(guī)定的能夠保證數(shù)據的真實性、準國家網信部門關于生成式人工智能服務的第46問：提供者如何保護用戶輸入信息和使用記錄?提供者在提供服務過程中，對用戶的輸入信息和使用記錄承擔保護義提供者在提供服務過程中，對用戶的輸入信息和使用記錄承擔保護義務。對應《互聯(lián)網信息服務算法推薦管理規(guī)定》不得非法留存能夠推斷不得非法留存能夠推斷對應《互聯(lián)網信息服務深度合成管理規(guī)定》不得向他人提供不得向他人提供的有關規(guī)定。第二十一條第二十一條網絡數(shù)據處理者的名稱或者姓名和聯(lián)系方式；處理個人信息的目的、方式、種類，處理敏感個人信息的必要性以及對個人權益的影響；個人信息保存期限和到期后的處理方式，保存期限難以確定的，應當明確保存期限的確定方法；途徑等。網絡數(shù)據處理者按照前款規(guī)定向個人告知收集和向其他網絡數(shù)據處理者提供個人信息的目的煉石處理敏感個人信息(如處理)的必要性第48問：敏感個人信息識別主要標準是什么?關于發(fā)布(網培安全標準實n—節(jié)障個人信月安秘字(202413+關于發(fā)布(網培安全標準實n—節(jié)障個人信月安秘字(202413+)本《實》給出了感個人作息識別規(guī)則以及常見敏感個人信息A劇和米202449月14日網絡安全標準化技術委員會秘書處組織編制了《網絡安全標準實踐指南一一敏感個人信息識別指南》,給出了敏感個人信息識別規(guī)則以及常見敏感個人信息類別和示例，可用于指導各組織識別敏感個人信息，也可為敏感個人信息處理和保護工作提供參考。法律依據法律依據個人信息保護法網絡安全法數(shù)據安全法《網絡安全標準實踐指南一敏感個人信息識別指南》示例一條件)然人的人格尊嚴受到侵害；例如容易導致自然人人格尊嚴受到侵害的情形可能包括“人肉搜索”一旦遭到泄露或者非法使用，容易導致自然人的人身安全受到危害；信息既要考慮單項敏感個人信息識別，也要考慮多項一般個法律法規(guī)規(guī)定為敏感個人信息的，從其規(guī)定。類別注：生物識別信息可參考GB/T40660、GB/T41819、GB/T41807、GB與個人信仰的宗教、宗教組織、宗教活動相關解讀解讀強調了處理個人信息的必要性原·未依法取得個人同意的個人信息處理；取得個人同意；(3)不得在個人明網絡數(shù)據處理者基于個人同意處理個人信息的，應當遵守網絡數(shù)據處理者基于個人同意處理個人信息的，應當遵守下列規(guī)定：收集個人信息為提供產品或者服務所必需，不得超范圍收集個人信息，不得通過誤導、欺詐、脅迫等方式取得個人同意；應當取得個人的單獨同意；處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監(jiān)護人的同意；不得超出個人同意的個人信息處理目的、方式、種類、保存期限處理個人信息；不得在個人明確表示不同意處理其個人信息后，頻繁征求同意；個人信息的處理目的、方式、種類發(fā)生變更的，應當重新取得個人同意。法律、行政法規(guī)規(guī)定處理敏感個人信息應當取得書面同意的，從其規(guī)定。安全管理條第52問：數(shù)據處理者基于個人同意處理個人信息，應遵守哪些規(guī)則?第二十二條：網絡數(shù)據處理者基于個人同意處理個人信息的，應當遵守下列規(guī)定：(一)收集個人信息為提供產品或者服務所必需，不得超范圍收集個人信息，不得通過誤導、欺詐、脅迫等方式取得個人同意；(二)處理生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息的，應當取得個人的單獨同意；(三)處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監(jiān)護人的同意；(四)不得超出個人同意的個人信息處理目的、方式、種類、保存期限處理個人信息；(五)不得在個人明確表示不同意處理其個人信息后，頻繁征求同意；(六)個人信息的處理目的、方式、種類發(fā)生變更的，應當重新取得個人同意。法律、行政法規(guī)規(guī)定處理敏感個人信息應當取得書面同意的，從其規(guī)定?！ぁぁ稐l例》第二十二條建立在《個人信息保護法》第十三條合法性基礎上，但特別針對“同意”這項合法性基礎進行了重申并細化了具體要求，包括同意的表達應當“自愿”、同意的范圍應該符合必要性、當個人信息的處理目的、方式、種類發(fā)生變更的,應當重新取得個人同意?！ぴ趯嵺`中，一些應用程序或網絡數(shù)據處理者可能會采用不斷彈出請求窗口的方式，試圖改變用戶的決定，這種行為不僅干擾了用戶體驗，也違背了用戶的真實意愿，即使用戶無奈最后按了“同意”鍵，但這樣的同意應當屬于“無效”的同意。與《信息安全技術個人信息安全規(guī)范(GB/T35273-2020)》第5.3條d)項規(guī)定相呼應，這個規(guī)定有利于減少網絡數(shù)據處理者利用模糊··針對處理除兒童個人信息以外的敏感個人信息，《條例》還規(guī)定應當取得個人的單獨同意或者法律、行政法規(guī)規(guī)定的書面同意;針對處理兒童個人信息，《條例》要求網絡數(shù)據處理者應當取得未成年人的父母或者其他監(jiān)護人的同意。以上規(guī)定連同《條中華人民共和國中央人民政府Q首頁|繁女日期2023年0月6日·為了營造健康、文明、有序的網絡環(huán)境，保護未成年人身心2022年度立法工作計劃”安排，前期國家互聯(lián)網信息辦公室起草了《未成年人網絡保護條例(征求意見稿)》,于2022年3月14日發(fā)布，并面向公眾公開征求意見。中華人民共和國國務院令第780號(成年人同保r40已R2023年9月20日國務1s次常務合議通過，雙予公布，02024年1月日Rn.理2022年10月8日第一條為了營通有利子來或年人身o健的網開填，保來成年人合活模，相(中節(jié)人民共0黑來或年入保第二條來成年人同保護工作皮當望持4國U戶n,望以社合主義核on值觀為就，望持最有利于來或年人n通虛*成年人身0發(fā)展和網語空間的律oM點，實行社會共.自職責部好應年人同路保P工作。aa以上地方人民政府及其有關部門麗各自職責好來成年人同語保護工作。及其他人民圖體，有過會組，基mmn自治組貌tb助有關門好來或年人網保戶I當，n護來年人合活模量。第五腔、家啟sn育引導*成年人加有身0健的活，科學，文明、安全，合理使用同練，預和干報來成年人泥·2023年10月16日，國務院總理李強簽署第766號國務院令，公布《未成年人網絡保護條例》,已經2023年9月20日國務院第15次常務會議通過，自2024年1月1日起施行。未成年人網絡保護條例57第54問：網絡服務提供者如何保護未成年人個人信息?2023年10月16日，國務院總理李強簽署第766號國務院令，公布《未成年人網絡保護條例》,已經2023年9月20日國務院第15次常務會議通過，自2024年1月1日起施行。網絡服務提供者網絡直播服務提供者要求提供未成年人真實身份信息為未成年人提供信息發(fā)布、即時通訊等服務的，應當未成年人或者其監(jiān)護人不捉供未成年人真實身份信息網絡直播服務動態(tài)核驗機制應當建立網絡直播發(fā)布者真實身份信息動態(tài)核驗機制,不得向不符合法律規(guī)定情形的未成年人用戶提供網絡直播發(fā)布服務。個人信息處理者應當嚴格遵守國家網信部門和有關部門關于網絡產品和服務必要個人信息范圍的規(guī)定，不得強制要求未成年人或者其監(jiān)護人同意非必要的個人信息處理行為，不得因為未成年人或者其監(jiān)護人不同意處理未成年人非必要個人信息或者撤回同意，拒保障未成年人和監(jiān)護人處理個人信息的權利應當嚴格遵守國家網信部門和有關部門關于網絡產品和服務必要個人信息范因的規(guī)定，不得強制要求未成年人或者其監(jiān)護人同意非必要的個人信息處理為處理者(對應條例第三十二條)個人信息處理者個人信息處理者第三十四條)啟動安全事件報告知及個人信息處理者對其工作人員應當以最小授權為原則，嚴格設定信息訪問權限，控制未成年人個人信息知悉范圍。工作人員訪問未成年人個人信息的，應當經過相關負責人或者其授權的管理人員審批，記錄訪問情況，并采取技術明確每年開展合規(guī)審計要求人個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計，并將審計(對應條例第三十五(對應條例第三十六(對應條例第三十七第56問：未成年人個人信息保護，網絡服務提供者及監(jiān)護人義務有哪些?2023年10月16日，國務院總理李強簽署第766號國務院令，公布《未成年人網絡保護條例》,已經2023年9網絡服務提供者·應當教育引導未成年人增強個人信息保護意識和能力、學握個人信息范圍·指導未成年人行使其在個人信息處理活動中的查閱、復制、更正、補充、刪除等權利，保護未成年人個人信息權益。·網絡服務提供者發(fā)現(xiàn)未成年人私密信息或者未成年人通過網絡發(fā)布的個人信息中涉及私密信息的,應當及時提示，并采取停止傳輸?shù)缺匾Ｗo措·網絡服務捉供者通過未成年人私密信息發(fā)現(xiàn)未成年人可能遭受侵害的，應當立即采取必要措施保存有關記錄，并向公安機關報告。第57問：使用自動化技術采集個人信息時保護義務有哪些?網絡數(shù)據處理者：應當及時受理，并提供便捷的支持個人行使權利的方法和途徑，不得網絡數(shù)據處理者：應當及時受理，并提供便捷的支持個人行使權利的方法和途徑，不得設置不合理條件限制個人的合理請求。網絡數(shù)據處理者：應當刪除個人信息或者進行匿名化處理。網絡數(shù)據處理者：應當停止除存儲和采取必要的安全保護措施之外的處理。·結合《條例》中將個人注銷賬號納入個人信息請求權，以及注銷賬號后的處理方式的規(guī)定，該新增規(guī)定實質上為監(jiān)管執(zhí)法熱點“注銷權的形式捉供了法定依據。個人信息刪除義多整合，在個人信息刪除權之外，賦予了無須個人請求行使權利而網絡數(shù)據處理者必須同行的前除義務?！ぜ词骨拔囊呀涐槍Α稐l例》第十八條關于使用白動化工具訪問、收集網絡數(shù)據的規(guī)定進行了分析，《條例》第二十四條又針對使用自動化采集技術等手段無法避免采集到非必要個人信息或者采集了未依法取得個人同意的個人信息等情況提出了解決方案—-即刪除或匿名化處理此類不合規(guī)信息。此外，《條例》還特別考慮了實踐中的復雜性和多樣性，對于法律、行政法規(guī)規(guī)定的保存期限未屆滿或者憑借網絡數(shù)據處理者當時的技術手段和經驗難以實現(xiàn)刪除的，允許網絡數(shù)據處理者停止除存儲和必要的安全保護措施之外的處理活動。這種靈活的處理方式既為網絡數(shù)據處理者捉供了在特定條件下合理的應對策略，從而避免了過于僵化的法律規(guī)定給實際操作帶來的困難，又敦促網絡數(shù)據處理者仍然有義務采取必要措施妥苦管理和保護個人信總，并且史加謹慎地對待自動化采集過程中可能產生的非必要信息，防止用戶個人信息被溢用或泄基本前提：個人請求查閱、復制、更正、補充、刪除、限制處理其個人信息，或者個人注銷賬號、撤回同意的匿名化處理義務第二十四條基本前提：因使用自動化采集技術等無法避免采集到非必要個人信息或者未依法取得個人同意的個人信息，以及個人注銷賬號的基本前提：法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除、匿名化處理個人信息從技術上難以實現(xiàn)的解讀參考來源：三萬字精讀(網絡數(shù)據安全管理條例：洞惡數(shù)字戰(zhàn)沒背后的護航力量/威科先行，解讀參考來源：三萬字精讀(網絡數(shù)據安全管理條例：洞惡數(shù)字戰(zhàn)沒背后的護航力量/威科先行，周楊，劉端華律商視點《重磅/全文解讀《網絡數(shù)據安全管理條例第58問：個人信息轉移請求的實現(xiàn)途徑有哪些?對符合下列條件的個人信息轉移請求，網絡數(shù)據處理者應當為個人指定的其他網絡數(shù)據對符合下列條件的個人信息轉移請求，網絡數(shù)據處理者應當為個人指定的其他網絡數(shù)據處理者訪問、獲取有關個人信息提供途徑：能夠驗證請求人的真實身份；請求轉移的是本人同意提供的或者基于合同收集的個人信息；轉移個人信息具備技術可行性；轉移個人信息不損害他人合法權益。請求轉移個人信息次數(shù)等明顯超出合理范圍的，網絡數(shù)據處理者可以根據轉移個人信息的成本收取必要費用。解讀參考來源：三萬字精讀(網絡數(shù)據安全管理條例：洞惡數(shù)字戰(zhàn)沒背后的護航力量/威科先行“數(shù)據可拂帶權”作為一類新型權利，在借鑒歐盟《通用數(shù)據保護條例》(GDPR)立法經驗的基礎上，《個人信息保護法》第四十五條第三款僅對其做出原則性的界定，即個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規(guī)定條件的，個人信息處理者應當捉供轉移的途徑。然而，何為“國家網信部門規(guī)定的條件”,《個人信息保護法》并未公布其解。并且，《個人信息保護法》實施后，由于缺乏實施細則，實踐中，要實現(xiàn)此條的操作技術難度也較高，因此企業(yè)目前僅實現(xiàn)了“數(shù)據可攜帶權”的一半含義，即”副本下載”,尚未能充分實現(xiàn)另一半立法本意，即數(shù)據向第三方產品和服務捉供方實現(xiàn)完全移送。《條例》第二十五條首次以立法形式細化了個人信息轉移請求的實現(xiàn)途徑，使得個人信息轉移請求不再足抽象的原則。這不僅捉高了法律條文的可執(zhí)行性，還減少了因解釋模糊而產生的爭議。具體而言，該條明確規(guī)定個人信息轉移請求的條件，須涵蓋請求人的真實身份驗證、待轉移個人信息的范圍(僅限于本人同意或基于合同約定部分)、具備可轉移此個人信息的技術可行性及保護其他相關方合法權益的要求，這一規(guī)定為網絡數(shù)據處理者提供了清晰的操作指南，對《個人信息保護法》第四十五條第三救預留的伏筆進行了填補。此外，為平衡轉移方與轉入方的利益，例如由于用戶詰求多次轉移，使網絡數(shù)據處理者發(fā)生了額外的運營和技術成本，法規(guī)允許網絡數(shù)據處理者在評估后向提出詰求的用戶主張超出合理范圍的必要費用。在評估前述問題的過程中，網絡數(shù)據處理者可以引入個人信息保護影響評估等流程，以便評估與平衡轉移行為對個人信息主體權利和他人合法權益可能造成的影響。第59問：境外數(shù)據處理者處理境內個人信息如何銜接上位法?中華人民共和國境外網絡數(shù)據處理者處理境內自然人個人信息，依照《中華人民共和國個人信息保護法》第五十三條規(guī)定在境內設立專門機構或者指定代表的，應當將有關機構的名稱或者代表的姓名、聯(lián)系方式等報送所在地設區(qū)的市級網信部門；網信部門應當及時通報同級有關主管部門。本法第三條第二款規(guī)定的中華人民共和國境外的個人信息處理者，應當在中華人民共和國境內設立專門機構或者指定代表，負責處理個人信息保護相關事務,并將有關機構的名稱或者代表的姓名、聯(lián)系方式等報送履行個人信息保護職第60問：合規(guī)審計與重要數(shù)據保護義務要求是什么?合規(guī)審計合規(guī)審計第二十七條解讀該規(guī)定釋明了個人信息和重要數(shù)據的邊界不會發(fā)生混淆，即超解讀該規(guī)定釋明了個人信息和重要數(shù)據的邊界不會發(fā)生混淆，即超過規(guī)定數(shù)量的個人信息其性質仍然為個人信息，但需要依照《條例》要求履行特定義務。處理1000萬人以上個人信息處理1000萬人以上個人信息第二十八條第二十八條網絡數(shù)據處理者處理1000萬人以上個人信息的，還應當遵守本條例第三十條、第三十二條對處理重要數(shù)據的網絡數(shù)據處理者(以下簡稱重要數(shù)據的處理者)作出的規(guī)定。解讀《條例》延續(xù)了《數(shù)據安全法》自上而《條例》延續(xù)了《數(shù)據安全法》自上而的要求，確立了網絡數(shù)據處理者應當按照國家有關規(guī)定識別、申報重要數(shù)據的應當嚴密關注有關規(guī)定，自主識別和申機制，在該機制下，監(jiān)管機構將全面動第二十九條第二十九條·統(tǒng)籌協(xié)調有關部門制定重要數(shù)據目錄，加強對重要數(shù)據的保護。各地區(qū)、各部門各地區(qū)、各部門·應當按照數(shù)據分類分級保護制度，確定本地區(qū)、本部門以及相關國家鼓勵網絡數(shù)據處理者使用數(shù)據標簽標識等國家鼓勵網絡數(shù)據處理者使用數(shù)據標簽標識等技術和產品，提高重要數(shù)據安全管理水平。網絡數(shù)據處理者網絡數(shù)據處理者·應當按照國家有關規(guī)定識別、申報重要數(shù)據。·對確認為重要數(shù)據的，相關地區(qū)、部門應當及時向網絡數(shù)據處理者·網絡數(shù)據處理者應當履行網絡數(shù)據安全保護責任。第62問：重要數(shù)據的識別思路是什么?從后果影響而非數(shù)據類型，同時踐行總體國家安全觀網絡數(shù)據安全管理條例網絡數(shù)據安全管理條例美國《國家安全系統(tǒng)識別指南》美國《國家安全系統(tǒng)識別指南》考慮一考慮一《數(shù)據安全技術《數(shù)據安全技術數(shù)據分類分級規(guī)則》“側重于從后果角度描述”總體國家安全觀《數(shù)據安全技術數(shù)據分類分級規(guī)則》“嚴格踐行總體國家安全觀”,提出重要數(shù)據可能對國家安全產生的影響，分別闡述數(shù),提出重要數(shù)據可能對國家安全產生的影響，分別闡述數(shù)第63問：重要數(shù)據識別參考哪些國家標準?全管理條例》等均對重要數(shù)據識別有明確要求，故對重要數(shù)據的定義求》進行合并，原《重要數(shù)據識別指南》為現(xiàn)標準的附錄G(規(guī)范性),以后不再發(fā)布單獨的重要數(shù)據識別國標，各部門/各行業(yè)在級工作的基礎性國標，也是貫徹國務院辦公廳《扎實推進高水平對外開放更大力度吸引和利用外資行動方案》(國辦發(fā)〔2024〕9號)捉出的“科學界定重要數(shù)據的范圍”的重要一環(huán)，可為各地區(qū)、各部門制定各自的重要數(shù)據識別規(guī)范提供參考和思路。制定背景制定背景資料性附錄(9項)附錄A(資料性)基于描述對象與數(shù)據主體的數(shù)據分類參考資料性附錄(9項)附錄A(資料性)基于描述對象與數(shù)據主體的數(shù)據分類參考附錄B(資料性)個人信息分類示例附錄C(資料性)數(shù)據分級要素識別常見考慮因素附錄D(資料性)安全風險常見考慮因素附錄E(資料性)影響對象考慮因素附錄F(資料性)影響程度參考示例附錄H(資料性)一般數(shù)據分級參考附錄I(資料性)衍生數(shù)據分級參考附錄J(資料性)動態(tài)更新情形參考規(guī)范性附錄(1項)附錄G(規(guī)范性)重要數(shù)據識別指南作為標準中必須執(zhí)行的規(guī)范性技術要素，其效力等同于國標正文，進一步細化、補充了重要數(shù)據識別的執(zhí)行要第64問：重要數(shù)據識別應考慮哪些因素?1總體國家總體國家生態(tài)軍事資源核影響國土安全影響國土安全直接影響領土安全和國家統(tǒng)一，或反映國家自然資源基礎情況。未公開的領陸領水領空數(shù)據影響文化安全影響文化安全反映我國語言文字、歷史、風俗習慣、民族價值觀念等特質。金融國土金融文化極地影響軍事安全影響軍事安全》可被其他國家或組織利用發(fā)起對我國的軍事打擊，或反映我國戰(zhàn)略儲備、應急動員、作戰(zhàn)等能力。影響社會安全影響社會安全》反映重點目標、重要場所物理安全保護情況或未公開地理目標的位置,可被恐怖分子、犯罪分子利用實施破壞。且網絡科技網絡數(shù)據生物數(shù)據生物影響經濟安全影響經濟安全直接影響市場經濟秩序。影響科技安全影響科技安全關系我國科技實力、影響我國國際競爭力，或關系出口管制物項。能通露袋圓、第64問：重要數(shù)據識別應考慮哪些因素?2總體國家經濟核核政府、軍工單位等敏感客戶反映水資源、能源資源、土地資源、礦產資源等資源儲備和開發(fā)、供給情況?！贩从澈瞬牧稀⒑嗽O施、核活動情況，或可被利用造虛核破壞或其他核安全事件。煉石反映自然環(huán)境、生產生活環(huán)境基礎情況，或可被利用造成環(huán)境安全事件。影響海外利益安全影響海外利益安全第64問：重要數(shù)據識別應考慮哪些因素?3生態(tài)軍事資源生態(tài)軍事資源核總體國家影響太空、深海、極地安全影響太空、深海、極地安全關系我國在太空、深海、極地等戰(zhàn)略新疆域的現(xiàn)實或潛在利益。窮影響健康數(shù)據安全影響健康數(shù)據安全反映國家或地區(qū)群體健康生理狀況,關系疾病傳播與防治，關系食品藥品安全。糧食網絡科技金融太空經濟糧食網絡科技金融太空經濟文化數(shù)據極地生物數(shù)據影響生物安全影響生物安全影響金融安全影響金融安全反映生物技術研究、開發(fā)和應用情況，反映族群特征、遺傳信息，關系重大突發(fā)傳染病、動植物疫情，關系生物實驗室安全，或可能被利用制造生物武器、實施生物恐怖襲擊，關系外來物種入侵和生物多樣性。反映全局性或重點領域經濟運行、金融活動狀況，關系產業(yè)競爭力，可造成公共安全事故或影響公民生命安全，可引發(fā)群體性活動或影響群體情感與認知。匹其他影響其他影響其他可能對經濟運行、社會秩序或公共利益造成嚴重危害的數(shù)據。其他可能影響國土、軍事、經濟、文化、社會、科技、電磁空間、網絡、生態(tài)、資源、核、海外利益、太空、極地、深海、生物、人工智能等安全其他可能對經濟運行、社會秩序或公共利益造成嚴重危害的數(shù)據。第65問：數(shù)據安全管理機構應履行哪些責任?重要數(shù)據的處理者應當明確數(shù)據安全負責人和管理機構，落實數(shù)據安全保護責任。網絡數(shù)據安全管理機構應當履行下列網絡數(shù)據安全保護責任：(一)制定實施網絡數(shù)據安全管理制度、操作規(guī)程和網絡數(shù)據安全事件應急預案；(二)定期組織開展網絡數(shù)據安全風險監(jiān)測、風險評估、應急演練、宣傳教育培訓等活動，及時處置網絡數(shù)據安全風險和事件；(三)受理并處理網絡數(shù)據安全投訴、舉報。網絡數(shù)據安全負責人學握有關主管部門規(guī)定的特定種類、規(guī)模的重要數(shù)據的網絡數(shù)據處理者人員進行安全背景審查，加強相關人員培訓。·審查時，可以申請公安機關、國家安全機關協(xié)助。第66問：重要數(shù)據處理者風險評估重點內容是什么?第三十一條重要數(shù)據的處理者提供、委托處理、共同處理重要數(shù)據前，應當進行風險評估，但是屬于履行法定職責或者法定義務的除外。風險評估應當重點評估下列內容：合法正當必要誠信守法合同約束技術管理措施其他內容提供、委托處提供、委托處網絡數(shù)據接收方與網絡數(shù)據接收采取或者擬采取有關主管部門規(guī)理、共同處理網理、共同處理的的誠信、守法等方訂立或者擬訂的技術和管理措定的其他評估內絡數(shù)據，以及網網絡數(shù)據遭到篡情況；立的相關合同中施等能否有效防容。絡數(shù)據接收方處改、破壞、泄露關于網絡數(shù)據安范網絡數(shù)據遭到理網絡數(shù)據的目或者非法獲取、全的要求能否有篡改、破壞、泄的、方式、范圍效約束網絡數(shù)據露或者非法獲等是否合法、正險，以及對國家接收方履行網絡取、非法利用等當、必要；安全、公共利益數(shù)據安全保護義風險；或者個人、組織合法權益帶來的風險；三部關于個人信息保護的重要法律文件均明確合法、正當、必要是收集與使用個人信息的最基本原則《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《全國人民代表大會常務委員會關于加強網絡信息保護的決定》(2012年12月28日通過)第二條規(guī)定：網絡服務提供者和其他企業(yè)事業(yè)單位在業(yè)務活動中收集、使用公民個人電子信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。《網絡安全法》第四十一條規(guī)定：《網絡安全法》第四十一條規(guī)定：網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意?！秱€人信息保護法》第五條規(guī)定：處《個人信息保護法》第五條規(guī)定：處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。第68問：數(shù)據安全風險評估主要標準是什么?網絡安全標準實踐指南全國信息安全標準化技術委員會移書處wsnossoninnscapupanssnowc.c2023年5月29日，全國信息安全標準化技術委員會發(fā)布《網絡安全標準實踐指南-—網絡數(shù)據安全風險評估實施指引》,旨在貫徹落實《數(shù)據安全法》關于數(shù)據安全風險評估的要求，指導網絡數(shù)據安全風險評估工作?！そo出網絡數(shù)據安全風險評估思路、工作流程和評估內容；·可用于指導數(shù)據處理者、第三方機構開展數(shù)據安全評估，也可為有關主管監(jiān)管部門組織開展檢查評估提供參中華人民共和國中華人民共和國農全法網絡安全法數(shù)據安全法個人信息保護法《網絡安全標準實踐指南——網絡數(shù)據安全風險評估實施指引》中華人民共和國數(shù)據安全法第69問：數(shù)據安全風險評估主要思路?評估思路預防為主主動發(fā)現(xiàn)積極防范評估內容評估流程數(shù)據和數(shù)據處理活動可能影響數(shù)據的保密性、完整性、可用性和數(shù)據處理合理性的安全風險評估手段素第70問：數(shù)據安全風險評估主要內容?圍繞數(shù)據安全管理、數(shù)據處理活動