《环球律师事务所:TMT监管合规洞察:2024数字经济与网络数据安全报告(278页).pdf》由会员分享,可在线阅读,更多相关《环球律师事务所:TMT监管合规洞察:2024数字经济与网络数据安全报告(278页).pdf(278页珍藏版)》请在三个皮匠报告上搜索。
1、 2024 数字经济与网络数据安全年终总结文章汇总数字经济与网络数据安全年终总结文章汇总 目录目录 我国电信监管与合规我国电信监管与合规.1 1.开放怀抱的电信市场:增值电信业务扩大对外开放试点启动.2 2.北京、上海、深圳、海南四地启动增值电信业务扩大对外开放试点工作.10 我国网络数据安全我国网络数据安全.13 1.总则:解读网络数据安全管理条例:洞悉数字战役背后的护航力量.14 2.数据分类分级:解读数据安全技术 数据分类分级规则:纲举目张,安则有序.43 3.数据跨境传输:解读促进和规范数据跨境流动规定:流动与安全并重.59 4.数据跨境传输:解读粤港澳大湾区(内地、香港)个人信息跨境
2、流动标准合同实施指引:跨境数据流动创新保障性措施的先行先试.72 5.网络竞争规范:解读网络反不正当竞争暂行规定:互联网条款重点关注.132 6.测绘信息安全:解读自然资源部关于加强智能网联汽车有关测绘地理信息安全管理的通知:安全为基,智驭未来.150 7.平台运营资质:应用程序分发平台对 App 运营者的资质审核机制分析.163 美国网络数据安全美国网络数据安全.179 1.美国数据监管新规观察(上)美国数据跨境传输行政命令的背景与规则.180 2.美国数据监管新规观察(中)美国数据监管行政命令的风险分析与企业因应.197 3.美国数据监管新规观察(下)美国数据跨境新政的适用场景、应用公式与
3、应对策略.209 欧美中人工智能监管与合规欧美中人工智能监管与合规.236 1.欧盟:欧盟人工智能法正式生效.237 2.美国:联邦和各州的人工智能立法进展.257 3.中国:生成式人工智能服务安全基本要求正式发布.263 4.欧美中人工智能监管合规关注对比.273 1 我国电信监管与合规我国电信监管与合规 2 1.开放怀抱的电信市场:增值电信业务扩大对外开放试点启动开放怀抱的电信市场:增值电信业务扩大对外开放试点启动1 2024 年 10 月 23 日,工业和信息化部正式启动关于开展增值电信业务扩大对外开放试点工作的通告(工信部通信函2024107 号)(以下简称“107 号号文文”)所规定
4、的北京市服务业扩大开放综合示范区、上海自由贸易试验区临港新片区及社会主义现代化建设引领区、海南自由贸易港、深圳中国特色社会主义先行示范区四地增值电信业务扩大对外开放试点工作。回望过去,在 2001 年 12 月11 日正式入世的同一天,我国发布了外商投资电信企业管理规定以履行其入世文件中关于开放电信行业的承诺,其中第六条规定:外国投资者必须获得批准才能在中国投资经营电信服务的企业,这类企业被称为“外商投资电信企业”,由此我国首次打开了增值电信业务市场的大门,并以“小步”+“慢跑”的方式逐渐平稳开放。本文将基于我国目前增值电信业务市场的相关法律法规和我们的服务经验,对 107 号文的规定以及实务
5、中可能出现的问题进行解读,供企业和各界人士参考。一、一、本次试点涉及的增值电信业务本次试点涉及的增值电信业务 我国加入世界贸易组织时,针对电信业务所做出的承诺为“有限承诺”,即允许外商投资的电信业务仅限于“入世”承诺表和后续颁布的外商投资准入特别管理措施(负面清单)所列明的电信业务。根据中华人民共和国电信条例(2016 修订)外商投资电信企业管理规定(2022 修订)等规定,经营基础电信业务的外资出资比例不得超过 49%,经营增值电信业务的外资出资比例不得超过 50%,国家另有规定的除外。107 号文第二条所规定的“取消外资股比限制”,正是针对上述规定所做出的出资比例限制所做出的突破性规定。1
6、07 号文正式实施后,外方投资者投资(开展试点范围内增值电信业务的)电信企业的,在企业中的出资比例可以突破 50%的限制,甚至实现 100%独资出资。根据中华人民共和国外商投资法,外商投资企业是指全部或者部分由外国投资者(含港澳台地区)投资,依照中国法律在中国境内经登记注册设立的企业。“入世后”,我国一方面针对港澳台地区投资者的投资比例限制推出了宽松政策,一方面在多个自由贸易区率先开展各类电信业务对外开放的试点,各类政策文件交错形成了较为复杂的规则体系。结合 107 号文、内地与香港关于建立更紧密经贸关系的安排(以下简称“CEPA 政策政策”)和国务院关于印发中国(海南)自由贸易试验区总体方案
7、的通知等各自贸区文件,我们总结目前的各类电信业务的外资投资比例限制情况如下:1 作者:孟洁、赵姝、黎耀琦 3 增 值 电 信 业增 值 电 信 业务类型务类型 外商投资电外商投资电信企业管理规信企业管理规定及负面清定及负面清单等基本政策单等基本政策(中国大陆范(中国大陆范围内)围内)CEPA 政策政策(港澳投资者)(港澳投资者)自由贸易自由贸易区政策区政策(各类外资投资(各类外资投资者)者)107 号文号文(北 上 琼 深 四(北 上 琼 深 四地)地)B11 类互联网数据中心业务(IDC)禁止 外资比例50%禁止(海南附条件开放2)外资比例100%B12 类内容分发 网 络 业 务(CDN)
8、禁止 外资比例50%禁止(海南附条件开放)外资比例100%B14 类互联网接入服务业务(ISP)禁止 为上网用户提供互联网接入服务:外资比例100%;其他 B14 类业务:外资比例50%为上网用户提供互 联 网 接 入 服务:外 资 比 例100%;其他 B14 类业务:禁止 外资比例100%B21 类在线数据处理与交易处 理 业 务(EDI)电商业务:外资比例100%;其他 B21 类业务:外资比例50%电商业务:外资比例100%;其他 B21 类业务:外资比例50%电商业务:外资比例100%;其他 B21 类业务:外 资 比 例50%外资比例100%B25 类信息服务业务(ICP)外 资
9、比 例50%应用商店业务:外资比例100%;其他 B25 类业务:外资比例50%应用商店业务:外资比例100%;其他 B25 类业务:外 资 比 例50%信息发布平台和递送服务(互联网新闻信息、网络出版、网络视听、互联网文化经营除外)、信息保护和处理服务业务:外资比例100%本次扩大对外开放试点涉及的电信业务覆盖了大量的应用场景,相关业务的具体含义及对应的适用场景如下:2 根据海南自由贸易港建设总体方案,允许实体注册、服务设施在海南自由贸易港内的企业,面向自由贸易港全域及国际开展在线数据处理与交易处理等业务,并在安全可控的前提下逐步面向全国开展业务。4(一)(一)B11 类互联网数据中心业务(
10、类互联网数据中心业务(IDC)互联网数据中心(IDC)业务是指利用相应的机房设施,以外包出租的方式为用户的服务器等互联网或其他网络相关设备提供放置、代理维护、系统配置及管理服务,以及提供数据库系统或服务器等设备的出租及其存储空间的出租、通信线路和出口带宽的代理租用和其他应用服务互联网数据中心业务经营者应提供机房和相应的配套设施,并提供安全保障措施。常见的场景包括:(1)传统 IDC服务器厂商;(2)算力基础设施和云计算服务厂商,包括亚马逊 AWS、微软 Azure等。(二)(二)内容分发网络业务(内容分发网络业务(CDN)内容分发网络(CDN)业务是指利用分布在不同区域的节点服务器群组成流量分
11、配管理网络平台,为用户提供内容的分散存储和高速缓存,并根据网络动态流量和负载状况,将内容分发到快速、稳定的缓存服务器上,提高用户内容的访问响应速度和服务的可用性服务。常见的场景包括:网站加速,例如为门户网站、电子商务网站、新闻资讯网站、社交媒体平台等提供加速服务;在线视频流媒体服服务,例如腾讯等视频网站、幕课等在线教育平台、网易云等音乐分享网站等。对比此前的自贸区政策和 CEPA 政策,IDC 业务和 CDN 业务均是是首次向外资(不包括港澳台地区)开放,而且外资出资比例未设限制,开放力度和尺度进一步增强。(三)互联网接入服务业务(三)互联网接入服务业务(ISP)互联网接入服务(ISP)业务是
12、指利用接入服务器和相应的软硬件资源建立业务节点,并利用公用通信基础设施将业务节点与互联网骨干网相连接,为各类用户提供接入互联网的服务。常见的场景包括:为互联网信息服务业务(ICP)经营者提供接入服务;提供宽带接入服务等。在自贸区政策和 CEPA 政策下,为上网用户提供互联网接入服务已向外资开放、其他 ISP 业务向港澳投资者开放(投资比例不超过 50%),本次扩大对外开放试点则将开放范围扩大至所有 ISP 业务。(四)在线数据处理与交易处理业务(四)在线数据处理与交易处理业务(EDI)在线数据处理与交易处理(EDI)业务是指利用各种与公用通信网或互联网相连的数据与交易/事务处理应用平台,通过公
13、用通信网或互联网为用户提供在线数据处理和交易/事务处理的业务。常见的场景包括:淘宝、京东等电商平台;智能家居、工业互联网、车联网等物联网平台。就 EDI 业务,我国此前已经取消了电商类业务的外资投资比例,本次扩大对外开放试点则进一步扩大至所有 EDI 业务。5(五)(五)信息服务业务信息服务业务(ICP)信息服务(ICP)业务是指通过信息采集、开发、处理和信息平台的建设,通过公用通信网或互联网向用户提供信息服务的业务。值得注意的是,本次扩大对外开放试点的 ICP 业务仅包括信息发布平台和递送服务(互联网新闻信息、网络出版、网络视听、互联网文化经营除外)、信息保护和处理服务业务,而信息搜索查询服
14、务、信息社区平台服务、信息即时交互服务仍未开放,属于外资禁止投资和经营的增值电信业务。二、二、境外投资者申请增值电信业务的相关实务问题境外投资者申请增值电信业务的相关实务问题 我们结合外商投资电信企业管理规定(2022 修订)、107 号文等文件以及过去的服务经验,总结了以下境外投资者申请增值电信业务时可能面临的实务问题。(一)本次扩大对外开放试点地区的范围是?(一)本次扩大对外开放试点地区的范围是?根据 107 号文的规定,本次试点地区对应的行政区域范围如下表:序号序号 试点地区试点地区 地域范围地域范围 注册地、服务设施注册地、服务设施 服务范围服务范围 1 北京市服务业扩大开放综合示范区
15、 北京市 试点开放业务经营主体注册地、服务设施(含租用、购买等设施)放置地须在同一试点区域内在同一试点区域内,不得购买、租用本试点区域外 CDN 等设施开展加速服务。ISP 业务服务 范 围 仅限 本 试 点本 试 点区域区域,且需需通 过 基 础通 过 基 础电 信 企 业电 信 企 业互 联 网 接互 联 网 接入 设 备入 设 备 对用 户 提 供互 联 网 接入服务;其 他 业 务服 务 范 围可 面 向 全可 面 向 全国国。2 上海自由贸易试验区临港新片区及社会主义现代化建设引领区 上海大治河以南、金汇港以东(包括小洋山岛以及浦东国际机场南侧区域)及浦东新区 3 海南自由贸易港 海
16、南岛全岛 4 深圳中国特色社会主义先行示范区 深圳市(二)境外投资者申请取得的资质为何种形式?(二)境外投资者申请取得的资质为何种形式?6 不同于境内企业申请取得的增值电信业务经营许可证,根据 107 号文的规定,外商投资电信企业应按照相关规定向工业和信息化部申请取得电信业务经营电信业务经营试点批复试点批复,并在电信业务经营活动中遵守相关法律法规及试点批复的规定,接受、配合电信管理机构及有关主管部门的监督管理。根据已经开展的自贸区实践,“试点批复”与电信业务经营许可证具有同等效力。根据电信业务经营许可管理办法(2017)的规定,增值电信业务经营许可证的有效期为 5 年,而本次扩大对外开放试点所
17、下发的电信业务经营试点批复有效期仍有待各地主管部门后续进一步明确。(三)试点申报条件有哪些?(三)试点申报条件有哪些?在工业和信息化部答记者问环节3(中,明确对在试点地区开展前述增值电信业务的外商投资电信企业,遵循“内外资一致”原则内外资一致”原则进行管理。根据电信业务经营许可管理办法(2017)第六条,经营增值电信业务应当具备下列条件:(一)经营者为依法设立的公司;(二)有与开展经营活动相适应的资金和专业人员;(三)有为用户提供长期服务的信誉或者能力;(四)在省、自治区、直辖市范围内经营的,注册资本最低限额为 100 万元人民币;在全国或者跨省、自治区、直辖市范围经营的,注册资本最低限额为
18、1000万元人民币;(五)有必要的场地、设施及技术方案;(六)公司及其主要投资者和主要经营管理人员未被列入电信业务经营失信名单;(七)国家规定的其他条件。针对外商投资增值电信业务注册资本要求,以数据中心业务为例,如果存在机房所在地不在同一省份的情况,则需要申请全国或跨省市增值电信业务,则注册资本不得低于 1000 万元人民币。(四)申请试点需要完成什么申报和审批程序?(四)申请试点需要完成什么申报和审批程序?根据 107 号文及其附件增值电信业务扩大对外开放试点方案,目前试点的实施方案流程如下:3 参见 https:/ 号文仅概括性地规定了拟在试点地区开展前述增值电信业务的外商投资电信企业,应
19、按照相关规定向工业和信息化部申请取得电信业务经营试点批复,但未规定具体的审批流程。试点正式启动后,预计各地部门会陆续推出落地实施的具体方案,我们也将持续关注后续试点进展。三、三、扩大对外开放试点的影响和意义扩大对外开放试点的影响和意义 本次扩大对外开放试点正式启动后,除了信息搜索查询服务、信息社区平台服务、信息即时交互服务等少部分监管较为严格的增值电信业务外,我国的增值电信业务市场已经极大程度地对境外投资者“开放怀抱”,入局电信市场正在迎来新的窗口期。(一)算力服务与人工智能的快速发展(一)算力服务与人工智能的快速发展 算力是数字经济时代的核心生产力,数据中心则是数字经济运行的动脉。随着人工智
20、能模型的快速演进和迭代,模型规模的扩大和算法的复杂化对算力提出了更高的要求。国务院、工信部、国家发改委以及国家能源局等多个部门单独或联合出台了一系列政策,旨在支持、指导和规范数据中心的发展。而本次试点对外开放互联网数据中心业务,允许业务服务范围面向全国展开,则意味着外商投资企业在试点地区取得 IDC 试点批复后,可以在中国境内提供算力服务和云服务等。我国的人工智能产业正处于高速发展时期,我国此举一方面是为了引入外资的先进算力和云计算服务,另一方面,对于外商投资企业而言,也有助于企业捕捉市场需求的变化、及时填补需求端缺口,真正抓住和释放政策带来的红利。(二)低风险的统一网络安全体系(二)低风险的
21、统一网络安全体系 此前,由于外资投资比例限制,在中国大陆开展业务的过程中,外商投资企业通常需要通过租用境内企业的服务器、数据中心等或通过合资成立子公司开展相关业务。本次扩大对外开放试点实施后,由于数据中心的建设和相关业务不再受到投资比例的限制,外商投资企业可以选择自行开展数据中心建设、搭建数据库系统等业务,供企业集团内部、其他子公司使用,从而搭建统一、安全的网络和数据安全系统,保障数据存储、传输和处理过程中的安全,进而将业务扩展至 8 第三方企业,提高投资回报比率;另一方面,随着外资比例限制的取消,企业提供集团内部网络和数据服务的监管风险也会显著降低。(三)物联网服务平台(三)物联网服务平台
22、本次扩大对外开放试点实施后,在线数据处理与交易处理(EDI)业务全部向外资开放,其中电子数据交换业务和网络、电子设备数据处理业务两项业务系首次对外开放,这意味着符合条件的外资企业可独资提供物联网平台服务,对于智能家居、工业互联网、车联网等行业领域的外商投资企业属于重大利好。从目前已经申请试点批复的企业中,不乏特斯拉等典型物联网、车联网企业4。(四)降低投资风险、增加交易确定性(四)降低投资风险、增加交易确定性 取得电信业务经营试点批复,对于境外投资者投资、收购境内企业也存在积极意义。根据外商投资安全审查办法第四条,外国投资者或者境内相关当事人投资关系国家安全的重要信息技术和互联网产品与服务、关
23、键技术以及其他重要领域,并取得所投资企业的实际控制权的,应当在实施投资前主动向工作机制办公室申报国家安全审查。在 107 号文出台前,由于外资出资比例限制的存在,数据中心业务等增值电信业务是否属于需要进行国家安全审查的范围内始终存在一定争议和疑问。107号文出台和实施后,我们理解如果外商投资企业顺利取得相应的电信业务经营试点批复,则意味着开展相关的增值电信业务涉及国家安全审查的可能性和风险较低,有利于增加了境外投资者投资、交易的确定性和可预期性。四、四、结语与建议结语与建议 鉴于目前试点区域的具体方案和流程尚未正式出台,我们建议各企业持续关注政策的实际落地情况。同时,根据已有的规定,我们给希望
24、申请取得试点批复的企业提供一些对策与建议,具体如下:(一)完善网络安全和数据保护体系(一)完善网络安全和数据保护体系 尽管 107 号文没有明确对于企业开展相关增值电信业务的监管要求,但是其附件增值电信业务扩大对外开放试点方案明确工业和信息化部会在评估论证过程中“调研核查安全监管保障体系等”,并在“试点保障措施”一节提出“建立企业信息上报和定期抽查机制,强化网络和数据安全监管能力,督促企业切实履行安全主体责任。”可见,工业和信息化部等部门对于外商投资企业经营电信业务的监管力度并不会因开放而放松。4 参见 https:/ 以开放试点的互联网数据中心(IDC)业务为例,如果外商投资企业通过数据中心
25、提供边缘算力服务、人工智能算力服务等服务,往往会处理多种类型数据、涉及的数据量巨大,且涉及高精尖技术行业。根据中国人民共和国网络安全法 等法律法规的规定和我们的服务经验,数据中心按照网络安全等级三级或以上进行定级、开展网络安全保护工作较为适宜。作为试点区域之一的深圳,深圳市公安局公共信息网络安全监察分局在 关于落实网络安全等级保护制度要求的通知中指出,“互联网数据中心和云平台运营方,原则上基础网络定级不得低于三级,且不得低于所承载信息系统的最高级别等5。鉴于网络安全和数据保护的重要性、事后性,企业率先建立和完善网络安全和数据保护体系,一方面既有利于通过监管部门的审核、顺利取得电信业务经营试点批
26、复;另一方面,在取得批复、开展经营后,完善的网络安全和数据保护体系也有助于企业合法合规开展经营,降低发生数据安全事件等风险。(二)梳理股权关系结构(二)梳理股权关系结构 参考过去申请增值电信业务许可证时,对于外资出资比例的审核需要进行股权穿透,穿透、追溯至国有独资、自然人及外商独资为止,在此基础上加权累计计算外资出资比例。因此,我们理解本次扩大对外开放试点,尽管取消了对于外资出资比例的限制,但是在申请电信业务经营试点批复的过程中,申请人很有可能也需要提供充分、细致的外资结构和成分等相关文件。5 深圳市公安局:IDC、云平台信息安全等级保护不得低于三级,否则从严处罚,https:/ 2020 年
27、 5 月 5 日。10 2.北京、上海、深圳、海南四地启动增值电信业务扩大对外开放试点工作北京、上海、深圳、海南四地启动增值电信业务扩大对外开放试点工作 2024 年 10 月 23 日,工业和信息化部组织召开增值电信业务扩大对外开放试点工作座谈会,正式启动北京、上海、深圳、海南四地增值电信业务扩大对外开放试点工作,在获批开展试点的地区取消互联网数据中心(IDC)、内容分发网络(CDN)、互联网接入服务(ISP)、在线数据处理与交易处理,以及信息服务中信息发布平台和递送服务(互联网新闻信息、网络出版、网络视听、互联网文化经营除外)、信息保护和处理服务业务的外资股比限制。近期,各试点地区陆续发布
28、相关解读、通告,正式启动增值电信业务扩大对外开放试点。6(一)经营者为依法设立的公司;(二)有与开展经营活动相适应的资金和专业人员;(三)有为用户提供长期服务的信誉或者能力;(四)在全国或者跨省、自治区、直辖市范围经营的:1、申请跨地区 IDCCDNSP 业务的应不低于 1000 万元人民币。2、申请其他业务最低限额均为 100 万元人民币。(外币需换算)(五)有必要的场地、设施及技术方案;(六)公司及其主要投资者和主要经营管理人员未被列入电信业务经营失信名单;(七)国家规定的其他条件。省省/市市 申请条件申请条件 申请渠道申请渠道 申请材料申请材料 审核时限审核时限 联系方式联系方式 参考链
29、接参考链接 北京北京 申请增值电信业务,应当符合 电信业务经营许可管理办法第六条的规定6。同时,还需符合 工业和信息化部关于开展增值电信业务扩大对外开放试点工作的通告(工信部通信函2024107号)的相关规定。申请者登录工业和信息化部政务服务一体化平台(https:/),在“公共服务”模块中选择并进入“电信业务市场综合管理信息系统”,点击“电信业务经营许可申请”进入“增值电信业务许可”页面,选择“外资试点申请任务栏”中的“试点许可列表”模块,在线提交申请。(一)公共表单 1、试点经营增值电信业务申请表 2、公司及人员情况表 3、股东情况表 4、依法试点经营电信业务承诺书 5、电信管理机构要求提
30、交的其他证明材料(选填)(二)业务专用表单 1、互联网数据中心业务专用表 2、内容分发网络业务专用表 3、互联网接入服务专用表 4、在线数据处理与交易处理业务专用表 5、信息服务业务(仅限互联网信息服务)业务专用表 6、信息服务业务(不含互联网信息服务)业务专用表 企业在准备好材料 后 可 随 时 申请,针对材料有问题的情况,在提交后 5 日内一次性退回补正,受理后15日内形成初审意见并上报到工信部信管局复审。010-51938033 010-51938038 https:/ 11 省省/市市 申请条件申请条件 申请渠道申请渠道 申请材料申请材料 审核时限审核时限 联系方式联系方式 参考链接参
31、考链接 上海上海 申请增值电信业务,应当符合 电信业务经营许可管理办法第六条的规定。同时,还需符合 工业和信息化部关于开展增值电信业务扩大对外开放试点工作的通告(工信部通信函2024107号)的相关规定。有意参与试点申请的外资企业可在工业和信息化部政务服务平台(https:/ “政务服务”-“行政许可”-“电信和互联网业务”-“电信业务经营许可”板块)在线提交申请,自主申报。(一)公共表单 1、试点经营增值电信业务申请表 2、公司及人员情况表 3、股东情况表 4、依法试点经营电信业务承诺书 5、电信管理机构要求提交的其他证明材料(选填)(二)业务专用表单 1、互联网数据中心业务专用表 2、内容
32、分发网络业务专用表 3、互联网接入服务专用表 4、在线数据处理与交易处理业务专用表 5、信息服务业务(仅限互联网信息服务)业务专用表 6、信息服务业务(不含互联网信息服务)业务专用表 企业在准备好材料 后 可 随 时 申请,针对材料有问题的情况,在提交后 5 日内一次性退回补正,受理后15日内形成初审意见并上报到工信部信管局复审。政策咨询(市经济信息化委):021-60801129 填报指引(市通信管理局):021-63905098 项目申报:浦东新区 021-58788388 转 64417 临港新片区 021-68286752 https:/ 海南海南 申请增值电信业务,应当符合 电信业务
33、经营许可管理办法第六条的规定。同时,还需符合 工业和信息化部关于开展增值电信业务扩大对外开放试点工作的通告(工信部企业注册账号并登录工业和信息化部政务服务一体化平台(https:/),在“公共服务”模块中选择“电信业务市场综合管理信息系统”,点击“电信业务经营许可申请”进入“增值电信业务许可”页面,选择“外资试点申请任务栏”中的(一)公共表单 1、试点经营增值电信业务申请表 2、公司及人员情况表 3、股东情况表 4、依法试点经营电信业务承诺书 5、电信管理机构要求提交的其他证明材料(选填)(二)业务专用表单 1、互联网数据中心业务专用表 2、内容分发网络业务专用表 企业可通过“电信业务市场综合
34、管理信息系统”申请提交书面申请材料,对于不符合要求的申请材料,于 5 个工作日内一次性退回补正。自受理之日起15日内形海南省通信管理局,0898-65203155,66520730 https:/ 12 省省/市市 申请条件申请条件 申请渠道申请渠道 申请材料申请材料 审核时限审核时限 联系方式联系方式 参考链接参考链接 通信函2024107号)的相关规定。“试点许可列表”模块,在线提交申请。3、互联网接入服务专用表 4、在线数据处理与交易处理业务专用表 5、信息服务业务(仅限互联网信息服务)业务专用表 6、信息服务业务(不含互联网信息服务)业务专用表 成初审意见并上报至工业和信息化部进行复审
35、。深圳深圳 申请增值电信业务,应当符合 电信业务经营许可管理办法第六条的规定。同时,还需符合 工业和信息化部关于开展增值电信业务扩大对外开放试点工作的通告(工信部通信函2024107号)的相关规定。登录工业和信息化部政务服务一体化平台(https:/),在“公共服务”模块中选择并进入“电信业务市场综合管理信息系统”,点击“电信业务经营许可申请”进入“增值电信业务许可”页面,选择“外资试点申请任务栏”中的“试点许可列表”模块,在线提交申请。(一)公共表单 1.试点经营增值电信业务申请表 2.公司及人员情况表 3.股东情况表 4.依法试点经营电信业务承诺书 5.电信管理机构要求提交的其他证明材料(
36、选填)(二)业务专用表单 1.互联网数据中心业务专用表 2.内容分发网络业务专用表 3.互联网接入服务专用表 4.在线数据处理与交易处理业务专用表 5.信息服务业务(仅限互联网信息服务)业务专用表 6.信息服务业务(不含互联网信息服务)业务专用表 企业在准备好材料后可在系统提交申请,若企业提交材料不齐全或者不符合法定形式的,在提交申请后 5 个工作日内一次性告知申请人。自受理申请之日起,15日内形成初审意见并书面报工业和信息化部信息通信管理局。https:/ 13 我国网络数据安全我国网络数据安全 14 1.总则:解总则:解读网络数据安全管理条例读网络数据安全管理条例:洞悉数字战役背后的护航力
37、量:洞悉数字战役背后的护航力量7 引言引言 随着信息技术的迅猛发展,网络数据已成为数字经济时代的重要生产要素。然而,网络数据的安全问题日益凸显,对国家安全、公共利益以及个人和组织的合法权益构成了严重威胁。为了应对这些挑战,我国相继出台了中华人民共和国网络安全法(以下简称“网安法”)中华人民共和国数据安全法(以下简称“数安法”)中华人民共和国个人信息保护法(以下简称“个保法”)等法律法规,构建了较为完善的信息安全法律体系。网络数据安全管理条例被连续多年被立为国务院工作计划。2021年 11 月 14 日,国家互联网信息办公室(以下简称“网信办”)曾发布网络数据安全管理条例(征求意见稿)(以下简称
38、“征求意见稿”)。时隔近 3 年,2024 年 8 月 30日,国务院第 40 次常务会议通过网络数据安全管理条例(以下简称“条例”)。导读一:条例与征求意见稿比较,有哪些主要修订和补充?导读一:条例与征求意见稿比较,有哪些主要修订和补充?较此前征求意见稿,条例从整体上呈现出针对产业创新性、鼓励性与技术中立性等事项的监管态度较之前变得相对柔和放松;而针对容易出现安全事件并导致重大风险的事项、应设置事先预防机制的事项、特定主体开展业务、运用相关技术、提供相关产品或服务且可能对网络数据安全产生较大影响等事宜均收紧了监管;针对上位法涉及的流程性事宜或者遗留的待进一步解释明确的条款,条例则通过更加精细
39、化的立法技术使其呈现体系性和规范化。当然,条例属于行政法规,因此针对应更加系统性规定进行补充和阐明的规则,交由下位法,如部门规章、地方性法规、规章、司法解释等已进行或者将进行规制,当然,此类规则也可通过国家或者行业标准等进行技术支撑。条例中体现出监管释放某种信号、并将温和、放缓地处理相关事宜的条款,例条例中体现出监管释放某种信号、并将温和、放缓地处理相关事宜的条款,例如如:鼓励网络数据在各行业、各领域的创新应用(第四条);积极参与网络数据相关国际规则和标准的制定、促进国际交流与合作(第六条);支持相关行业组织按照章程制定网络数据安全行为规范,加强行业自律,指导会员加强网络数据安全保护(第七条)
40、;个人信息保存期限难以确定的,明确保存期限的确定方法(第二一一条第一款第三项);与此同时,条例删除了必须于一五个工作日内删除个人信息或者进行匿名化处理的规定;也删除了若技术上难以实现或者因业务复杂等原因,在一五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要安全保护措施之外的处理并向个人做出合理解释的条款(征求意见稿第二一二条)。在重要数据处理规定方面,条例规定了网络数据安全负责人由网络数据处理者的管理层成员担任,修改了征求意见稿要求决策层担任的规定,并且网络数据安全负责人有权直接向有关主管部门报告网络数据安全情况(第三一条第二款),修订了 征 7 作者:孟洁、殷坤、田梓仪
41、、朱含章 15 求意见稿要求向网信部门和主管、监管部门反映数据安全情况的要求,减轻了企业在网络数据安全负责人任命和报告义务上的负担;此外,条例规定重要数据处理者应当定期组织宣传教育培训等活动(第三一条第一款第二项),取消了征求意见稿要求对相关技术和管理人员每年教育培训时间不得少于二一小时的强制性规定;条例只要求重要数据处理者每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告(第三一三条),没有采取征求意见稿对年度风险评估的开展设定前提条件、频率、报送时间等详细要求;针对处理特定人数个人信息的网络数据处理者需要同时履行重要数据处理者的部分义务,条例将此数量从征求意见
42、稿中的 100 万人提高至 1000 万人,同时也提高了符合门槛的条件,另外还将征求意见稿 中要求遵守重要数据处理者的全部义务限定到只需要遵守关键性和关联性最强的两项义务(即第三一条、第三一二条),降低了相关企业的一部分合规成本。除上述放缓措施以外,条例取消了征求意见稿要求数据处理者对评估报告留存至少三年的规定,只规定当出现数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的情况时,须将记录至少保存三年(第一二条);删除了征求意见稿 第四一一条第三款规定的境内用户访问境内网络的,其流量不得被路由至境外的规定,对 CDN 等网络加速产业的发展起到了支持和推动的作用;删除了 征求意见稿
43、第四一三条针对平台规则、隐私政策或对用户权益有重大影响的条款修订前,要求互联网平台运营者在该互联网平台或者行业协会平台面向社会公开征求意见不少于三一日、向用户提供充分表达意见、以易于访问的方式公布意见采纳情况、说明未采纳的理由、接受社会监督的条款;同时,还删除了征求意见稿中针对日活用户超过一亿的大型互联网平台在其平台规则、隐私政策的制定或者对用户权益有重大影响的条款修订前,要求大型互联网平台经过国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意的条款。因为实践中互联网平台产品/功能更迭变化之快需要平台规则随之迅速更新,并于上线前获取用户的同意,但是一般很少有用户会在三一
44、日的等待期内提供有效且有价值的意见反馈,并且国家网信部门也未曾认定哪些第三方评估机构可以作为指导部门对平台更新的用户规则和隐私政策进行确认,因此 征求意见稿的初衷虽好,但落实起来难度较大,因此条例对此类条款也进行了删减。此举措体现了在当前形势下,对相关互联网平台的保护与促进,同时,执法的步伐应当相对放宽和放缓。与之相关的条款还有:删除征求意见稿中涉及第三方产品和服务对用户造成损害的,用户有权要求平台运营者先行赔偿的条款(征求意见稿第四一四条);鼓励保险公司开发网络数据损害赔偿责任险种,鼓励网络平台服务提供者、预装应用程序的智能终端等设备生产者投保(第四一条)等。条例 相较于 征求意见稿,部分呈
45、现收紧且加强监管态势的条款有条例 相较于 征求意见稿,部分呈现收紧且加强监管态势的条款有:条例第八条、第九条针对网络数据处理者的基本义务和保障性措施进行了加严规制;第一条针对风险补救措施、危险情况发生后 24 小时内的报告义务、制定数据安全事件应急预案等要求进行了明确,以防止危害事件出现后发生不可控的危害后果并因此影响国家安 16 全、社会公共利益以及人民群众权益。同时,条例要求针对处理网络数据情况的记录须保存至少三年;网络数据处理者开展任何网络数据处理活动(不限于 征求意见稿针对处理一百万人以上个人信息的数据处理者赴国外上市和赴香港上市的数据处理活动影响或者可能影响国家安全这二类特定情形),
46、如果存在影响或者可能影响国家安全的情况,均应当按照有关规定进行国家安全审查(也已不仅限于征求意见稿第一三条中涉及的网络安全审查),审查范围更加广泛,重点维护国家整体安全。此外,条例针对“数据可携带权”规定了网络数据处理者在收到转移个人信息次数超出合理范围的请求时,享有根据其所付出的成本收到必要(而非合理)费用的权利(第二一五条)。针对企业掌握重要数据的认定标准,条例与促进与规范数据跨境流动规定保持一致,即以相关地区、部门告知网络数据处理者或者公开发布重要数据目录或清单为依据,同时要求网络数据处理者、制定并实施网络数据管理制度,采取加密、备份、访问控制、安全认证等技术措施,并且鼓励网络数据处理者
47、使用数据标签标识等技术和产品(第二一九条)、采取添加标签标识的技术措施(第三一三条)来提高重要数据的安全管理水平;此外,条例规定对处理特定重要数据的网络数据安全负责人和关键岗位的人员进行安全背景审查,必要时,可以申请公安机关和国家安全机关协助审查(第三一条)。针对一些特殊属性的技术(自动化采集、自动化决策)或产品(如应用分发程序)、平台(大型网络平台)的服务提供方,条例对此施加了须履行更加严格的义务和须受社会监督的责任(第四一一至第四一六条),具体规定将在文章正文中逐一展开分析。条例不仅针对网络数据处理者的义务在特定情形下作缩紧规定,针对承担监管职责的主管部门也提出了从严管理的要求。例如,要求
48、有关主管部门开展网络数据安全监督检查应当客观公正,不得向被检查单位收取费用、不得访问、收集与网络数据安全无关的业务信息,获取的信息只能用于维护网络数据安全的需要,不得用于其他用途(第五一一条);多个主管部门开展网络数据安全监督检查时,应当加强协同配合、信息沟通,避免不必要的检查和交叉重复检查。重要数据风险评估和网络安全等级测评的内容有重合的,相关结果可以互相采信。企业可以在开展个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等各类风险评估工作之间建立一套有效且统一的体系,互相之间进行衔接、切换,避免重复评估、审计(第五一二条),减少企业在人力、财务、物力方面的负担,提升内部合规工作
49、的动力。针对征求意见稿中的某些条款,在历经近三年时间的检验后,条例进行了针对征求意见稿中的某些条款,在历经近三年时间的检验后,条例进行了更加细化的处理,起到了对网安法 数安法 个保法中相关规定更好地支撑与落更加细化的处理,起到了对网安法 数安法 个保法中相关规定更好地支撑与落地的作用。地的作用。例如,在委托处理场景下,条例规定了委托方和受托方应分别履行法定和约定的义务,重点提出了受国家机关委托,建设、运行、维护电子政务系统,存储、加工政务数据的受托方义务(第一五条),以及为国家机关、关键信息基础设施运营者提供服务,或者参与其他公共基础设施、公共服务系统建设、运行、维护等受托方义务的细分场景,这
50、为近期讨论热烈的公共数据授权运营涉及的相关方义务提供立法基础。并且条例规定网络数据处理者未经委托方同意,不得访问、获取、留存、使用、泄露或者向他人提供网络数据,不得对网络数据进行关联分析(第一六条)。针对自动化 17 工具访问、收集网络数据的,分别由第一八条和第二一四条进行细化规定;针对使用自动化决策技术向个人推送信息的,条例第四一二条进行了细化;提供生成式人工智能服务(第一九条)和面向社会提供产品、服务(第二一条)的网络数据处理者,也分别由条例对其进行了细化约束;针对单独设置儿童隐私保护声明、在隐私政策外设置“双清单”(第二一一条)、落实个人信息保护合规审计制度(第二一七条),条例也都进行了
51、明确;同时还针对“数据可携带权”的实现条件(第二一五条)、重要数据风险评估的内容(第三一一条)进行了详细规定。在对上位法规定颗粒度的细化方面,还涉及针对重要数据的处理者报送风险评估报告的内容;区别于征求意见稿,条例 还处理重要数据的大型网络平台服务提供者报送风险评估报告时还须充分说明关键业务和供应链网络数据安全等情况(第三一三条);涉及接入平台的第三方产品和服务提供者违规处理数据对用户造成损害的,条例区分了网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者,分别应承担的相应责任(第四一条)。同时,条例也针对国家不同监管部门的职责进行了分别明确(第四一七条);针对主管
52、部门可以采取的网络数据安全监督检查措施进行了具体描述(第五一条)。以上规则均将在文章正文中详细分析。导读二:条例与网安法 数安法 个保法的联系和区别?导读二:条例与网安法 数安法 个保法的联系和区别?条例依托于(网安法 数安法 个保法等上位法,属于国务院发布的行政法规,与上位法共同构成了我国网络数据安全法律体系的主干,又为上位法进行了补充和细化,为上位法的网络和数据安全的相关条款进行具体化、操作化,以便责任主体能够更加有效地执行,也为行政监管提供了具体的执法依据。在整体数据安全管理体系中起到了承上启下、细化落实的关键作用。网安法围绕维护国家网络安全(网络架构、设备和运行安全),对网络运营者提出
53、网络安全保护责任,涵盖了网络基础设施安全、网络产品与服务安全、个人信息保护以及关键信息基础设施运营者(CIIO)保护等内容,强调网络空间的主权和网络运行的安全。数安法从国家顶层设计开始,建立了数据安全管理制度,主要聚焦于数据的分类分级管理、数据安全监测和防护、数据跨境传输的管理规则,设定与国家安全、公共利益密切相关数据的保护,以及各类数据处理者的责任与义务。个保法主要针对个人信息的收集、存储、使用、处理、传输、提供、公开、删除等环节进行全生命周期的保护,保障个人在个人信息处理活动中的合法权益。条例一方面针对(网安法中网络运营者处理网络数据时的安全管理措施进行了更加具体和细致的规定,确保其处理的
54、不同类型的数据在网络运营各个方面的安全;另一方面针对(数安法,条例细化了数据处理者的责任、数据处理流程等风险控制措施;进一步细化了数据跨境传输合规机制的条件、明确了不同类型数据的出境要求;针对涉及网络数据处理的组织和个人,特别是网络平台、应用服务提供者等企业,进一步细化了他们在收集、存储、传输、提供、委托处理、删除数据时的具体安全要求。结 18 合了上述两法,条例还提出了更加详细的技术措施和操作细节,例如加密、备份、访问控制、安全认证等,确保数据在不同处理阶段的安全。特别是对网络数据的处理提出了更高的要求,强调网络数据处理者在收集、存储、使用、传输时,必须采取必要技术手段防止数据泄露、篡改等安
55、全事件。明确要求重要数据处理者定期对数据处理活动进行安全风险评估并报送风险评估报告,尤其是当数据处理活动涉及提供、委托处理、共同处理重要数据时,必须对潜在的安全风险进行评估。此外,条例也会依据个保法中的基本原则进行数据安全管理的细则制定,两者在适用中形成互补。只是个保法以个人权益保护为核心,条例则更关注整体数据(包括个人信息)的安全性管理和风险防控。两者在实际操作中,需要综合理解和遵守,以确保数据处理活动的合法性和合规性。相较于上位法,条例也存在一些相对独特的内容。例如,(数安法适用范围广泛,涵盖所有从事数据处理活动的个人、企业和政府机构,无论其是否与网络相关;(条例进一步明确了适用对象为网络
56、数据处理者,包括网络平台、应用服务提供者和其他涉及网络数据处理的主体。其规定的内容主要集中在对网络环境中的数据处理进行安全管理。并且条例明确了多个管理部门(如网信办、工信部、公安机关等)在数据安全管理中的具体职责与分工。网安法第五一九条至第七一五条对网络运营者未履行安全义务规定了相应的处罚,包括行政处罚、民事赔偿以及其他法律责任;数安法第四一四条至第五一二条对违反数据安全规定的行为也规定了警告、罚款等行政责任、民事责任以及其他法律责任。条例虽然也规定了行政处罚、民事赔偿以及其他法律责任,但是对违反网络数据安全规定的处罚措施根据违规行为的性质、影响程度等进行了比较详细的分级规定。详细分析请见正文
57、部分。条例的出台,旨在进一步规范网络数据处理活动,保障数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益。本文将基于条例的整体框架,对条例进行分析解读。(一)适用(一)适用范围范围 条例第二条延续网安法 数安法 个保法等上位法规定,明确其适用于中华人民共和国境内利用网络开展的网络数据处理活动及其安全监督管理。何为“网络数据”?此处的“网络”需要结合网安法进行理解,即由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。另外,根据条例第六一二条第一款,网络数据是指通过网络处理和产生的各种电子数据。结合上述定
58、义,网络数据具备两方面要素:一是,它指向于电子数据,相较于数安法中对于数据更广的定义(即“任何以电子或者其他方式对信息的记录”),条例将其管辖的范围仅限定于以电子方式记录的数据;二是须通过网络处理和产生,此处的网络应既包括互联网也包括局域网。19 另外,条例还明确适用于境外开展网络数据处理活动的场景。数安法第二条规定了特定情形下的域外适用效力,即以“后果论”为标准以“后果论”为标准,如果境外的数据活动对我国国家、社会、公民利益造成损害的,相关组织和个人应被追究法律责任。个保法第三条第二款规定,以向境内自然人提供产品或者服务为目的,或者分析、评估境内自然人的行为,即使处理活动位于境外,也适用个保
59、法。条例第二条第二款表明其同样适用 个保法 第三条第二款的情形;倘若不构成 个保法 第三条第二款的情形,但是处理活动(无论是个人信息还是非个人信息)损害国家安全、公共利益或者公民、组织合法权益的,也适用条例。这体现出条例融合了数安法以“后果论”适用的域外长臂管辖的精髓。同时,条例第五一四条明确规定,境外的组织、个人从事危害中华人民共和国国家安全、公共利益,或者侵害中华人民共和国公民的个人信息权益的网络数据处理活动的,国家网信部门会同有关主管部门可以依法采取相应的必要措施,这也进一步彰显我国以国家利益为主导掌握数据安全主动权的坚定信念。此外,条例沿袭了个保法的规定,同样认为自然人因个人或者家庭事
60、务进行的个人信息处理活动不被适用。条例还指出,开展涉及核心数据、国家秘密、工作秘密的网络数据处理活动一分特殊,应当依据国家专门法规或者规定执行,也排除于本条例的适用范围。(二)受规制对象(二)受规制对象 条例的规制对象覆盖面广泛,主要包括境内网络数据处理者、境外网络数据处理者,以及既作为监管主体又作为被约束主体的监督管理机构。条例还认为在跨境数据流动背景下,境外数据接收者的合规管理同样不容忽视,特别是在处理涉及国家安全、个人隐私和重要数据时,需满足(条例的特殊要求。总体来看,这些主体的合规行为将直接影响整个网络数据安全管理的秩序与有效性。条例通过对多元主体的规制,为不同场景和角色下的数据处理行
61、为设定了明确的红线。这种全方位、多层次的监管模式,既体现了立法者对保障网络数据安全的决心,也标志着国家在数字安全领域的法治化进程上又迈出了坚实一步。然而,条例的实施对企业的合规管理提出了前所未有的挑战,不同类型的主体需要投入更多资源与精力去理解并遵守复杂的法律要求。如何在合规与发展之间找到平衡,将成为企业在未来发展中必须面对的重要课题。1、一般网络数据处理者、一般网络数据处理者 根据条例第六一二条,网络数据处理者,是指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织。根据网络数据处理者处理数据的地域,可将其划分在中华人民共和国境内开展网络数据处理活动的处理者与在中华人民共和国境外开展
62、网络数据处理活动的处理者;根据处理数据类型不同,网络数据处理者可分为重要数据处理者以及个人信息处理者。此外,根据网络数据处理者提供的业务类型不同,网络数据处理者涵盖了网络服务提供商、网络平台服务提供者(其中根据平台规模的大小,还 20 可区分出大型网络平台服务提供者)、预装应用的智能终端设备生产者、应用程序分发平台、网络身份统一认证公共服务平台等广泛群体。网络数据处理者需要承担一般性的安全、合规义务与主体责任,通常不难理解。但在特殊场景和情形下,其义务及责任还可能提升和加重。具体来说:首先,当网络数据处理者因为处理了某些特殊类型的数据而需要承受比一般性合规义务更重的责任。例如其处理活动涉及重要
63、数据或者敏感个人信息,或者开展委托处理或者共同处理活动但涉及电子政务活动和政务数据、公共服务系统和公共数据,那么网络数据处理者的合规义务将会由此升级。其次,若相关运营主体在开展业务过程中提供了网络产品与服务,或者利用网络数据面向社会提供产品或者服务,那么这些网络数据处理者都因将受保护客体的特殊性而被施加特殊义务。再者,如果网络数据处理者的某些行为较为特殊,例如使用了技术类工具收集或访问网络数据、利用网络数据向公众进行个性化推荐、使用生成式人工智能工具向公众提供服务,那么上述处理者需要遵守更高的合规义务,以保证数据处理的安全性。最后,如果网络数据处理者向境外提供产生或者来源于境内的个人信息或者重
64、要数据,或者由于公司实体结构发生变更(如因合并、分立、解散等)而需要转移网络数据,那么该网络数据处理者也需提前履行相应的合规义务,以避免因处理活动可能产生的风险。2、重要数据处理者、重要数据处理者 根据条例,重要数据处理者,是指处理特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据的个人、组织。重要数据处理者本身也属于网络数据处理者中的一类,其因处理的数据量大、数据敏感性强、潜在风险高,一旦泄露、滥用或破坏,可能会对国家安全、社会稳定或经济秩序产生严重后果,因而受到更加严格的监管。因
65、此条例也因此在第四章针对重要数据处理者的义务进行了专章规定,要求内部建立严格的安全管理制度,包括识别与申报重要数据、明确网络数据安全责任人和管理机构、以及针对责任人和关键岗位人员进行背景审查;提供、委托处理、共同处理重要数据前,应当进行风险评估;涉及合并、分立、解散、破产等情形,应当采取措施保障网络数据安全,并向相关主管部门报告重要数据处置方案;定期开展安全风险评估并向相关部门报送风险评估报告等。3、网络平台服务提供者、网络平台服务提供者 条例以专章的形式对网络平台服务提供者的责任和义务进行了明确规定。对于网络平台服务提供者,征求意见稿使用了“互联网平台运营者”的概念,将“互联网平台运营者”定
66、义为向用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。此次条例对网络平台服务提供者并未进行明确定义,而是直接沿用了未成年人网络保护条例中的描述,同时又为满足全文表述一致性的要求,使用了条例网络数据处理者中的“网络”这一概念。结合条例第四一条和第四一一 21 条的规定,预装应用的智能终端等设备生产者、提供应用程序分发的服务提供者,都需要适用网络平台服务提供者的相关规定。相较于征求意见稿,此次条例对于网络平台服务提供者的义务和责任有所放宽,例如,前文中所述征求意见稿曾要求网络平台在平台规则的重大修订前向社会公开征求意见不少于 30 个工作日,超大型网络平台需要报请主管部门同意
67、等,此次条例已不再体现。单设第六章明确网络平台服务提供者义务(取代征求意见稿互联网平台运营者义务),通过七个条款,分别规定了一般网络平台服务提供者和大型网络平台服务提供者的责任和义务。针对一般网络平台服务提供者,条例第四一条第一款要求其必须通过平台规则或合同形式明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务。这意味着网络平台需要对第三方产品和服务的网络数据安全履行平台监督义务,确保他们接入平台提供的服务能够采取足够的技术和管理措施来保护数据安全。条例第四一条第二款进一步明确了预装应用程序的智能终端设备生产者也同样适用条例第四一条第一款,即预装应用程序的智能终端设备生产者需要对预装
68、应用程序的安全性起到整体管理责任,在接入预装应用前应确保预装应用能够符合法律法规的要求。此外,根据 条例第四一条第三款,第三方产品和服务提供者违反法律、行政法规的规定或者平台规则、合同约定开展数据处理活动,对用户造成损害的,各方应当依法承担相应责任。这里首先应当注意的是,立法者在第三方产品和服务违反法定与约定义务之间用了“或者”而不是“和”和“以及”,代表消费者只要主张平台内的第三方产品和服务提供者违法或者违约,只要二者未遵守其一,相关责任人即应当按照过错承担责任。预装应用程序若违法或违约,也应适用此规则。其次,如前所述,此前征求意见稿第四一四条第二款规定,第三方产品和服务提供者对用户造成损害
69、的,用户可以要求平台运营者先行赔偿。此次条例第四一条第三款不再要求平台运营者先行赔偿,一定程度上体现了对于网络平台服务提供者责任的放宽,但各方可能需要在损害责任认定以及赔偿比例分担方面进行举证和主张。最后,值得注意的是,条例第四一条最后一款还鼓励保险公司开发网络数据损害赔偿责任险种,以增强网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端设备生产厂商的风险抵御能力,为义务方积极履行损害赔偿责任、为用户提出正当救济权利均提供了保障。除上述三类网络平台服务提供者以外,条例第四一一条还对应用程序分发服务这一类网络平台服务提供者(例如苹果的 App Store、安卓的 Google P
70、lay、华为应用市场等)提出了相关要求。首先,应用程序分发平台应当建立应用程序核验规则并开展网络数据安全相关核验。其次,当该类平台发现待分发或者已分发的应用程序不符合法律、行政法规的规定或者国家标准的强制性要求的,应当及时采取警示、不予分发、暂停分发或者终止分发等措施。以上规定意味着,应用分发服务的网络平台服务提供者需要制定一套针对应用程序的审核标准,确保这些应用程序在上架前和运营中不会存在危害用户隐私、数据安全或影响网络安全的风险,特别是涉及用户数据的收集、存储、传输等 22 方面的安全措施。除发布规则外,在应用程序上架到应用商店或在运营过程中,应用商店还需要对这些应用进行定期或不定期的安全
71、检查。例如,应用程序在首次运行时,是否弹出符合规范的隐私政策,是否告知用户其将收集哪些个人信息。如果应用程序涉及跨境数据传输,是否符合相关的跨境数据传输规定。应用程序是否明确规定了数据的保存期限、删除机制、用户对其个人数据的控制权等内容,如果隐私政策不清晰或不符合要求,应用商店应拒绝该应用上架。此外,还应核查应用程序在与其服务器通信时,是否使用了安全的加密协议(如 HTTPS),如果应用程序通过明文传输用户的聊天记录或照片,应当拒绝上架。当应用程序请求了过多的系统权限,平台应进一步核查这些权限是否合理,例如,当一个社交应用程序要求访问用户的通话记录,且未能给出合理的解释或无法向用户解释其用途,
72、应用程序分发平台应要求该应用修改或拒绝其上线。如果涉及金融类应用,应用程序分发平台还应检查应用程序是否对用户的账户信息、交易记录等进行了端到端加密、是否采取了有效的账户保护措施,例如多因素身份验证(MFA)、密码强度要求、是否安装了防止身份盗用、异常交易监控等功能,以减少网络诈骗和数据泄露的风险。并且,应用程序分发平台还应使用自动化安全工具检测应用是否存在已知的安全漏洞或风险,譬如是否有被恶意代码注入的可能。如果相关应用程序存在能够被恶意攻击者利用的安全漏洞,应用程序分发平台应要求开发者修复后再重新提交。条例第四一三条明确国家推进网络身份认证公共服务建设,按照政府引导、用户自愿原则,鼓励网络平
73、台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份。2024 年 7 月 26 日,公安部和网信办曾发布国家网络身份认证公共服务管理办法(征求意见稿)并提出了“网号”“网证”的概念,以规范网络空间中的身份认证服务,确保在网络活动中的真实身份可追溯,防止虚假身份、匿名使用网络服务所带来的网络安全风险。此次条例以个保法 网安法中关于网络实名制认证的要求为基础,从行政法规层级上明确了立法态度,为未来国家网络身份认证公共服务管理办法的正式出台明确了方向,以便推动国家级的网络身份认证平台的建设。目前条例对用户使用国家网络身份认证公共服务登记、核验真实身份信息持鼓励支持的政策,实则当用户在
74、使用特定网络服务(例如社交媒体注册、在线支付、网络购物、网络游戏、网络评论等)时,通过国家认证平台的统一技术标准进行真实身份信息,包括姓名、身份证号码等内容的校验,能确保所验证的身份信息准确、真实。因此,身份认证服务网络平台提供者在提供此服务的过程中需要承担用户实名制认证中的管理责任,若发生信息泄露或违规行为,相关方需要承担法律后果。条例在本章中还提到了另一类网络平台服务提供者,即大型网络平台服务提供者。关于如何认定“大型”的门槛,根据条例第六一二条定义,大型网络平台是指注册用户 5000 万以上或者月活用户 1000 万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有
75、重要影响的网络平台。相比于此前 征求意见稿对于大型互联网平台运营者的定义(用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者),条例将用户规模大分 23 成两个维度理解,其一为用户注册数量多,其二为用户月活程度高。此次设定的数量门槛并没有采取此前讨论过的互联网平台分类分级指南(征求意见稿)和互联网平台落实主体责任指南(征求意见稿)中对大型、超大型平台以年活跃用户的计数标准,也未纳入市值(估值)作为衡量规模的尺度。条例虽然保留了“业务类型复杂”这一考量因素,但使用“网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响”取代了征求意见稿中“具有
76、强大社会动员能力和市场支配地位”这一要素,主要是从受影响主体的广度和潜在风险的严重程度出发进行考量,而不仅看平台的规模和其在市场上的垄断和支配能力,确保对用户数据和公共利益产生重大影响的平台能够承担更严格的合规要求。因此,符合前述条件的网络平台提供者应当遵守条例第四一四条至四一六条的要求,包括每年度发布社会责任报告、不得实施差别待遇、不得无正当理由限制用户访问和使用网络数据、不得以误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据等。这也与(个保法 对大型互联网平台责任加重的规定一脉相承,其中对涉及处理大量个人信息的运营者,要求其建立独立的个人信息保护机构,并定期进行外部审计。特别地,条例第
77、四一六条还兼容了反垄断指南关于平台经济领域的反垄断指南 平台经济反垄断指南(草案)国务院关于促进平台经济规范健康发展的指导意见 关于推动平台经济健康发展的实施意见等立法精神,对用户基数庞大的平台,明确要求其承担更多的社会责任,以消除这些平台可能利用网络数据、算法、平台规则等从事对用户产生不合理差别待遇等反竞争行为。并且,企业也应结合互联网信息服务算法推荐管理规定 关于加强互联网信息服务算法综合治理的指导意见等规定理解条例内容,主管机构有可能依据条例及其他法规进一步加强对算法治理和公开透明实践的监管,规范大型网络平台服务提供者在使用算法进行信息推送、个性化推荐等服务时的合规义务。4、承担网络数据
78、安全和相关监督管理工作的机构、承担网络数据安全和相关监督管理工作的机构 虽然政府部门本身不是被直接规制的对象,但它们在执行条例、进行数据监管和执法过程中也受到相应的约束和监督。条例第七章主要围绕网络数据安全监督管理的职责划分、监督检查机制、衔接和互认等方面进行了详细规定。虽然从文章体系角度,应当将监管机构的监督管理放置于责任章节之前,但由于监管机构本身也是条例的受监督对象,从避免赘述的角度,我们统一放在此处进行梳理和解读。从职责分工来看,根据条例第四一七条、第四一九条以及第三一七条,国家网信部门负责统筹协调数据安全和相关监督管理工作;统筹协调主管部门及时汇总、研判、共享、发布数据安全风险相关信
79、息;统筹协调网络数据安全信息共享、风险和威胁监测预警、安全事件应急处置;同时统筹协调有关部门建立国家数据出境安全管理专项工作机制,研究制定国家网络数据出境安全管理相关政策,协调处理网络数据出境安全重大事项。公安机关、国家安全机关在各自职责范围内承担数据安全监管职责,依法防范、查处、打击危害国家安全、公共利益的网络数据安全违法行为和犯罪活动。各地区和行业主管部门承担所在区域、行业和领域的数据安全监管职责,明确本领域、本行业网络 24 数据安全保护工作机构的设定、统筹制定并组织本行业、本领域网络数据安全事件应急预案、定期组织开展本行业、本领域网络数据安全风险评估,并对网络数据处理者履行网络数据安全
80、保护义务的情况进行监督、检查(包括条例第五一条要求数据处理者出具情况说明、查阅文件和记录、检查设备物品和数据安全措施的运行情况等)并指导、督促其整改相关风险隐患。值得注意的是,条例第四一七条第三款还提及了国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责。对此,可结合 2023 年中共中央、国务院发布的(国务院关于提请审议国务院机构改方方案的议案 和(国务院机构改方方案中对国家数据局在安全管理职能方面的描述进行理解,文件特别提及国家数据局将承担“数据安全和数据开发利用的统筹监管职责”,为全国范围的数据管理和安全工作提供指导和规范。条例第七章通过四个条款说明了各监管机构之间的职责
81、分工,而后通过第五一一条、第五一二条和第五一三条对监管机构执法工作提出了管理要求。首先,第五一条第二款、第五一二条第二款,强调了各类监管机构工作之间应当配合、衔接和互认,包括个人信息保护合规审计、重要数据风险评估、数据出境安全评估等,避免企业对于此类评估或审计工作存在重复作业的情况。同时,针对重要数据风险评估和网络安全等级测评涉及内容重合的部分,认可相关结果之间互相采信的方式,降低企业合规成本和人力、物力的重复铺设。除此以外,针对监管机构在开展执法监督过程中的行为与措施提出严格要求,譬如,有关主管部门开展网络数据安全监督检查,应当客观公正,不得向被检查单位收取费用;在网络数据安全监督检查中不得
82、访问、收集与网络数据安全无关的业务信息,获取的信息只能用于维护网络数据安全的需要,不得用于其他用途;不得将知悉的个人隐私、个人信息、商业秘密、保密商务信息等网络数据泄露或者非法向他人提供,应当依法予以保密。未履行条例中规定的上述要求,相关主管机关会被根据条例第六一条的规定依法追究法律责任。(三)网络数据安全总体框架下的细化规定(一般规定)(三)网络数据安全总体框架下的细化规定(一般规定)条例第二章(“一般规定”作为本法规的核心章节,为我国网络数据处理活动提供了系统的规范框架。该章从多个维度对网络数据的处理、保护和管理进行了详细规定,涵盖了非法活动的禁止性要求、网络数据处理者的责任、产品和服务的
83、安全性要求、应急预案的制定、国家安全审查、自动化工具使用限制以及针对生成式人工智能服务安全管理等方面内容。在充分吸收征求意见稿及公众意见的基础上,相较于之前的个保法 数安法和网安法,本章呈现出一系列值得关注的要点。具体分析如下:1.详细规定了网络数据非法详细规定了网络数据非法处理处理活动的具体类型活动的具体类型 相较于征求意见稿,条例第八条释明了何为利用网络数据从事非法活动的行为,具体涵盖窃取、以非法方式获取、非法出售及非法提供网络数据。同时,条例特别强调,任何个人和组织都不得提供专门用于非法活动的程序、工具;如果明知他人 25 从事此类非法活动,也不得为其提供任何形式的技术支持或帮助,具体包
84、括互联网接入、服务器托管、网络存储、通讯传输以及广告推广和支付结算等技术支持和服务类型。这一修订对网安法第二一七条、数安法第三一二条中所禁止的危害网络安全行为和从事非法网络数据处理活动又进行了细化,提高了法律法规的可操作性和对非法从事网络数据处理活动的打击精度。与现行 数安法 相比,虽然 数安法 第四章规定了数据处理者的安全保护义务,但未详细列明非法技术支持和服务提供的具体内容,而“非法网络数据活动”的背后往往涉及多种技术支持,包括互联网接入、服务器托管、网络存储和通讯传输等。条例新增规定对此进行了补充,若相关网络数据处理者及其相关技术支持者在明知是非法活动的情况下仍然予以协助或者提供支持的,
85、则都可能会被认为违反本条例规定。例如,某个网络服务提供商明知其客户(如“丝绸之路”)从事非法活动,仍继续为其提供互联网接入服务,那么该服务提供商可能面临法律责任;如果某托管公司为一个非法运营的网站(例如销售非法商品的暗网市场)提供服务器支持,并且在知晓该网站从事非法活动后未能及时切断服务,这类行为也可能违反条例;类似的,提供云存储服务的公司如果已经知道存储了非法平台的数据或内容(例如非法交易记录或用户信息),而没有采取行动进行切断和报告,也可能触犯该法规;又如,平台之间或用户与平台之间的非法通讯,如果得到了技术层面的帮助,例如通过加密传输系统或私有通讯网络帮助非法活动规避监管,对被协助事宜事先
86、知悉的技术提供方也可能受到法律追责。2.强化网络数据处理者的主体责任强化网络数据处理者的主体责任 条例第九条要求网络数据处理者在网络安全等级保护的基础上,建立健全网络数据安全管理制度,加强网络数据安全防护手段,处置网络数据安全事件,防范针对和利用网络数据实施的违法犯罪活动,这说明国家希望通过技术手段和管理制度相结合的方式,提升网络数据的安全防护水平。并且,该条强调了网络数据处理者对其所处理的网络数据安全承担主体责任,一旦发生数据泄露、篡改或非法获取等安全事件,网络数据处理者将直接面临法律责任。这不仅迫使企业在遵守信息安全等级保护管理办法信息安全技术 网络安全等级保护基本要求(GB/T 2223
87、9-2019)等法律法规和标准的基础上,根据不同数据的特点和风险程度,加强安全投入,采取动态的网络数据安全保障措施,防止网络数据被违法犯罪分子利用,也反映出国家在应对日益复杂的网络安全威胁时,采取了更为系统、全面的治理思路,对企业提出了更高的安全管理要求。3.明确网络明确网络产品和服务的安全性要求与应急预案产品和服务的安全性要求与应急预案 条例第一条对网络数据处理者提供网络产品和服务提出了安全性要求。相较于征求意见稿及此前发布的网络产品安全漏洞管理规定,条例第一条更加注重提升整体网络安全水平、保护用户权益,不仅与数安法保持了一致标准,强制性要求网络产品和服务须符合国家标准,而且规定当存在安全缺
88、陷、漏洞等风险时,应立即采取补救措施,并及时告知用户、报告主管部门。相比之下,网络产品安全漏洞管理 26 规定 仅规定了网络产品提供者在发现或获知安全漏洞后 2 日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关信息。此外,条例还要求在涉及国家安全和公共利益时,网络数据处理者应具备快速响应能力,当安全缺陷、漏洞等风险涉及危害国家安全、公共利益时,网络数据处理者须在 24 小时内向有关主管部门报告。这与 2023年 12 月 8 日网信办发布的网络安全事件报告管理办法(征求意见稿)要求对较大、重大或特别重大网络安全事件在 24 小时内补报相关情况和计算机信息系统安全保护条例要求在 24
89、小时内向当地县级以上人民政府公安机关报告计算机系统中发生的案件存在异曲同工之处。实践中,对无任何风险应对经验的企业来说,履行 24 小时内的网络风险报告义务存在一定的压力,因此建议相关企业在日常管理中做好充分的准备和演练。针对网络安全事件的报告和通知,网安法第二一五条中已明确要求网络运营者应当事前制定网络安全事件应急预案,并在发生网络安全事件时立即启动该应急预案,防止危害扩大,并按照规定向有关主管部门报告。数安法也提及了发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。相较于征求意见稿,条例删除了安全事件报告的具体时间要求(如(“在发生安全事件的八小时内”和(
90、“在事件处置完毕后五个工作日内”),而是采用了更为原则性的表述,这可能是为了给予网络数据处理者根据事件的具体情况灵活处理的空间,这种灵活性也意味着关于报告程序的具体要求将依赖于网络安全事件报告管理办法正式稿的出台。除了制定应急预案和向主管部门报告、通知受影响主体,条例第一一条还增加了网络数据处理者在处置网络数据安全事件过程中发现涉嫌违法犯罪线索时的报案、配合侦查、调查和处置工作的义务。除此以外,条例第二一条还要求面向社会提供产品、服务的网络数据处理者应当接受社会监督,建立便捷的网络数据安全投诉、举报渠道,公布投诉、举报方式等信息,及时受理并处理网络数据安全投诉、举报。通过强化社会监督,鼓励公众
91、积极举报潜在的网络数据安全问题,不仅能够及时发现和解决潜在的网络数据安全风险,还能有效地保障公众在网络数据安全保护中的知情权和参与权。这种双重监督模式有助于提高网络数据安全问题处理的透明度,形成一种更广泛的监督体系,增强网络数据处理者的安全意识和自律性,进而促使其在网络数据安全管理中更加严谨和负责。4.界定数据处理具体场景下的管理要求界定数据处理具体场景下的管理要求 首先,条例第六一二条对委托处理和共同处理的概念进行了明确。虽然基本定义与个保法中的概念如出一辙,但条例将处理重要数据也纳入定义范围。针对对外提供或委托处理个人信息和重要数据,条例第一二条规定了网络数据处理者必须通过合同等形式与网络
92、数据接收方明确约定处理目的、方式、范围及安全保护义务,并由网络数据处理者对网络数据接收方的履行情况进行监督。同时,相较于征求意见稿,条例将相关数据处理情况记录的保存期限从(“至少五年”缩短为(“至少三年”。27 我们理解,这种调整可能是为了减轻网络数据处理者的合规负担,同时也考虑到了实际操作的可行性和数据安全保护的基本需求。此外,在电子政务系统以及公共服务系统的委外承建事宜方面,相较于征求意见稿,条例加强了对政务数据处理的监管和保护要求。第一五条和第一六条明确,一方面国家机关在委托他人建设、运行、维护电子政务系统时,必须经过严格的依法批准程序,国家机关需要监督受托方履行网络数据安全保护义务,确
93、保政务数据的安全。另一方面,国家机关应当通过合同约定,明确受托方的网络数据处理权限、履行网络数据安全保护义务和保护责任,不得在未经委托方同意的情况下对网络数据进行关联分析。这主要是针对许多企业受国家机关委托处理数据的现状进行了更加明确的规制,可结合导读一相关内容进行参考。5.公司结构发生变化时的网络数据管理要求公司结构发生变化时的网络数据管理要求 条例第一四条规定了当网络数据处理者发生因合并、分立、解散、破产等原因需要转移网络数据的情形,其与个保法第二一二条的规定类似,都要求接收方继续履行网络数据安全保护义务或者个人信息保护义务。当前,随着资产收购、股权转让和企业破产等商业行为日益频繁,网络数
94、据作为企业的一项重要资产,往往成为交易中不可忽视的部分。然而,在这些商业活动中,数据的安全转移和后续保护往往面临巨大挑战。首先,如果交易仍处于保密状态,若被交易的网络数据涉及个人信息,需要考虑是否对个人进行告知,这取决于交易双方针对原先处理目的、处理方式是否发生变更的商议。其次,针对提供方,需要按照交易条件进行交割,不得擅自留存数据,且在交易前妥善存储被交易的网络数据;针对接收方,则需严格遵循相关法律规定和安全标准,确保在转移过程中的传输安全和最小范围的人员接触,否则交易前或者交易中一旦发生交易数据泄露或遭到非法利用,将可能对交易双方产生重大且无法挽回的影响。特别是在企业破产清算或解散的情况下
95、,很多公司易忽视对剩余数据的安全处理,或未对数据的去向做出明确交代,导致用户个人信息、商业机密,甚至破产企业涉及处理的重要数据泄露风险增大。条例第一四条明确要求了公司主体结构产生特殊情况下,数据接收方仍须承担保护责任,从而避免数据因企业破产、分立、解散等而被非法获取或被滥用。重要数据处理者因合并、分立、解散、破产等可能影响重要数据安全的,条例第三一二条另有规定,我们将在下文进一步分析。6.回应新回应新兴技术兴技术处理网络数据处理网络数据的监管的监管要求要求 与生成式人工智能服务管理暂行办法第七条中的规定相衔接,条例第一九条要求提供生成式人工智能服务的网络数据处理者加强针对训练数据的安全管理。数
96、据质量和安全直接决定了模型的表现和风险,因此生成式人工智能服务管理暂行办法要求服务提供者使用具有合法来源的数据和基础模型,且在涉及处理个人信息时,应当事先取得个人同意或者符合法律法规的其他情形。在实际操作中,生成式人工智能的应用已渗透到各个行业,如自动化文本生成、图像生成、聊天机器人等。一旦训练数据包 28 含有害、不合规信息,或者处理不当,生成的内容便有可能出现偏见、错误,甚至侵犯个人隐私、侵犯他人权益。因此,网络数据处理者有责任从源头上加强数据安全管理,通过严格筛选、清理和监管训练数据,降低生成内容的潜在风险。条例进一步强调了防范和处置网络数据安全风险的必要性,要求网络数据处理者采取有效措
97、施,对训练数据采取严格的安全措施,如加密存储、访问控制、去标识化等,以防止数据泄露或被不法分子利用。同时,处理者还需要制定完善的应急预案,及时处置因数据不当使用引发的网络安全事件或数据合规风险,防范各种安全隐患。此外,条例第一八条明确地规范了网络数据处理者在使用自动化工具访问和收集网络数据时的行为。根据该条规定,条例间接承认了自动化采集工具本身的技术中立性,因此要求网络数据处理者在使用自动化工具前应当进行风险影响评估,此外,条例 明确要求不得利用爬虫等自动化采集工具非法侵入他人的网络或干扰第三方网络服务的正常运行。(数据安全管理办法(征求意见稿)第一六条规定,当采用爬虫技术访问收集流量超过网站
98、日均流量三分之一时,可能会被认为“严重影响网站运行”。但条例没有纠结究竟多大流量构成干扰网络正常运行,实践中网络数据处理者也往往没有能力测试到被爬网站的流量数量,原有规定反而造成不少网络数据处理者的困惑,甚至权利人凭借此条寻求救济的也寥寥无几。与条例第一八条相媲美的还有网络反不正当竞争暂行规定,其明确规定利用技术手段,非法获取、使用其他经营者合法持有的数据,妨碍、破坏其他经营者合法提供的网络产品或者服务的正常运行的行为,可能构成不正当竞争,从反不正当竞争的角度规范爬虫等自动化采集数据的行为。然而,自动化工具和生成式人工智能服务的技术复杂性较高,如何科学合理地评估其影响并进行有效的监管,有赖于实
99、践层面进不断探索和总结。此外,条例还进一步规定了利用自动化采集技术采集非必要个人信息的影响和相关处置措施,我们将在下一章节中进一步分析。(四)数据的特殊类型之一:个人信息保护细化规定(四)数据的特殊类型之一:个人信息保护细化规定 条例第三章在个保法及其他个人信息保护相关法律法规和标准的基础上,进一步细化了个人信息处理活动中的告知义务、同意的获取、主体权利的保障以及跨境数据流动等方面的要求。特别地,条例针对自动化采集技术的应用和“数据可携带权”,提出明确具体的执行路径。此外,相较于征求意见稿,本章内容在个人信息保护规则上进行了优化,更加注重实践中的可行性,体现了我国在数字经济背景下对个人信息保护
100、的重视和对国际立法趋势的积极回应,具体关注要点如下:1.强化个人信息处理规则中的告知义务强化个人信息处理规则中的告知义务 首先,个保法第一七条规定了处理个人信息时,个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项,条例第二一一条进一步细化了上述规则。在告知上,(条例明确了个人信息处理规则的展示方式,即(“集中公开展示”“易于访问”“置于醒目位置”。同时,对于网络数据处理者向其他网络数 29 据处理者提供个人信息的情况,条例要求以清单等形式予以列明,这一规定与 2021年 11 月工业和信息化部发布的关于开展信息通信服务感知提升行动的通知中提出的(“双清单”制度相
101、呼应。上述通知要求相关企业建立(“已收集个人信息清单”和(“与第三方共享个人信息清单”,以增强用户对个人信息处理活动的感知和控制。而(条例的出台,标志着来源于工信部规范性文件的“双清单”制度已经正式上升到了行政法规层面规范的内容。在告知内容上,除个保法中提到的基本信息外,条例还特别指出需包含处理敏感个人信息的必要性及对个人权益的影响、个人信息保存期限及其确定方法等内容。我们理解,这一调整有利于提高个人信息主体对自身合法权益被侵犯风险的认知水平,同时也促使网络数据处理者在设计产品时应充分考虑隐私保护的因素。值得注意的是,相较于征求意见稿,条例第二一一条中对于个人信息保存期限的规定更加灵活。针对难
102、以事先确定保存期限的情况,允许网络数据处理者根据实际情况制定具体的确定方法,这种灵活性既保证了个人信息主体的信息安全,又给予了网络数据处理者一定的操作空间。从落地角度,企业可基于内部数据存储策略,在个人信息处理规则中明确具体的存储期限,也可将确定存储期限的流程和要求向用户进行告知。最后,条例第二一一条沿袭了儿童个人信息网络保护规定的规定,特别指出对于不满一四周岁未成年人的信息处理需要具备专门的个人信息处理规则。考虑到儿童作为特殊群体,在使用互联网服务时往往缺乏足够的判断力和自我保护能力,因此给予他们额外的关注具有必要性。2.强化强化用户隐私保护与用户隐私保护与增强增强透明度透明度 条例 第二一
103、二条建立在 个保法 第一三条合法性基础上,但特别针对“同意”这项合法性基础进行了重申并细化了具体要求,包括同意的表达应当“自愿”、同意的范围应该符合必要性、当个人信息的处理目的、方式、种类发生变更的,应当重新取得个人同意。该条第一款第五项还规定“不得在个人明确表示不同意处理其个人信息后,频繁征求同意”。在实践中,一些应用程序或网络数据处理者可能会采用不断弹出请求窗口的方式,试图改变用户的决定,这种行为不仅干扰了用户体验,也违背了用户的真实意愿,即使用户无奈最后按了“同意”键,但这样的同意应当属于“无效”的同意。与(信息安全技术 个人信息安全规范(GBT 35273-2020)第 5.3 条 d
104、)项规定相呼应,这个规定有利于减少网络数据处理者利用模糊规则进行反复请求的机会,从而避免相关用户受到不必要的打扰,能够有效提升整体用户体验。针对处理除儿童个人信息以外的敏感个人信息,条例还规定应当取得个人的单独同意或者法律、行政法规规定的书面同意;针对处理儿童个人信息,条例要求网络数据处理者应当取得未成年人的父母或者其他监护人的同意。以上规定连同条例第二一三条个人行权要求,均未超出个保法的相关规定。3.细化细化“数据可携带权”的“数据可携带权”的实现途径实现途径 30“数据可携带权”作为一类新型权利,在借鉴欧盟(通用数据保护条例(GDPR)立法经验的基础上,个保法第四一五条第三款仅对其做出原则
105、性的界定,即个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。然而,何为“国家网信部门规定的条件”,个保法并未公布其解。并且,个保法实施后,由于缺乏实施细则,实践中,要实现此条的操作技术难度也较高,因此企业目前仅实现了“数据可携带权”的一半含义,即“副本下载”,尚未能充分实现另一半立法本意,即数据向第三方产品和服务提供方实现完全移送。条例 第二一五条首次以立法形式细化了个人信息转移请求的实现途径,使得个人信息转移请求不再是抽象的原则。这不仅提高了法律条文的可执行性,还减少了因解释模糊而产生的争议。具体而言,该条明确规定个人信息转移请求
106、的条件,须涵盖请求人的真实身份验证、待转移个人信息的范围(仅限于本人同意或基于合同约定部分)、具备可转移此个人信息的技术可行性及保护其他相关方合法权益的要求,这一规定为网络数据处理者提供了清晰的操作指南,对个保法第四一五条第三款预留的伏笔进行了填补。此外,为平衡转移方与转入方的利益,例如由于用户请求多次转移,使网络数据处理者发生了额外的运营和技术成本,法规允许网络数据处理者在评估后向提出请求的用户主张超出合理范围的必要费用。在评估前述问题的过程中,网络数据处理者可以引入个人信息保护影响评估等流程,以便评估与平衡转移行为对个人信息主体权利和他人合法权益可能造成的影响。4.自动化采集技术的应用限制
107、自动化采集技术的应用限制 即使前文已经针对条例第一八条关于使用自动化工具访问、收集网络数据的规定进行了分析,条例第二一四条又针对使用自动化采集技术等手段无法避免采集到非必要个人信息或者采集了未依法取得个人同意的个人信息等情况提出了解决方案即删除或匿名化处理此类不合规信息。此外,条例还特别考虑了实践中的复杂性和多样性,对于法律、行政法规规定的保存期限未届满或者凭借网络数据处理者当时的技术手段和经验难以实现删除的,允许网络数据处理者停止除存储和必要的安全保护措施之外的处理活动。这种灵活的处理方式既为网络数据处理者提供了在特定条件下合理的应对策略,从而避免了过于僵化的法律规定给实际操作带来的困难,又
108、敦促网络数据处理者仍然有义务采取必要措施妥善管理和保护个人信息,并且更加谨慎地对待自动化采集过程中可能产生的非必要信息,防止用户个人信息被滥用或泄露。5.落实对落实对境外网络数据处理者处理境内个人信息境外网络数据处理者处理境内个人信息的监管的监管 条例 第二一六条主要适用于境外网络数据处理者处理中国境内自然人个人信息的情形,特别强调个人信息保护层面的责任落实。这体现了中国对境外数据处理活动的监管力度不断加强,并释放出明确的信号:境外网络数据处理者不仅要符合当地法律,还必须遵守中国的数据保护法律法规,这也为国际企业在华运营(特别是在中国境内未 31 设立法人实体、办事机构,且服务器部署于境外但收
109、集中国境内个人信息的企业)提供了清晰的合规指引。该条首先要求境外网络数据处理者按照(个保法第五一三条的要求,在境内设立专门机构或指定代表,并向所在地的市级网信部门报送相关信息,如机构名称、代表姓名及联系方式。这一要求旨在确保境外企业处理中国境内用户个人信息时有具体的责任主体可以追溯和监管,防止出现个人信息管理的“真空地带”,确保数据保护法律法规能够得到有效执行。其次,该条明确了具体的报送对象为“设区的市级网信部门”,增加了信息共享和协同监管的机制,规定接收到信息的网信部门应当及时通报同级有关主管部门,从而增强信息透明度,便于各监管部门在发现数据泄露、滥用等安全事件时,能够迅速采取应对措施,对违
110、规行为进行及时查处。6.网络数据处理者处理网络数据处理者处理 1000 万以上万以上个人信息个人信息的特殊合规义务的特殊合规义务 关于重要数据的识别和认定,信息安全技术 重要数据识别指南(征求意见稿)数据安全技术 数据分类分级规则(GB/T 43697-2024)及特定行业的法律规范和标准已提供了一定的指导,但是其中对于特定数量的个人信息能否构成重要数据尚未形成统一标准。(条例第二一八条明确规定,处理 1000 万人以上个人信息的网络数据处理者,还应当遵守 条例 第三一条(任命数据安全负责人及管理机构)和第三一二条(合并、分立、解散、破产时的报送义务)中对于重要数据的处理者的规定。相较于征求意
111、见稿中 100 万的量级规定,本次条例放宽了认定门槛,这意味着对于处理个人信息数量在 100 万到 1000 万之间的企业,可以免于按重要数据处理者的合规要求和监管措施予以执行;同时,条例也缩小了适用条款的范围,要求符合条件的网络数据处理者仅遵守条例第三一条和第三一二条的规定,而非遵守(征求意见稿第四章中针对重要数据处理者的所有规定。这反映了立法者在平衡监管力度与企业运营成本之间进行了成熟考虑,避免对部分百万级企业造成过大的合规负担。(五)数据的特殊类型之二:重要数据的细化规定(五)数据的特殊类型之二:重要数据的细化规定 条例第四章规定了针对重要数据的安全管理要求,重点包括如下方面:1.重要数
112、据目录与重要数据的识别、申报和确认重要数据目录与重要数据的识别、申报和确认 条例第六一二条明确,重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。相比于征求意见稿的列举式定义,条例的定义进行了提炼和精简,并基于数据出境安全评估办法 数据安全技术 数据分类分级规则(GB/T 43697-2024)等相关法规标准中对于重要数据的定义8进一步优化和更新了表述。8 数据出境安全评估办法第一九条 本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国
113、家安全、经济运行、社会稳定、公共健康和安全等的数据。数据安全技术 数据分类分级规则(GB/T 43697-2024)3.2 重要数据:特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的 32 为了保障重要数据安全,条例第二一九条第一款首先基于数安法的原则性要求9(,明确国家数据安全工作协调机制,统筹协调有关部门制定重要数据目录,加强对重要数据的保护。同时敦促各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的网络数据进行重点保护。条例第二一九条第二款
114、重点规定了网络数据处理者对重要数据的识别、申报义务与相关地区、部门的确认和告知、公开要求,具体可包括如下步骤:首先,网络数据处理者应当按照国家有关规定识别重要数据。即企业应当首先自行判断是否涉及处理重要数据。具体而言,企业需要对于所持有的数据资产进行梳理,参考行业相关法律法规、各地区发布的重要数据目录和/或数据安全技术 数据分类分级规则(GB/T 43697-2024)等国家标准所列举的重要数据识别因素进行判断,明确企业收集的数据类型,识别数据资产清单中各类数据的用途、面临的主要安全威胁,判断数据安全性(保密性、完整性、可用性等)遭破坏后可能对国家安全及公共利益造成的影响,形成本企业的重要数据
115、目录。其次,在识别企业内部的重要数据后,该网络数据处理者还需要履行申报义务。但条例尚未明确申报重要数据的具体流程、时限和申报监管机构,因此实践中企业如何进行申报还有待未来相关监管机构的进一步明确。另外,条例未采纳征求意见稿 中要求数据处理者在识别重要数据后的一五个工作日内向设区的市级网信部门备案的义务10。最后,待企业完成自主申报后,根据条例的规定,最终是否属于重要数据的判定结果应当由相关地区、部门进行确认。对确认为重要数据的,相关地区、部门应当及时向企业告知或者公开发布重要数据目录、清单,企业应当履行网络数据安全保护责任。此外,条例第二一九条第三款还鼓励性地建议企业使用数据标签标识等技术和产
116、品。根据属性、用途、敏感度等信息给特定数据打上相应的标签或标识,不仅能够帮助企业实现对数据的分类分级,以此清晰地知道某一数据的类型、重要性、访问权限以及处理方式,还能提高本企业对重要数据安全管理水平,以及帮助企业在出现数据合规 数据。9 数据安全法第二一一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部
117、门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。10 网络数据安全管理条例(征求意见稿)第二一九条 重要数据的处理者,应当在识别其重要数据后的一五个工作日内向设区的市级网信部门备案,备案内容包括:(一)数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等;(二)处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身;(三)国家网信部门和主管、监管部门规定的其他备案内容。处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。依据部门职责分工,网信部门与有关部门共享备案信息。33 问题时更容易追踪数据的来源、流
118、动情况和处理过程,以便有效应对潜在的数据泄露和风险事件,并提升审计效率。2.网络数据安全责任人与安全管理机构网络数据安全责任人与安全管理机构 条例 第三一条第一款要求重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构。网络数据安全管理机构应当履行下列网络数据安全保护责任:1)制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案;2)定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动,及时处置网络数据安全风险和事件;3)受理并处理网络数据安全投诉、举报。在网络数据安全负责人的任职方面,条例第三一条第二款要求网络数据安全负责人应当具备网络数据安全专业
119、知识和相关管理工作经历,由网络数据处理者管理层成员担任,有权直接向有关主管部门报告网络数据安全情况。值得注意的是,条例第三一条第三款还明确要求“掌握有关主管部门规定的特定种类、特定规模重要数据的网络数据处理者,应当对网络数据安全负责人和关键岗位的人员进行安全背景审查,加强相关人员培训”。因此,建议企业应当特别关注所在行业主管部门是否已经发布过针对特定种类、规模的重要数据认定清单或者应当专项咨询监管。例如,虽然汽车数据安全管理若干规定(试行)明确规定了汽车领域特定种类(如车辆流量、物流等反映经济运行情况的数据、包含人脸信息、车牌信息等的车外视频、图像数据等)、规模(涉及个人信息主体超过 10 万
120、人的个人信息)属于重要数据11,但交通部仍然需要对掌握哪些种类和规模重要数据的企业应当对网络数据安全负责人和关键岗位人员进行严格意义的背景审查做出明确指示。在主管部门尚未给出明确指引前,若已经有相关部门规章规定了某行业特定类型数据为重要数据的,建议该处理重要数据的网络数据处理者对聘用的网络数据安全负责人和关键岗位人员在入职前或者启动专项前均宜启动背景审查。针对背景审查的具体内容,企业可以参考信息安全技术 个人信息安全规范(GB/T 35273-2020)第 11.6(a)条的规定,包括审查相关人员的犯罪记录、诚信状况等情况。条例规定,符合上述条件进行背景审查时,可以申 11 汽车数据安全管理若
121、干规定(试行)第三条明确在汽车领域下的重要数据包括:(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;(二)车辆流量、物流等反映经济运行情况的数据;(三)汽车充电网的运行数据;(四)包含人脸信息、车牌信息等的车外视频、图像数据;(五)涉及个人信息主体超过 10 万人的个人信息;国家网信部门和国务院发展改方、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。34 请公安机关、国家安全机关协助。具体如何申请公安机关和国家公安机关的协助,可能有赖于实践中的进一步观察。3.重要数据提供、委托处理或
122、共同处理的风险评估重要数据提供、委托处理或共同处理的风险评估 根据 条例 第三一一条,如果企业作为重要数据处理者,涉及向外部第三方提供、委托处理或者共同处理重要数据的,应当依据条例的规定就该处理活动开展风险评估;但如果是企业为了履行法定职责或者相关法定义务的,则可以豁免该风险评估的要求。相比于征求意见稿,条例未将“交易”“向境外提供”两种场景纳入风险评估范畴,原因是“交易”的范围太大,可能涉及第三一二条(合并、分立、解散、破产等)中的某些场景,也可能被第一二条向其他网络数据处理者提供所包含;如果未得到合法授权的,还可能落入第八条规定的非法向他人提供的情况。企业“向境外提供重要数据”前必须经过数
123、据出境安全评估,而企业向网信部门提出安全评估申请前还会进行数据出境风险自评估。这些都已经在在数据出境安全评估办法中进行了规定且评估内容比较特殊,因此无需包括在条例第三一一条中。此外,条例还删除了在共享、交易、委托处理重要数据前获取主管部门或网信部门同意的前置审批要求12。这一变化体现了立法层面从强调事前的行政审批向企业履行自主合规管理和风险管理的转变,不仅提高了企业的自主性和灵活性,也更加符合国际数据安全管理的趋势。同时,这种自主评估机制并不意味着放松监管。企业的风险评估结果可能需要在后续监管中接受检查,一旦被发现未能进行适当评估或未采取足够的安全措施,相关网络数据处理者仍将面临严厉处罚。这种
124、事后监督的方式也增强了监管的弹性,优化了监管资源的配置,使得监管部门可以根据实际情况调整监管力度。根据条例,在涉及提供、委托处理、共同处理场景下的风险评估应当重点评估下列内容:1)合法正当必要性:合法正当必要性:提供、委托处理、共同处理网络数据,以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要;2)数据泄露的风险:数据泄露的风险:提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险,以及对国家安全、公共利益或者个人、组织合法权益带来的风险;3)数据接收方背景:数据接收方背景:网络数据接收方的诚信、守法等情况;4)合同义务约定:合同义务约定:与
125、网络数据接收方订立或者拟订立的相关合同中关于网络数据安全的要求能否有效约束网络数据接收方履行网络数据安全保护义务;5)技术管理措施有效性:技术管理措施有效性:采取或者拟采取的技术和管理措施等能否有效防范网络 12 征求意见稿第三一三条 数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。35 数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险;6)其他内容:其他内容:有关主管部门规定的其他评估内容。与征求意见稿相比,条例虽然未明确评估风险为高的后果,但从合规实践来看,如果企业经过评估认为重要数据的共享、委托处
126、理或共同处理可能危害国家安全、经济发展和公共利益,则企业应当避免共享、委托处理或共同处理数据,以免引发监管部门的关注和相关处罚后果。4.重要数据处理者合并、分立、解散、破产时的报告义务重要数据处理者合并、分立、解散、破产时的报告义务 条例第三一二条规定了重要数据处理者发生合并、分立、分散、破产等情况且经过评估认为可能影响重要数据安全的,重要数据处理者应采取措施履行网络安全保障与上报义务。不难理解,企业在合并、分立、解散、破产等情况下,可能会涉及数据资产的转移或处置,而重要数据的特殊性决定了其处理不当会对国家安全、公共利益、个人隐私等产生重大影响。因此,条例要求重要数据处理者上报处置方案、接收方
127、信息等,旨在确保数据处理过程经过充分的安全考量,防止数据的滥用、泄露或非法转移。同时,通过上报处置方案,主管部门能够全面了解重要数据的处置过程,从而在需要时进行指导、干预或采取措施,以保证网络数据的安全和合规性。由于重要数据涉及到国家安全、经济运行、社会稳定等重大利益,因此需要受到较高层级的监管,以确保各级政府能够有足够的权限和能力来应对潜在风险。省级以上的主管部门通常具备更高的资源和权威,能够处理更复杂和重大的数据安全事件,因此相比于征求意见稿13,条例提高了上报部门的级别、细化了需要上报的内容,要求重要数据的处理企业需要向省级以上有关主管部门报告重要数据处置方案、接收方的名称或者姓名和联系
128、方式等;主管部门不明确的,应当向省级以上数据安全工作协调机制报告。“省级以上数据安全工作协调机制”是指由中央网信办及相关部委组成的跨部门协调机构,负责跨行业、跨领域的网络数据安全监管。对于很多企业来说,在合并、分立或解散时,可能不清楚具体应该向哪个主管部门报告,尤其是在数据涉及多个行业或跨区域的情况下,不同部门之间的管辖权还可能不明确。如果行业主管部门或网信部门没有清晰界定的,对重要数据的处置需要由更高行政级别的行政机关进行综合协调。省级以上的主管部门或协调机制能够跨部门、跨地区进行监督管理,避免地方保护主义或部门壁垒,确保跨部门和区域下的的数据安全措施在全国统一实施。5.重要数据处理者的年度
129、风险评估重要数据处理者的年度风险评估 数安法第三一条提出,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括网络数据处理者所处理的重要数据的种类、数量、开展数据处理活动的情况、面临的数据安全风 13 根据征求意见稿第一四条,企业发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据的,应当向设区的市级主管部门报告。若企业发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。36 险及其应对措施等。部分行业(例如汽车行业)
130、也在部门规章中明确了年度风险评估报告报送的要求。条例第三一三条进一步细化规定了重要数据年度风险评估的频率与报告应涉及的内容等。首先,重要数据的处理者应当每年度对其网络数据处理活动开展风险评估;其次,重要数据处理者需要向省级以上有关主管部门报送风险评估报告;再次,由于网络数据安全涉及网信部门、公安机关等多个监管和执法机构的共同管理,形成合力提前准备提升风险预警和应对能力,防范潜在的网络安全事件,因此有关主管部门在接收到重要数据处理者提交的年度风险评估报告后,还应当及时通报同级网信部门、公安机关。最后,年度风险评估报告应当包括下列内容:1)网络数据处理者基本信息、网络数据安全管理机构信息、网络数据
131、安全负责人姓名和联系方式等;2)处理重要数据的目的、种类、数量、方式、范围、存储期限、存储地点等,开展网络数据处理活动的情况,不包括网络数据内容本身;3)网络数据安全管理制度及实施情况,加密、备份、标签标识、访问控制、安全认证等技术措施和其他必要措施及其有效性;4)发现的网络数据安全风险,发生的网络数据安全事件及处置情况;5)提供、委托处理、共同处理重要数据的风险评估情况;6)网络数据出境情况;7)有关主管部门规定的其他报告内容。条例特别指出,处理重要数据的大型网络平台服务提供者(定义详见本文第二章第 3 点的内容)报送的风险评估报告,除包括前款规定的内容外,还应当充分说明关键业务和供应链网络
132、数据安全等情况。如前所述,首先,大型网络平台涉及到的用户数量巨大,且业务类型通常涵盖电子商务、支付服务、社交媒体、云服务等,业务流程极其复杂,其处理网络数据的影响力远远超过一般的网络数据处理者。一旦这些平台的关键业务或供应链受到攻击,可能产生系统性风险,不仅关乎企业本身,也可能影响多个行业和领域的稳定性,乃至对国家安全产生重大影响。大型网络平台的关键业务往往涉及大量的数据交互和共享,存在多种多样的数据风险,例如涉及用户数据、支付信息、交易记录等敏感数据。因此,在评估报告中详细说明关键业务的数据安全状况,有助于主管机构提前了解并识别该平台的哪些业务节点可能出现数据泄露或滥用的风险,有可能帮助该大
133、型网络平台采取针对性的保护措施进行事先防范。同时,大型网络平台往往也依赖复杂的供应链,包括硬件提供商、软件供应商、外包服务等,某些合作伙伴或外包商倘若存在较低的安全保障措施,链条中的任何一方出现任何漏洞都可能成为攻击者的突破口,进而波及整个平台。况且,有些大型网 37 络平台的供应链中还可能涉及到海外的软硬件供应商,特别是网络平台在使用国外服务器、数据存储设备或软件的时候,还存在潜在的供应链攻击或服务断供的风险。这类平台的数据安全问题一旦被利用,可能对国家经济、公共服务以及社会稳定造成巨大影响。因此,要求充分说明供应链的安全情况,有助于主管部门识别和控制这种外部安全威胁,提前掌握企业是否存在过
134、度依赖国外供应链的情况,评估可能的地缘政治风险带来的安全威胁。大型网络平台的关键业务与供应链的安全性,往往直接或间接地与国家安全和公共利益挂钩,但由于其规模和业务复杂性,网络数据安全的管理需要差异化的措施,不可能一刀切。因此,要求大型平台报告中详细说明关键业务和供应链安全情况,有助于主管部门针对具体的业务场景制定更精细化的监管要求。条例还要求,如果重要数据的处理者存在可能危害国家安全的重要数据处理活动的,省级以上有关主管部门应当责令其采取整改或者停止处理重要数据等措施,重要数据的处理者应当按照有关要求立即采取措施。此外,相比于征求意见稿第三一二条,条例删除了赴境外上市的数据处理者进行年度风险评
135、估的要求,因为现在香港联交所在聆讯前会要求发行人提供数据合规相关的专业法律意见,而律师出具专业法律意见前,一般都会要求企业进行严格的由第三方中介机构主导的全面风险评估或审计;而赴境外上市的数据处理者如果涉及处理重要数据的,则仍然需要遵守条例第三一三条的规定,因此征求意见稿的考虑之意,实践中都有在被执行。立法者从抓主要矛盾解决问题的视角,取消赴境外上市的数据处理者进行年度风险评估是合理的,也是进一步对企业合规义务减负的表现。同时,条例也删除了须“在每年 1 月 31 日前”提交报告的时间要求以及评估报告“应当至少保留三年”的要求,而留给企业很多自主、灵活处理的权利。(六)网络数据处理活动之特殊行
136、为规定:网络数据跨境安全管理(六)网络数据处理活动之特殊行为规定:网络数据跨境安全管理 条例第五章规定了涉及数据跨境传输的安全管理要求,重点包括如下方面:1.向境外提供个人信息的合规机制向境外提供个人信息的合规机制 在总结数据出境安全评估办法 个人信息出境标准合同办法 促进和规范数据跨境流动规定等部门规章制定实施经验基础上,条例第三一四条进一步明确了国家网信部门在网络数据出境活动中的功能与作用,同时优化了数据跨境流动的合规机制。条例 第三一五条规定了七种向境外提供个人信息的条件以及一项兜底条款,既融合了个保法的三大数据跨境传输合规机制,也包括促进和规范数据跨境流动规定中规定的豁免情形(相关解读
137、可参考流动与安全并重:促进和规范数据跨境流动规定来了,企业应当如何应对?)。并且,结合条例第三一六条规定的依据中国加入的国际条约、协定向境外提供个人信息的特殊情形,我国合规地向境外传输个人信息的条件总共有以下八项:38 1)通过数据出境安全评估:通过数据出境安全评估:通过国家网信部门组织的数据出境安全评估;2)取得个保认证:取得个保认证:按照国家网信部门的规定经专业机构进行个人信息保护认证;3)签订标准合同签订标准合同:符合国家网信部门制定的关于个人信息出境标准合同的规定;4)履行合同所必需:履行合同所必需:为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息;5)人力资源管理所必需:
138、人力资源管理所必需:按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;6)履行法定义务所必需:履行法定义务所必需:为履行法定职责或者法定义务,确需向境外提供个人信息;7)紧急情况:紧急情况:紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;8)法律、行政法规或者国家网信部门规定的其他条件其他条件。9)国际条约国际条约规定规定:中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。2.向境外提供重要数据的合规机制向境外提供重要数据的合规机制 条例第三一七条基于数据出境安全评
139、估办法的规定,要求网络数据处理者在中华人民共和国境内运营中收集和产生的重要数据确需确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。首先还是要明确重要数据的认定标准,具体可详见本文第四章的分析。条例第三一七条重申了二点:其一,向境外提供在中华人民共和国境内运营中收集和产生的重要数据需要具有一足的必要性,故相关企业需要自行评估论证,并提供相关证明材料以支撑“确需”提供之说;其次,根据促进和规范数据跨境流动规定的要求,重要数据的认定以地方和行业主管部门的通知或公开发布为标准。若相关企业未被相关部门、地区通知处理了重要数据,或者相关部门、地区公开发布的重要数据目录清单中暂未包括本企业所处
140、理的数据的,则企业无需将某类数据作为重要数据申报数据出境安全评估。此外,企业还应当关注,我国各地区正在积极探索建立数据分级分类保护制度,制定数据跨境流动的正面/负面清单,明确“重要数据”的类型。例如,天津自由贸易试验区于今年 2 月 5 日率先发布了中国(天津)自由贸易试验区企业数据分类分级标准规范14将数据分为 13 大类 40 子类,核心、重要、一般三个级别;上海临港新片区于今年 2 月 8 日发布中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理 14 参见天津市商务局官网:https:/ 39 办法(试行)15,提出对跨境数据进行分类分级管理,并提出重要数据目录制定、应用与更
141、新机制的管理要求;北京市网信办等三部门也于 8 月 26 日印发中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024 版)16,首批选择汽车、医药、零售、民航、人工智能等 5 个领域率先制定,详细列明了各领域需要通过数据出境安全评估的重要数据清单,涉及 18 个数据子类及其基本特征与描述。3.向境外提供数据时的其他合规义务向境外提供数据时的其他合规义务 数据出境安全评估办法第八条17要求数据出境安全评估时应当对数据出境的目的、范围、方式的合法性、正当性与必要性进行评估;第九条18要求数据处理者应当在与境外接收方订立的法律文件
142、中明确约定数据安全保护责任,包括数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等。条例第三一八条明确提出,网络数据处理者通过数据出境安全评估后向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。因此,企业在通过数据出境安全评估后,应当严格按照评估材料以及与境外接收方合同约定的内容开展数据跨境传输活动。如果实际的跨境传输活动超过评估时申报的内容,则企业可能被国家网信部门认定为“数据出境活动在实际处理过程中不再符合数据出境的安全管理要求”,因此国家网信部门可能会依据数据出境安全评估办法,要求企业终止数据出境活动;如企业需要继续开展的,则应当按
143、照要求整改后重新申请评估19。15 参见:https:/ 16 参见:https:/ 17 数据出境安全评估办法第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;(二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;(三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;(四
144、)数据安全和个人信息权益是否能够得到充分有效保障;(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;(六)遵守中国法律、行政法规、部门规章情况;(七)国家网信部门认为需要评估的其他事项。18 数据出境安全评估办法第九条 数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;(四)境外接收方在
145、实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。19 数据出境安全评估办法第一七条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要
146、求整改,整改完成后重新申报评估。40 如果是个人信息出境的,除了需要确定适用哪项前述提到的出境合规机制,以及评估是否适用自贸区新政以外,还需要向相关个人进行告知,并取得个人的单独同意。与向第三方提供网络数据需要获取单独同意一样,此处的单独同意,仍然采取条例第六一二条给出的定义,即指个人针对其个人信息出境的特定处理活动而专门作出具体、明确的同意。同时,出境方还需要开展个人信息保护影响评估、建立个人信息主体权利响应渠道、采取必要的技术保障措施以使出境活动的安全水平达到国家法律法规的保护标准,并对跨境活动进行记录并保存。此外,条例第三一九条一再强调了数据跨境传输过程中,网络数据处理者对安全风险的防范
147、责任。从具体实施的角度,既包括国家将采取措施,防范、处置网络数据跨境安全风险和威胁,也包括任何个人、组织不得提供专门用于破坏、避开技术措施的程序、工具等,以此遏制黑客等组织在社会上扩散犯罪工具;也不得在明知他人从事破坏、避开技术措施等活动,仍为其提供技术支持或者帮助。本条明确,即使个人或组织本身没有直接参与破坏、规避技术措施,只要存在上述行为,同样需要承担法律责任,以此有效减少“共犯”行为,进一步遏制犯罪发生。(七)法律责任(七)法律责任 条例第八章规定了违反条例的法律责任,与征求意见稿相比,条例有较大的修改。一方面针对特定违法行为明确了罚则,另一方面也更加突出上位法和 条例的衔接关系,特别是
148、在认定不同违法行为的处罚力度时,条例体现出与现行法律框架保持一致的特点,这有利于当出现跨领域的复杂案件、可能涉及到适用多部法律法规的情形,执法部门能够妥善处理不同法律和不同效力等级法规之间的关系。同时,条例在归责处理上又有以下新的亮点:首先,条例针对特定违法行为,规定了违反数据安全义务(第五一五条)、未按照有关规定进行安全审查的(第五一六条)、违反重要数据相关义务(第五一七条)等情况下的罚则;而针对违反条例规定的其他义务的情况,具体行政处罚由上位法补足,即由监管部门直接按照网安法 数安法 个保法等法律追究责任。其次,在罚则上引入了分级处罚机制,罚款额度总体上较(征求意见稿有了更明确的规定,依据
149、违法行为的情节轻重、整改情况等设置了不同层次的罚款和制裁,特别是在处罚下限和上限上做了更细化的划分。例如,条例规定了初次违法并及时改正或轻微违法的行为可以从轻处罚(第五一九条),而对于拒不改正或情节严重的行为,则可能面临更严厉的罚款、停业整顿、吊销执照等处罚(第五一五条、第五一六条、第五一七条)。这种分级处置机制不仅增强了执法的灵活性,还体现了“宽严相济”的立法思路。但是,条例对于一些特定行为的处罚力度有所提升,例如,第五一六条规定情节严重者可处 100 万元以上、1000 万元以下罚款,反映了国家对网络数据安全的日益重视。但需要注意的是,条例的罚款力度仍需与企业规模、违法行为的具体后果等因素
150、相匹配,以免出现过度处罚的风险。41 再次,相较于网安法和数安法,(条例进一步明确了对(“直接负责的主管人员”和(“其他直接责任人员”的法律责任,不仅规定了罚款额度,还特别强调了在情节严重的情况下,这些责任人员可能面临不同程度的个人罚款(第五一五条至第五一七条)。这反映出条例对管理层和一线直接责任人员的归责更加具体、明确,从内部流程和管理上要求强化管理者的个人责任意识。继承(网安法 数安法(个保法的传统,条例第六一一条也同样明确了违法行为不仅需承担行政责任,还可能涉及民事甚至刑事责任。这表明(条例的法律责任与上位法多层次、多维度的责任规定保持一致,企业不仅需要应对监管部门的行政处罚,还可能面临
151、受害者的民事违约或者侵权的索赔或国家控诉机关的刑事追责。因此,企业在遵守(条例时,需要特别关注潜在的多重责任风险,并进行全面的法律合规风险评估。此外,条例中多次提到“网信、电信、公安、国家安全”等多个部门联合执法(第五一五条、第五一六条),反映了监管的协调性。这种联动机制不仅呼应了第七章中要求监管机构执法上采取协调配合的机制,也确保了不同类型的数据安全问题能够在专业化的背景下得到处理,特别是对于重要数据跨境传输、关键信息基础设施保护等敏感领域,以保证执法的全面性和权威性。通过明确的监管职责划分、严格且协作的监督检查机制以及严厉的法律责任追究制度,为网络数据的安全与秩序提供了有力保障。最后,条例
152、第六一条强调了国家机关不履行数据安全保护义务时的法律责任,这是与数安法和个保法的一个重要区别。通过对国家机关责任的明确规定,(条例 避免了公权力机关在网络数据安全管理职责中的责任缺位或互相推诿,强化了对公共机构的监督与问责。(八)(八)结论与展望结论与展望 条例的出台,标志着我国网络数据安全立法体系的进一步完善,成为了数字经济时代下的护航力量。立足当前数字经济发展的需求,条例作为应对日益复杂的网络安全挑战的重要法律支撑,不仅回应了社会对网络数据安全的呼声,还为网络数据安全管理提供了更加具体、全面的操作指南。通过动态风险评估、分级责任追究、严明执法机制,条例展现了“宽严相济”的立法理念,既强调了
153、对违法行为的惩治力度,也首次为轻微违规提供了纠错的空间。这种兼具严密与灵活的规则设计,为数字经济的可持续、高质量发展奠定了坚实的法律基石。未来,随着前沿科技的不断发展和应用场景的持续拓展,数据的流动性、复杂性将持续增加,网络数据安全将面临更多新的挑战和机遇。条例作为护航数字经济的重要法律保障,将在应对更加复杂的网络安全风险中发挥更加不可或缺的作用。无论是对于国家安全,还是企业的持续发展,数据安全都将成为长期决胜的关键因素。而在这场没有硝烟的数字战役中,法规的完善与执行,正是确保数字经济健康发展的重要防线。因此,洞悉网络数据安全管理条例背后的立法精神,不仅仅是认识到其对于违法行为的惩戒意义,更是
154、要理解它在当前阶段促进数字生态系统健康运转中的长远作用。42 未来,企业唯有将网络数据安全视作核心竞争力的一部分,真正融入到日常运营与战略规划中,才能在这个不断演化的数字战役中立于不败之地。而(条例的实施,正是国家为全新的数字时代保驾护航提供的重要举措和关键力量,其将进一步推动网络数据安全与数字经济的共生繁荣。43 2.数据分类分级:解读数据安全技术数据分类分级:解读数据安全技术 数据分类分级规则:纲举目张,数据分类分级规则:纲举目张,安则有序安则有序20 引言引言 2024 年 3 月 21 日,全国网络安全标准化技术委员会(原全国信息安全标准化技术委员会)发布 数据安全技术 数据分类分级规
155、则 报批稿(正式标准编号为 GB/T 43697-2024)(以下简称“(规则”)。此次发布的规则是全国网络安全标准化技术委员会更名后,正式发布的第一部以“数据安全技术”命名的国家标准。规则有效衔接了中华人民共和国数据安全法(以下简称“(数据安全法”)的原则性规定,提供了数据分类分级的统一通用规则,同时延续和更新了此前发布的信息安全技术 重要数据识别指南(征求意见稿)(以下简称“重要数据识别指南”)关于重要数据的相关规定,正式确定重要数据的识别标准,即将结束长期以来重要数据识别“无法可依”的局面。规则的发布既回应了社会各行各业的期待,也是实现国务院办公厅扎实推进高水平对外开放更大力度吸引和利用
156、外资行动方案(国办发20249 号)提出的“健全数据跨境流动规则,科学界定重要数据的范围”目标的重要举措。该国家标准将于 2024 年 10月 1 日正式实施。一、我国数据分类分级和重要数据立法现状一、我国数据分类分级和重要数据立法现状(一一)数据安全法的原则性规定数据安全法的原则性规定 国家“一四五”规划明确提出要建立健全数据要素市场规则和完善适用于大数据环境下的数据分类分级保护制度。2021 年 9 月 1 日实施的数据安全法第二一一条明确规定国家建立数据分类分级保护制度,对数据实行分类分级保护。数据安全法在法律层面确立了数据划分为“国家核心数据”、“重要数据”以及“一般数据”并实行不同程
157、度的管理、保护制度这一基本原则。同年 11 月 1 日实施的中华人民共和国个人信息保护法也在其第五条中指出个人信息处理者应对个人信息实行分类管理。数据安全法 等法律虽规定了数据分类分级保护的原则,但并未就数据分类和分级方法提供具体的落地指导,也未明确定义何为“国家核心数据”“重要数据”;配套的行政法规、部门规章和国家标准等也迟迟未能正式出台,数据处理者在实际工作开展过程中缺乏相对有效的明确指导。(二二)各行业分类分级标准各行业分类分级标准 随着数据安全法等上位法的颁布和推进,各个行业领域的数据分类分级相关标准规范的制定也快马加鞭进入快车道。以金融领域为例,三项数据分类分级相关的标准金融数据安全
158、 数据安全分级指南(JR/T0197-2020)(证期期业业数据分类分级指引(JR/T 0158-2018)(个人金融信息保护技术规范(JR/T0171-2020),分别从金融业数据、20 作者:孟洁、钱星辰、黎耀琦 44 证期期业业数据和个人金融信息的维度对金融数据分类分级做出了规定。电信、工业、医疗健康、智能网联车、政务等行业和领域也纷纷制定了相应的数据分类分级相关标准或政策,以规范行业发展、指引数据合规实践的落地。在地方层面,各地也根据数据分类分级实践情况积极探索相应的规范治理规则和模式。2016 年,贵州省质量技术监督局发布 政府数据 数据分类分级指南(DB52/T1123-2016)
159、,从主题、行业和服务三个维度对政府数据进行分类,作为贵州省政府数据分类和分级的顶层标准。除贵州省外,浙江省、上海市、山东省青岛市等也曾发布数字化改方 公共数据分类分级指南(DB33/T 2351-2021)上海市公共数据开放分级分类指南(试行)青岛市公共数据分类分级指南等标准或文件,指导当地的政府与公共数据分类分级。由于国家统一的数据分类分级标准和相应实施细则长期缺位,各行业、各地方的数据分类分级标准往往呈现较为明显的区别:不同行业的业务类型、业务范围、数据处理活动特征差别明显,导致不同行业间的分类分级标准存在一定差异;各地方的数据分类分级侧重点和产业发展着力点有所区别,致使数据分类分级的地方
160、性文件也呈现出一定的地方特色。由于各行业、各地区数据分类分级标准之间存在衔接适用的问题,数据处理者在实际开展分类分级工作过程中会面临诸多困惑,数据分类分级保护机制的整体落地具备一定的挑战。本次规则的发布,一方面落实了数据安全法等上位法所规定的原则,在理论上与现行法律法规相衔接,完善了数据分类分级制度体系;另一方面,有助于解决因缺乏国家统一的数据分类分级指导性规则而导致相关国家数据安全制度、数据分类分级保护要求难以整体落地的问题,具有重要的意义。二、数据分级分类的框架与规则二、数据分级分类的框架与规则 就具体内容而言,规则包含“数据分类分级规范标准”和“重要数据识别标准”两大重要组成部分。规则提
161、供了数据分类分级的原则、框架、方法、规则和流程,并在其前身信息安全技术 网络数据分类分级要求(征求意见稿)(以下简称“(网络数据分类分级要求”)的基础上提供了重要数据识别指南,指引数据处理者在行业领域主管部门的引导下进一步准确识别和划分核心数据、重要数据和一般数据,妥善落实数据分级分类保护工作。(一一)分类分级基本原则分类分级基本原则 根据规则第 4 条,数据处理者应遵循如下五项基本原则对数据进行分类分级:1.科学实用原则:从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。45 2.边界清晰原则:数据分级的各级别应边界清晰,对不同级
162、别的数据采取相应的保护措施。3.就高从严原则:采用就高不就低的原则确定数据级别,当多个因素可能影响数据分级时,按照可能造成的各个影响对象的最高影响程度确定数据级别。4.点面结合原则:数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后的安全影响,综合确定数据级别。5.动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。规则发布前的各类政策文件和国家标准,仅有部分文件对数据分类分级原则做出了相应的规定,多数文件规定了合法合规、可执行性、就高从严、时效性、差异性和客观性原则,少数标准和文件还提出了自主性、合理
163、性、关联叠加效应原则。此次规则在完全吸收网络数据分类分级要求中发布的五项基本原则的基础上,对不同行业领域的数据分类分级原则进行了一定的统合和增减,为行业领域主管部门和数据处理者明确了工作方向。(二二)数据分类规则数据分类规则 根据规则第 5 条,数据分类的框架为先按照行业领域行业领域分类、再根据业务属性业务属性分类的思路进行,并提出个人信息等法律法规有专门管理要求的数据类别应按照有关规定和标准进行识别和分类,其中:行业领域包括:工业、电信、金融、能源、交通运输、自然资源、卫生健 康、教育、科学等;业务属性包括:业务领域、责任部门、描述对象、流程环节、数据主体、内容主题、数据用途、数据处理和数据
164、来源等。规则在提供分类框架和分类方法的基础上,在其附录 A 中就描述对象和数据主体两个业务属性的分类提供了如下示例:数据类别数据类别 类别定义类别定义 示例示例 用户数据 在开展业务服务过程中从个人用户或组织用户收集的数据,以及在业务服务过程中产生的归属于用户的数据 如个人信息、组织用户信息(如组织基本信息、组织账号信息、组织信用信息等)业务数据 在业务的研发、生产、运营过程中收集和产生的非用户类数据 参考业务所属的行业数据分类分级,结合自身业务特点进行细分,如产品数据、合同协议等 46 数据类别数据类别 类别定义类别定义 示例示例 经营管理数据 数据处理者在单位经营和内部管理过程中收集和产生
165、的数据 如经营战略、财务数据、并购融资信息、人力资源数据、市场营销数据等 系统运维数据 网络和信息系统运行维护、日志记录及网络安全数据 如网络设备和信息系统的配置数据、日志数据、安全监测数据、安全漏洞数据、安全事件数据等 表 1 基于描述对象的数据分类参考示例 数据分类数据分类 类别定义类别定义 示例示例 公共数据 各级政务部门、具有公共管理和服务职能的组织及其技术支撑单位,在依法履行公共事务管理职责或提供公共服务过程中收集、产生的数据 如政务数据,在供水、供电、供气等公共服务运营过程中收集和产生的数据等 组织数据 组织在自身生产经营活动中收集、产生的不涉及个人信息和公共利益的数据 如不涉及个
166、人信息和公共利益的业务数据、经营管理数据、系统运维数据等 个人信息 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息 如个人身份信息、个人生物识别信息、个人财产信息、个人通信信息、个人位置信息、个人健康生理信息等 表 2 基于数据主体的数据分类参考示例 其中,表 1 完全吸收了网络数据分类分级要求所作的描述对象方面的示例,采用面分类法,从行业内组织经营维度,将用户数据和经营中的其他数据进行区分,再依据生产经营的各个环节对其他数据进行分类。表 2 提供的分类参考示例则与中共中央、国务院发布的关于构建数据基础制度 更好发挥数据要素作用的意见(以下简称“数据二一条”)规定相衔接,明确
167、参照“数据二一条”将数据分为公共数据、企业/组织数据和个人信息数据的基本分类,同时结合了信息安全技术 个人信息安全规范(GB/T 35273-2020)(以下简称“(个人信息安全规范”)对个人信息所作的定义和示例,并在规则附录 B 中就个人信息提供了更为细致的分类示例。根据上述分类框架,规则提供了行业领域数据分类的具体步骤和方法,数据分数据分类工作主要涉及以下四个阶段类工作主要涉及以下四个阶段:1.明确数据范围明确数据范围:按照行业领域主管(监管)部门职责,明确本行业本领域管理的数据范围。2.细化业务分类细化业务分类:对本行业本领域业务进行细化分类,包括:47 a)结合部门职责分工,明确行业领
168、域或业务条线的分类;b)按照业务范围、运营模式、业务流程等,细化行业领域或明确各业务条线的关键业务分类。3.业务属性分类业务属性分类:选择合适的业务属性,对关键业务的数据进行细化分类。4.确确定分类规则定分类规则:梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求,确定行业领域数据分类规则,例如:a)可采取“业务条线关键业务业务属性分类”的方式给出数据分类规则;b)对关键业务的数据分类结果进行归类分析,将具有相似主题的数据子类进行归类。由于不同行业领域的自身特性,主管部门应结合本行业领域具体的数据管理和使用需求,以及已经具备的数据分类基础,灵活指导本行业的数据分类工作,使得数据处
169、理者能够将所掌握的数据科学分类至合适的数据大类与子类中。(三三)数据分级规则数据分级规则 根据规则第 6 条,数据分级的基本框架为根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家运行、经济运行、社会秩序、公共利益、组织权益、个人权益等不同影响对象所造成影响的危害程度,将数据从高到低分为核心数据、重要数据、一般数据三个级别。根据规则,数据分级工作主要包括如下四个步骤数据分级工作主要包括如下四个步骤:1.确定分级对象:确定数据项、数据集、衍生数据、跨行业领域数据等待分级数据。2.分级要素识别:识别数据的领域、群体、区域、精度、规模、深度、覆盖
170、度、重要性等识别要素(具体请参见规则附录 C)。3.影响分析:分析数据一旦遭到风险可能影响的对象和影响程度(具体请参见 规则附录 D、附录 E 及附录 F)。4.综合确定级别:结合上述分析综合确定数据级别。规则在其第 6.5 条中,指出了结合上述分级要素形成的如下规则表:影响对象影响对象 影响程度影响程度 特别严重危害特别严重危害 严重危害严重危害 一般危害一般危害 国家安全 核心数据 核心数据 重要数据 经济运行 核心数据 重要数据 一般数据 社会秩序 核心数据 重要数据 一般数据 48 影响对象影响对象 影响程度影响程度 特别严重危害特别严重危害 严重危害严重危害 一般危害一般危害 公共利
171、益 核心数据 重要数据 一般数据 组织权益 个人权益 一般数据 一般数据 一般数据 注:如果影响大规模的个人或组织权益,影响对象可能不只包括个人权益或组织权益,也可能对国家安全、经济运行、社会秩序或公共利益造成影响。表 3 数据级别确定规则表 根据上表,影响对象的确定对于数据级别的明确有非常显著的作用。对于关系到国家安全的数据,不论其造成的影响程度如何,一律属于重要数据或核心数据,需要采取更为全面的保护措施、受到更为严格的监管。如果数据仅影响到组织或个人,则其重要性显著下降。对于关系到经济、社会秩序和公共利益的数据,其重要性则依据其影响程度而定。在此基础上,可总结出核心数据、重要数据、一般数据
172、的的级别确定情况:级别级别 核心数据核心数据 重要数据重要数据 一般数据一般数据 识 别识 别标准标准 1)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成特别严重危害(如直接影响政治安全)或严重危害(如关系其他国家安全重点领域);2)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成特别严重危害(如关系国民经济命脉);3)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序 造成特别严重危害(如关系重要民生);4)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益 造成特别严重危害
173、(如关系重大公共利益);5)对领域、群体、区域具有较高覆盖度,直接影响政治安全的重要数据;6)达到较高精度、较大规模、较高重要性或深度,直接影响政治安全的重要数据;1)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成一般危害;2)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成严重危害;3)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序造成严重危害(如影响社会稳定);4)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益造成严重危害(如危害公共健康和安全);5)数据直接关系国
174、家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域;6)数据达到一定精度、规模、深度或重要性,直接影响国家安全、经济运行、社未 识 别 为核心数据、重 要 数 据的 其 他 数据 49 级别级别 核心数据核心数据 重要数据重要数据 一般数据一般数据 7)经有关部门评估确定的核心数据。会稳定、公共健康和安全;7)经行业领域主管(监管)部门评估确定的重要数据。表 4 核心数据、重要数据与一般数据的级别确定 从上表中不难看出,规则中“核心数据”的定义既延续了上位法数据安全法第二一一条中“关系国家安全、国民经济命脉、重要民生、重大公共利益”对国家核心数据的识别标准,又充分吸收了网
175、络数据分类分级要求和各地方发布的数据分类分级标准规范中“较高覆盖度、较高精度、较大规模、一定深度”等识别要素,定义更为明确和完善。“重要数据”的定义同样延续了 数据安全法 第二一一条中“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”的原则性规定;新增的“特定领域、特定群体、特定区域或达到一定精度和规模”识别要素一方面与核心数据的定义相衔接,另一方面也吸收和借鉴了重要数据识别指南 工业和信息化领域数据安全管理办法(试行)等文件对于特定敏感行业领域和群体的列示性规定,将相关要求进行浓缩和归纳。在一般数据的分级方面,此前各个行业领域的政策文
176、件和国家标准对数据分级的规定不一,汇总如下表:标准标准 分级标准分级标准 分级级别数量分级级别数量 金融数据安全金融数据安全 数据安全分级数据安全分级指南(指南(JR/T 0197-2020)数据安全遭破坏后的影响对象和影响程度 5 级 基础电信企业数据分类分级方基础电信企业数据分类分级方法(法(YD/T 3813-2020)数据对象的重要敏感程度 4 级 车联网信息服务车联网信息服务 数据安全技数据安全技术要求(术要求(YD/T 3751-2020)车联网信息服务数据敏感性 2 级 信息安全技术信息安全技术 健康医疗数据健康医疗数据安全指南(安全指南(GB/T 39725-2020)数据重要
177、程度、风险级别可能造成的损害和影响 5 级 证期期业业数据分类分级指证期期业业数据分类分级指引(引(JR/T 01582018)影响对象、影响程度、影响范围 4 级 表 5 各行业领域标准数据分级的级别数量对比 本次规则则在其附录 H 中为“一般数据”的分级提供了 4 级、3 级、2 级的灵活分级框架参考,并提供了敏感个人信息、禁止开放/共享的公共数据、组织内部员工个人信息等特定类型一般数据在不同级别框架下的最低参考级别。50 规则 同时按照数据加工程度不同,将数据分为原始数据、脱敏数据、标签数据、统计数据、融合数据,其中脱敏数据、标签数据、统计数据、融合数据均属于衍生数据。根据规则中的分级参
178、考,衍生数据的级别需要数据处理者根据实际处理情况确定。脱敏数据因去标识化等处理,数据的敏感性和重要性降低,其数据级别一般较原始数据降低;标签数据、统计数据、融合数据则需要综合数据处理后的相应结果,再次根据分级要素、影响对象和影响程度进行影响分析,进行数据定级,其级别可比原始数据级别降低或升高。规则 所建立的“核心数据+重要数据+一般数据(2 级至 4 级)”的分级规则体系,以及关于不同类型衍生数据的分级说明与指引,有助于各行业领域主管部门和数据处理者根据行业领域的特性、具体业务流程和数据的差异性,灵活确定具体的分级规则,并据此制定相应的数据保护措施。(四四)重要数据识别准则重要数据识别准则 规
179、则的另一大亮点是以附录的形式正式发布了规范性质的重要数据识别指南。本次国家标准发布之前,各行业领域主管部门和数据处理者主要参考数据出境安全评估办法 网络数据安全管理条例(征求意见稿)重要数据识别指南等文件自主识别重要数据,但这类文件或仅作原则性规定,或未正式生效,导致有效的重要数据识别准则始终缺位。国家互联网信息办公室于 2024 年 3 月 22 日正式发布并自公布之日起实施的 促进和规范数据跨境流动规定,在其第二条中规定了“数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”,即明确了行业主管及监管
180、相关部门、各地区应发布重要数据的识别规则,并按要求指导数据处理者开展重要数据的识别和申报工作。(相关解读可参考团队文章 流动与安全并重:促进和规范数据跨境流动规定 来了,企业应当如何应对?;从源头到结果,从内部到外部:重要数据处理安全要求全景解析)在重要数据的识别因素方面,此前发布的 重要数据识别指南 列举了 14 项因素,本次规则在附录 G 中将重要数据识别指南所列识别因素则增加至 18 项,具体对比如下:重要数据识别指南(征求意见稿)重要数据识别指南(征求意见稿)规则规则 a)反映国家战略储备、应急动员能力,如战略物资产能、储备量属于重要数据;b)支撑关键基础设施运行或重点领域工业生产,如
181、直接支撑关键基础设施所在行业、a)直接影响领土安全和国家统一,或反映国家自然资源基础情况,如未公开的领陆、领水、领空数据;b)可被其他国家或组织利用发起对我国的军事打击,或反映我国战略储备、应急动员、51 重要数据识别指南(征求意见稿)重要数据识别指南(征求意见稿)规则规则 领域核心业务运行或重点领域工业生产的数据属于重要数据;c)反映关键信息基础设施网络安全保护情况,可被利用实施对关键信息基础设施的网络攻击,如反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据属于重要数据;d)关系出口管制物项,如描述出口管制物项的设计原理、工艺流程、制作方法等
182、的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告属于重要数据;e)可能被其他国家或组织利用发起对我国的军事打击,如满足一定精度要求的地理信息属于重要数据;f)反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可能被恐怖分子、犯罪分子利用实施破坏,如反映重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防等情况的数据,以及未公开的专用公路、未公开的机场等的信息属于重要数据;g)可能被利用实施对关键设备、系统组件供应链的破坏,以发起高级持续性威胁等网络攻击,如重要客户清单、未公开的关键信息基础运营者采购产品和服务情况、未公开的重大漏
183、洞属于重要数据;h)反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据;i)国家自然资源、环境基础数据,如未公开的水情信息、水文观测数据、气象观测数据、环保监测数据属于重要数据;j)关系科技实力、影响国际竞争力,如描述与国防、国家安全相关的知识产权的数据属于重要数据;k)关系敏感物项生产交易以及重要装备配备、使用,可能被外国政府对我实施制裁,如重点企业金融交易数据、重要装备生产制造信息,以及国家重大工程施工过程中的重作战等能力,如满足一定精度指标的地理数据或与战略物资产能、储备量有关的数据;c)直接影响市场经济秩直接影响市场经济
184、秩序序,如支撑关键信息基础设施所在行业、领域核心业务运行或重要经济领域生产的数据;d)反映我国语言文字、反映我国语言文字、历史、风俗习惯、民族价值观念等特历史、风俗习惯、民族价值观念等特质,如记录历史文化遗产的数据;质,如记录历史文化遗产的数据;e)反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可被恐怖分子、犯罪分子利用实施破坏,如描述重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防情况的数据;f)关系我国科技实力、影响我国国际竞争力,或关系出口管制物项,如反映国家科技创新重大成果,或描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法
185、的数据,以及涉及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告的数据;g)反映关键信息基础设施总体运行、发展和安全保护情况及其核心软硬件资产信息和供应链管理情况,可被利用实施对关键信息基础设施的网络攻击,如涉及关键信息基础设施系统配置信息、系统拓扑、应急预案、测评、运行维护、审计日志的数据;h)涉及未公开涉及未公开的攻击方法、攻击工具制作方法或攻的攻击方法、攻击工具制作方法或攻击辅助信息,可被用来对重点目标发击辅助信息,可被用来对重点目标发起供应链攻击、社会工程学攻起供应链攻击、社会工程学攻击等网击等网络攻击,如政府、军工单位等敏感客户络攻击,如政府、军工单位等敏感客户清单,以及
186、涉及未公开的产品和服务清单,以及涉及未公开的产品和服务采购情况、未公开重大漏洞情况的数采购情况、未公开重大漏洞情况的数据;据;i)反映自然环境、生产生活环境基反映自然环境、生产生活环境基础情况,或可被利用造成环境安全事础情况,或可被利用造成环境安全事件,如未公开的与土壤、气象观测、环件,如未公开的与土壤、气象观测、环保监测有关的数据;保监测有关的数据;j)反映水资源、能反映水资源、能源资源、土地资源、矿产资源等资源储源资源、土地资源、矿产资源等资源储备和开发、供给情况,如未公开的描述备和开发、供给情况,如未公开的描述水文观测结果、耕地面积或质量变化水文观测结果、耕地面积或质量变化情况的数据;情
187、况的数据;k)反映核材料、核设施、反映核材料、核设施、52 重要数据识别指南(征求意见稿)重要数据识别指南(征求意见稿)规则规则 要装备配备、使用等生产活动信息属于重要数据;1)在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息,如军工企业较长一段时间内的用车信息;m)未公开的政务数据、工作秘密、情报数据和执法司法数据,如未公开的统计数据;n)其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。具备以上因素之一的,是重要数据。核活动情况,或可被利用造成核破坏核活动情况,或可被利用造成核破坏或其他核安
188、全事件,如涉及核电站设或其他核安全事件,如涉及核电站设计图、核电站运行情况的数据;计图、核电站运行情况的数据;l)关系关系海外能源资源安全、海上战略通道安海外能源资源安全、海上战略通道安全、海外公民和法人安全,或可被利用全、海外公民和法人安全,或可被利用实施对我国参与国际经贸、文化交流实施对我国参与国际经贸、文化交流活动的破坏或对我国实施歧视性禁活动的破坏或对我国实施歧视性禁止、限制或其他类似措施,如描述国际止、限制或其他类似措施,如描述国际贸易中特殊物项生产交易以及特殊装贸易中特殊物项生产交易以及特殊装备配备、使用和维修情况的数据;备配备、使用和维修情况的数据;m)关关系我国在太空、深海、极
189、地等战略新疆系我国在太空、深海、极地等战略新疆域的现实或潜在利益,如未公开的涉域的现实或潜在利益,如未公开的涉及对太空、深海、极地进行科学考察、及对太空、深海、极地进行科学考察、开发利用的数据,以及影响人员在上开发利用的数据,以及影响人员在上述领域安全进出的数据;述领域安全进出的数据;n)反映生物技术研究、开发和应用情况,反映族群特征、遗传信息,关系重大突发传染病、动植物疫情,关系生物实验室安全,或可能被利用制造生物武器、实施生物恐怖袭击,关系外来物种入侵和生物多样性,如重要生物资源数据、微生物耐药基础研究数据;o)反映全局性或重点领域经济运行、金融活动状况,关系产业竞争力,可造成公共安全事故
190、或影响公民生命安全,可引发群体性活动或影响群体情感与认知,如未公开的统计数据、重点企业商业秘密;p)反映国家或地区群体健康生理状况,关系疾病传播与防治,关系食品药品安全,如涉及健康医疗资源、批量人口诊疗与健康管理、疾控防疫、健康救援保障、特定药品实验、食品安全溯源的数据;q)其他可能影响国土、军事、经济、文化、社会、科技、电磁空间、网络电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能人工智能等安全的数据;r)其他可能对经济运行、社会秩序或公共利益造成严重危害的数据。具备以上因素之一的数据,可被识别为重要数据。表 6 重要数据识别指南内容对比 53 由此可见,在具体内容
191、方面,规则在整合重要数据识别指南规定的基础上,新增或重点补充了多处重要数据识别因素。补足完善的内容一方面是对我国近年来数据保护实践的归纳总结,另一方面也是为防范诸如涉疆法案等利用数据破坏我国国际合作、影响我国在战略新领域开拓等事件所采取的举措,与我国数据安全法 数据出境安全评估办法和促进和规范数据跨境流动规定等法律法规对重要数据跨境流动所作出的规定要求相衔接。三、规则发布的意义与数据分类分级工作开展建议三、规则发布的意义与数据分类分级工作开展建议(一一)提供完整规则框架,引导数据处理者建立并完善数据分类分级管理体系提供完整规则框架,引导数据处理者建立并完善数据分类分级管理体系 数据分类分级是组
192、织内部数据安全合规处理的基础保障,也是数据安全治理和科学管理的主要措施。结合此次发布的规则,数据处理者可以参照如下流程与方式开展内部数据分类分级工作。数据资产梳理数据资产梳理 数据处理者可以首先以盘点的方式划定待开展分类分级工作的数据资源范围,通过技术工具,对结构化和非结构化数据资产进行全量的扫描识别,明确各类数据所涉及的行业领域、所对应的数据处理场景、所涉及的系统、所存储的数据库,以及数据处理的具体方式及结果,并划定原始数据与各类衍生数据的边界,为分类分级工作的实施做好充分准备。制订内部规则制订内部规则 对于涉及单一行业领域的数据处理者,应根据行业领域主管部门已制定的行业数据分类分级规则指南
193、,结合数据资产梳理情况,确立内部识别核心数据和重要数据的流程,并根据自身的数据掌握情况和管理体系形成适用于本组织的一般数据的分类分级规则。对于尚未形成针对性数据分类分级标准的行业,数据处理者可在规则的基础上探索形成自身的分类分级框架体系,并主动与行业领域主管部门开展必要的沟通。对于业务涉及多个行业领域的数据处理者,则可以在参考规则的基础上,分别按照各个行业领域的行业规范设定分类分级规则。在此情况下,所处理的同一类型的数据在不同行业领域内可能被确定为不同的数据级别,这需要数据处理者完成内部的协调,实现科学管理。在实践中,数据处理者可参考规则的附录 H 和各行业领域制订的数据分类行业标准或指南文件
194、,选择合适的定级框架体系对各行业领域的一般数据进行管理,并将核心数据和重要数据定义为更高级别,形成最高可至 6 级的数据定级体系。此外,对于已经建立内部商业数据保密体系的部分数据处理者,可通过构建数据映射表的方式,将原有的数据保密体系和建设中的数据分类分级规则进行关联映射,方便内部人员理解且合理开展分类分级工作,并进一步对工作成果加以开发利用。实施数据分类实施数据分类 54 数据处理者应根据规则提供的分类维度,结合自身业务情况,对数据进行大类和子类的划分,并对不同子类进行定义说明,将所含具体数据字段的情况进行列举。在此工作方式下,数据处理者处理的全量原始数据和衍生数据均可以被划入具体的子类中。
195、实施数据分级实施数据分级 开展数据分级工作时,数据处理者可以根据加工对分级要素、影响对象、影响程度的影响,首先对原始数据进行数据分级,再基于对原始数据的处理活动对通过不同加工方式形成的衍生数据进行定级。在分类分级结果形成后,数据处理者可根据规则并参考金融数据安全 数据安全分级指南附录 A 等文本的格式,形成组织内部的数据数据分类分级清单分类分级清单(以下为示例,仅供参考)以管理数据分类分级结果:数据分类分级情况及说明数据分类分级情况及说明 一级一级子类子类 二级二级子类子类 定义定义说明说明 三级三级子类子类 定义定义说明说明 四级四级子类子类 所含所含字段字段 数据数据安全安全级别级别 备注
196、备注 业务业务数据数据 合约协议 指合同或协议所包含的所有属性数据 合同通用信息 指合同以及商业银行法所规定的、各种特定业务通用的基本属性 合同信息 合同编号、合同名称、合同种类、合同状态、合同金额、币种等 2 级 一般数据 存款业务信息 指存款业务所涵盖的相关属性数据 基本信息 贷款类型、贷款用途、保证金金额等 2 级 一般数据 计息信息 存款业务种类、期限2 级 一般数据 55 数据分类分级情况及说明数据分类分级情况及说明 类型等 账户信息 账户相关数据/介质信息 介质号码、卡种类等 3 级 一般数据 用户用户数据数据 经营经营管理管理数据数据 系统系统运维运维数据数据 表 7 数据分类分
197、级清单示例 在实际数据分级管理工作中,基于数据项(数据库表某一列字段等)将组织内全部的数据以数据字段维度进行管理的难度较大,操作性较低。目前各类组织较为常见的方式是以数据集(由多个数据记录组成的集合,如数据库表、数据文件等)而非数据项为单位进行数据分级的实操管理,从而在保障安全的前提下提升管理工作的便捷性。在数据集的分级方面,数据处理者可采用规则中的原则性建议,依据“就高不就低”的从严定级原则,参考所含数据项的级别对数据集进行定级,并按照数据集的级别确定安全管控措施。例如,在总体为 5 级(核心数据设定为 5 级,重要数据设定为 4 级,一般数据分为1 级、2 级、3 级进行管理)的数据分级框
198、架下,某一数据集中同时含有级别为 1 级、2级、3 级的一般数据,且该数据集中不含核心数据和重要数据,则此数据集的级别可首先预设为 3 级。但同时,需要判断上述不同级别的数据在该数据集中形成的规模以及可能基于所含有数据形成的衍生数据的影响,从而视情况将数据集的级别调整为 4 级或 5级进行安全管理。审核上报目录审核上报目录 56 数据处理者应根据行业主管监管部门和各地区的要求,落实核心数据和重要数据的记录和报送工作。此外,数据处理者应根据分类分级结果,在组织内部的数据管理系统、数据库管理平台中将数据的类别、级别进行标识,方便对数据处理行为进行管理和审核。对于业务涉及多个行业领域的数据处理者,则
199、应根据不同业务系统、数据库对应的行业领域情况,对数据的类别、级别等分别进行标识,避免出现矛盾情形。动态更新管理动态更新管理数据处理者可参考规则附录 J,在业务应用场景、数据处理方式和规模发生变化、发生数据安全事件导致数据敏感性发生变化等情形出现时,对数据分类分级的规则和结果进行更新。并在开展内部数据安全审计和个人保护影响评估等工作的过程中,对数据分类分级工作成果进行评估和相应处置。需要注意的是,分类分级规则的形成和清单的建立仅仅是分类分级管理的先导工作,数据处理者在形成规则和清单的基础上,应进一步制订数据分类分级保护的内部制度,并要求各部门人员根据制度要求对数据进行安全管理。在分类分级工作规范
200、开展方面,数据处理者可基于已形成的组织内分类分级规则和结果清单制定数据分类分级管理制度,明确组织内部不同部门及各岗位人员在数据分类分级识别、记录、维护、更新、报送等方面的职责分工,书面确认分类分级工作的实施流程和细则要求。而在数据配套安全措施实施方面,数据处理者可在前述工作的基础上,制订数据分类分级安全保护策略,在数据访问、存储、对外提供、共享、前端展示等处理环节中采用与其级别、类别相适应的安全控制措施,提升数据处理活动的合规性。对于核心数据、重要数据的安全管理工作,还应参考信息安全技术 重要数据处理安全要求(征求意见稿)等文件的正式发布版本严格开展。(二二)明确主管部门的关键作用,加速行业数
201、据标准化管理与数据资源整合明确主管部门的关键作用,加速行业数据标准化管理与数据资源整合 由于不同行业所开展的经营活动性质存在差别,不同行业数据处理者处理活动的典型场景、数据类别、敏感程度等存在较大差别,数据处理者依据统一的规则完全自主开展数据分类分级工作仍具备较高难度。因此,行业领域主管机构的组织和引导工作则尤为重要。主管部门需要将分类分级的规则根据行业特性进行明确细化,所提供的不应仅是原则性的要求。在 规则提供的框架和附录 G 的基础上,各行业领域的主管部门可结合本行业现行的数据处理活动情况,制定行业数据分类分级标准规范:根据数据的分级要素,明确本行业领域核心数据和重要数据识别的具体细则,明
202、确所涉及的范围,形成本行业领域核心数据、重要数据的推荐性目录,为行业内数据处理者提供划分依据说明;57 制定本行业领域数据处理者对自身核心数据、重要数据目录的报送和管理要求,明确未按规定开展工作的后果;发布可落地的指南性文件,组织引导本行业本领域的数据分类分级工作,为数据处理者提供必要的支持和指导,引导数据处理者完成有效自查、管理和报送。结合本次发布的规则,各行业领域主管部门亦能够以数据为切入点,加快本行业的数据标准化治理工作,形成行业数据目录资源清单,推动本行业信息化、标准化发展,串联打通行业上下游产业链,从而借助行业内的数据合作提升全行业的生产经营效率。(三三)衔接数据要素价值释放制度,进
203、一步夯实数据要素流通交易的机制基础衔接数据要素价值释放制度,进一步夯实数据要素流通交易的机制基础 本次规则的发布,也与“数据二一条”和“数据要素”三年行动计划(20242026年)等数据要素统一市场建设方面的国家政策进行了有效联动,数据处理者在 规则指引下开展数据分类分级工作有助于其结合自身掌握的数据资源,释放数据要素价值。数据处理者可在基于已开展分类分级工作的成果,根据规则以数据主体为角度的方法对数据进行分类,以呼应“数据二一条”提出的“建立公共数据、企业数据、个人数据的分类分级确权授权制度”要求,并结合数据分级结果明晰组织内部的数据资源结构,从而进一步开展数据资源确权、数据资源入表、数据产
204、品的形成与交易等一系列工作。数据处理者可以在根据规则形成的数据分类分级清单的基础上进一步判断不同类别级别的数据是否由自身“合法拥有或控制”、“是否会给企业带来经济效益”,更为清晰的界定数据生产、流通、使用过程中各方享有的数据资源持有权、数据加工使用权、数据产品经营权等合法权利,并结合分类分级成果对原始数据进行价值复用与充分利用,推动组织内部的数据资本化等数据要素价值释放进程。行业主管部门后续也有望结合行业数据分类分级标准,发布数据流通方面的行业标准及指南文件,推荐本行业符合流通要求的数据按照类别、级别流通的工作模式,以及不同类别、级别数据流通时应遵循的安全规则。此举既可以提升行业内组织开展数据
205、分类分级工作的积极性,又能够实现有序拓展数据要素应用场景的广度和深度,基于可开发利用的数据资源打造典型的数据应用场景和流通体系,充分发挥数据要素的“乘数效应”。结语结语 本次规则的发布,与国家“一四五”规划和数据安全法所提出的“建立数据分类分级保护制度”的相关要求相呼应,其作为通用性的数据分类分级指导框架,有助于各行业领域主管部门在此基础上制定和更新数据分类分级制度和实施指南,为数据处理者在内部建立和完善数据数据分类分级制度、针对不同类别和级别的数据采取对应的数 58 据保护技术和管理措施提供指导。规则中正式发布的重要数据识别指南也将与促进和规范数据跨境流动规定一同帮助数据处理者识别重要数据,
206、妥善进行数据跨境流动,避免合规风险。开展数据分类分级工作本身不是目的,而是应当据此合理配置数据安全管理资源,作为前置程序有序推进各行业各领域的数据治理工作。对在不同行业、不同业务场景下的差异化数据进行系统的梳理,形成标准化、体系化的数据结构,将有助于推进数据分类分级确权授权使用和市场化流通交易,形成符合数字经济发展规律的数据要素市场。各行业领域的数据处理者需要结合自身所处行业、业务场景等因素,密切关注配套行业标准和文件的出台,并根据规则和所处行业的要求建立内部的数据分类分级管理制度,在提升组织数据处理活动安全合规能力、加强对不同类别级别数据安全保护的同时,促进数字经济生态的建设发展,释放自身掌
207、握的数据要素价值,实现数据有序流动。59 3.数据跨境传输:解读促进和规范数据跨境流动规定:流动与安全并数据跨境传输:解读促进和规范数据跨境流动规定:流动与安全并重重21 引言引言 以往,数据出境安全评估办法 等法律法规,虽搭建出数据出境合规监管框架(简称“旧框架”),但由于细则规定不够明确,企业在数据出境时往往需要结合其主体类型、出境数据类型和累计出境的数量等,综合判断采取何种数据出境制度(即“申报并通过数据出境安全评估、签署并备案个人信息出境标准合同(简称“SCC”)、获得个人信息保护认证”的统称)。自 2023 年 9 月 28 日,国家网信办(简称“网信办”)发布了规范和促进数据跨境流
208、动规定(征求意见稿)(简称“(征求意见稿”)(相关解读可参考文章构建安全可控、促进发展的数据跨境流动框架:法律与实践的探索)之日起,社会各界便对数据出境合规措施的选择展开了广泛讨论。讨论最多的话题,例如“直接在境外收集境内自然人个人信息应当直接适用个保法但是否属于数据出境的范畴?向境外总部传输员工个人信息、供应商和客户联系人信息是否无需进行SCC备案?向境外传输设备运维数据或日志数据等是否需要采取出境制度以及需要采取哪一个具体的合规路径?”这些均是近半年来客户在数据跨境传输方面最为关注的一些问题。历经半年,网信办对于各方的反馈意见(例如,建议说明出境个人信息数量时间计历经半年,网信办对于各方的
209、反馈意见(例如,建议说明出境个人信息数量时间计算方式、明确是否需要将拟出境敏感个人信息的数量作为申报数据出境安全评估的考算方式、明确是否需要将拟出境敏感个人信息的数量作为申报数据出境安全评估的考虑因素、明确出境时应当取得个人虑因素、明确出境时应当取得个人“单独单独”同意等)进行了细致研判,在同意等)进行了细致研判,在 2023 年年 11 月月 28日在网信办第日在网信办第 26 次室务会议审议通过后,终于在次室务会议审议通过后,终于在 2024 年年 3 月月 22 日正式公布了促进日正式公布了促进和规范数据跨境流动规定(简称和规范数据跨境流动规定(简称“规定规定”),并自颁布之日起施行。)
210、,并自颁布之日起施行。规定对数据出境监管框架进行了细化(新旧框架的对比详见本文附件表格),相比旧框架,规定进一步放宽了数据跨境流动条件,且相对收窄了数据出境安全评估范围,把进一步放宽了数据跨境流动条件,且相对收窄了数据出境安全评估范围,把“促进促进”调整调整到了到了“规范规范”前面前面,释放出要确保在保障数据安全的前提下,更加关切国家经济发展,通过便利数据跨境流动,降低企业合规成本,促进服务贸易与数字经济的大力开展和实施。同日,网信办也发布了配套指南数据出境安全评估申报指南(第二版)个人信息出境标准合同备案指南(第二版),进一步说明了申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和
211、材料等具体要求。并且,规定明确表示,当数据出境安全评估办法 个人信息出境标准合同办法 等相关规定与 规定 有冲突的,相关规定与 规定 有冲突的,以规定为准予以适用以规定为准予以适用。因规定对企业选择数据出境制度有重大影响,本文结合实践需求,通过分析加问答的形式来解答企业关切的重点问题。21 作者:孟洁、赵姝、戴畅、田梓仪 60 一、新规下什么行为会被认定为一、新规下什么行为会被认定为“数据出境数据出境”?在讨论如何执行规定之前,首先需要明确“数据出境”的定义。网信办最新发布的 数据出境安全评估申报指南(第二版)个人信息出境标准合同备案指南(第二版)对于“数据出境”的认定标准进行了更新,包括如下
212、情形:(1)数据处理者将在境内运营中收集和产生的数据传输至境外;(2)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(3)符合中华人民共和国个人信息保护法(简称个人信息保护法)第三条)符合中华人民共和国个人信息保护法(简称个人信息保护法)第三条第二款第二款22情形(包括以向境内自然人提供产品或者服务为目的;分析、评估境内自然人情形(包括以向境内自然人提供产品或者服务为目的;分析、评估境内自然人的行为),在境外处理境内自然人个人信息等其他数据处理活动(新增)。的行为),在境外处理境内自然人个人信息等其他数据处理活动(新增)。据此,除了过往熟悉的“境内数
213、据向境外直接传输”、“境内数据被境外访问或调取”两种场景之外,今后直接在境外处理境内自然人个人信息的行为也已被确定属于数据直接在境外处理境内自然人个人信息的行为也已被确定属于数据出境的范畴出境的范畴。例如,某设立在境外的外国企业面向我国境内用户提供 App 的下载服务,并且直接收集境内用户个人信息并处理,则将被认定为该企业的活动涉及个人信息出境。二、二、“重要数据重要数据”出境应当申报安全评估,那么究竟如何认定出境应当申报安全评估,那么究竟如何认定“重要数据重要数据”?一直以来,监管部门明确要求企业对“重要数据”23的出境活动在进行安全风险自评估的基础上,向网信部门申报数据出境安全评估。(一)
214、(一)“识别识别”与与“认定认定”的义务分配更明确的义务分配更明确 规定第二条首先指出,企业应当按照相关规定识别、申报重要数据企业应当按照相关规定识别、申报重要数据。就在规定 公布的前一天,国家标准 数据安全技术 数据分类分级规则(GB/T 43697-2024)(简称“(数据分类分级规则”)正式发布,并将于 2024 年 10 月 1 日起正式实施。该规则吸收并细化了信息安全技术 重要数据识别指南(征求意见稿)的内容,在附录G 部分明确列举“重要数据”的 17 项考虑因素以及相应的示例,以供企业参考。尽管如此,在实践操作过程中,不少企业在自行判断拟出境数据是否属于“重要数据”时,还是存在一定
215、的困难和挑战。对此,规定给出了明确指引,即重要数据的认重要数据的认定以地方和行业主管部门的通知或公开发布为标准。若企业未被相关部门、地区通知处定以地方和行业主管部门的通知或公开发布为标准。若企业未被相关部门、地区通知处理了重要数据,或者相关部门、地区未公开发布的重要数据目录清单中未包括企业所处理了重要数据,或者相关部门、地区未公开发布的重要数据目录清单中未包括企业所处理数据的,则企业无需将某类数据作为重要数据申报数据出境安全评估理数据的,则企业无需将某类数据作为重要数据申报数据出境安全评估。一方面,将认定重要数据的艰巨任务从企业身上“移除”,让对自身数据出境的合规风险有了更加明确 22 第三条
216、 在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。23 根据数据出境安全评估办法,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。61 的可预见性,减轻了企业的合规压力,体现出 规定 促进数据流动的初衷;另一方面,这也反向督促各地区、各部门落实 数据安全法 的规定,按照数据分级分类保护要求,加快制定、确定本地区、本部门以及相关行业、领域的重要数据目录和清单。各地
217、区也正在积极探索建立数据分级分类的保护制度,以确定“重要数据”为目的,同步促进数据跨境流动管理。例如,天津自由贸易试验区于今年 2 月 5 日率先发布了中国(天津)自由贸易试验区企业数据分类分级标准规范24,将数据分为 13 大类 40子类,核心、重要、一般三个级别,以此解决企业数据跨境流动政策诉求;上海市政府也于 2 月 3 日印发了上海市落实的实施方案,提出率先制定重要数据目录25。(二)企业现阶段的应对措施(二)企业现阶段的应对措施 在期待各行业、各地区、各部门“重要数据”目录和清单出台的同时,我们也建议相我们也建议相关企业关企业:依据现有法律法规以及数据分类分级规则等国家标准进行企业内
218、部的数企业内部的数据分级分类制度建设据分级分类制度建设,识别可能涉及的重要数据并采取相应的保护措施。在相关目录和清单出台之前,仍应审慎对待本企业的数据出境活动;主动与各地区、行业的主管部与各地区、行业的主管部门沟通门沟通,及时调整数据跨境策略;持续关注持续关注“重要数据重要数据”目录和清单调整范围目录和清单调整范围,并对企业拟出境数据的合规性进行阶段性确认,对未来可能发生的政策变化进行提前预防。三、如何进行三、如何进行“个人信息个人信息”和其他普通数据出境的合规工作?和其他普通数据出境的合规工作?(一)哪些情况下可豁免采取(一)哪些情况下可豁免采取“数据出境制度数据出境制度”?为促进数据的自由
219、流动,规定第三条、第四条、第五条、第六条均规定了免予申报安全评估、订立标准合同、通过个人信息保护认证的特殊场景,如下:1.个人信息过境个人信息过境 根据规定第四条,如果企业在境外收集和产生的个人信息传输至境内处理后向如果企业在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的(新增),不再需要采取境外提供,处理过程中没有引入境内个人信息或者重要数据的(新增),不再需要采取数据出境制度数据出境制度。这也提示企业,如希望适用该条豁免规定的,则应当注意将从境外收集产生的数据与境内的数据分开存储、进行物理隔离,防止在处理过程中境内外数据发生混同,进而无法被
220、认定为“个人信息过境”导致无法豁免“安全保障性措施”。2.为订立、履行个人作为一方当事人的合同所必需为订立、履行个人作为一方当事人的合同所必需 根据规定第五条第一项,符合“为订立、履行个人作为一方当事人的合同”的合法性基础,确需向境外提供个人信息的,不需要采取数据出境制度。为“履行合同所必需”的场景包括跨境购物、跨境寄递(新增)、跨境汇款、跨境支付(新增)、跨境开户跨境购物、跨境寄递(新增)、跨境汇款、跨境支付(新增)、跨境开户 24 参见天津市商务局官网:https:/ 25 参见上海市人民政府官网:https:/ 62(新增)、机票酒店预订、签证办理、考试服务(新增)(新增)、机票酒店预订
221、、签证办理、考试服务(新增)等需要向境外提供个人信息的情形。例如,消费者投资国际金融产品时,可能需要向境外提供投资人姓名、身份证信息、联系方式、财务状况等必要个人信息,在此情况下很可能得以豁免。而哪些信息属于“确需”的范畴,仍须进一步通过实践案例进行识别和明确。3.基于人力资源管理所必需而出境员工个人信息基于人力资源管理所必需而出境员工个人信息 根据规定第五条第二项,按照依法制定的劳动规章制度和依法签订的集体合同按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,确需向境外提供本企业内部员工个人信息的,不需要采取数据出境实施人力资源管理,确需向境外提供本企业内部员工个人信息的,不需
222、要采取数据出境制度制度。但是,企业依据本场景豁免采取数据出境制度的,还需在实践中进一步评估以下问题:例如,如何确定向境外提供员工个人信息的行为是为实施人力资源管理所“确需”的;如何确定特定字段的出境是为实施人力资源管理所“确需”的。4.紧急情况下为保护自然人的生命健康和财产安全紧急情况下为保护自然人的生命健康和财产安全 根据规定第五条第三项,紧急情况下为保护自然人的生命健康和财产安全,确紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的,不需要采取数据出境制度需向境外提供个人信息的,不需要采取数据出境制度。例如,某国家发生了突发性疫情,为了挽救受影响的人民群众的生命安全,某些
223、组织需要将患者的个人信息发送给国际救援机构,以便采取救援措施。但“紧急”到何种程度才可以受豁免,仍然需要通过实践运用而细化明确。5.特殊场景下的普通数据出境特殊场景下的普通数据出境 企业在实践中常常会问到这一问题:除了个人信息或者重要数据之外的其他数据,例如外贸数据、营销数据、设备运维数据等出境是否需要履行数据出境的相关合规义务。规定 第三条相对明确地回应了企业的疑虑,针对下述商业贸易、跨境运输(新增)、针对下述商业贸易、跨境运输(新增)、生产制造、学术交流等数据跨境流动频繁的领域生产制造、学术交流等数据跨境流动频繁的领域对普通数据(不包含个人信息或者重要数据)采取数据出境制度进行了豁免,旨在
224、促进对外开放。以下,我们通过举例的方式,对上述场景中涉及的跨境传输数据情况进行阐释。国际贸易国际贸易 例如,当某国内外贸企业向他国出口商品时,需要将关于商品的数量、商品的数量、规格、重量、价值等信息规格、重量、价值等信息发送给进口方,以便帮助各国的海关和贸易伙伴更好地管理和监控这批出口业物的安全交付过程,确保业物能够按时到达目的地,并保证贸易合规性。跨境运输跨境运输 例如,在国际贸易过程中,某国内企业在选定国际物流公司后,需要将运输订单信息、业运线路、运输方式、运输工具、报关信息、在途信息运输订单信息、业运线路、运输方式、运输工具、报关信息、在途信息以及费用结算信息等以及费用结算信息等必要信息
225、传输给业物接收方,以便完成物流运输配送。这一场景往往和上述“国际贸易”紧密相连,故规定在征求意见稿的基础上加入了“跨境运输”的场景。学术合作学术合作 例如,当国内某研究所与其他国家或机构的研究人员合作进行学术研究时,可能需要共享一些数据,包括实验结果、调查结论、统计数据等实验结果、调查结论、统计数据等,以便研究人员更好地共享知识、经验和研究成果,推动国际学术界的合作与交流。但是,需要注意,该场景下的数据出境涉及行业及领域的适 63 用性较宽,某些敏感领域中的数据,即使不属于个人信息或重要数据,但是否还可能构成“情报”信息等也有待观察。并且,实践中如何在学术合作场景中鉴别被共享的学术数据不涉及重
226、要数据或者国家秘密,也是一项技术性很强的工作。跨国生产制造跨国生产制造 例如,一家制造型国企在全球多个国家设有生产基地,在进行产品生产制造和装配时,一些数据,例如物料库存管理信息、零部件生产计划等物料库存管理信息、零部件生产计划等,需要从我国出境以支持对生产基地的有效供应链管理,使该企业更好地协调和管理其在全球的供应链,确保物料的及时供应、使当地生产顺利进行。市场营销市场营销 例如,一家跨国消费品企业打算进入我国市场或扩大其在中国市场的业务前,需要对我国市场进行分析调研。在这个过程中,该企业必然需要收集和分析市场数据,包括我国各线市场调研报告、同行市场占比分析我国各线市场调研报告、同行市场占比
227、分析数据、消费者行为数据等数据、消费者行为数据等,以了解目标市场的消费者需求、竞争情况、市场趋势等,从而制定相应的市场营销策略和计划。其他普通数据其他普通数据 规定 使用了“等活动”是为了对以上举例场景以外的不包含个人信息或者重要数据的普通数据进行兜底。然而,如何确定“等活动”的具体范围?如何确定跨境活动下的数据为普通数据且能够自由跨境流动而无须采取出境制度?这些细节问题均需要在实践中进行精准判断后,逐步形成确定性意见,并由监管机构进一步发布补充性解释说明。通常一个企业如涉及出境活动的,往往涉及各类业务场景、集团内不同法律实体,并且涉及相关环节、参与方多样,涉及的数据类型和境外接收方也往往很多
228、,数据出境的链条也较为复杂。例如,在市场营销场景下,企业往往会针对特定个人信息主体进行精准营销,也包括利用去标识化处理后的数据对某类人群包进行定向分析和营销,另外还有些不包括个人信息或重要数据的普通数据(例如 aggregative data)。企业若要适用豁免机制,则需要首先准确地判断拟出境的数据是否已经全部达到个人信息匿名化的处理要求。因此,如何识别拟出境的数据是否“不属于个人信息或重要数据”,仍需在实践中进一步探索合规落地标准,也建议企业与监管机构保持沟通或关注其他相关新规出台,或者咨询专业律师以获取对不明确问题的指导与解释。6.未列入未列入“自贸区负面清单自贸区负面清单”的数据的数据
229、规定 设计了“自贸区负面清单”的机制自由贸易试验区在国家数据分类分级自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单同、个人信息保护认证管理范围的数据清单(简称“负面清单”),并经省级网络安全和信息化委员会批准后报国家网信部门、国家数据管理部门备案,以简化数据出境机制。据此,如果企业位于自贸区内,向境外提供负面清单以外的数据,可以免予申报数如果企业位于自贸区内,向境外提供负面清单以外的数据,可以免予申报数据出境安全评估、订
230、立个人信息出境标准合同、通过个人信息保护认证据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但需要注意的是,在自贸区负面清单出台前,注册在自贸区内企业的数据出境活动仍需要按照国家数据出境安全管理有关规定执行。64 以上海自贸区和临港新片区近期的数据跨境流动管理动态为例。上海市人民政府于2024 年 2 月 3 日印发了上海市落实的实施方案,提出制定重要数据目录、探索建立合法安全便利的数据跨境流动机制、在临港新片区建立数据跨境服务中心等措施之后,临港新片区于 2024 年 2 月 8 日编制发布了中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行),规定了重要
231、数据目录和一般数据清单的管理要求;企业对于在一般数据清单内的数据,向管委会进行申请备案后,可自由流在一般数据清单内的数据,向管委会进行申请备案后,可自由流动动26。其思路是通过建立其思路是通过建立“正面清单正面清单”,推动规定落地和鼓励符合要求的辖区内数据,推动规定落地和鼓励符合要求的辖区内数据进行自由跨境传输。进行自由跨境传输。此外,上海自贸区和临港新片区已基本编制完成智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等 20 个场景的跨境流动分级分类的首批清单目录,在完成论证后将于近期对外发布。27 我们建议设立在自贸区的企业时刻关注自贸区发布数据出境
232、负面清单的最新动向,及时了解自身所在的自贸区是否为企业设置了数据跨境流通的便利通道(例如“白名单”机制),并及时学习并遵守相关规定,由此确保企业既符合数据出境合规性,又享受自贸区内顺畅进行数据跨境流通的优惠待遇,降低数据出境的合规成本和业务压力。(二)无法豁免的情形下,数据出境应当采取哪种(二)无法豁免的情形下,数据出境应当采取哪种“数据出境制度数据出境制度”?如果数据出境不属于上文中提及的可以豁免的业务情形,根据规定第五条第四项、第七条第二项和第八条,针对拟向境外提供个人信息的一般企业,应当根据如下标准判断自身应当采取的数据出境制度:1.自当年当年 1 月月 1 日起累计向境外提供不满日起累
233、计向境外提供不满 10 万人个人信息万人个人信息(不含敏感个人信息)的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证;2.自当年当年 1 月月 1 日起累计向境外提供日起累计向境外提供 10 万人以上、不满万人以上、不满 100 万人个人信息万人个人信息(不含敏感个人信息)或者不满不满 1 万人敏感个人信息万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证;3.自当年当年1月月1日起累计向境外提供日起累计向境外提供100万人以上个人信息万人以上个人信息(不含敏感个人信息)或者 1 万人以上敏感个人信息万人以上敏感个人信息,应通过
234、所在地省级网信部门向国家网信部门申报并通过数据出境安全评估。关于采取何种数据出境制度的判断标准,此前数据出境安全评估办法的着眼点在自上一年度起已出境的自上一年度起已出境的个人信息主体数据量,以及企业作为个人信息处理者已处理的已处理的 26 参见中国(上海)自由贸易试验区临港新片区管理委员会官网:https:/ 27 在 3 月 6 日一四届全国人大二次会议上海代表团举行开放团组会议上,全国人大代表、临港新片区党工委副书记袁国华接受外媒采访时说明的内容,参见观察者网报道:https:/ 65 数据存量数据存量28。征求意见稿不再谈论“过往”,重点关注预计未来一年内预计未来一年内拟出境的个人信息主
235、体数据量29。相较之下,(规定 则在(规定 则在“过往过往”和和“未来未来”之间选择了一条之间选择了一条“立足当下立足当下”的的折中路径折中路径-从当年从当年 1 月月 1 日起向境外提供的个人信息主体数据量加总作为判断标准日起向境外提供的个人信息主体数据量加总作为判断标准,不再要求企业进行“预判”,从而降低企业与监管各自的工作难度。规定 也优化调整了可以采取豁免数据出境制度的人数判定阈值:相较于此前 征求意见稿提出的“不满 1 万人”,规定将这个数字提升到“不满 10 万人”,加大了企业可相对自由地向境外传输个人信息的空间。另一方面,规定也将需要申报数据出境安全评估的门槛从数据出境安全评估办
236、法项下的“10 万人以上个人信息”提升到“100 万人以上个人信息”,但敏感个人信息数量保持在 1 万人以上需要申请数据出境安全评估不变,但起始点却从去年 1 月 1 日起统一变为自当年 1 月 1 日起。因此也仅为适度收窄了数据出境安全评估的范围,减轻企业一部分负担。此外,规定的出台厘清了征求意见稿中有关个人信息出境方面的几个重要问题,为企业判断采取何种数据出境制度提供了更为细化、明确的标准:敏感个人信息出境情况是否需要考虑在内?敏感个人信息出境情况是否需要考虑在内?规定给出的答案是:需要。并且以当年规定给出的答案是:需要。并且以当年 1 月月 1 日起累计满日起累计满 1 万人敏感个人信息
237、万人敏感个人信息作为须申请出境安全评估的门槛标准。作为须申请出境安全评估的门槛标准。征求意见稿的文本未对个人信息、敏感个人信息进行了区分只统一讨论个人信息(不管是否包含敏感个人信息)出境人数这种情况。而规定则回归到数据出境安全评估办法的思路,将“敏感个人信息”对应的拟出境的自然人数量纳入与个人信息所对应的当年拟出境人数并列关注的范围,并以自并以自当年当年 1 月月 1 日起累计向境外提供日起累计向境外提供“1 万人以上敏感个人信息万人以上敏感个人信息”作为须申请数据出境安全作为须申请数据出境安全评估的阈值标准评估的阈值标准。既存在豁免情形,但由于向境外提供个人信息的人数超出既存在豁免情形,但由
238、于向境外提供个人信息的人数超出 10 万人而需要完成万人而需要完成数据出境制度时,该如何处理?数据出境制度时,该如何处理?企业可能会问到,如果其符合规定第五条第二项“为实施跨境人力资源管理”的豁免条件,但该企业出境的员工人数超过 10 万人而不满 100 万人的,是否仍需要完成个人信息标准合同备案或通过个人信息保护认证;倘若出境个人信息的人数超过 100 万人时是否仍须申报安全评估?28 根据数据出境安全评估办法,一般企业向境外提供个人信息时需要申报数据出境安全评估的情形包括:(i)处理 100 万人以上个人信息的;(ii)自上年 1 月 1 日起累计向境外提供 10 万人个人信息的;或(ii
239、i)自上年 1 月 1日起累计向境外提供 1 万人敏感个人信息的。29 根据征求意见稿第五条、第六条:(i)预计一年内向境外提供 1 万人以下个人信息的一般企业,将豁免数据出境安全评估申报、标准合同备案或个人信息保护认证;(ii)预计一年内向境外提供 1 万人以上不满 100 万人个人信息的一般企业,需要进行标准合同备案或个人信息保护认证,可以不申报数据出境安全评估;(iii)预计一年内向境外提供 100 万人及以上个人信息的一般企业,需要申报数据出境安全评估。66 规定给出的答案是:否,优先遵从豁免情形规定给出的答案是:否,优先遵从豁免情形。如果存在上文所述豁免数据出境制度的特殊情形(规定第
240、三条、第四条、第五条、第六条规定情形的),从其规定。如何计算当年累计向境外提供的个人信息数据量(如何计算当年累计向境外提供的个人信息数据量(1 万、万、10 万、万、100 万)?万)?规定颁布后国家网信办答记者问(下称规定颁布后国家网信办答记者问(下称“答记者问答记者问”)明确了如何计数的问题:)明确了如何计数的问题:(1)计算周期为自当年)计算周期为自当年 1 月月 1 日起至申报数据出境安全评估之日。日起至申报数据出境安全评估之日。(2)在数量统计上:)在数量统计上:需要以自然人为单位进行去重,例如涉及出境一个自然人需要以自然人为单位进行去重,例如涉及出境一个自然人的多种个人信息的,记一
241、个自然人;并且的多种个人信息的,记一个自然人;并且属于上文所述豁免采取数据出境制度的情形属于上文所述豁免采取数据出境制度的情形(规定第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的),不计(规定第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的),不计入累计数量。入累计数量。“已处理已处理 100 万人个人信息的个人信息处理者万人个人信息的个人信息处理者”是否还适用?是否还适用?规定给出的答案是:不再适用。规定给出的答案是:不再适用。过去,根据数据出境安全评估办法,如果某企业属于已经处理了 100 万人以上个人信息的个人信息处理者,即使其只出境了 1 个自然人的个人信息,
242、也需申报数据出境安全评估。规定 已不再强调企业历史上已处理的个人信息主体数据量(即处理 100万人以上个人信息),而是限定在某一特定时期内(即自当年 1 月 1 日起至申报数据出境安全评估之日)累计出境的个人信息或敏感个人信息的数量。这将极大减轻有出境业务企业的出境负担,只要该企业自当年 1 月 1 日起实际出境的个人信息数量少于 100 万人或敏感个人信息少于 1 万人的,便可以免于申报数据出境安全评估。(三)数据出境企业应当履行哪些其他合规义务?(三)数据出境企业应当履行哪些其他合规义务?应当注意的是,无论是否存在豁免采取数据出境安全保障措施的情形或人数,规定第一条强调,企业作为个人信息处
243、理者都应当履行个人信息保护法下的个人信企业作为个人信息处理者都应当履行个人信息保护法下的个人信息保护义务以确保数据出境的合规性(新增)息保护义务以确保数据出境的合规性(新增)。包括:1.告知并取得个人单独同意告知并取得个人单独同意 除非具有个人信息保护法第一三条第二项至第七项规定的不需取得个人同意的情形,根据个人信息保护法第三一九条的规定,企业应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使主体权利的方式和程序等事项,并取得个人的单独同意。2.进行个人信息保护影响评估进行个人信息保护影响评估 根据个人信息保护法第五一五条的规定,企业应
244、当在个人信息出境前进行个人信息保护影响评估。如果企业在规定出台前已开展了部分数据出境合规工作(例如出境数据情况摸排和个人信息保护影响评估)的,则建议应继续进行,并将个人信息保护影响评估报告至少留存三年以备检查、确保合规。67 3.履行数据安全保护义务履行数据安全保护义务 根据规定第一一条,企业还需要采取技术措施和其他必要措施,保障数据出境的安全,包括通过合同、组织和技术等措施确保境外接收方达到适当的数据安全保护水平30。如果发生或者可能发生数据安全事件的,企业应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。四、关键信息基础设施运营者向境外提供重要数据或个人信息需要满足什么合规四
245、、关键信息基础设施运营者向境外提供重要数据或个人信息需要满足什么合规要求?要求?规定答记者问重申,关键信息基础设施运营者(简称关键信息基础设施运营者(简称“CIIO”)的认定仍以)的认定仍以“是是否被通知否被通知”作为标准作为标准。涉及的重要行业和领域的主管部门、监督管理部门负责制定本行业、本领域关键信息基础设施(简称“CII”)的认定规则,并由其组织认定本行业、本领域的 CII,且及时将认定结果通知 CIIO。由于 CIIO 数据的泄露、损毁与灭失将对国家安全、社会稳定和个人隐私等产生重大影响,因此规定第七条第一项与网络安全法第三一七条、个人信息保护法第四一条和数据出境安全评估办法的相关规定
246、保持一致。如果 CIIO 向境外提供个人信息或重要数据,应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。属于规定第三条、第四条、第五条、第六条规定情形的,从其规定。虽然目前大多数企业并未被认定为 CIIO,但这些企业需要关注其客户或合作方是否有可能属于 CIIO,以及企业在与 CIIO 客户进行业务活动时,需要特别遵守与对方在跨境数据交互过程中的合规义务。五、违反相关规定会面临什么处罚?五、违反相关规定会面临什么处罚?相较于数据出境安全评估办法和个人信息出境标准合同办法,规定第一二条规定的罚则相对缓和,给予了数据处理者接受监督、及时整改、消除隐患的机会,对于拟开展数据出境的企业是一
247、大利好消息。针对“拒不改正或者导致严重后果的”情况,规定第一二条明确规定将“依法追究法律责任”,即主要追究行政责任(例如 5000 万元以下或者上一年度营业额 5%以下罚款,直接负责的主管人员和其他直接责任人员担责等),也可能涉及民事责任甚至刑事责任。征求意见稿中规定的“依法责令其停止数据出境活动,保障数据安全”也必然会在企业受到法律责任的同时被要求。因此,企业应当引起重视,尽早依法依规完成合规工作。六、还有哪些需要注意的程序性事项?六、还有哪些需要注意的程序性事项?30 个人信息保护法第三一八条第三款:个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护
248、标准。68 相比于征求意见稿,规定以及配套发布的数据出境安全评估申报指南(第二版)、个人信息出境标准合同备案指南(第二版)明确了相关程序性事项,在此一并提示企业注意。(一)数据出境安全评估结果有效期是多长?(一)数据出境安全评估结果有效期是多长?规定给出的答案是:首次通过有效期规定给出的答案是:首次通过有效期 3 年,期满后可以再延年,期满后可以再延 3 年。年。规定将通过数据出境安全评估结果的有效期由数据出境安全评估办法中规定的 2 年延长至 3 年(自评估结果出具之日起计算)。同时,增加企业可以申请延长评估结果有效期的规定。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安
249、全评估情形的,企业可以在有效期届满前 60 个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期 3 年。这意味着,如果企业在首次申报并通过数据出境安全评估后的 3 年内,该企业的数据出境活动仍未触发需要再次申报数据出境安全评估的情形,则企业数据出境安全评估结果有效期可以延长至 6 年。至于 6 年届满后,是否还能继续延长,规定和答记者问均未给出明确的答复,我们相信后续监管会给出具体标准。(二)已经完成或者正在进行的数据出境安全评估与个人信息出境标准合同备案(二)已经完成或者正在进行的数据出境安全评估与个人信息出境标准合同备案怎么
250、办?怎么办?规定答记者问给出的答案是:规定施行前已经通过数据出境安全评估的数规定答记者问给出的答案是:规定施行前已经通过数据出境安全评估的数据出境活动,数据处理者可以根据申报事项继续开展。据出境活动,数据处理者可以根据申报事项继续开展。规定施行前未通过或者部分未通过数据出境安全评估,根据规定免予申报数据出境安全评估的数据出境活动,数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。规定施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案,根据规定无需开展上述程序的,数据处理者可以按照原程序进行,也可以向所在地省级网信部门撤回申报、备案。由上
251、可见,在新旧规定两者的衔接问题上,监管部门采用的是“有利于企业开展数据出境”为原则的监管思路。随着近年来各省级网信部门咨询窗口实践水平的提升,以及 规定 第一二条明确提出各地网信部门应当加强对数据处理者数据出境活动的指导监督,强化事前事中事后全链条全领域监管,如果企业有任何疑问,也可咨询监管。(三)申报与备案提交途径有无变化?(三)申报与备案提交途径有无变化?随着规定的出台,网信部门也在不断优化申报和备案的流程。根据数据出境安全评估申报指南(第二版)的新规定,申报数据出境安全评估、备案个人信息出境 69 标准合同的企业可以登录专设的数据出境申报系统(网址为 https:/)进行操作。根据规定答
252、记者问,申请个人信息保护认证可以登录个人信息保护认证管理系统(网址为 https:/)。CIIO 或者其他不适合通过数据出境申报系统申报数据出境安全评估的(目前指南中暂未明确“其他”不适合线上申报的范围),采用线下方式通过所在地省级网信部门向国家网信部门申报数据出境安全评估。指南在数据出境安全评估申报表中设置了勾选重要数据情况一栏,因此我们理解涉及重要数据出境的企业可填写该申报表进行申报。七、结语七、结语 千呼万唤始出来的规定坚定地拉开了数据跨境流动规范的新篇章。它确立了旨在促进和规范数据跨境自由流动的全面框架体系,通过多种“豁免场景”的设置以及对“数据出境制度”门槛与流程的优化,释放出为企业
253、减负的友好信号。(一)非(一)非 CIIO 企业应当根据规定及时评估对现有数据出境合规工作的影响:企业应当根据规定及时评估对现有数据出境合规工作的影响:1.针对重要数据出境的:针对重要数据出境的:未收到通知属于重要数据的非个人信息,也不属于国家秘密或者其他规章规定的特殊类型数据的,则按普通数据跨境规则处理。同时,应当关注行业、地区“重要数据”目录清单发布情况,并且企业应在内部建立健全数据分级分类制度,识别是否存在重要数据出境的情况。如自行评估后发现可能存在处理重要数据的情况,则应及时向主管部门申报或进行主动沟通确认。若被认定为是重要数据的,则任何一条数据出境均应通过数据出境安全评估。2.针对个
254、人信息出境的:针对个人信息出境的:企业应先判断是否存在五类豁免场景,包括为订立、履行个人作为一方当事人的合同;实施跨境人力资源管理,确需向境外提供员工个人信息;紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;以及,拟出境数据未列入“自贸区负面清单”内。企业应分别统计向境外传输个人信息或敏感个人信息当年的总人数,判断应当采取何种数据出境制度。是否存在少量人数出境的豁免情形,即自当年 1 月 1 日起累计向境外提供不满 10 万人个人信息(不含敏感个人信息)。对于不需要实施数据出境安全评估、标准合同备案和个人信息保护认证三类数据出境制度的企业,也需要根据 个人信息保护法 等法律
255、法规,继续完成“告知-同意”、事前个人信息保护影响评估等合规要求。70 对于仍需要遵循安全评估、标准合同备案或个人信息保护认证路径的企业,则应继续按时完成相应的申报、备案或认证工作,准确了解每类数据出境制度的具体要求和流程,并按照相关规定进行操作。3.针对普通数据(非重要数据或个人信息)出境的:针对普通数据(非重要数据或个人信息)出境的:针对国际贸易、跨境运输、跨国生产制造、学术合作、市场营销等活动中收集和产生的数据跨境流动豁免采取出境制度。其他普通数据仍需在实践中进一步探索合规落地标准,但均属于能自由跨境流动而无须采取出境制度。(二)被通知为(二)被通知为 CIIO 的企业涉及个人信息或重要
256、数据出境的,应依法依规完成数的企业涉及个人信息或重要数据出境的,应依法依规完成数据出境安全评估。据出境安全评估。同时,也建议企业密切关注监管部门后续对于规定的进一步解释与适用,特别是规定的豁免场景在实践中的认定情况(包括注册在自贸区的企业应关注自贸区数据出境负面清单或正面清单),以判断自身的数据出境情况是否满足豁免条件,并据此及时调整合规策略,确保企业在数据出境方面符合法规要求。附件:数据出境合规框架的主要变化对比附件:数据出境合规框架的主要变化对比 对比项对比项 旧框架旧框架 征求意见稿征求意见稿 规定规定 重要数据出境 企业拟出境的数据为重要数据的,则应当申报数据出境安全评估。未被相关部门
257、、地区通知或者公开发布为重要数据的,不需要作为重要数据申报数据出境安全评估。企业应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,不需要作为重要数据申报数据出境安全评估。个人信息出境 数据出境安全评估 如果拟出境的数据为个人信息的,满足以下任一条件时,应当申报数据出境安全评估:(i)处理 100 万人以上个人信息的;(ii)自上年 1 月 1日起累计向境外提供 10 万人个人信息的;或(iii)自上年 1 月1 日起累计向境外提供 1 万人敏感个人信息的。预计一年内向境外提供 100 万人及以上个人信息的,应当申报数据出境安全评估。自当年1月1日起累计向境外提
258、供100万人以上个人信息(不含敏感个人信息)或者 1 万人以上敏感个人信息,应当申报数据出境安全评估。71 对比项对比项 旧框架旧框架 征求意见稿征求意见稿 规定规定 标准合同或认证 如果未满足上述任一情形的,则可以选择(i)订立并备案个人信息保护标准合同,或(ii)通过个人信息安全保护认证后出境个人信息。预计一年内向境外提供 1 万人以上、不满 100 万人个人信息,需要进行标准合同备案或个人信息保护认证,可以不申报数据出境安全评估。自当年1月1日起累计向境外提供 10 万人以上、不满 100 万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当订立个人信息出境标准合同或者通过
259、个人信息保护认证。豁免情形 N/A 预计一年内向境外提供不满 1 万人个人信息的,不需要申报数据出境安全评估、订立个人信息保护标准合同、通过个人信息保护认证。自当年1月1日起累计向境外提供不满 10 万人个人信息(不含敏感个人信息)的,免予申报数据出境安全评估、订立个人信息保护标准合同、通过个人信息保护认证。豁免的特殊场景 N/A a.个人信息过境;b.为订立、履行个人作为一方当事人的合同所必需;c.基于人力资源管理所必需的出境员工个人信息;d.紧急情况下为保护自然人的生命健康和财产安全;e.国际贸易、学术合作、跨国生产制造和市场营销等活动(不包含个人信息或重要数据);f.未列入“自贸区负面清
260、单”的数据。a.个人信息过境;b.为订立、履行个人作为一方当事人的合同所必需;c.基于人力资源管理所必需的出境员工个人信息;d.紧急情况下为保护自然人的生命健康和财产安全;e.国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动(不包含 个 人 信 息 或 重 要 数据);f.未列入“自贸区负面清单”的数据。CIIO CIIO 向境外提供个人信息或重要数据的,应当依法通过所在地省级网信部门向国家网信部门申报数据出境安全评估。72 4.数据跨境传输:解读粤港澳大湾区(内地、香港)个人信息跨境流动数据跨境传输:解读粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指标准合同实施指引引:跨
261、境数据流动创新保障性措施的先行先试:跨境数据流动创新保障性措施的先行先试31 引言引言 2023 年 12 月 13 日,国家互联网信息办公室(下称“国家网信办”)与香港创新科技及工业局为落实关于促进粤港澳大湾区数据跨境流动的合作备忘录(下称“合作备忘录”)中提出的组织实施粤港澳大湾区(下称“大湾区”)个人信息跨境标准合同的要求,共同制定了粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引(下称“实施指引”),并以附件的形式提供了粤港澳大湾区(内地、香港)个人信息跨境流动标准合同(下称“大湾区标准合同”)与承诺书(模板)供相关主体使用。在 2023 年 6 月 29 日签署的合作备忘录
262、公告中,国家网信办与香港特区政府创新科技及工业局共同提出将在国家数据跨境安全管理制度框架下,建立大湾区数据跨境流动安全规则。本次实施指引适用注册于/位于大湾区内地部分(广东省广州广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市)或者香港特别行政区(下称“香港特区”)的个人信息处理者及接收方。作为合作备忘录核心思路的落地举措,实施指引可以进一步促进大湾区的数据有序高效流动,促进数据作为生产要素在大湾区城市群内充分释放价值,为大湾区产业发展赋能。一、一、中国数据出境政策现状中国数据出境政策现状 1.内地内
263、地 在中华人民共和国网络安全法 中华人民共和国数据安全法 中华人民共和国个人信息保护法(下称“(个保法”)三部法律相继施行后,内地数据出境的基础合规框架已初步形成。在个人信息跨境流动方面,个保法第三一八条列明了个人信息处理者应采取的三项安全保障措施,即“通过网信部门组织的安全评估”“按照国家网信部门的规定经专业机构进行个人信息保护认证”“按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务”(上述三点合称为“数据出境保障性措施”)。随后,为帮助三种出境保障性措施落地,国家网信办及相关行业监管部门也陆续出台了一系列部门规章和指南性文件。就“订立个人信息出境标准合同”而言,根据
264、国家网信办于 2023 年 2 月 22 日发布的个人信息出境标准合同办法(下称“标准合同办法”)第四条,当个人信息处理者同时符合以下情形时,可以通过订立标准合同的方式向境外提供个人信息:(一)非关键信息基础设施运营者;31 作者:孟洁、王程、钱星辰、杜畅 73(二)处理个人信息不满 100 万人的;(三)自上年 1 月 1 日起累计向境外提供个人信息不满 10 万人的;(四)自上年 1 月 1 日起累计向境外提供敏感个人信息不满 1 万人的。标准合同办法以附件的方式提供了个人信息出境标准合同(下称“内地标准合同”)的文本,且配套出台了个人信息出境标准合同备案指南(第一版),进一步为标准合同的
265、签订和备案提供了指引。顺应 2022 年发布的 中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见(下称“数据二一条”),国家网信办在 2023 年 9 月 28 日发布了规范和促进数据跨境流动规定(征求意见稿)(下称“跨境流动规定(征意稿)”),旨在确保数据有序跨境流动的同时降低企业的合规负担。跨境流动规定(征意稿)虽未正式生效,但对三种数据出境保障性措施的适用逻辑进行了较大的调整更新,同时还提出了豁免采取安全保障措施的一大重点场景,较大程度地降低了个人信息出境合规要求的门槛。2.香港特区香港特区 在个人信息出境的立法方面,中国香港特区颁布的个人资料(私隐)条例(下称“私隐条例”
266、)在其第 33 条中作出了专门规定。根据该条款,在香港进行或受主要营业地在香港的资料使用者32控制而收集、持有、处理33或使用34的个人资料35将原则上被禁止传输至香港以外的地方,除非满足以下条件:转移目的地存在与 私隐条例 相似或已经生效的与本条例目的相同的法律;使用者有合理理由认为该目的地存在上述法律;有关的资料当事人36已通过书面方式同意该转移活动;该使用者有合理理由相信:(i)该项转移是为避免针对资料当事人的不利行动或减轻该行动的影响而作出的;(ii)获取资料当事人的书面同意不是切实可行的;及(iii)如获取书面同意是切实可行的,且资料当事人会给予上述同意;32 私隐条例私隐条例项项下
267、的“资料使用者”:下的“资料使用者”:就个人资料而言,指独自或联同其他人或与其他人共同控制该资料的收集、持有、处理或使用的人(具体请参见私隐条例第一部分)。33 私隐条例私隐条例项项下的“下的“个人资料的处理个人资料的处理”:个人资料的修改、新增、删除或重新排列(无论是否采用自动化或其他方法)(具体请参见私隐条例第一部分)。34 私隐条例私隐条例项项下的“下的“使用”:使用”:包括个人资料的披露或转移(具体请参见私隐条例第一部分)。35私隐条例项下的私隐条例项下的“个人资料”:个人资料”:指符合以下说明的任何资料(数据):(a)直接或间接与一名在世的个人有关的;(b)从该资料直接或间接地确定有
268、关的个人身份是切实可行的;及(c)该资料的存在形式使得查阅及处理均是切实可行的(具体请参见私隐条例第一部分)。36 私隐条例项下的私隐条例项下的资料当事人:资料当事人:就个人资料而言,指该资料隶属的个人(具体请参见私隐条例第一部分)。74 该资料凭借私隐条例第 8 条的规定获得豁免,包括执行司法职能、个人事务、雇佣等事由;或 该使用者已采取所有合理的预防措施并已作出所有应尽的努力,以确保该资料不会以违反转移目的地条例的方式被收集、持有、处理或使用。虽然私隐条例第 33 条“限制”个人资料向香港以外的地区进行转移且迄今已进行了数次修订更新,但时至今日该条款仍未实施。香港目前也尚未规定数据处理活动
269、达到一定条件时必须采取的数据出境保障性措施,而更多是通过发布推荐性的指引来规范香港个人资料跨境转移的活动,具体而言:2014 年 12 月,私隐公署发布了保障个人资料:跨境资料转移指引(简称“2014 年指引”),初次提供了用于指导资料跨境转移的建议合约条文范本,以建议性的方式鼓励资料使用者采用该指引内的推荐操作模式来保护个人资料。2022 年 5 月,私隐公署发布了跨境资料转移指引:建议合约条文范本(下称“2022 年指引”),进一步提供了两套用于资料跨境传输的范本,分别适用两种不同的跨境数据转移的情况,即(1)由一名资料使用者转移予另一个资料使用者,及(2)由一名资料使用者转移予一名资料处
270、理者,旨在应对愈加严格的全球数据保护监管与新型的通信科技对资料跨境转移带来的新挑战。尽管私隐条例第 33 条至今尚未生效,由2014 年指引和2022 年指引构成的建议合约条文范本体系可以帮助香港企业及相关组织更好地开展数据使用和处理活动,使之在日常的经营活动及与其他机构的合作中逐渐调整和适应,在满足合规要求的同时促进数据自由流动。3.粤港澳大湾区粤港澳大湾区 基于内地和香港分别就个人信息跨境流动实践的探索,两地政府在 2023 年 6月 29 日共同签署了合作备忘录,以在国家数据跨境安全管理框架下建立大湾区数据跨境流动的安全规则,推动该区域数字经济产业的高质量发展。在合作备忘录签署后,大湾区
271、也在数据出境保障性措施的优化方面开展了部分探索性工作。2023 年 10 月,香港特区行政长官李家超发表行政长官 2023 年施政报告时提到,将在大湾区以先行先试方式,简化内地个人资料流动到香港的合规安排。2023 年 11 月 1 日,全国信息安全标准化技术委员会进一步制定了网络安全标准实践指南粤港澳大湾区跨境个人信息保护要求(征求意见稿),规定了大湾区跨境处理个人信息应遵循的基本原则和保护要求。该标准文件作为实践指南,虽不具有 75 法律强制性,但仍然为“个人信息保护认证”这一数据出境保障性措施在大湾区的弹性落地提供了实操性指引。本次发布的实施指引则进一步完善了大湾区的数据流动合规实施路径
272、,有助于将数据作为推动经济增长的新引擎,促进区域性数字经济的发展。二、二、实施指引的七大亮点实施指引的七大亮点 本次发布的实施指引及其附件大湾区标准合同,在标准合同办法及内地标准合同的基础上,充分考虑了内地和香港两个不同法域出境政策的要求和大湾区在数字经济发展方面的重要战略角色,其创新重点体现在以下七个方面。1.结合政策定位明确适用范围结合政策定位明确适用范围 根据香港特区政府资讯科技总监办公室的说明,大湾区标准合同是一项简化大湾区中内地地区与香港之间的个人信息跨境37流动合规安排的措施,属自愿性质,让两地的个人及机构按统一范本订立标准合同,规范合同双方在个人信息保护方面的责任和义务38。依据
273、实施指引第二条,可以订立大湾区标准合同的情形包括两种:由大湾区中的内地地区向香港传输个人信息、或由香港向大湾区中的内地地区传输个人信息。实施指引同时明确,如果跨境流动的个人信息被其他相关法律文件认定为重要数据时,个人信息出境方无法通过与入境方签署大湾区标准合同的方式作为数据合规保障路径实施出境活动。在跨境个人信息数量或出境时间的要求方面,实施指引则没有具体说明。根据实施指引第四条,通过订立大湾区标准合同方式跨境提供个人信息的,应当履行标准合同列明的义务责任,并确保在个人信息处理者跨境提供个人信息前,按照个人信息处理者属地法律法规要求告知个人信息主体或者取得个人信息主体的同意,且不得向大湾区以外
274、的组织、个人提供(包括不得从香港地区再传输到其他国家地区)。2.因地制宜因地制宜明确出境适用要求明确出境适用要求 实施指引和大湾区标准合同在法律法规的适用方面,充分考虑了内地和香港的数据保护法律体系的差异。大湾区标准合同在第一条中,基于内地个保法和香港私隐条例,对“个人信息处理者”“个人信息主体”“监管机构”等不同的术语进行了区分解 37 此处“跨境”指的是跨关境:关境以内即适用中华人民共和国海关法及相关关税制度的区域,也即除港澳台地区以外的中华人民共和国领土;关境以外,包括中华人民共和国拥有主权的港澳台地区,和中华人民共和国行使主权的领土范围以外的国家或地区。38 https:/www.og
275、cio.gov.hk/sc/our_work/business/cross-boundary_data_flow/index.html,最后访问于 2024年 1 月 11 日。76 释。而在个人信息识别和合规基础义务的履行方面,大湾区标准合同也提出了应当按照两地的法规进行分别确认。在争议解决方面,大湾区标准合同第八条第四项列明了仲裁机构,在保留了中国国际经济贸易仲裁委员会、中国海事仲裁委员会的基础上,更新补充了中国广州国际仲裁委员会、粤港澳大湾区国际仲裁中心、香港国际仲裁中心三个机构,并将诉讼涉及的管辖机构明确为“内地或者香港”有管辖权的人民法院。在该条第五项也明确了合同的解释应当按照个人信
276、息处理者属地相关法律法规的规定进行解释,且不得与个人信息处理者的权利、义务相抵触,降低了因合同产生争议或纠纷而裁判依据不明确造成的解释不准确性。3.结合实践要求增加监管主体结合实践要求增加监管主体 在大湾区标准合同适用的监管部门方面,实施指引第一条及第一一条列明了国家互联网信息办公室、广东省互联网信息办公室或者香港特区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署有开展监管活动的权利、责任及义务,明确了内地与香港政府部门有序监管大湾区数据流动活动的监管框架。4.平衡个人信息处理者责任义务平衡个人信息处理者责任义务 虽然个人信息转移双方订立的合同必须严格依据大湾区标准合同
277、订立,不得随意修改,但个人信息转移双方可在不与大湾区标准合同的内容相冲突的前提下就商业行为另定商业合同39。同时,在内地组织或个人作为个人信息处理者时,大湾区标准合同规制的内容与内地标准合同需要履行的义务和应承担的责任相比之下较少。以订立标准合同前需要开展的个人信息保护影响评估工作为例,实施指引将重点评估的内容缩减为三项,仅保留:(一)个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性;(二)对个人信息主体权益的影响及安全风险;(三)接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。对照内地标准合同办法,个人信息处理者根据大湾区标准
278、合同开展个人信息保护影响评估时不再需要重点评估:跨境流动个人信息的规模、范围、种类、敏感程度;个人信息跨境流动后遭到篡改、破坏、泄露、丢失、非法利用等的 39 https:/www.ogcio.gov.hk/sc/our_work/business/cross-boundary_data_flow/index.html,最后访问于 2024年 1 月 11 日。77 风险,个人信息权益维护的渠道是否通畅等;接收方所在地区的个人信息保护政策和法规对标准合同履行的影响。上述评估维度的缩减可视作两地对彼此数据保护立法政策方面的认同,并对两地在合作机制下对实施指南与大湾区标准合同的灵活更新与调整具备充
279、分的信心。需要注意的是,当位于香港的组织或个人作为个人信息处理者通过签署 大湾区标准合同的方式向内地传输个人信息时,因为大湾区标准合同的规定在较多维度上与内地的要求保持一致,因此香港的组织或个人也应重点关注 个保法等内地法律法规的要求和合同约定以履行合规义务。5.合理减轻接收方合规责任义务合理减轻接收方合规责任义务 在接收方的合规责任义务方面,大湾区标准合同较内地标准合同不仅移除了接收方利用个人信息进行自动化决策时需要履行的责任义务,还移除了接收方应允许个人信息处理者对必要数据文件和文档进行查阅等方面的相关表述,在保障必要的责任义务的同时完成了合理减负。值得注意的是,与内地标准合同相比,大湾区
280、标准合同在第三条第八项中明确,接收方向同一辖区内的第三方提供个人信息时,仅需满足确有业务需要、履行告知义务、以及依法征得有效同意并符合合同附录所列约定的要求,极大提升了个人信息在大湾区内部流通的便捷性。虽然大湾区标准合同相较内地标准合同移除了多项合规要求,值得注意的是,大湾区标准合同在第三条第七项和第八项中,明确了不得向大湾区以外的组织、个人提供根据此合同接收的个人信息(包括个人信息向境外第三方的再传输行为),将个人信息跨境流转的范围限定在了大湾区。6.强调个人信息主体权利行使保障强调个人信息主体权利行使保障 大湾区标准合同 虽免除了个人信息处理者出境安全保障措施中的部分义务,但依据实施指引第
281、四条第一项的要求,处理者在跨境提供个人信息前仍然应当按照个人信息处理者属地法律法规要求告知个人信息主体或者取得个人信息主体的同意,保障了个人信息主体知情同意的权利。大湾区标准合同除了强调须同时基于属地法律法规要求和合同约定保护个人信息主体的相关权利外,其第四条第一项也明确了个人信息主体享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,有权要求查阅、复制、更正、补充、删除其个人信息,有权要求对其个人信息处理规则进行解释说明,并可以选择向个人信息处理者或接收方提出行权请求,同时要求被请求方根据属地法律要求在合理期限内完成响应。7.基于合同相关方承诺简化备案手续基于合同相关方承诺简化备案
282、手续 78 依据实施指南第八条,签署大湾区标准合同的个人信息处理者及接收方应在标准合同生效之日起 10 个工作日内按照属地向广东省互联网信息办公室或者香港特区政府资讯科技总监办公室进行标准合同备案,并提交如下材料:(一)法定代表人身份证件影印件;(二)承诺书(模板见附件 2);(三)标准合同。与内地标准合同的备案要求相比,大湾区标准合同备案虽然免除了提大湾区标准合同备案虽然免除了提交个人信息保护影响评估报告的义务交个人信息保护影响评估报告的义务,但仍要求企业根据实施指南自主开展个人信息保护影响评估工作并基于评估结果作出合规承诺,因此对于签订大湾区标准合同的个人信息处理者来说,开展个人信息保护影
283、响评估更多的是作为加强企业自身风险管理能力的有效工具。大湾区标准合同对于备案程序的简化一方面为大湾区组织及个人的个人信息跨境流动提供了便利,另一方面也没有完全放松对相关组织及个人开展个人信息保护影响评估工作的要求。2024 年 1 月 4 日,广东省互联网信息办公室(下称“广东省网信办”)相应发布了关于落实粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引的通知(下称“落实通知”),适用于粤港澳大湾区内地个人信息处理者及接收方针对大湾区标准合同开展备案工作。在备案材料提交方面,落实通知规定备案工作采取电子版预审与纸质版查验相结合的方式,并要求企业提供与纸质版材料一致的 PDF 扫描件和
284、 WORD 版电子版材料。具体如下所示:在材料查验、反馈及后续流程处理方面,落实通知 规定 大湾区标准合同备案流程包括材料提交、材料查验及反馈备案结果、补充或者重新备案等环节,具体如下所示:79 此外,2023 年 12 月 14 日,香港特区发布了粤港澳大湾区(内地、香港)个人信息跨境流动标准合同备案指南(适用于香港特区)及备案表格40,适用于 大湾区标准合同下位于香港的合同方(不论作为大湾区标准合同下的个人信息处理者或接收方),为香港的组织或个人在备案的实践开展方面提供了清晰的指引和参考。三、三、实施指引出台的意义实施指引出台的意义 在全球数字经济蓬勃发展和中国“数据二一条”等政策的有力支
285、撑下,尽管跨境流动规定(征意稿)的正式稿尚未发布,但促进数字经济发展和加速数据要素价值释放的相关工作已经处于高速推进中。本次实施指引与跨境流动规定(征意稿)第七条的规定遥相呼应,进一步完善了数据跨境传输的体系。数据作为基础生产要素,是推动科技创新和经济高质量发展的重要动力,大湾区内各城市之间经济合作开展紧密,城市间的数据跨境流动需求与日俱增。在具有标志性意义的合作备忘录签署后,本次发布的实施指引及配套的大湾区标准合同将为大湾区中的内地地区与香港之间的跨境数据流动带来便利。通过简化流程和降低合规成本,上述文件有力地推动大湾区内跨境贸易和服务。香港特区政府资讯科技总监办公室提出,为有序开展大湾区标
286、准合同的落地工作,其将会同广东省互联网信息办公室共同推出配套的便利措施,惠及大湾区内地城市和香港的各行各业。香港地区将组织进行大湾区标准合同便利措施的先行先试,在首阶段邀请银行业、征信业及医疗业企业参与。根据香港特区政府资讯科技总监办公室的说明,企业参与大湾区标准合同的签署与备案完全基于自愿原则。若大湾区企业作为个人信息处理者及接收方采 40 https:/www.ogcio.gov.hk/sc/our_work/business/cross-boundary_data_flow/doc/gbascc02_fg_sc.pdf,最后访问于 2024 年 1 月 11 日。80 用大湾区标准合同,
287、须根据实施指引的要求及相关数据保护法律法规开展合规工作。综上所述,大湾区企业在开展数据跨境流动活动的过程中应密切关注跨境流动规定(征意稿)的发布情况,并可以在满足实施指引规定的前提下考虑与区域内的相关方签署大湾区标准合同以增强出境活动的合规性和便利性,但同时企业也应当注意履行相关的个人信息保护合规义务以避免触碰监管红线。81 附录:附录:附录一:标准合同涉及政策文件对比附录一:标准合同涉及政策文件对比 比较维度比较维度/政策文件政策文件 内地内地 粤港澳大湾区粤港澳大湾区 香港香港 个人信息出境标准合同办个人信息出境标准合同办法法 粤港澳大湾区(内地、香港)个人信息粤港澳大湾区(内地、香港)个
288、人信息跨境流动标准合同实施指引跨境流动标准合同实施指引 2022 年跨境资料转移指引:建议年跨境资料转移指引:建议合约条文范本合约条文范本 制定原则及背制定原则及背景景 第一条第一条 为了保护个人信息权益,规范个人信息出境活动,根据中华人民共和国个人信息保护法等法律法规,制定本办法。第一条第一条 为促进粤港澳大湾区个人信息跨境安全有序流动,推动粤港澳大湾区高质量发展,落实中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局关于促进粤港澳大湾区数据跨境流动的合作备忘录(以下简称备忘录),国家互联网信息办公室、香港特别行政区政府创新科技及工业局共同制定本实施指引。第一部第一部 引
289、言引言 鉴于近年处理个人资料日趋数字化及商业全球化,本地企业(尤其中小企业)在拟定合适的合约条款以实行跨境资料转移并确保有关资料得到个人资料(隐私)条例(第 486 章)(私隐条例)下要求的相等保障时可能遇到实际困难。同时,随着信息及通讯科技(包括大资料、云端运算、资料分析)的发展及演进,国际间进行资料转移所面临的挑战和复杂性将会与日俱增。适用范围适用范围 第二条第二条 个人信息处理者通过与境外接收方订立个人信息出境标准合同(以下简称标准合同)的方式向中华人民共和国第二条第二条 粤港澳大湾区(内地、香港)个人信息跨境流动标准合同(以下简称标准合同,见附件 1)为备忘录下有关促进粤港澳大湾区个人
290、信息跨境流动的便利措施。粤港澳大湾区个人信息处理者及接收第一部第一部 引言引言 个人资料隐私专员公署(隐私公署)拟备了两套跨境资料转移建议合约条文模板(建议条文模板),分别供两种不同的跨境资料转移的情况应用,即(i)由一名 82 比较维度比较维度/政策文件政策文件 内地内地 粤港澳大湾区粤港澳大湾区 香港香港 个人信息出境标准合同办个人信息出境标准合同办法法 粤港澳大湾区(内地、香港)个人信息粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引跨境流动标准合同实施指引 2022 年跨境资料转移指引:建议年跨境资料转移指引:建议合约条文范本合约条文范本 境外提供个人信息,适用本办法。方可以
291、按照本实施指引要求,通过订立标准合同的方式进行粤港澳大湾区内内地和香港之间的个人信息跨境流动。被相关部门、地区告知或者公开发布为重要数据的个人信息除外。个人信息处理者及接收方应注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地部分,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,或者香港特别行政区。资料使用者转移予另一名资料使用者;及(ii)由一名资料使用者转移予一名资料处理者。建议条文模板列举一般的条款及细则,适用于由一香港机构转移个人资料至另一境外机构;或两个均属香港境外的机构之间的转移而有关转移由一名香港资料使用者所控制,借以让跨境资料转移的各方能考
292、虑隐私条例就此的相关规管要求,包括附表 1 的保障资料原则(保障资料原则)。通过订立标准通过订立标准合同的方式开合同的方式开展个人信息展个人信息出出境活动时应遵境活动时应遵循的原则循的原则 第三条第三条 通过订立标准合同的方式开展个人信息出境活动,应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,保障个人信息跨境安全、自由流动。第三条第三条 通过订立标准合同的方式开展个人信息跨境提供的,应当坚持自主缔约与备案管理相结合、保护个人信息权益与防范风险相结合,保障个人信息跨境安全、自由流动。第一部第一部 引言引言 资料使用者在转移资料到香港境外的同时亦需要确保符合隐私条例的规定,因此资料使
293、用者宜在跨境资料转移中引入建议条文模板。采用建议条文模板有助显示资料使用者已采取所有合理的预防措施及作出所有应作出的努 83 比较维度比较维度/政策文件政策文件 内地内地 粤港澳大湾区粤港澳大湾区 香港香港 个人信息出境标准合同办个人信息出境标准合同办法法 粤港澳大湾区(内地、香港)个人信息粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引跨境流动标准合同实施指引 2022 年跨境资料转移指引:建议年跨境资料转移指引:建议合约条文范本合约条文范本 力,以确保有关资料不会在获转移资料一方所属的司法管辖区以违反私隐条例规定的方式(假如该些活动在香港发生)收集、持有、处理或使用(参见私隐条例
294、第33(2)(f)条下的尽职努力的规定)。当有怀疑或声称违反隐私条例要求(包括保障资料原则)的情况出现时,该等因素将会全被纳入考虑当中。通过通过订立标准订立标准合同方式合同方式开展开展个人信息个人信息出境出境活动的条件活动的条件 第四条第四条 个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:(一)非关键信息基础设施运营者;(二)处理个人信息不满 100万人的;第四条第四条 按照本实施指引,通过订立标准合同跨境提供个人信息的,应当履行标准合同列明的义务和责任,包括满足以下条件:(一)个人信息处理者跨境提供个人信息前,应当按照个人信息处理者属地法律法规要求告知个人信
295、息主体或者取得个人信息主体的同意;第一部第一部 引言引言 本指引的附表所载列的建议条文范本是供资料使用者(尤其中小企业)使用的建议合约条文,是一个在跨境转移个人资料方面确保相关个人资料获足够的保障的实用方法。建议条文范本分为两套:A)第一套适用于由一个资料使用者转移个人资料予另一个资料 84 比较维度比较维度/政策文件政策文件 内地内地 粤港澳大湾区粤港澳大湾区 香港香港 个人信息出境标准合同办个人信息出境标准合同办法法 粤港澳大湾区(内地、香港)个人信息粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引跨境流动标准合同实施指引 2022 年跨境资料转移指引:建议年跨境资料转移指引:建
296、议合约条文范本合约条文范本(三)自上年 1 月 1 日起累计向境外提供个人信息不满 10 万人的;(四)自上年 1 月 1 日起累计向境外提供敏感个人信息不满1 万人的。法律、行政法规或者国家网信部门另有规定的,从其规定。个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。(二)不得向粤港澳大湾区以外的组织、个人提供。使用者的情况,当中资料转移者和资料接收者均分别使用有关个人资料作其业务用途(例如,为它们各自的商业活动合作共享资料)(资料使用者转移资料予资料使用者的建议合约条文范本)。B)第二套适用于由资料使用者转移个人资料予资料处理者的
297、情况,当中资料接收者只会为资料转移者指定的用途处理个人资料(例如,一间香港公司订立使用境外的云端服务的安排)(资料使用者转移资料予资料处理者的建议合约条文范本)。标准合同订立标准合同订立前的个人信息前的个人信息保护影响评估保护影响评估内容内容 第五条第五条 个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容:第五条第五条 个人信息处理者按照本实施指引,通过订立标准合同跨境提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容:/85 比较维度比较维度/政策文件政策文件 内地内地 粤港澳大湾区粤港澳大湾区 香港香港 个人信息出境标准合同办个人信息出境标准合
298、同办法法 粤港澳大湾区(内地、香港)个人信息粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引跨境流动标准合同实施指引 2022 年跨境资料转移指引:建议年跨境资料转移指引:建议合约条文范本合约条文范本(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;(五)境外接收
299、方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;(一)个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性;(二)对个人信息主体权益的影响及安全风险;(三)接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。86 比较维度比较维度/政策文件政策文件 内地内地 粤港澳大湾区粤港澳大湾区 香港香港 个人信息出境标准合同办个人信息出境标准合同办法法 粤港澳大湾区(内地、香港)个人信息粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引跨境流动标准合同实施指引 2022 年跨境资料转移指引:建议年跨境资料转移指引:建议合约
300、条文范本合约条文范本(六)其他可能影响个人信息出境安全的事项。标准合同的订标准合同的订立立 第六条第六条 标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整。个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。标准合同生效后方可开展个人信息出境活动。第六条第六条 标准合同应当严格按照本实施指引附件订立,合同生效后方可开展个人信息跨境提供。个人信息处理者可以与接收方约定其他条款,但不得与标准合同相冲突。第二部第二部 采用建议合约条文范本采用建议合约条文范本 私隐公署并不预期建议条文范本是转移及接收资料双方所采纳的协议之全部。双方在转移个人资料前,可能在
301、合约安排上需要顾及商业上的考虑。此外,资料使用者通常宜就资料接收者如何处理转移给它们的个人资料向资料接收者寻求额外及更具体的保证。这些额外保证的例子将会在下文“额外合约措施”中阐述。建议条文范本旨在列举一般的条款及细则,适用于(i)由一香港机构转移个人资料至另一境外机构,或(ii)两个均属香港境外的机构之间的转移而有关转移由一名香港资料使用者所控制,借以考虑私隐条 87 比较维度比较维度/政策文件政策文件 内地内地 粤港澳大湾区粤港澳大湾区 香港香港 个人信息出境标准合同办个人信息出境标准合同办法法 粤港澳大湾区(内地、香港)个人信息粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引跨
302、境流动标准合同实施指引 2022 年跨境资料转移指引:建议年跨境资料转移指引:建议合约条文范本合约条文范本 例的相关规管要求,尤其附表 1的保障资料原则。建议条文范本可作为实用的基础,从而便利由香港转移个人资料至境外地方,使机构能订立清晰的协议以订明转移甚麽个人资料、转移资料的目的,以及双方在符合私隐条例规定的前提下于不同范畴的具体责任分配,例如资料保安、管理查阅及改正资料的权利,以及资料接收者向其他司法管辖区或其他接收者继续转移有关资料的范围。机构(尤其中小企业)可在自行制定转移资料协议时采纳建议条文范本,或把这些条文纳入更广泛的服务协议中。机构可自由使用其他在实质上符合私隐条例规定的字词。
303、建议条文范本是具独立性 的条文,只要建议条文范本继续达到其 88 比较维度比较维度/政策文件政策文件 内地内地 粤港澳大湾区粤港澳大湾区 香港香港 个人信息出境标准合同办个人信息出境标准合同办法法 粤港澳大湾区(内地、香港)个人信息粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引跨境流动标准合同实施指引 2022 年跨境资料转移指引:建议年跨境资料转移指引:建议合约条文范本合约条文范本 实质效果(提供予个人资料的保障与私隐条例所规定的相同,尤如有关个人资料没有被转移至香港境外),也可被纳入资料转移者与资料接收者之间较一般性的商业协议中。本指引内的建议条文范本不应被视为符合欧洲联盟的通
304、用数据保护条例之规定及/或由欧盟委员会颁佈的标准合约条款之替代条文。资料使用者应确保在转移个人资料至香港以外的其他司法管辖区时,相关个人资料获足够的保障。标准合同的备标准合同的备案要求案要求 第七条第七条 个人信息处理者应当在标准合同生效之日起 10 个工作日内向所在地省级网信部门备案。备案应当提交以下材料:(一)标准合同;(二)个人信息保护影响评估报告。第八条第八条 个人信息处理者及接收方应在标准合同生效之日起 10 个工作日内按照属地向广东省互联网信息办公室或者香港特别行政区政府政府资讯科技总监办公室进行标准合同备案,提交如下材料:(一)法定代表人身份证件影印件;(二)承诺书(模板见附件
305、2);/89 比较维度比较维度/政策文件政策文件 内地内地 粤港澳大湾区粤港澳大湾区 香港香港 个人信息出境标准合同办个人信息出境标准合同办法法 粤港澳大湾区(内地、香港)个人信息粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引跨境流动标准合同实施指引 2022 年跨境资料转移指引:建议年跨境资料转移指引:建议合约条文范本合约条文范本 个人信息处理者应当对所备案材料的真实性负责。(三)标准合同。个人信息处理者及接收方应当对所备案材料的真实性负责。标准合同的订标准合同的订立及备案材料立及备案材料 第八条第八条 在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护
306、影响评估,补充或者重新订立标准合同,并履行相应备案手续:(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;第七条第七条 跨境提供个人信息的目的、范围、种类、方式,或者接收方处理个人信息的用途、方式发生变化,延长保存期限,以及发生影响或者可能影响个人信息权益其他情况的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续。/90 比较维度比较维度/政策文件政策文件 内地内
307、地 粤港澳大湾区粤港澳大湾区 香港香港 个人信息出境标准合同办个人信息出境标准合同办法法 粤港澳大湾区(内地、香港)个人信息粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引跨境流动标准合同实施指引 2022 年跨境资料转移指引:建议年跨境资料转移指引:建议合约条文范本合约条文范本(三)可能影响个人信息权益的其他情形。监管部门的履监管部门的履职要求职要求 第九条第九条 网信部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。第一三条第一三条 有关部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商
308、业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。/违规行为的处违规行为的处置机制置机制 第一条第一条 任何组织和个人发现个人信息处理者违反本办法向境外提供个人信息的,可以向省级以上网信部门举报。第一条第一条 任何组织和个人发现个人信息处理者或接收方按照本实施指引进行粤港澳大湾区内的个人信息跨境流动,但不履行本实施指引及标准合同要求的义务和责任的,可以向国家互联网信息办公室、广东省互联网信息办公室或者香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署投诉、举报。收到投诉、举报的部门发现个人信息跨境活动存在较大安全风险或者发生个人信息
309、第二部第二部 采用建议合约条文范本采用建议合约条文范本 如资料使用者不能证明它已实施良好的资料保障措施,例如包括采纳建议条文范本,它们可能要面对潜在的法律责任及声誉受损。91 比较维度比较维度/政策文件政策文件 内地内地 粤港澳大湾区粤港澳大湾区 香港香港 个人信息出境标准合同办个人信息出境标准合同办法法 粤港澳大湾区(内地、香港)个人信息粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引跨境流动标准合同实施指引 2022 年跨境资料转移指引:建议年跨境资料转移指引:建议合约条文范本合约条文范本 安全事件的,可以要求个人信息处理者或者接收方整改;需要交由其他执法部门处置的,交由相关部门
310、依法处置。第一一条第一一条 个人信息处理者或接收方在处理个人信息时发生个人信息泄露等安全事件的,应立即采取补救措施,按照属地通知国家互联网信息办公室、广东省互联网信息办公室,或者香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署。监督管理及执监督管理及执法法 第一一条第一一条 省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。第九条第九条 个人信息处理者及接收方接受属地监管机构的监督管理,包括但不限于:(一)根据标准合同第二条第七项及第一项,个人信息处理者答复
311、监管机构的询问及对合同的义务和责任的履行承担举证责任;(二)根据标准合同第三条第一二项,接收方应接受监管机构的监督管理,包括服/92 比较维度比较维度/政策文件政策文件 内地内地 粤港澳大湾区粤港澳大湾区 香港香港 个人信息出境标准合同办个人信息出境标准合同办法法 粤港澳大湾区(内地、香港)个人信息粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引跨境流动标准合同实施指引 2022 年跨境资料转移指引:建议年跨境资料转移指引:建议合约条文范本合约条文范本 第一二条第一二条 违反本办法规定的,依据中华人民共和国个人信息保护法等法律法规处理;构成犯罪的,依法追究刑事责任。从监管机构作出的决
312、定以及提供已采取必要行动的证明等;(三)根据标准合同第六条第二项,个人信息处理者解除标准合同时,通知监管机构。第一二条第一二条 以上规定并不影响内地履行个人信息保护职责的部门和香港个人资料私隐专员公署在职责范围内依法加强个人信息保护和监督管理工作,包括处理与个人信息保护有关的投诉、举报,调查、处理违法个人信息处理活动等。生效及实施生效及实施 第一三条第一三条 本办法自 2023 年 6月 1 日起施行。本办法施行前已经开展的个人信息出境活动,不符合本办法规定的,应当自本办法施行之日起 6 个月内完成整改。第一四条第一四条 国家互联网信息办公室和香港特别行政区政府创新科技及工业局可以根据实际情况
313、,经协商一致后对本实施指引及附件进行修订。第一五条第一五条 本实施指引自发布之日起生效。第一部第一部 引言引言 建议条文范本是可自由组合的独立性条文,也可被纳入资料转移者与资料接收者之间的一般性商业协议中。本指引就建议条文范本的实际效果提供详细说明,及阐述如何借遵从建议条文范本以提供私隐条例要求的足够保障 93 比较维度比较维度/政策文件政策文件 内地内地 粤港澳大湾区粤港澳大湾区 香港香港 个人信息出境标准合同办个人信息出境标准合同办法法 粤港澳大湾区(内地、香港)个人信息粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引跨境流动标准合同实施指引 2022 年跨境资料转移指引:建议年
314、跨境资料转移指引:建议合约条文范本合约条文范本 予个人资料,尤如相关个人资料没有被转移至香港境外。即使就跨境资料转移施加规限的私隐条例第 33 条尚未生效,本指引建议资料使用者(尤其中小企业)采取最佳行事方式作为其资料管治责任的一部份,以保障及尊重资料当事人的个人资料。94 附录二:标准合同的内容对比附录二:标准合同的内容对比 比较维度比较维度/政策文件政策文件 个人信息出境标准合同个人信息出境标准合同 粤港澳大湾区(内地、香粤港澳大湾区(内地、香港)个人信息跨境流动标准合港)个人信息跨境流动标准合同同 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料使用使用者的建议合约条文模者的建
315、议合约条文模板板 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料处处理者的建议合约条理者的建议合约条文模板文模板 订立基本信息订立基本信息 为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准,明确个人信息处理者和境外接收方个人信息保护的权利和义务,经双方协商一致,订立本合同。个人信息处理者:地址:联系方式:联系人:职务:境外接收方:地址:联系方式:联系人:职务:为促进粤港澳大湾区个人信息跨境安全有序流动,明确个人信息处理者和接收方个人信息保护的权利、义务和责任,经双方协商一致,订立本合同。个人信息处理者:地址:联系方式:联系人:职务:接收方:地
316、址:联系方式:联系人:职务:/95 比较维度比较维度/政策文件政策文件 个人信息出境标准合同个人信息出境标准合同 粤港澳大湾区(内地、香粤港澳大湾区(内地、香港)个人信息跨境流动标准合港)个人信息跨境流动标准合同同 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料使用使用者的建议合约条文模者的建议合约条文模板板 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料处处理者的建议合约条理者的建议合约条文模板文模板 个人信息处理者与境外接收方依据本合同约定开展个人信息出境活动,与此活动相关的商业行为,双方【已】/【约定】于 年 月 日订立(商业合同,如有)。本合同正文根据个人信息出
317、境标准合同办法的要求拟定,在不与本合同正文内容相冲突的前提下,双方如有其他约定可在附录二中详述,附录构成本合同的组成部分。(注:个人信息处理者及接收方应注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地部分,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,或者香港特别行政区)个人信息处理者与接收方依据本合同约定开展个人信息跨境活动,与此活动相关的商业行为,双方【已】/【约定】于 年 月 日订立(商业合同,如有)。本合同正文根据中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技 96 比较维度比较维度/政策文件政策文件 个人信息出境标准合同个人信
318、息出境标准合同 粤港澳大湾区(内地、香粤港澳大湾区(内地、香港)个人信息跨境流动标准合港)个人信息跨境流动标准合同同 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料使用使用者的建议合约条文模者的建议合约条文模板板 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料处处理者的建议合约条理者的建议合约条文模板文模板 及工业局关于促进粤港澳大湾区数据跨境流动的合作备忘录而拟定,在不与本合同正文内容相冲突的前提下,双方如有其他约定可在附录二中详述,附录构成本合同的组成部分。定义及释义定义及释义 第一条第一条 定义定义 在本合同中,除上下文另有规定外:(一)“个人信息处理者”是指在个
319、人信息处理活动中自主决定处理目的、处理方式的,向中华人民共和国境外提供个人信息的组织、个人。(二)“境外接收方”是指在中华人民共和国境外自个人信息第一条第一条 定义定义 在本合同中,除上下文另有规定外:(一)“个人信息处理者”,就内地而言,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人;就香港特别行政区而言,亦涵盖“资料使用者”,即就个人资料而言,指独自或联同其他人或与其他1.定义定义 1.1 就这些条文,包括资料转移一览表(统称条文)而言:继续转移的接收者的意思载于第4.9 条;隐私条例指个人资料(隐私)条例(第1.定义定义 1.1就这些条文,包括资料转移一览表(统称条文)而
320、言:隐私条例指个人资料(隐私)条例(第486章),或会不时修订;97 比较维度比较维度/政策文件政策文件 个人信息出境标准合同个人信息出境标准合同 粤港澳大湾区(内地、香粤港澳大湾区(内地、香港)个人信息跨境流动标准合港)个人信息跨境流动标准合同同 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料使用使用者的建议合约条文模者的建议合约条文模板板 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料处处理者的建议合约条理者的建议合约条文模板文模板 处理者处接收个人信息的组织、个人。(三)个人信息处理者或者境外接收方单称“一方”,合称“双方”。(四)“个人信息主体”是指个人信息所识
321、别或者关联的自然人。(五)“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。(六)“敏感个人信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、人共同控制该资料的收集、持有、处理或使用的人。本合同所称个人信息处理者为个人信息跨境提供方。(二)“接收方”是指自个人信息处理者处跨境接收个人信息的组织、个人。(三)个人信息处理者或者接收方单称“一方”,合称“双方”。(四)粤港澳大湾区内地个人信息处理者处理的个人信息,按照中华人民共和国个人信息保护法确定;香港特别行政区内个人信息处
322、理者处理的个人信息,按照香港特别行政区个人资料(私隐)条例的“个人资料”确定。486 章),或会不时修订;准许司法管辖区指资料转移一览表所列的地方或转移的个人资料不时根据这些条文而被使用或处理或持有的任何其他地方;转移的个人资料指资料转移一览表所列的个人资料种类或类别;转移目的指资料转移一览表所列的使用转移的个人准许司法管辖区指资料转移一览表所列的地方或转移的个人资料不时根据这些条文而被处理或持有的任何其他地方;转移的个人资料指资料转移一览表所列的个人资料种类或类别;转移目的指资料转移一览表所列的处理转移的个人资料的目的或直接有关的目的;98 比较维度比较维度/政策文件政策文件 个人信息出境标
323、准合同个人信息出境标准合同 粤港澳大湾区(内地、香粤港澳大湾区(内地、香港)个人信息跨境流动标准合港)个人信息跨境流动标准合同同 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料使用使用者的建议合约条文模者的建议合约条文模板板 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料处处理者的建议合约条理者的建议合约条文模板文模板 宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满一四周岁未成年人的个人信息。(七)“监管机构”是指中华人民共和国省级以上网信部门。(八)“相关法律法规”是指中华人民共和国网络安全法 中华人民共和国数据安全法 中华人民共和国个人信息保护法
324、中华人民共和国民法典 中华人民共和国民事诉讼法 个人信息出境标准合同办法等中华人民共和国法律法规。(九)本合同其他未定义术语的含义与相关法律法规规定的含义一致。(五)“个人信息主体”,就内地而言,是指个人信息所识别或者关联的自然人;就香港特别行政区而言,亦涵盖“资料当事人”,即就个人资料而言,指属该资料的当事人的个人。(六)“监管机构”,就内地而言,是指国家互联网信息办公室及广东省互联网信息办公室;就香港特别行政区而言,是指香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室及香港个人资 料私隐专员公署。(七)“相关法律法规”,就内地而言,是指中华人民共和国网络安全法 中华人民共和国数据
325、安全法 中华人民共和资料的目的或直接有关的目的;建议资料处理条文模板指专员不时就资料使用者跨境转移个人资料予资料处理者而发出的建议合约条文模板;及 保留时期指资料转移一览表指明的保留时期。1.2专员、资料处理者、资料当事人、资料使用者、直接促销、个人资料、处理保留时期指资料转移一览表指明的保留时期;及 分判处理者的意思载于第3.8条。1.2个人资料及处理的意思与隐私条例赋予这些词语的意思相同。2.释义释义 就条文的理解和解释应按照隐私条例的条文而作出。有关条文的解释不应存有与隐私条例的相关规定抵触的可能性。99 比较维度比较维度/政策文件政策文件 个人信息出境标准合同个人信息出境标准合同 粤港
326、澳大湾区(内地、香粤港澳大湾区(内地、香港)个人信息跨境流动标准合港)个人信息跨境流动标准合同同 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料使用使用者的建议合约条文模者的建议合约条文模板板 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料处处理者的建议合约条理者的建议合约条文模板文模板 国个人信息保护法等法律法规;就香港特别行政区而言,是指个人资料(私隐)条例等法律法规。及使用的意思与隐私条例赋予这些词语的意思相同。2.释义释义 就条文的理解和解释应按照隐私条例的条文而作出。有关条文的解释不应存有与私隐条例的相关规定抵触的可能性。个人信息处理者个人信息处理者的义务的义
327、务 第二条第二条 个人信息处理者的义务个人信息处理者的义务 个人信息处理者应当履行下列义务:(一)按照相关法律法规规定处理个人信息,向境外提供的第二条第二条 个人信息处理者的义务个人信息处理者的义务和责任和责任 个人信息处理者应当履行下列义务和责任:(一)按照属地相关法律法规及本合同要求处理个人信息,3.资料转移者的责任资料转移者的责任 资料转移者向资料接收者保证及承诺会根据隐私条例为转移目的把转移的个人资料转移予准许司法/100 比较维度比较维度/政策文件政策文件 个人信息出境标准合同个人信息出境标准合同 粤港澳大湾区(内地、香粤港澳大湾区(内地、香港)个人信息跨境流动标准合港)个人信息跨境
328、流动标准合同同 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料使用使用者的建议合约条文模者的建议合约条文模板板 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料处处理者的建议合约条理者的建议合约条文模板文模板 个人信息仅限于实现处理目的所需的最小范围。(二)向个人信息主体告知境外接收方的名称或者姓名、联系方式、附录一“个人信息出境说明”中处理目的、处理方式、个人信息的种类、保存期限,以及行使个人信息主体权利的方式和程序等事项。向境外提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。(三)基于个
329、人同意向境外提供个人信息的,应当取得个人信息主体的单独同意。涉及不向接收方提供的个人信息仅限于实现处理目的所需的最小范围。(二)向个人信息主体告知接收方的名称或者姓名、联系方式,附录一“个人信息跨境提供说明”中处理目的、处理方式、个人信息的种类、保存期限、个人信息向同辖区第三方提供的情况,以及行使个人信息主体权利的方式和程序等事项。属地相关法律法规要求不需要告知的,从其规定。(三)向接收方跨境提供个人信息前,应当按照属地法律法规要求取得个人信息主体同意。管辖区的资料接收者,唯资料接收者须履行它在这些条文下的责任。101 比较维度比较维度/政策文件政策文件 个人信息出境标准合同个人信息出境标准合
330、同 粤港澳大湾区(内地、香粤港澳大湾区(内地、香港)个人信息跨境流动标准合港)个人信息跨境流动标准合同同 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料使用使用者的建议合约条文模者的建议合约条文模板板 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料处处理者的建议合约条理者的建议合约条文模板文模板 满一四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。(四)向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人,如个人信息主体未在 30 日内明确拒绝,则可以依据本合同享有第三
331、方受益人的权利。(五)尽合理地努力确保境外接收方采取如下技术和管理措施(综合考虑个人信息处理目的、个人信息的种类、规模、范围及敏感程度、传输的数量和频率、个人信息传输及境外(四)向个人信息主体告知其与接收方通过本合同约定个人信息主体为第三方受益人,如个人信息主体未在 30 日内明确拒绝,则可以依据本合同享有第三方受益人的权利。(五)尽合理的努力确保接收方采取如下技术和管理措施(综合考虑个人信息处理目的、个人信息的种类、规模、范围、传输的数量 和频率、个人信息传输及接收方的保存期限等可能带来的个人信息安全风险),以履行本合同约定的义务和责任。(如加密、匿名化、去标识化、访问控制等技术和管理措施)
332、102 比较维度比较维度/政策文件政策文件 个人信息出境标准合同个人信息出境标准合同 粤港澳大湾区(内地、香粤港澳大湾区(内地、香港)个人信息跨境流动标准合港)个人信息跨境流动标准合同同 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料使用使用者的建议合约条文模者的建议合约条文模板板 香港香港-资料资料使用者使用者转移转移资料资料予予资料资料处处理者的建议合约条理者的建议合约条文模板文模板 接收方的保存期限等可能带来的个人信息安全风险),以履行本合同约定的义务:(如加密、匿名化、去标识化、访问控制等技术和管理措施)(六)根据境外接收方的要求向境外接收方提供相关法律规定和技术标准的副本
333、。(七)答复监管机构关于境外接收方的个人信息处理活动的询问。(八)按照相关法律法规对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估。重点评估以下内容:1.个人信息处理者和境外接收方处理个人信息的目的、范围、(六)根据接收方的要求向接收方提供属地相关法律法规规定和技术标准的副本。(七)答复属地监管机构关于接收方的个人信息处理活动的询问。(八)对拟向接收方提供个人信息的活动开展个人信息保护影响评估。重点评估以下内容:1.个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性;2.对个人信息主体权益的影响及安全风险;3.接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。103 比较维度比较维度/政策文件政策文件 个人信息出境标准合同个人信息出境标准合同 粤港澳大湾区(内地、香粤港澳大湾区(内地、香港)个人信息跨境流动标准合港)个