《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》[1]即將于2025年1月1日起生效，其立足于過(guò)往立法，在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》[2]《中華人民共和國(guó)數(shù)據(jù)安全法》[3]與《中華人民共和國(guó)個(gè)人信息保護(hù)法》[4]的框架下，將散見(jiàn)于不同法規(guī)細(xì)則的合規(guī)義務(wù)進(jìn)行了總結(jié)與澄清。作為一部承上啟下而非引入重大變革的立法，其有助于減少監(jiān)管的不確定性，為企業(yè)進(jìn)行心理上的減負(fù)。但開(kāi)展網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)的企業(yè)仍需對(duì)照《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》，在過(guò)往數(shù)據(jù)合規(guī)體系的基礎(chǔ)上查缺補(bǔ)漏，以妥善落實(shí)新規(guī)要求。

要點(diǎn)1：落實(shí)網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)要求

《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第9條要求企業(yè)在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)。實(shí)踐中，公安機(jī)關(guān)往往會(huì)實(shí)施“一案雙查”的網(wǎng)絡(luò)安全執(zhí)法機(jī)制，即在調(diào)查網(wǎng)絡(luò)安全案件的同時(shí)，也會(huì)對(duì)涉案企業(yè)是否履行法定的網(wǎng)絡(luò)安全責(zé)任進(jìn)行同步監(jiān)督和檢查。

因此，企業(yè)應(yīng)重點(diǎn)落實(shí)網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)義務(wù)，尤其是網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，定期對(duì)自身運(yùn)營(yíng)的計(jì)算機(jī)信息系統(tǒng)進(jìn)行盤點(diǎn)梳理，依法進(jìn)行網(wǎng)絡(luò)安全的定級(jí)、備案、整改、測(cè)評(píng)，做到網(wǎng)絡(luò)安全管理制度與技術(shù)并重，確保自身網(wǎng)絡(luò)與信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

要點(diǎn)2：健全網(wǎng)絡(luò)數(shù)據(jù)安全事件應(yīng)急預(yù)案

在過(guò)往立法的基礎(chǔ)上，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第11條進(jìn)一步強(qiáng)調(diào)了企業(yè)在發(fā)生網(wǎng)絡(luò)數(shù)據(jù)安全事件時(shí)，應(yīng)當(dāng)立即啟動(dòng)應(yīng)急預(yù)案，采取措施防止危害擴(kuò)大。實(shí)踐中，應(yīng)急預(yù)案一般包括組織體系、事件分級(jí)、監(jiān)測(cè)預(yù)警、預(yù)防與應(yīng)急準(zhǔn)備、保障措施、應(yīng)急處置、事后總結(jié)等內(nèi)容。除此之外，企業(yè)還須依法及時(shí)將網(wǎng)絡(luò)安全事件告知用戶等利害關(guān)系人并向有關(guān)主管部門報(bào)告（如適用）。我們預(yù)計(jì)未來(lái)《網(wǎng)絡(luò)安全事件報(bào)告管理辦法（征求意見(jiàn)稿）》[5]通過(guò)并生效后將提出更清晰的路徑指引。

要點(diǎn)3：規(guī)范隱私政策表述與展示方式

依據(jù)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第21條，形式上，隱私政策應(yīng)當(dāng)集中公開(kāi)展示、易于訪問(wèn)并置于醒目位置，避免出現(xiàn)隱私政策難以訪問(wèn)的情況。內(nèi)容上，其應(yīng)當(dāng)明確具體、清晰易懂。建議企業(yè)重新審視隱私政策的表述與展示，確保形式與內(nèi)容符合《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)的要求，并在隱私政策內(nèi)容發(fā)生變化的情況下及時(shí)更新相應(yīng)文本。

要點(diǎn)4：響應(yīng)個(gè)人信息轉(zhuǎn)移的權(quán)利請(qǐng)求

數(shù)據(jù)可攜帶權(quán)緣起于歐盟《通用數(shù)據(jù)保護(hù)條例》[6]?！吨腥A人民共和國(guó)個(gè)人信息保護(hù)法》第45條亦有其身影，其中規(guī)定滿足前置法定條件的個(gè)人可以請(qǐng)求個(gè)人信息處理者將其個(gè)人信息轉(zhuǎn)移至其他個(gè)人信息處理者?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第25條進(jìn)一步明確了網(wǎng)絡(luò)數(shù)據(jù)場(chǎng)景下需同時(shí)滿足的四大前置條件。至于個(gè)人信息轉(zhuǎn)移的內(nèi)部應(yīng)對(duì)流程，建議企業(yè)參考《信息安全技術(shù) 基于個(gè)人請(qǐng)求的個(gè)人信息轉(zhuǎn)移要求》征求意見(jiàn)稿[7]，將其融入個(gè)人信息權(quán)利請(qǐng)求響應(yīng)機(jī)制之中。

要點(diǎn)5：定期開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)

個(gè)人信息保護(hù)合規(guī)審計(jì)義務(wù)由《中華人民共和國(guó)個(gè)人信息保護(hù)法》第54條所創(chuàng)設(shè)。此次，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第27條重申了此項(xiàng)義務(wù)，其指出網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)定期自行或者委托專業(yè)機(jī)構(gòu)對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。在尚無(wú)現(xiàn)行有效的落地細(xì)則的情況下，我們建議企業(yè)未雨綢繆，參照《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見(jiàn)稿）》[8]以及《數(shù)據(jù)安全技術(shù) 個(gè)人信息保護(hù)合規(guī)審計(jì)要求》征求意見(jiàn)稿[9]，著手準(zhǔn)備個(gè)人信息保護(hù)合規(guī)審計(jì)內(nèi)部制度，以應(yīng)對(duì)不時(shí)之需。

要點(diǎn)6：依法識(shí)別、申報(bào)、管理重要數(shù)據(jù)

重要數(shù)據(jù)的識(shí)別一直是企業(yè)履行數(shù)據(jù)合規(guī)義務(wù)的痛點(diǎn)。《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第四章并未豁免企業(yè)依法識(shí)別、申報(bào)重要數(shù)據(jù)的義務(wù)，但同時(shí)明確，確認(rèn)是否屬于重要數(shù)據(jù)的義務(wù)落在監(jiān)管部門身上，即，如屬于重要數(shù)據(jù)，監(jiān)管部門應(yīng)當(dāng)及時(shí)向企業(yè)告知或者通過(guò)公開(kāi)重要數(shù)據(jù)目錄等方式進(jìn)行發(fā)布。目前，較為明晰的重要數(shù)據(jù)識(shí)別標(biāo)準(zhǔn)主要包括《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》[10]《中國(guó)（北京）自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)分類分級(jí)參考規(guī)則》[11] 等。

要點(diǎn)7：適配網(wǎng)絡(luò)數(shù)據(jù)跨境合規(guī)路徑

《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第五章協(xié)調(diào)了《數(shù)據(jù)出境安全評(píng)估辦法》[12]《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》[13]以及《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》[14]等法律法規(guī)的合規(guī)義務(wù)。對(duì)于未履行數(shù)據(jù)跨境合規(guī)義務(wù)的企業(yè)，監(jiān)管部門將采取技術(shù)等措施，防范、處置網(wǎng)絡(luò)數(shù)據(jù)跨境安全風(fēng)險(xiǎn)和威脅。

建議企業(yè)整體梳理數(shù)據(jù)出境場(chǎng)景，依法判斷所涉數(shù)據(jù)的規(guī)模和屬性。根據(jù)業(yè)務(wù)場(chǎng)景下的數(shù)據(jù)出境情況，綜合風(fēng)險(xiǎn)和成本，明確數(shù)據(jù)出境路徑，選擇合適的出境方和境外接收方。對(duì)于當(dāng)前已通過(guò)數(shù)據(jù)出境安全評(píng)估或個(gè)人信息出境標(biāo)準(zhǔn)合同備案的企業(yè)，應(yīng)密切監(jiān)測(cè)數(shù)據(jù)跨境場(chǎng)景等的變化，并在必要時(shí)依法重新履行申報(bào)或備案手續(xù)。

要點(diǎn)8：關(guān)注網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者的特殊義務(wù)

《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第六章要求網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者通過(guò)平臺(tái)規(guī)則或者合同等明確平臺(tái)內(nèi)經(jīng)營(yíng)者的網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)義務(wù)，督促平臺(tái)內(nèi)經(jīng)營(yíng)者加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全管理。對(duì)于網(wǎng)絡(luò)平臺(tái)自身，如果其存在通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送的場(chǎng)景，除應(yīng)當(dāng)設(shè)置便捷的個(gè)性化推薦關(guān)閉選項(xiàng)外，還應(yīng)當(dāng)為用戶提供刪除針對(duì)其個(gè)人特征的用戶標(biāo)簽等功能。實(shí)踐中，這可以通過(guò)用戶界面中的隱私設(shè)置或?qū)ｉT的標(biāo)簽管理頁(yè)面來(lái)實(shí)現(xiàn)。需要注意的是，在用戶自行刪除其特定標(biāo)簽后，應(yīng)避免因后臺(tái)未及時(shí)調(diào)整而仍向其推送與該標(biāo)簽直接相關(guān)的信息。

類似于歐盟《數(shù)字市場(chǎng)法》[15]的守門人角色，《中華人民共和國(guó)個(gè)人信息保護(hù)法》以及《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》對(duì)大型網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者提出了更高的合規(guī)要求。

結(jié)語(yǔ)：

《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》生效在即，建議企業(yè)研判自身是否新增合規(guī)義務(wù)，盡早識(shí)別合規(guī)評(píng)估與整改的優(yōu)先事項(xiàng)，把握合規(guī)時(shí)間安排?；诔墒斓捻?xiàng)目管理經(jīng)驗(yàn)，安永[16]可以為以上合規(guī)應(yīng)對(duì)提供全套或個(gè)別要點(diǎn)的協(xié)助應(yīng)對(duì)，包括協(xié)助建立內(nèi)部數(shù)據(jù)合規(guī)評(píng)估制度，開(kāi)展個(gè)人信息保護(hù)影響評(píng)估、數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估以及重要數(shù)據(jù)風(fēng)險(xiǎn)自評(píng)估等，創(chuàng)建并應(yīng)用評(píng)估所需的工具清單，輸出符合監(jiān)管要求的文本，并協(xié)助與監(jiān)管進(jìn)行必要的溝通。

注：

[1] https://www.gov.cn/zhengce/zhengceku/202409/content_6977767.htm

[2] http://www.npc.gov.cn/zgrdw/npc/xinwen/2016-11/07/content_2001605.htm

[3] http://www.npc.gov.cn/c2/c30834/202106/t20210610_311888.html

[4] https://www.gov.cn/xinwen/2021-08/20/content_5632486.htm

[5] https://www.cac.gov.cn/2023-12/08/c_1703609634347501.htm

[6] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679

[7] https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240403144959&norm_id=20231220162250&recode_id=54528

[8] https://www.cac.gov.cn/2023-08/03/c_1692628348448092.htm

[9] https://std.samr.gov.cn/gb/search/gbDetailed?id=17380E2D5C2D12AFE06397BE0A0A31F4

[10] https://www.gov.cn/zhengce/zhengceku/2021-09/12/content_5640023.htm

[11] https://www.beijing.gov.cn/zhengce/zhengcefagui/202409/W020240902597001569239.pdf

[12] https://www.gov.cn/zhengce/zhengceku/2022-07/08/content_5699851.htm

[13] https://www.gov.cn/zhengce/202311/content_6917770.htm

[14] https://www.gov.cn/gongbao/2024/issue_11366/202405/content_6954192.html

[15] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2022.265.01.0001.01.ENG&toc=OJ%3AL%3A2022%3A265%3ATOC

[16] 安永（中國(guó)）企業(yè)咨詢有限公司

本文是為提供一般信息的用途所撰寫(xiě)，并非旨在成為可依賴的會(huì)計(jì)、稅務(wù)、法律或其他專業(yè)意見(jiàn)。請(qǐng)向您的顧問(wèn)獲取具體意見(jiàn)。