2025年4月15日是我国第十个全民国家安全教育日,今年的主题是“全民国家安全教育 走深走实十周年”。在数字经济高速发展的今天,数据已成为第五大生产要素,其战略价值日益凸显。然而,随着数据的广泛收集和利用,个人信息泄露、数据滥用等问题也愈发严峻,给国家安全和社会治理带来新的挑战。
为应对这一挑战,我国于2025年1月1日正式施行《网络数据安全管理条例》(以下简称《条例》)。作为数据安全领域的重要法规,《条例》进一步完善了我国数据安全法律体系,对强化个人信息保护、规范数据开发利用、促进数字经济健康发展具有重要意义。
在全民国家安全教育日到来之际,让我们共同学习《条例》的核心内容,聚焦数据安全,筑牢数字时代防线,共同守护数字时代的国家安全!
一、制定目的
规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益。
二、适用范围
在境内开展网络数据处理活动及其安全监督管理,适用本条例。
在境外处理中华人民共和国境内自然人个人信息的活动,符合《个人信息保护法》第三条第二款规定情形的,也适用本条例。
在境外开展网络数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
三、总体思路
坚持党的领导,全面贯彻党的二十大和二十届二中、三中全会精神,将习近平总书记关于网络数据安全管理的重要指示批示精神以及党中央、国务院决策部署落实到具体条文中。
坚持总体国家安全观,统筹发展和安全,既加强网络数据安全保护,又鼓励和促进网络数据依法合理有效利用。
坚持问题导向,聚焦个人信息、重要数据、网络数据跨境流动等方面突出问题,有针对性地健全制度措施。
坚持统筹协调,妥善处理与《网络安全法》《数据安全法》《个人信息保护法》等上位法的关系,对相关制度规定予以细化、补充、完善。
四、 重点内容
1、提出网络数据安全管理总体要求和一般规定
明确鼓励网络数据在各行业、各领域的创新应用,对网络数据实行分类分级保护,积极参与网络数据安全相关国际规则和标准的制定,加强行业自律,禁止非法网络数据处理活动。要求网络数据处理者履行建立健全网络数据安全管理制度、安全风险报告、安全事件处置等义务。
2、细化个人信息保护规定
• 明确通过制定个人信息处理规则履行告知义务的内容、形式等要求。
• 明确基于个人同意处理个人信息应当遵守的基本要求。
• 明确行使个人信息查阅、复制、更正、补充、删除等权利的要求,细化个人信息转移的具体条件。
• 明确按照《个人信息保护法》第五十三条规定在境内设立专门机构或者指定代表的要求。
• 明确网络数据处理者处理1000万人以上个人信息应当履行的义务。
法条链接
第二十二条 网络数据处理者基于个人同意处理个人信息的,应当遵守下列规定:
(一)收集个人信息为提供产品或者服务所必需,不得超范围收集个人信息,不得通过误导、欺诈、胁迫等方式取得个人同意;
(二)处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的单独同意;
(三)处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意;
(四)不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息;
(五)不得在个人明确表示不同意处理其个人信息后,频繁征求同意;
(六)个人信息的处理目的、方式、种类发生变更的,应当重新取得个人同意。
法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
3、完善重要数据安全制度
• 明确制定重要数据目录的要求,规定网络数据处理者识别、申报重要数据义务。
• 规定网络数据安全负责人和网络数据安全管理机构责任。
• 要求提供、委托处理、共同处理重要数据前进行风险评估,并明确重点评估内容。
• 要求重要数据的处理者每年度对其网络数据处理活动开展风险评估,并明确风险评估报告内容。
法条链接
第六十二条 重要数据,是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
第三十一条 重要数据的处理者提供、委托处理、共同处理重要数据前,应当进行风险评估,但是属于履行法定职责或者法定义务的除外。
风险评估应当重点评估下列内容:
(一)提供、委托处理、共同处理网络数据,以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要;
(二)提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险,以及对国家安全、公共利益或者个人、组织合法权益带来的风险;
(三)网络数据接收方的诚信、守法等情况;
(四)与网络数据接收方订立或者拟订立的相关合同中关于网络数据安全的要求能否有效约束网络数据接收方履行网络数据安全保护义务;
(五)采取或者拟采取的技术和管理措施等能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险;
(六)有关主管部门规定的其他评估内容。
4、优化网络数据跨境安全管理规定
• 规定网络数据处理者可以向境外提供个人信息的条件,明确未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。
• 明确网络数据处理者通过数据出境安全评估后向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。
• 规定国家采取措施,防范、处置网络数据跨境安全风险和威胁。
法条链接
第三十五条 符合下列条件之一的,网络数据处理者可以向境外提供个人信息:
(一)通过国家网信部门组织的数据出境安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)符合国家网信部门制定的关于个人信息出境标准合同的规定;
(四)为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息;
(五)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;
(六)为履行法定职责或者法定义务,确需向境外提供个人信息;
(七)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;
(八)法律、行政法规或者国家网信部门规定的其他条件。
5、明确网络平台服务提供者义务
• 规定网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者的网络数据安全保护义务,并要求提供应用程序分发服务的网络平台服务提供者建立应用程序核验规则并开展网络数据安全相关核验。
• 针对当前个性化推荐服务关闭难、收集个人信息类型多、个人精准画像数据滥用等问题,明确网络平台服务提供者应当设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。
• 规定大型网络平台服务提供者每年度发布个人信息保护社会责任报告、防范网络数据跨境安全风险的要求,以及明确不得利用网络数据、算法、平台规则等从事相关活动的义务。
法条链接
第四十四条 大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。
第四十六条 大型网络平台服务提供者不得利用网络数据、算法以及平台规则等从事下列活动:
(一)通过误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据;
(二)无正当理由限制用户访问、使用其在平台上产生的网络数据;
(三)对用户实施不合理的差别待遇,损害用户合法权益;
(四)法律、行政法规禁止的其他活动。
