数据合规观察 |《网络数据安全管理条例（征求意见稿）》发布，数据合规要求进一步明确【走出去智库】

走出去智库 2022-05-01

走出去智库观察

11月14日，国家互联网信息办公室公布了《网络数据安全管理条例（征求意见稿）》（以下简称“《数安条例》”），并向社会公开征求意见。《数安条例》聚焦互联网平台，规范了平台数据行为准则、互联互通要求、公共运维数据专用等，并且对违法者提出5%的最高处罚力度。

走出去智库(CGGT)特约法律专家、中伦律师事务所顾问贾申指出，《数安条例》沿袭贯彻了《网络安全法》、《数据安全法》和《个人信息保护法》三大基石中的原则与要求，进一步细化了实施路径，强化了数据处理者的责任与义务，将对企业数据合规工作架构的搭建与落地产生重要影响。

互联网平台如何做好数据安全、互联互通？今天，走出去智库（CGGT）刊发中伦律师事务所贾申、李瑞、徐晨的文章，供关注数据合规管理的读者参考。

要点

CGGT，CHINA GOING GLOBAL THINKTANK

1、重要数据保护是数据分类分级制度中关键一环。开展重要数据保护工作的第一步是盘点数据资产，识别认定重要数据范围，但此前重要数据的具体认定一直尚不明确。

2、《数安条例》进一步明确了数据处理者在数据跨境传输活动中的责任与义务。其中特别值得注意的是，数据处理者在数据出境后仍应承担起数据安全保护的责任义务，包括接受和处理数据出境所涉及的用户投诉、个人信息出境后再转移的，应事先与个人信息主体约定再转移的条件等。

3、通过要求重点企业在开展合并、重组、分立等交易时履行报告义务，中国监管部门将能够在重点企业境外上市前即把握企业准备上市的动向，从而加强监管部门对经济动态的觉知和管控，避免出现“先上车后补票”式的交易案例，同时对可能存在的针对网络安全审查程序专门设计交易予以规避的情形加以管控和预防。

正文

CGGT，CHINA GOING GLOBAL THINKTANK

文/贾申李瑞徐晨

中伦律师事务所

2021年11月14日，国家互联网信息办公室发布《网络数据安全管理条例（征求意见稿）》（下称“《数安条例》”）并公开向社会征求意见。《数安条例》沿袭贯彻了《网络安全法》、《数据安全法》和《个人信息保护法》三大基石中的原则与要求，进一步细化了实施路径。

《数安条例》一方面强化了数据处理者在日常业务经营场景中的合规责任与义务，另一方面又梳理及/或增设了企业在合并重组、解散破产、境外上市等各类交易场景下的年度和特别报告及审查义务，尤其是对企业上市行为形成了上市前、中、后全链条、全法域覆盖的监管体系。可以看出，通过《数安条例》的颁布和落地，针对企业日常经营和交易两大条线的合规体系即将得到完善和落实；不言而喻，这将对企业数据合规工作架构的搭建与落地产生重要影响。

本快讯通过两大条线、【六】大亮点对《数安条例》中部分需重点关注的内容进行概括，以供业界同仁参考指正。

一、涉及日常经营条线的亮点概览

1.亮点一：再次加强重要数据的识别与保护

重要数据保护是数据分类分级制度中关键一环。开展重要数据保护工作的第一步是盘点数据资产，识别认定重要数据范围，但此前重要数据的具体认定一直尚不明确。信息安全标准化技术委员会（下称“信安标委”）虽于近期发布了《信息安全技术重要数据识别指南（征求意见稿）》（下称“《识别指南》”），但主要是明确了重要数据识别的原则和流程，且《识别指南》尚未生效，所以企业在实操中大概率仍存疑虑。《数安条例》在第73条中对于重要数据进行了列举性定义，明确概括重要数据包括出口管制数据、国家经济运行数据等七大类，从立法位阶来看，《数安条例》对于重要数据的认定识别具有更重要指导意义。

《数安条例》将重要数据的安全保护单列一章，系统地规定了重要数据处理者的责任义务。从企业合规措施落地角度，可初步将其分为内外部合规义务：

● 内部义务，企业应（1）设立数据安全负责人和管理结构；（2）梳理识别重要数据；（3）制定数据安全培训计划并对相关人员开展每年不少于20小时的培训。

● 外部义务，企业还需（1）在完成重要数据识别的15个工作日内向市级网信部门备案；（2）每年一度自行或委托数据安全服务机构开展数据安全评估，在1月31日前将上一年评估报告上报至市级网信部门并保存至少三年；（3）共享、交易、委托处理重要数据前还需征得相关部门同意。

2.亮点二：加强数据处理者在数据跨境传输中的责任和义务

目前，数据出境安全评估机制已初见轮廓（有关数据出境监管要求的分析，请参见我们此前的文章九层之台，起于累土：我国数据跨境传输监管体系雏形初现）。在此基础上，《数安条例》进一步明确了数据处理者在数据跨境传输活动中的责任与义务。其中特别值得注意的是，数据处理者在数据出境后仍应承担起数据安全保护的责任义务，包括接受和处理数据出境所涉及的用户投诉、个人信息出境后再转移的，应事先与个人信息主体约定再转移的条件等。此外，《数据条例》还要求展开数据出境活动的数据处理者应每年编制数据出境安全报告，并在1月31日前向市级网信部门报告上一年度的数据出境情况，报告应包括接收方的名称与联系方式、数据出境后再转移的情况、数据在境外的存放地点、存储期限等。

3.亮点三：重点突出互联网平台运营者的合规义务

互联网平台运营者在《数安条例》中也占据了重大篇幅。根据第73条，互联网平台运营者指的是“为用户提供信息发布、社交、交易、支付、试听等互联网平台服务的数据处理者”，“用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的”则是大型互联网平台运营者。值得注意的是，提供程序分发服务的数据处理者也属于互联网平台运营者，所以诸多手机厂商开发的程序商店也需遵守互联网平台运营者的合规要求，不仅应制定披露应用程序审核规则，还应对申请上架的程序进行安全审核。

互联网平台运营者掌握海量数据，一旦滥用可能带来不可估量的不良后果。针对于日前热议的大数据杀熟，平台“二选一”等问题，《数据条例》在第六章做出了明确回应，禁止无正当理由实行差异化定价、利用数据误导用户等行为，并且提出互联网平台运营者在使用个性化推送算法向用户提供信息时应（1）取得用户的单独同意；（2）设置便捷易懂的一键化关闭选项，允许用户重置、修改或调整针对其个人的定向推送参数；并（3）允许用户删除定推产生的个人数据。

互联网平台运营者的其他重要义务还包括（1）制定和修订平台规则、隐私政策中的特殊义务；（2）开展第三方审计；和（3）进行安全评估等。具体而言，在制定和修订平台规则、隐私政策时，互联网平台运营者应公开征求意见，日活量超过一亿用户的大型互联网平台运营者还应通过国家网信部门认定的第三方机构评估并批报相关部门同意。互联网平台运营者每年应委托第三方进行审计并披露审计结果，在利用人工智能、虚拟现实等新技术前，需要进行安全评估。

二、涉及交易条线的亮点概览

4.亮点四：明确赴港上市触发网络安全审查申报的标准

近年来，中国互联网行业发展迅速，众多企业已在境外挂牌或正在考虑进行上市。自《网络安全审查办法（修订草案征求意见稿）》发布以来，可能触发网络安全审查的情况以及其具体流程与内容一直受到广泛关注。根据《网络安全审查办法（修订草案征求意见稿）》，拟国外上市的数据处理者，如处理100万人以上个人信息，应申报网络安全审查。赴港上市将被如何对待较受关注。《数安条例》第13条对此做出了明确回应，即赴香港上市如影响或可能影响国家安全的，也需要进行网络安全审查。与“处理一百万人以上个人信息”的触发条件不同，赴港上市网络安全审查的触发条件着眼于对于国家安全的影响。由此对比可见，赴港上市的可行性或许更高，但“影响或可能影响国家安全”的具体认定标准还有待监管部门进一步澄清。

5.亮点五：针对企业境外上市行为建立前、中、后全链条、以及全地域覆盖的监管体系

《数安条例》第14条提出，数据处理者在合并、重组和分立等情况下涉及重要数据和一百万人以上个人信息的（“重点企业”），公司需向市级主管部门报告。而结构重组几乎是企业境外上市前的必经阶段。我们理解，通过要求重点企业在开展合并、重组、分立等交易时履行报告义务，中国监管部门将能够在重点企业境外上市前即把握企业的准备上市的动向，从而加强监管部门对经济动态的觉知和管控，避免出现“先上车后补票”式的交易案例，同时对可能存在的针对网络安全审查程序专门设计交易予以规避的情形加以管控和预防。当然，针对重点企业合并、重组和分立行为的报告机制并不是仅针对境外上市情形而创设，重点企业的所有合并、重组和合并行为都将落入报告范围，14条本身覆盖非常广泛，值得企业重视。

就企业境外上市本身而言，通过明确香港上市触发网络安全审查的标准（见上文亮点四），法规空白得到了填补，从而中国企业在任何地域的证券交易所上市都将进入中国网络安全及数据合规体系的监管视野。

而在企业完成境外上市之后，《数安条例》也新增规定，要求赴境外上市者每年应自行或委托第三方机构开展数据安全评估，在1月31日前将上一年评估报告上报至市级网信部门，并将报告保存至少三年。此项要求不管是赴香港还是国外上市的企业，不论其是否触发网络安全审查都应遵守。虽然条文并未明确，但我们认为已经挂牌的数据处理者也应按规定进行年度评估并提交报告。

6.亮点六：增设数据处理者解散或宣告破产时的合规义务

针对企业解散或宣告破产的情形，《数安条例》规定，数据处理者解散或宣告破产的，需要履行向主管部门报告的义务，此外，还应按照相关要求移交或删除数据。结合前文中归纳的针对企业的合并、重组、分立、上市等交易条线以及日常经营条线的合规要求，可以说，《数安条例》已经针对企业的全生命周期建立起了全面的合规体系。

三、小结

如开篇所述，《数安条例》如正式发布，将对企业整体的数据保护合规义务造成了重要的影响，企业不仅需要在日常运营和产品投放时细化落实相关的要求，还应在兼并上市等交易项目中重点关注其可能涉及的网络安全审查申报或报告义务。《数安条例》还对于未履行相应要求的法律责任进行了压实和细化，可见数据保护监管将越来越严格。但随着配套法律法规的不断发布，我们也相信数据保护工作的开展将更加有条不紊。本快讯抛砖引玉，我们后续还将发布专题解读，对相关要求进行全面详尽的分析，同时提供有关合规落地方案的洞察。

专家简介

贾申

主要执业领域为大合规管理（合规体系建设、反垄断和竞争法、贸易合规、数据保护、商业秘密保护、反商业贿赂、国家安全审查）、境外投资和诉讼仲裁。

具有15年以上法律行业经验，曾处理过不同领域的众多复杂案件和重要项目，尤其是在公司合规管理、跨境合规和监管方面表现卓越，荣获《商法》2020年度跨境合规、科技与电信优秀法务奖和《法治日报》2020年度“最具法治影响力个人”奖。

长期负责企业合规体系建设，包括为企业制订合规方案、合规管理制度、合规行为准则等；为企业跨境合规风险管理和海外投资项目提供专业服务，包括合资并购项目反垄断申报、商业秘密和竞业限制应诉、贸易调查应对、出口管制&经济制裁风控体系建设、欧盟GDPR等数据合规风险排查、美国CFIUS审查分析、海外直接投资（ODI）架构设计等，并擅于通过合规规范、指引和审查流程进行合规的日常化管控，为客户提供多元化合规培训和宣贯。

曾参与北京国资委第一批合规试点项目，制订《北京市管企业合规管理工作实施方案》，兼任中国贸促会全国企业合规委员会专家，并就反垄断、出口管制制裁、企业合规实践等多次受邀在北京市律协、国内外著名律师事务所、世界500强央企、民企、外企和咨询公司等授课。

加入中伦之前，曾于京东方科技集团担任合规中心中心长，曾任国家商务部反垄断局副调研员、驻欧盟和东盟使领馆领事。

延展阅读