数据合规观察 | 关于《网络数据安全管理条例（征求意见稿）》的三十四个核心问题【走出去智库】

走出去智库 2022-11-22

走出去智库观察

11月14日，国家网信办公布的《网络数据安全管理条例（征求意见稿）》（简称《数安条例》）提出，国家建立数据分类分级保护制度，对个人信息和重要数据进行重点保护，对核心数据实行严格保护。

走出去智库（CGGT）特约法律专家、中伦律师事务所合伙人陈际红指出，随法律法规的进一步细化，隐私政策的透明度及细节程度可谓有增无减，建议企业在制定隐私政策时全盘把握个人信息处理活动的各生命周期，确保真实、准确、完整地披露各项要求的内容。

《数安条例》对企业数据合规提出了要求？今天，走出去智库（CGGT）刊发中伦律师事务所陈际红、吴佳蔚、焦雅婷、陈煜烺、韦龙杰的分析文章，供关注数据合规管理的读者参考。

要点

CGGT，CHINA GOING GLOBAL THINKTANK

1、数据处理者应当建立数据安全应急处置机制，并在数据安全事件发生时及时启动，以防止危害扩大，消除安全隐患。

2、处理重要数据的数据处理者应自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前汇报上一年度的数据安全评估报告。数据安全评估报告需保留至少三年。

3、对于为订立、履行合同所必需而向境外提供个人信息的场景可见于跨境网购、与境外证券公司开展交易等境内个人直接与境外处理者发生个人信息传输的场景，根据《数安条例》，此等场景无需再履行《个保法》第三十八条设定的个人信息跨境传输合法路径。

正文

CGGT，CHINA GOING GLOBAL THINKTANK

文/陈际红、吴佳蔚、焦雅婷、陈煜烺、韦龙杰

中伦律师事务所

2021年11月14日，国家互联网信息办公室公布《网络数据安全管理条例（征求意见稿）》（以下简称“《数安条例》”）。《数安条例》以《中华人民共和国网络安全法》（以下简称“《网安法》”）、《中华人民共和国数据安全法》（以下简称“《数安法》”）和《中华人民共和国个人信息保护法》（以下简称“《个保法》”）“三驾马车”作为上位法，内容庞大，既有对“三驾马车”重要但又落地细节不足条款的细化和补充，也增设了一些新的制度体系。鉴于该条例的高度重要性，我们通过本文对三十四个核心问题进行解读。

基本问题的细化与澄清

1、条例的定位、目标和适用范围是？

2、哪些主体适用该条例？

根据《数安条例》第七十三条的规定，下列主体在进行数据处理活动时应当遵循《数安条例》的相关规定：

3、什么是重要数据？

根据《数安条例》第七十三条第（三）款规定，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取利用，可能会对国家安全和公共利益造成危害的数据，具体如下：

此项定义没有采取多年前《数据安全管理办法（征求意见稿）》（下称“《数安办法》”）中的定义，个人信息或者企业内部的生产数据在此版本中并没有被排除出重要数据的范围。

4、什么是国家核心数据？

根据《数安条例》第七十三条第（四）条规定，核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的相关数据。国家核心数据在《数安法》中有所提及，但是并未明确其定义，而《数安条例》的规定对于国家核心数据概念的确立尚属首次。

5、个人信息和重要数据的关系？

根据《数安条例》第二十六条规定，如果数据处理者处理一百万人以上个人信息时应当参照《数安条例》第四章关于重要数据处理者的规定（重要数据处理的规定参见下文）。也就是说，《数安条例》将一百万以上的个人信息的保护要求提升到与重要数据相同的水平。但是，我们也注意到在某些行业中存在特别规定，例如在《汽车数据安全管理若干规定》（试行）（以下称“《汽车数据安全管理规定》”）的第三条规定了涉及个人信息主体超过10万人的个人信息属于重要数据。由此，分别在国家层面和行业层面，个人信息和重要数据的认定的交叉关系可能是一个需要持续关注的话题。

6、什么是公共数据？

根据《数安条例》第七十三条第（六）条规定，公共数据包括两类：第一，国家机关和法律、行政法规授权的具有管理公共事务职能的组织在履行公共管理职责或者提供公共服务过程中收集和产生的各类数据；第二，其他组织在提供公共服务过程中收集和产生的涉及公共利益的各类数据。

7、数据安全保障措施有什么具体要求？

根据《数安条例》第九条和第十条的规定，数据处理者需要采取下列数据保障措施：

1) 采取备份、加密、访问控制等基本必要措施；

2) 按照网络安全等级保护的要求加强数据处理系统、传输网络、存储环境等安全防护；

3) 如果发现使用或者提供的网络产品和服务存在安全缺陷或漏洞，抑或威胁国家安全和危害公共利益等风险时，应当立即采取补救措施。

另外，数据处理者在处理重要数据和/或核心数据时，应当采取下列数据保障措施：

1) 使用密码对重要数据和核心数据进行保护；

2) 重要数据的处理系统原则上应满足三级以上网络安全等级保护和关键信息基础设施安全保护要求；另外，在处理核心数据时，数据处理系统需要依照有关规定从严保护。

8、关于数据安全事件的处理和报告

根据《数安条例》第十一条规定，数据处理者应当建立数据安全应急处置机制，并在数据安全事件发生时及时启动，以防止危害扩大，消除安全隐患。同时，数据处理者应当注意下列时间节点：

9、如何进行涉及第三方的数据流转？

根据《数安条例》第十二条规定，数据处理者如果向第三方提供个人信息或者共享、交易、委托处理重要数据时，应当注意下列要求：

10、企业合并、重组、分立、解散、破产，数据怎么办？

《个保法》在第二十二条中已经规定，个人信息处理者在合并、分立、解散、被宣告破产等原因需要转移个人信息时，应当向个人告知相关个人信息接收方的名称或者姓名和联系方式。而《数安条例》的第十四条则进一步细化了数据处理者的相关义务，具体如下：

1）数据处理在者在发生合并、重组、分立等情况时，除了继续履行数据安全保护义务外，如果涉及重要数据和一百万人以上个人信息时，应当向设区的市级主管部门进行报告；

2）数据处理者发生解散、被宣告破产等情况时，应当向设区的市级主管部门报告，并按照相关要求移交或删除相关数据，如果上述主管部门不明确时应当向设区的市级网信部门报告。

11、爬虫类的自动化访问、收集工具还能用吗？

根据《数安条例》第二十二条第四款规定，如果使用自动化采集技术等技术措施，且无法避免采集到非必要个人信息或者未经个人同意的个人信息时，相关数据处理者应当在十五个工作日内删除上述采集的个人信息或者对上述个人信息进行匿名化处理。我们理解，爬虫类自动化访问、收集工具以及网联汽车收集车外数据等均可能落入此类范畴。因此，如果该类自动化访问和收集工具的确采集到非必要个人信息或未经个人同意的个人信息时，使用者应当在十五个工作日内对相关个人信息予以删除或进行匿名化处理。

关于个人信息

12、隐私政策得写到什么程度？

就隐私政策的写作尺度，《数安条例》第二十条延续了《个保法》真实、准确、完整的标准，同时进一步细化了相关内容要求。

《数安条例》在形式上要求隐私政策应当“集中公开展示、易于访问并置于醒目位置”，这一点与《App违法违规收集使用个人信息行为认定方法》（下称“《认定方法》”）的相关规定一脉相承；

在内容上应“明确具体、简明通俗、系统全面”，具体而言：

1）从体例上，隐私政策应依据产品或服务的功能，以清单的形式列明各项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点，以及拒绝处理个人信息对个人的影响。此处，个人信息收集的频次首次被明确要求在隐私政策中加以列明，这也与《数安条例》第十九条规定的个人信息需限于处理目的最低频次相对应。
2）《数安条例》还首次规定需在隐私政策中列明个人信息存储期限的确定方法，即企业需内部论证并梳理存储期限的订立逻辑，并加以公示。
3）对于公众多有困惑的第三方、第三方代码/插件的公示情况，《数安条例》也在第二十条中给出了明确的方案，要求需以集中展示等便利用户访问的方式说明第三方代码/插件的名称、收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则，也需列明向第三方提供个人信息情形及其目的、方式、种类、数据接收方相关信息等。在实践中，我们经常可以看到部分企业以在隐私政策中嵌入单独超链接或表格的方式进行公示，结合近期工信部发布的《关于开展信息通信服务感知提升行动的通知》中所要求的“双清单”义务，第三方数据共享的严格透明化将是《个保法》生效后的显著趋势。
4）《数安条例》还包括个人信息主体权利响应、个人信息安全风险及保护措施、个人信息安全问题投诉、举报渠道及解决路径、个人信息保护负责人联系方式的内容要求。

综上，随法律法规的进一步细化，隐私政策的透明度及细节程度可谓有增无减，建议企业在制定隐私政策时全盘把握个人信息处理活动的各生命周期，确保真实、准确、完整地披露各项要求的内容。

13、用户的同意需具备哪些条件？

《数安条例》第二十一条对用户的同意条件进行了集中阐述。在形式上，需按照服务类型分别向个人申请处理个人信息的同意，不得使用概括性条款取得同意；不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意。此要求与今年5月1日出台的《网络交易监督管理办法》第十三条[1]相呼应。另外，与《信息安全技术个人信息安全规范》（下称“《安全规范》”）第5.3条[2]类似，不得仅以改善服务质量、提升用户体验、研发新产品等为由强迫个人同意处理其个人信息，即前述条件需以同意作为处理的法律基础。特殊场景如敏感个人信息需取得个人单独同意，不满十四周岁的未成年人的个人信息需取得监护人同意。在获取同意之后，不得超出个人授权同意的范围处理个人信息，也不得在个人明确表示不同意后，频繁征求同意、干扰正常使用服务。

值得一提的是，《数安条例》全文在多处提及单独同意相关细化要求。首先，《数安条例》在第九章中，首次对单独同意的定义加以明确。单独同意是指指数据处理者在开展具体数据处理活动时，对每项个人信息取得个人同意，不包括一次性针对多项个人信息、多种处理活动的同意。其次，如第三十六条规定，针对跨境提供个人信息的场景，如收集个人信息时已单独就个人信息出境取得个人同意，且按照取得同意的事项出境的，无需再次取得个人单独同意。此要求即是在确保个人信息单独同意的前提下平衡用户体验的典型体现。

《数安条例》第二十一条还与《个保法》的举证责任条款有效连接，如对于同意行为有效性存在争议，数据处理者负有举证责任。对此，企业需在内部建立相关流程机制，对同意行为的有效性进行论证，并留存相关日志记录。

14、数据主体行权的响应要求

《数安条例》在延续《个保法》《安全规范》数据主体行权响应要求的基础上，细化了部分权利的响应要求。数据主体行权的范围包括查阅、复制、更正、补充、限制处理、删除其个人信息。

根据《数安条例》第二十二条，个人信息删除的条件除个人信息处理目的已实现或不再必要、存储期限届满、服务终止或账号注销外，还包括因使用自动化采集技术等，无法避免采集到的非必要个人信息或者未经个人同意的个人信息，此处可能是针对爬虫或者汽车数据处理者可能收集的人脸信息、车牌信息等的车外视频、图像数据。本条跟《个保法》规定有所差异，例如不包含撤回同意的情形。

对于个人信息主体的查阅权，《数安条例》第二十三条要求数据处理者需“提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径，不得以时间、位置等因素对个人的合理请求进行限制”。其中，“便捷”、“结构化”、“个人信息类型、数量”均为值得关注的要点。业界良好实践包括部分企业提供自动化方式，供用户自行导出个人信息列表，但也需检查确保符合前述内容条件。

另外，《数安条例》继《认定方法》第六条[3]后，再一次明确了数据主体权利行使要求为十五个工作日。企业在接收到数据主体行权申请后，应确保在十五个工作日内处理并反馈。

15、“数据转移权”如何响应？

《数安条例》第二十四条首次对数据转移权进行了细化规定。与《欧洲通用数据保护法》（下称“GDPR”）[4]的立法逻辑类似，转移权仅针对基于同意或者订立、履行合同所必需而收集的个人信息。与GDPR不同的是，《数安条例》明确说明转移的个人信息可以是本人的信息，也可以是他人的信息，但请求人需确保他人的信息是通过合法的方式获得，且不违背他人意愿，同时，请求人的合法身份也需可验证。在实践中，企业可以考虑如何设置信息内容及申请者合法的前置证明条件。《数安条例》也未像GDPR一样规定转移的个人信息需为“通用”且“机器可读”的。

另外，GDPR规定如技术可行，数据主体有权要求数据控制者将其个人数据直接传输给另一数据控制者，而《数据条例》第二十四条在开头即表明，数据处理者提供的转移服务适用于个人指定的其他数据处理者访问、获取个人转移的个人信息，从文意上理解，此处的转移服务也发生在数据处理者及个人指定的数据接收方之间。《数安条例》特别规定，如数据处理者发现“接收个人信息的其他数据处理者有非法处理个人信息风险的，应当对个人信息转移请求做合理的风险提示”。我们理解，此项要求如何在实践中落地还有待进一步观察及讨论，如转移权的行使是否均需要数据主体告知接收个人信息的其他数据处理者？企业如何判断其他数据处理者的个人信息处理活动是否存在风险？是否仅需做统一提示？对此，我们将持续观察后续法律进展及行业实践。

16、只能用人脸信息进行打卡合法吗？

个人生物特征的准确性及便捷性，使得相关身份识别及认证技术在社会上广泛使用。《数安条例》第二十五条规定数据处理者在利用生物特征进行个人身份认证时，应首先对其必要性、安全性进行风险评估。同时，规定生物特征，包括人脸、步态、指纹、虹膜、声纹等，不得作为唯一的个人身份认证方式。对于此类生物特征信息的收集，由于其属于敏感个人信息范畴，根据《数安条例》第二十一条，在收集前需获取用户的单独同意，此条规定也确认了生物特征信息用于个人身份识别是以同意作为法律基础，在使用该技术收集个人信息时需同时提供其他替代方案。

关于重要数据

17、谁能当数据安全负责人？

《数安法》第二十七条即明确重要数据的处理者应当明确数据安全负责人和管理机构，对于具体由谁来承担数据安全负责人这一角色，《数安条例》延续了《数安办法》第十七条[5]的规定。《数安条例》第二十八条说明，数据安全负责人应当具备数据安全专业知识和相关管理工作经历，且由数据处理决策层成员承担，有权直接向网信部门和主管、监管部门反映数据安全情况。与《数安办法》不同的是，《数安条例》直接明确该负责人需为决策层成员承担，而非参与有关数据活动的重要决策。企业如需在内部设置数据安全负责人，可以根据工作背景及工作职责综合考虑决定。

18、数据安全负责机构有哪些职责？

根据《数安条例》第二十八条，重要数据的处理者应成立数据安全管理机构。数据安全管理机构应履行多方面职责。该机构由数据安全负责人带领，即该数据处理决策层成员将带领机构研究提出数据安全相关重大决策建议，并制定实施数据安全保护计划和数据安全事件应急预案。同时，数据安全负责机构还将开展数据安全风险监测，及时处置数据安全风险和事件；定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动。机构还将受理、处置数据安全投诉、举报；按照要求及时向网信部门和主管、监管部门报告数据安全情况。

19、重要数据处理者的数据安全法定责任有哪些？

根据《数安条例》，重要数据处理者的数据安全法定责任包括：

20、如何进行重要数据的安全评估？

《数安条例》第三十二条对于重要数据处理者的安全评估分成两种类型：

1）定期评估：处理重要数据的数据处理者应自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前汇报上一年度的数据安全评估报告。数据安全评估报告需保留至少三年。评估内容包括：

此项要求与《汽车数据安全管理规定》第十三条[6]规定的汽车数据处理者的报送义务类似。

2）场景评估：对于共享、交易、委托处理、向境外提供重要数据的场景，重点评估的内容有所区别：

如评估结果为可能危害国家安全、经济发展和公共利益，则不得共享、交易、委托处理、向境外提供数据。

关于数据跨境

21、哪些情况下，个人信息跨境提供无需签订标准合同、获得认证或者通过安全评估？

根据《数安条例》第三十五条第二款，以下两种情形无需履行《个人信息保护法》（下称“《个保法》”）第三十八条设定的个人信息跨境传输合法路径：

1) 为订立、履行个人作为一方当事人的合同所必需向境外提供个人信息；

2) 为了保护个人生命健康和财产安全而必须向境外提供个人信息；

其中，对于为订立、履行合同所必需而向境外提供个人信息的场景可见于跨境网购、与境外证券公司开展交易等境内个人直接与境外处理者发生个人信息传输的场景，根据《数安条例》，此等场景无需再履行《个保法》第三十八条设定的个人信息跨境传输合法路径。

我们理解，这可能由于此等场景下境外处理者将直接根据《个保法》第三条第二款构成《个保法》项下的义务主体（进而需满足个人信息处理者的一系列要求），据此无需再以跨境传输的合法路径对境外数据处理者的数据安全能力等予以重复规制。

22、哪些主体需要通过国家网信部门组织的数据出境安全评估？

23、向境外提供数据的具体义务有哪些？

24、什么是数据跨境安全网关？

数据跨境安全网关在实践中又常称为“防火墙”，《数安条例》第四十一条系国家首次以立法形式明确了“防火墙”的法律地位。具体而言，数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施（《数安条例》第七十三条第（十一）项）。

网络安全审查

25、涉及数据处理活动的网络安全审查如何启动？

此前网信办于2021年7月10日发布了《网络安全审查办法（修订草案征求意见稿）》（以下称“《审查办法》”），其中对于数据处理活动规定了主动申报审查和依职权启动审查两种情形，《数安条例》第十三条在此基础上新增了部分场景，具体请见下表：

26、国外上市和香港上市在网络安全审查方面有区别吗？

《审查办法》规定，“掌握超过100万用户个人信息的运营者赴国外上市”应主动申报网络安全审查，相较于《中华人民共和国证券法》以及国务院的有关规定，此条款并未使用“境外”这一概念，而是使用了“国外”一词。我们之前的解读《激活网络安全审查制度筑牢数据安全防火墙——〈网络安全审查办法（修订草案征求意见稿）〉评析》认为，这一特殊安排的用意旨在将赴香港上市排除在本条所规定的网络安全审查的适用范围。《数安条例》将“赴国外上市”和“赴香港上市”通过第十三条的第二项和第三项分置规定，显然印证了这一理解，即《审查办法》第六条的适用范围不包括香港上市。

我们理解，《数安条例》并非在《审查办法》基础上对香港上市监管加码，而是法律适用的明确。《数安法》第二十四条规定，“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”即，只要数据处理活动影响或可能影响国家安全，都会触发安全审查，赴港上市行为当然也应包括在内。《审查办法》第六条虽然不包括香港上市，但在第二条却有原则性的要求，即：“数据处理者开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。”

据此，相较于对国外上市所采取的一刀切的量化标准，赴港上市的网络安全审查采取是风险导向的标准，只有确实存在影响或可能影响国家安全的风险，才会触发网络安全审查。同时，为消除该规定对香港上市带来的不确定性，我们也建议监管部门尽快制定赴港上市的数据风险预判指南。

最后，《数安条例》第三十二条还规定赴境外上市的数据处理者应每年开展数据安全评估并向市级网信部门报送的义务。此为赴国外上市和赴香港上市均需遵循的法定义务。

关于互联网平台运营者

27、互联网平台运营者应当制定哪些重要规则？如何公示？

《数安条例》第四十三条规定，“互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度”，并对相关规则提出了具体的公示要求，结合此前网信办于2021年8月27日发布的《互联网信息服务算法推荐管理规定（征求意见稿）》，相关要求梳理如下：

28、互联网平台运营者如何管理接入第三方？

《数安条例》第四十四条强调通过合同等形式明确第三方的数据安全责任义务，并督促第三方加强数据安全管理，采取必要的数据安全保护措施。同时，如因第三方产品和服务对用户造成损害，互联网平台运营者将可能直接向用户承担先行赔偿的责任。此外，对于移动通信终端预装第三方产品同样适用于上述规定，例如信安标委于2021年11月12日发布的《移动智能终端预装应用程序分类方法（征求意见稿）》所规定的不可卸载应用程序和可卸载应用程序均可视为上述规定中的“第三方”。

具体而言，结合《GB/T 35273-2020信息安全技术个人信息安全规范》第9.7条的相关规定，互联网平台可采取如下措施管理接入的第三方：

29、互联网平台运营者不能利用数据及平台规则做哪些事？

互联网平台运营者作为平台数据处理者和平台规则的制定者，相较于用户和平台内经营者均具有相当的优势地位。国家市场监管管理总局亦于2021年10月29日发布《互联网平台分类分级指南（征求意见稿）》（以下称“《平台分类分级指南》”）《互联网平台落实主体责任指南（征求意见稿）》（以下称“《平台责任指南》”），对互联网平台的分类分级规则以及平台需落实的主体责任予以明确。其中《平台责任指南》中与数据及平台规则相关的义务包括平等对待平台自身和平台内经营者（第二条）、建立健全数据安全审查与内控机制（第四条）、公示服务协议与交易规则（第十四条）、禁止从事垄断或不正当竞争行为（第十六条、第十七条）、数据获取合规（第十八条）、遵循算法规制（第十九条）、规范价格行为（第二十条）、保护平台内经营者（第二十九条）。

《数安条例》第四十六条则从损害后果的角度进行划分，规定了四类互联网平台运营者利用数据以及平台规则的禁止性行为：

30、互联网个性化推荐仅能一键关闭还合规吗？

《个保法》第二十四条第二款规定，通过自动化决策方式向个人进行信息推送，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。由此一键关闭个性化推荐为法定的明确要求。但是，对于个性化推荐活动的法律基础如何界定一直是业界争议的焦点，如果适用同意这一基础，则会给企业带来包括opt-in在内的更重的合规负担。

然而，《数安条例》第四十九条对于利用个人信息和个性化推送算法向用户提供信息提出了一系列的合规要求，我们理解，《数安条例》正式稿生效后，此等合规要求将成为互联网平台提供个性化推荐服务的法定义务，仅提供一键关闭功能将面临较高合规风险。具体而言，互联网平台运营者需履行的合规义务包括：

31、公共服务下收集、产生的数据能用于自身平台发展的目的吗？

根据《数安条例》第五十一条，“互联网平台运营者在为国家机关提供服务，参与公共基础设施、公共服务系统建设运维管理，利用公共资源提供服务过程中收集、产生的数据不得用于其他用途。”

据此，我们理解该条与《数安法》项下政务数据的相关规定有衔接，倾向于认定公共服务下收集、产生的数据仅可用于“为国家机关提供服务”这一目的本身，同时，如该互联网平台系专为提供公共服务所搭建，则将前述数据用于此等平台发展也可能被认定属于上述目的范围。然而，如该互联网平台还存在其他非公共性质的平台服务内容，则我们理解平台运营者不得将此等基于公共服务所收集、产生的数据概括性地用于平台发展。

32、大型互联网平台运营者有哪些义务？

《数安条例》第七十三条第（十）项规定的大型互联网平台运营者是指“用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。”其中关于“用户超过五千万”的量化标准与《平台分类分级指南》第3.4条所规定的“大型平台”之“上年度在中国的年活跃用户不低于5000万”相呼应。可以预见，未来正式稿将有较大可能以5000万年活跃用户作为大型互联网平台的判断标准，同时，我们也倾向于认定将以5000万作为《个保法》第五十八条规定“用户数量巨大”的法定门槛。

具体而言，结合《个保法》《数安条例》和《平台责任指南》，根据对平台规制领域侧重的不同，此等大型互联网平台（或《个保法》下的“重要互联网平台”；《平台责任指南》下的“超大型平台”[7]）运营者的义务包括：

关于监督管理

33、监管机构可以采取哪些监督措施？

《数安条例》第五十七条首次对于监管机构采取的监管措施进行细化，明确处理者的配合义务，可以采取以下措施对数据安全进行监督检查：

有关主管、监管部门开展数据安全监督检查，应当客观公正，不得向被检查单位收取费用。在数据安全监督检查中获取的信息只能用于维护数据安全的需要，不得用于其他用途。

数据处理者应当对有关主管、监管部门的数据安全监督检查予以配合，包括对组织运作、技术系统、算法原理、数据处理程序等进行解释说明，开放安全相关数据访问、提供必要技术支持等。

34、数据安全审计怎么开展？

根据《数安条例》第五十八条规定，数据安全审计工作应当包括以下内容：

1）针对国家而言，应当建立数据安全审计制度；

2）对于数据处理者而言，如果数据处理者的处理活动涉及个人信息时，应当委托专业的数据安全审计机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。上述规定与《个保法》第五十四条规定一致；

3）如果数据处理者的处理活动涉及重要数据时，相关主管监管部门应当组织开展对上述处理活动的审计工作，重点审计数据处理者履行法律法规规定的重要数据处理义务等内容。

除上述问题之外，还有一些制度或内容仍待澄清，包括并不限于公共信息、新技术安全评估具体流程、个人信息保护行业组织等。基于此，我们会持续关注法律变化和监管动态，对上述仍待澄清的制度或内容予以关注。

注

[1]《网络交易监督管理办法》第十三条：网络交易经营者不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式，强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。

[2]《个人信息安全规范》第5.3（f）条：不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由，强制要求个人信息主体同意收集个人信息。

[3]《App违法违规收集使用个人信息行为认定方法》第六（5）条：以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”：…未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）受理并处理的。…

[4] Article 20 of GDPR: The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where: (a) the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and (b) the processing is carried out by automated means. 2. In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.

[5]《数据安全管理办法（征求意见稿）》第十七条：网络运营者以经营为目的收集重要数据或个人敏感信息的，应当明确数据安全责任人。数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任，参与有关数据活动的重要决策，直接向网络运营者的主要负责人报告工作。

[6]《汽车数据安全管理规定》第十三条：汽车数据处理者开展重要数据处理活动，应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送以下年度汽车数据安全管理情况：（一）汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式；（二）处理汽车数据的种类、规模、目的和必要性；（三）汽车数据的安全防护和管理措施，包括保存地点、期限等；（四）向境内第三方提供汽车数据情况；（五）汽车数据安全事件和处置情况；（六）汽车数据相关的用户投诉和处理情况；（七）国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的其他汽车数据安全管理情况。

[7] 根据《平台责任指南》附则第（4）项，超大型平台，是指在中国的上年度年活跃用户不低于5000万、具有表现突出的主营业务、上年底市值（或估值）不低于1000亿人民币、具有较强的限制平台内经营者接触消费者（用户）能力的平台。

来源：中伦视界

专家简介

陈际红

走出去智库（CGGT）特约法律专家

中伦律师事务所合伙人

全国律协网络与高新技术委员会副主任

中国网络与信息法学研究会常务理事

擅长于知识产权与TMT领域的法律事务，包括知识产权侵权诉讼，专利与商标申请，知识产权许可与交易，隐私与数据保护，计算机软件，不正当竞争，电子商务，电信，IT企业的投资与收购，互联网知识产权保护。

陈律师根据中国企业的发展现状及国内知识产权法律制度，率先在国内拟订了《企业知识产权体系评价系统》。该系统包括十个大项的评价内容，涵盖了企业知识产权体系的全部内容和指标。利用这一系统，能为企业建立一个完善的知识产权保护体系。这一体系并在众多的企业中得以应用。

为众多的国际企业提供了法律服务，并多次参与了与知识产权、电信、IT有关法律法规的研讨与立法工作，参与过的立法工作包括《计算机软件保护条例》、《电子签名法》、《著作权法》、《电信法》等。新华社、人民日报等对他的研究与律师执业做过深入报道。

陈际红律师于2005年被法制日报及中国电子商务协会联合评为“2005IT法务人年度十佳”；2006年入选国家知识产权战略办公室评选的国家知识产权战略专家；2011年入选英国Corporate INTL Magazines 评选的“中国最佳50名律师”；2011年入选国家知识产权局评审的国家知识产权专家库；2013年陈律师被北京市律师协会授予“北京市十佳知识产权律师”的称号。

延展阅读