400-969-7908

English

通力律师 | 靴子落地: 图解《网络数据安全管理条例》

标签: ACFE 反舞弊 企业合规师 威普爱生教育 浏览量:0 2024-10-24


2024年9月30日, 《网络数据安全管理条例》(“《网数条例》”)由国务院令第790号正式公布, 将于2025年1月1日起正式施行。自网信办于2021年11月公布征求意见稿以来, 《网数条例》经历3年的等待终于“靴子落地”。


我们认为, 《网数条例》是对《网络安全法》《数据安全法》及《个人信息保护法》这网安数据领域三法生效以来的监管与执法总结, 其出台标志着我国网络安全与数据领域的合规监管逐渐成熟, 并将正式迈入新的阶段。正因如此, 《网数条例》整体并非全新的法律, 所以监管部门并没有为企业预留太多准备时间——目前距离2025年1月1日仅3个月。基于同样的原因, 我们预计《网数条例》正式生效后, 监管部门的执法也不会有太长的“过渡期”。


因此, 我们特准备本图文解读, 以期帮助企业更好地理解《网数条例》相较现行法律体系需要注意的“新”义务, 从而提前做好相应合规准备工作, 应对新阶段的监管挑战(如您需要包含我们合规建议的详版解读英文版解读, 请于公众号后台留言“网数条例”, 或直接与我们联系)


适用范围 


《网数条例》的新增定义


《网数条例》的具体适用范围如下图梳理。简言之, 其适用于 “网络数据处理活动”和“网络数据处理者”。


《网数条例》的体系定位与适用范围


但请不要被“网络”一词迷惑, 以为它仅仅适用于互联网和电信公司。正如《网络安全法》下“网络运营者”在实践中几乎涵盖了所有连接到互联网的公司, 考虑到目前绝大部分数据均以电子形式存在, 我们认为《网数条例》下的“网络数据”基本等同于“数据”, 而“网络数据处理者”基本等同于“数据处理者”。这意味着, 《网数条例》将适用于几乎所有企业


合规要点


《网数条例》的内容基本承袭了“数据三法”的框架, 但其中对于“数据三法”进行重申或补充的部分, 很可能成为未来监管部门关注和执法的重点:


《网数条例》下的合规要点


(一) 爬虫与AIGC


1. 规范使用爬虫等自动化采集工具


对于使用爬虫等自动化采集工具访问、收集网络数据的热门场景, 继今年5月发布的《网络反不正当竞争暂行规定》从反不正当竞争角度提出监管要求后[1], 《网数条例》进一步从网络数据安全角度新增两项义务——第18条对网络数据处理者新增了评估影响的义务、第24条则新增了合规处置特殊个人信息的义务, 具体如下图整理: 


以爬虫等自动化采集工具访问、收集网络数据(含个人信息)的合规义务

2. 加强管理AIGC训练数据及其处理活动


对于时兴的生成式人工智能(AIGC), 继去年7月发布的《生成式人工智能服务管理暂行办法》, 《网数条例》第19条首次对训练数据提出安全管理要求——提供AIGC的网络数据处理者应加强对训练数据及其处理活动的安全管理, 采取有效措施防范和处置网络数据安全风险。


(二) 网络平台服务


1. 加强对接入平台的第三方产品/服务提供者的监督


《网数条例》第40条强调网络平台服务者对接入其平台的第三方产品和服务提供者具有监督义务并负有相应连带责任: 

  • 应通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务

  • 督促第三方产品和服务提供者加强网络数据安全管理(如因该第三方违法违规或违约开展网络数据处理活动, 对用户造成损害的, 网络平台服务提供者与该第三方产品和服务提供者将承担相应责任)


此外, 该条款还特别强调“预装应用程序的智能终端等设备生产者”同样需适用上述规定。我们提醒, 涉及生产智能家电、医疗化工器械(例如, 检测仪预装分析程序)等设备的企业也应予以注意, 及时更新相应合作协议、加强监督工作, 还可考虑投保网络数据损害赔偿相关责任险种。


2. “大型网络平台”的认定和义务


《网数条例》首次从行政法规层面明确了“大型网络平台”的量化标准(如下图, 但未明确3项条件之间的关系是“并”还是“或”, 有待于后续监管过程中进一步明确(我们倾向于理解为“或”)。此外, 现有资讯也尚未明确企业是需要自行开展认定, 还是后续会由主管部门公布相应名单。


大型网络平台的认定标准

如企业初步判断认定其服务涉及大型网络平台, 则需注意《网数条例》的新增义务: 

  • 每年度发布《个人信息保护社会责任报告》(说明个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等内容)

  • 跨境提供网络数据的, 应遵守国家数据跨境安全监管要求

  • 不得利用网络数据、算法以及平台规则等损害用户合法权益

  • 处理重要数据的, 还应在其年度风险评估报告(见下文“重要数据处理者的年度风险评估与报送”)充分说明关键业务和供应链网络数据安全等情况


此外, 待《个人信息保护合规审计管理办法》正式出台后, 相关企业还需注意履行大型互联网平台运营者特有的个人信息审计义务, 例如成立主要由外部成员组成的独立监督机构、重点审计大型互联网平台规则与《个人信息保护社会责任报告》内容等。


(三) 个人信息保护


1. 启动个人信息合规审计准备工作


《个人信息保护法》要求个人信息处理者定期开展合规审计, 《网数条例》第27条从行政法规层面对网络数据处理者重申这一要求, 并明确了审计的开展方式——“自行或者委托专业机构”


结合去年公布的《个人信息保护合规审计管理办法(征求意见稿)》、今年7月公布的国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》, 这进一步预示个人信息审计相关法律或标准即将正式出台。


关于个人信息合规审计的详细信息, 可参考我们近期发表的专题指引, 我们通过视频与图表形式简要分析了相关细则: 


2. 指定境内专门机构/指定代表并报送信息(仅限境外企业)


对于在中国境外处理中国境内个人信息的企业而言, 《网数条例》第26条重申了《个人信息保护法》下境外个人信息处理者在境内设立专门机构或指定代表的信息报送要求, 进一步明确报送对象为“所在地设区的市级网信部门”, 并要求“网信部门应当及时通报同级有关主管部门”。


这一重申与细化或预示报送制度将正式在监管实践中落地, 我们建议境外相关企业尽快明确决定由何种类型的实体或个人担任其境内的代表


3. 完善个人信息转移请求配套机制


《网数条例》第25条首次明确了个人行使其《个人信息保护法》下“转移权”的具体条件, 很有可能增加用户请求企业转移其个人信息的频次。


4. 处理1000万人以上个人信息的企业


《网数条例》第28条要求处理1000万人以上个人信息的网络数据处理者应当参照遵守重要数据处理者的部分义务。这意味着《网数条例》首次在一般法规的层面, 将满足一定数量级的个人信息界定为重要数据。


根据目前《网数条例》的规定, 其他有关重要数据的义务暂时不适用于处理1000万以上个人信息的企业, 例如专项风险评估和年度风险评估和报送(但个人信息的提供、委托处理和共同处理在现行法律下也需要进行安全影响评估)。


(四) 重要数据


1. 及时识别并申报重要数据 


《网数条例》第29条重申了《数据安全法》有关国家部门制定重要数据目录的内容, 并且继《促进和规范数据跨境流动规定》后再次强调网络数据处理者识别、申报重要数据的义务。


重要数据的识别无疑是后续合规义务履行的基石。由于《数据安全法》《网络安全法》均无重要数据的定义, 部门规章《数据出境安全评估办法》《汽车数据安全管理若干规定(试行)》以及国家标准《数据安全技术 数据分类分级规则》(GB/T 43697-2024)曾在实践中起重要参考作用。本次《网数条例》首次从行政法规层面明确了重要数据的定义(如下图), 对此前部门规章与国家标准中的识别规则进行整合, 将有助于企业攻克识别重要数据这一难题。


《网数条例》对重要数据的定义


值得注意的是, 《网数条例》第37条还特别明确——如上述申报的数据未被相关地区、部门告知或公开发布为重要数据的, 则不需要将其作为重要数据申报数据出境安全评估, 相信将有效降低具有出境需求企业的合规成本。


2. 重要数据专项风险评估


《网数条例》第31条新增了重要数据的“专项风险评估”要求——除履行法定职责或者法定义务外, 重要数据的处理者应当在提供、委托处理、共同处理重要数据前进行风险评估(对比而言, 个人信息的影响评估还包括处理敏感个人信息和数据出境。但由于重要数据本身均属于“敏感数据”, 且其出境需要经过安全评估, 因此《网数条例》将风险评估的范围限于上述三种情形)。重点评估内容包括: 


重要数据的专项风险评估要求


3. 重要数据处理者的年度风险评估与报送


对于处理重要数据的网络数据处理者, 《网数条例》第33条新增了“年度风险评估”报送要求


重要数据处理者的年度风险评估与报送要求


(五) 网络数据跨境


本次《网数条例》并未对网络数据的跨境流通施加实质性的新义务, 其新增内容主要以扩充与细化为主: 


1. 个人信息出境路径的拓宽


《网数条例》不仅重申了《个人信息保护法》下的个人信息出境路径, 更从行政法规层面将《促进和规范数据跨境流动规定》规定的3种豁免条件(可参阅我们此前的解读回顾具体要求《博观约取、厚积薄发——简评<促进和规范数据跨境流动规定>》<!--促进和规范数据跨境流动规定-->)确立为出境路径。


《网数条例》下的个人信息出境路径总结


此外, 结合今年6月中国网信办与德国数字化和交通部签订的《关于中德数据跨境流动合作的谅解备忘录》[2], 我们相信未来中国将继续在促进数据跨境流通方面加深国际合作, 也期待本次新增的路径(如上图)将能够为跨境金融数据监管核查等外资客户的切实需求带来更优解。


2. 数据出境安全评估时需明确出境规模


此前《数据出境安全评估办法》规定, 如数据处理者出境数据的目的、方式、范围与种类发生变化的, 则需重新申报数据出境安全评估(完整解读可参阅《尘埃落定! 一文详解<数据跨境传输安全评估>重点规定》<!--数据跨境传输安全评估-->)。


对此, 《网数条例》进一步增加了对“规模”的限制条件。即, 要求网络数据处理者仅能按照其已通过数据出境安全评估的出境目的、方式、范围和种类、规模等向境外提供个人信息和重要数据。


(六) 网络数据安全事件应对


1. 24小时内上报网络产品重大风险


《网数条例》第10条新增有关网络产品或服务危害国家安全、公共利益的上报要求——当网络数据处理者发现其提供的网络产品、服务涉及危害国家安全、公共利益时, 其应在24小时内向有关主管部门报告。考虑到实践需求, 我们期待相关部门能在后续明确该报告所需的具体内容与报告渠道。


此外, 相较此前工业和信息化部等部门发布《网络产品安全漏洞管理规定》要求的2日上报期限, 该条款或许侧重于保护国家安全与公共利益, 而采取了更短的期限。


2. 网络数据安全事件的上报与通知义务


《网数条例》第11条重申了《数据安全法》《网络安全法》中网络安全事件的上报义务, 要求网络数据局处理者在发生网络数据安全事件时“按照规定向有关主管部门报告”。由于该条款仍未对法律依据、主管部门、报告内容与时限等细节予以明确, 考虑到实践中网络安全事件的紧迫与严重性, 我们建议企业事先参照网信办2023年12月发布的《网络安全事件报告管理办法(征求意见稿)》做好相应准备。


此外, 第11条还新增了网络数据安全事件的通知义务——除法律、行政法规另有规定外, 当网络数据安全事件对个人、组织合法权益造成危害时, 网络数据处理者应及时以特定方式特定内容通知利害关系人, 具体要求如下图: 


网络数据安全事件的通知要求


(七) 监管减负


值得注意的是, 为合理衔接此前网络安全与数据合规领域的既有监管规则, 《网数条例》第52条特别强调了监管层面的“减负原则”, 具体而言: 

  • 主管部门开展网络数据安全监督检查时, 应避免不必要的检查和交叉重复检查

  • 个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接, 避免重复评估、审计

  • 重要数据风险评估和网络安全等级测评的内容重合的, 相关结果可以互相采信


我们期待上述要求将在《网数条例》实施后有效减轻企业的合规负担, 也将持续关注各监管部门后续的执法动向。


注释

[1] 《网络反不正当竞争暂行规定》第19条: 经营者不得利用技术手段, 非法获取、使用其他经营者合法持有的数据, 妨碍、破坏其他经营者合法提供的网络产品或者服务的正常运行, 扰乱市场公平竞争秩序。

[2]  网信办: 庄荣文会见德国数字化和交通部部长维辛 双方共同签署《关于中德数据跨境流动合作的谅解备忘录》, 原文链接: https://www.cac.gov.cn/2024-06/26/c_1721081180089753.htm



通力合规团队运用其全面的能力和经验, 为国内外企业客户提供覆盖他们经营所涉及的各项合规法律服务, 除反垄断、反不正当竞争、反腐败反商业贿赂、白领犯罪等传统合规业务之外, 也包括数据安全和隐私保护、出口管制与贸易制裁以及安全健康环保等新兴合规业务。通力合规团队不仅擅长帮助企业建设合规制度体系以降低风险, 而且能为企业应对行政检查等突发事件提供务实有效服务。


END





好书推荐



关注我们


关于通力律师事务所

通力律师事务所(“通力”)始创于1998年,是一家以专业化分工、一体化运营为特点,专注于商业领域法律服务的中国领先律师事务所。现已在上海、北京、深圳、香港和伦敦设有办公室,业务足迹遍布全球,客户涵盖欧美亚非等诸多国家和地区,并与全球主流律师事务所均建立了紧密的合作关系,随时回应客户需求,为跨国交易提供值得信赖的法律服务。

为满足客户在合规领域快速增长的法律服务需求,通力律师事务所配备了一支经验丰富的合规服务团队。团队中既有曾在世界五百强企业及中国知名企业任职的法务总监和合规负责人,前刑事执法官员,前行政执法官员,也有在互联网、医药健康、汽车及零部件、日用消费品、能源化工以及金融保险等合规重点监管行业具备行业知识和服务经验的律师,同时还包括在反垄断、反腐败和反商业贿赂等合规领域具有民事、刑事及行政诉讼经验的争端解决律师。

通力合规团队运用其全面的能力和经验,为国内外企业客户提供覆盖他们经营所涉及的各项合规法律服务,除反垄断、反商业腐败、反不正当竞争、政府监管等传统合规业务之外,也包括数据安全和隐私保护、白领犯罪、经济犯罪以及安全健康环保等新兴合规业务。通力合规团队不仅擅长帮助企业建设合规制度体系以降低风险,而且能为企业应对行政检查等突发事件提供务实有效服务。



关于ACFE

国际注册舞弊审查师协会(ACFE)成立于1985年,由Joseph T.Wells博士(CFE、CPA)创立,是世界上最大的反舞弊组织,也是反舞弊培训和教育的内容和考试提供方。ACFE与180多个国家的90,000多名会员一起,正在全球范围内努力减少商业舞弊,并持续提供更有效打击舞弊所需的培训和各种资源。

反舞弊培训的积极效果是深远的。显然,打击舞弊的最佳方法是教育任何参与打击舞弊的人如何有效的预防、发现和调查舞弊行为。ACFE通过教育、团结和支持全球反舞弊团体,以更有效地打击舞弊行为,减少了全球范围内的商业舞弊行为,激发了公众对行业诚信和客观的信心。

ACFE为会员提供专业认证的机会。国际注册舞弊审查师(CFE)证书是世界各国企业和政府机构的首选推案,它有力的证明持证者在有关舞弊防范和调查等方面具有的理论基础和实务背景。CFE是反舞弊专家,获得CFE资格表明他们在金融交易和舞弊计划、法律、调查和舞弊预防与威慑这四个关键领域具有专业水平。

ACFE的成员包括会计师、内部审计师、舞弊调查人员、执法人员、律师、商业领袖、风险/合规专业人士和教育工作者等,他们都可以获得专业培训、理论工具和实务资源。无论他们是专门从事舞弊防范或调查的专业人士,还是仅仅想获得更多反舞弊方面的知识和经验,ACFE都能帮助他们实现自己的目标。



关于ACFE China

ACFE China由ACFE中国区北京、上海、广州、深圳分会联合发起,是一家有温度、有内容 、多元化 、国际化的专业反舞弊组织。

ACFE China始终秉承“以合规/舞弊风险管理为导向,注重提高会员合规意识、舞弊防范和调查取证的专业知识和技能,增强“跨行业的专业信息交流和共享”的工作理念,始终坚持“国内人才国际化,国际证书本土化”的工作目标,更好的为企业和个人赋能,为广大“合规、反舞弊”领域的同仁们创造更加专业、国际化的交流、共享平台。



关于威普爱生

深圳市威普爱生教育咨询有限公司(简称“威普爱生”)是一家致力于国际高端职业教育培训与咨询服务的教育机构,秉承“基于职场需求的人才培训与服务”的朴实教育理念,帮助更多的国内专业人士拓展国际视野、提升专业技能、巩固职场竞争力。目前,威普爱生为国际注册舞弊审查师协会(ACFE)亚太中国区唯一指定授权培训供应商。

自公司成立以来,先后开设财务类、金融类、法律类、合规类、医疗类、护理类、IT管理与安全、国际学位等课程及服务,基本覆盖了各个领域的专业知识和职场需求。现阶段已和国内外知名专业联盟及协会达成战略合作授权,并与海内外高校建立合作招生和课程教学的紧密联系,为国内专业人士在简历优化、背景提升、职业进阶等方面提供了强有力的选择和保障。



点击下方 阅读原文 获取ACFE考试评估资格

注册舞弊审查师

热点资讯

免费试听 查看更多>

  • ACFE 试听课程
    Section 1 Financial Transactions and Fraud Schemes

    主讲老师:Tina 试听

  • ACFE 试听课程
    Section 2 LAW

    主讲老师:Tang 试听

  • ACFE 试听课程
    Section 3 Investigation

    主讲老师:Tina 试听

报考资料免费领取

备考资料

考试资格

24小时贵宾咨询热线:400-969-7908

  • 扫码关注公众号咨询

    • 威普网校APP

      学习由你“掌”握

      iPhone/IPAD

    • 威普网校APP

      学习由你“掌”握

      Android手机