云安全
态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商用密码
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
重磅!《网络数据安全管理条例》正式发布,征求意见稿与正式稿深度对比!(详细批注版)
新华社北京9月30日电 国务院总理李强日前签署国务院令,公布《网络数据安全管理条例》(以下简称《条例》),自2025年1月1日起施行。
《条例》旨在规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益。《条例》共9章64条,主要规定了以下内容。
一是提出网络数据安全管理总体要求和一般规定。明确鼓励网络数据在各行业、各领域的创新应用,对网络数据实行分类分级保护,积极参与网络数据安全相关国际规则和标准的制定,加强行业自律,禁止非法网络数据处理活动。要求网络数据处理者履行建立健全网络数据安全管理制度、安全风险报告、安全事件处置等义务。
二是细化个人信息保护规定。明确处理个人信息的规则和应当遵守的具体规定。要求网络数据处理者提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求。明确使用自动化采集技术等采集个人信息的保护义务,细化个人信息转移请求实现途径等。
三是完善重要数据安全制度。明确制定重要数据目录职责要求,规定网络数据处理者识别、申报重要数据义务。规定网络数据安全管理机构和网络数据安全负责人的责任。明确重要数据风险评估具体要求。
四是优化网络数据跨境安全管理规定。明确网络数据处理者可以向境外提供个人信息的条件,规定可以按照缔结或者参加的国际条约、协定向境外提供个人信息。规定未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。
五是明确网络平台服务提供者义务。规定网络平台服务提供者、第三方产品和服务提供者等主体的网络数据安全保护要求。明确通过自动化决策方式向个人进行信息推送的规则,规定大型网络平台服务提供者发布个人信息保护社会责任年度报告、防范网络数据跨境安全风险等要求。
司法部、国家网信办负责人
就《网络数据安全管理条例》
答记者问
2024年9月24日,国务院总理李强签署第790号国务院令,公布《网络数据安全管理条例》(以下简称《条例》),自2025年1月1日起施行。日前,司法部、国家网信办负责人就《条例》有关问题回答了记者提问。
问:请简要介绍一下《条例》出台的背景。
答:党中央、国务院高度重视网络数据安全管理工作。党的二十届三中全会强调,提升数据安全治理监管能力,建立高效便利安全的数据跨境流动机制。近年来,随着信息技术和人们生产生活交汇融合,数据处理活动更加频繁,数据安全风险日益聚焦在网络数据领域,违法处理网络数据活动时有发生,给经济社会发展和国家安全带来严峻挑战。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》对数据安全和个人信息保护制度作了基本规定。为做好法律实施,规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,有必要制定配套行政法规。国务院将制定《条例》列入立法工作计划。
国家网信办在总结近年来网络数据安全管理实践经验、征求有关方面意见并向社会公开征求意见的基础上,向国务院报送了《条例(草案送审稿)》。司法部在立法审查中,广泛征求有关中央单位、地方人民政府、企事业单位、行业协会和专家学者意见,赴地方开展实地调研,多次召开企业和行业协会座谈会听取意见,会同国家网信办反复研究修改,形成了《条例(草案)》。2024年8月30日,国务院常务会议审议通过了《条例(草案)》。
问:制定《条例》的总体思路?
答:《条例》制定工作坚持以习近平新时代中国特色社会主义思想为指导,深入贯彻习近平法治思想和习近平总书记关于网络强国的重要思想,在总体思路上主要把握了以下四点:一是坚持党的领导,全面贯彻党的二十大和二十届二中、三中全会精神,将习近平总书记关于网络数据安全管理的重要指示批示精神以及党中央、国务院决策部署落实到具体条文中。二是坚持总体国家安全观,统筹发展和安全,既加强网络数据安全保护,又鼓励和促进网络数据依法合理有效利用。三是坚持问题导向,聚焦个人信息、重要数据、网络数据跨境流动等方面突出问题,有针对性地健全制度措施。四是坚持统筹协调,妥善处理与《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等上位法的关系,对相关制度规定予以细化、补充、完善。
问:《条例》对个人信息保护主要作了哪些规定?
答:《条例》重点细化了《中华人民共和国个人信息保护法》关于告知、同意、个人行使权利等方面的规定。一是明确通过制定个人信息处理规则履行告知义务的内容、形式等要求。二是明确基于个人同意处理个人信息应当遵守的基本要求。三是明确行使个人信息查阅、复制、更正、补充、删除等权利的要求,细化个人信息转移的具体条件。四是明确按照《中华人民共和国个人信息保护法》第五十三条规定在境内设立专门机构或者指定代表的要求。五是明确网络数据处理者处理1000万人以上个人信息还应当履行的义务。
问:《条例》关于保障重要数据安全主要作了哪些规定?
答:《条例》所规定的重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。为了保障重要数据安全,《条例》一是明确制定重要数据目录的要求,规定网络数据处理者识别、申报重要数据义务。二是规定网络数据安全负责人和网络数据安全管理机构责任。三是要求提供、委托处理、共同处理重要数据前进行风险评估,并明确重点评估内容。四是要求重要数据的处理者每年度对其网络数据处理活动开展风险评估,并明确风险评估报告内容。
问:《条例》在建立高效便利安全的数据跨境流动机制方面是怎样规定的?
答:《条例》在总结《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等部门规章制定实施经验基础上,进一步优化数据跨境流动机制。一是明确国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制,研究制定国家网络数据出境安全管理相关政策,协调处理网络数据出境安全重大事项。二是规定网络数据处理者可以向境外提供个人信息的条件,明确未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。三是明确网络数据处理者通过数据出境安全评估后向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。此外,还规定国家采取措施,防范、处置网络数据跨境安全风险和威胁。
问:《条例》对网络平台服务提供者义务作出专门规定的主要考虑是什么?具体是怎样规定的?
答:网络平台服务提供者面向大量用户和平台内经营者提供服务,一些网络平台服务提供者还向政府部门提供服务,对于促进数字经济发展、优化公共服务发挥了重要作用。同时,实践中存在网络平台服务提供者不履行网络数据安全义务、滥用数据优势从事法律、行政法规禁止的活动等情况。国内外相关立法对此作了实践探索。为此,《条例》一是规定了网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者的网络数据安全保护义务,并要求提供应用程序分发服务的网络平台服务提供者建立应用程序核验规则并开展网络数据安全相关核验。二是针对当前个性化推荐服务关闭难、收集个人信息类型多、个人精准画像数据滥用等问题,明确网络平台服务提供者应当设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。三是明确国家推进网络身份认证公共服务建设,按照政府引导、用户自愿原则进行推广应用。鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息。四是规定大型网络平台服务提供者每年度发布个人信息保护社会责任报告、防范网络数据跨境安全风险的要求,以及明确不得利用网络数据、算法、平台规则等从事相关活动的义务。
问:《条例》关于开展网络数据安全管理工作的部门职责分工是什么?
答:《条例》规定,国家网信部门负责统筹协调网络数据安全和相关监督管理工作。公安机关、国家安全机关依照有关法律、行政法规和本条例的规定,在各自职责范围内承担网络数据安全监督管理职责,依法防范和打击危害网络数据安全的违法犯罪活动。国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责。各地区、各部门对本地区、本部门工作中收集和产生的网络数据及网络数据安全负责。各有关主管部门承担本行业、本领域网络数据安全监督管理职责。
《网络数据安全管理条例》
征求意见稿和正式稿的对比分析
一、总则部分
● 指导思想进一步明确:正式稿强调网络数据安全管理工作坚持中国共产党的领导,贯彻总体国家安全观,更加突出党对网络数据安全工作的领导地位以及总体国家安全观的重要指导作用。
● 鼓励创新与国际合作:正式稿在鼓励网络数据创新应用、相关技术产品服务创新以及开展网络数据安全宣传教育和人才培养方面表述更加具体,同时明确国家积极参与网络数据安全相关国际规则和标准的制定,促进国际交流与合作,体现了对网络数据安全领域国际合作的重视。
1. 第三条:
正式稿明确网络数据安全管理工作坚持中国共产党的领导,贯彻总体国家安全观,统筹促进网络数据开发利用与保障网络数据安全。征求意见稿中无此内容。
2. 第四条:
正式稿强调国家鼓励网络数据在各行业、各领域的创新应用,加强网络数据安全防护能力建设,支持网络数据相关技术、产品、服务创新,开展网络数据安全宣传教育和人才培养,促进网络数据开发利用和产业发展。相比征求意见稿表述更具体全面。
3. 第六条:
正式稿增加国家积极参与网络数据安全相关国际规则和标准的制定,促进国际交流与合作。征求意见稿无此内容。
二、一般规定部分
●非法活动界定更清晰:正式稿明确任何个人、组织不得利用网络数据从事非法活动,不得从事窃取或以其他非法方式获取、非法出售或非法向他人提供网络数据等非法网络数据处理活动,并对提供专门用于非法活动的程序、工具以及为非法活动提供技术支持等行为进行了明确禁止。
●安全事件报告时间调整:网络数据处理者发现网络产品、服务存在安全缺陷等风险时,涉及危害国家安全、公共利益的,向有关主管部门报告时间从征求意见稿的24小时内缩短至正式稿的立即采取补救措施并按照规定及时告知用户,同时在24小时内向有关主管部门报告。
●增加生成式人工智能服务相关规定:正式稿在一般规定中新增了对提供生成式人工智能服务的网络数据处理者加强对训练数据和训练数据处理活动安全管理的要求。
1. 第八条:
正式稿明确任何个人、组织不得利用网络数据从事非法活动的具体内容,相比征求意见稿更加简洁明确。
2. 第九条:
正式稿强调网络数据处理者应在网络安全等级保护的基础上加强网络数据安全防护,明确了网络数据处理者对所处理网络数据的安全承担主体责任。征求意见稿中对主体责任的表述相对分散。
3. 第十条:
正式稿规定涉及危害国家安全、公共利益时,网络数据处理者向有关主管部门报告的时间为24小时内,与征求意见稿不同。
4. 第十八条:
正式稿明确网络数据处理者使用自动化工具访问、收集网络数据时,不得非法侵入他人网络,不得干扰网络服务正常运行。征求意见稿表述相对笼统。
5. 第十九条:
正式稿新增面向社会提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理的内容。征求意见稿无此内容。
三、个人信息保护部分
● 个人信息处理规则内容细化:正式稿明确了网络数据处理者在处理个人信息前制定个人信息处理规则应包含的具体内容,更加清晰易懂,且对于处理不满十四周岁未成年人个人信息需制定专门个人信息处理规则。
● 合规审计要求明确:正式稿规定网络数据处理者处理1000万人以上个人信息的,需遵守对重要数据处理者的规定,并定期自行或委托专业机构进行合规审计。
● 境外网络数据处理者要求:正式稿要求中华人民共和国境外网络数据处理者处理境内自然人个人信息,在境内设立专门机构或指定代表的,需报送所在地设区的市级网信部门。
1. 第二十一条:
正式稿明确网络数据处理者向个人告知的个人信息处理规则内容更具体清晰,包括网络数据处理者的名称或者姓名和联系方式等。征求意见稿的内容相对宽泛。
2. 第二十二条:
正式稿对网络数据处理者基于个人同意处理个人信息的规定进行了整合和细化,如明确收集个人信息为提供产品或者服务所必需,不得超范围收集个人信息等。征求意见稿的规定相对分散。
3. 第二十六条:
正式稿明确中华人民共和国境外网络数据处理者处理境内自然人个人信息,在境内设立专门机构或者指定代表的报送要求及通报流程。征求意见稿无此内容。
4. 第二十八条:
正式稿中网络数据处理者处理1000万人以上个人信息需遵守特定规定,而征求意见稿中是处理一百万人以上个人信息需遵守相关规定。
四、重要数据安全部分
● 重要数据目录制定机制:正式稿强调国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,各地区、各部门按照数据分类分级保护制度确定本地区、本部门及相关行业、领域的重要数据具体目录,对重要数据的保护更加系统。
● 风险评估内容调整:正式稿对重要数据处理者进行风险评估的重点内容进行了调整和细化,使其更具针对性和可操作性。
● 安全管理机构及负责人要求:明确了重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构的职责,对网络数据安全负责人的任职要求更加具体。
1. 第二十九条:
正式稿明确国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,强调各地区、各部门确定本地区、本部门及相关行业、领域重要数据具体目录并对其重点保护,还鼓励网络数据处理者使用数据标签标识等技术和产品提高重要数据安全管理水平。征求意见稿在重要数据目录制定和保护措施方面的表述相对简单。
2. 第三十条:
正式稿明确重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构的职责,以及对掌握特定种类、规模重要数据的处理者进行安全背景审查的要求,并可申请公安机关、国家安全机关协助审查。征求意见稿中相关内容不够详细。
3. 第三十一条:
正式稿对重要数据的处理者进行风险评估的内容进行了细化,明确了重点评估的六个方面内容。征求意见稿的风险评估内容相对笼统。
4. 第三十二条:
正式稿规定重要数据的处理者因特定情况影响重要数据安全时,应向省级以上有关主管部门报告重要数据处置方案等,并明确了主管部门不明确时的报告对象。征求意见稿中相关规定不同。
5. 第三十三条:
正式稿要求重要数据的处理者每年度对其网络数据处理活动开展风险评估并向省级以上有关主管部门报送风险评估报告,删除了每年1月31日前上报的时间节点要求,对处理重要数据的大型网络平台服务提供者的报告内容提出了更具体要求。征求意见稿中相关规定有所不同。
五、网络数据跨境安全管理部分
● 国家数据出境安全管理机制:正式稿明确国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制,加强对网络数据出境安全的管理。
● 向境外提供个人信息条件调整:正式稿对网络数据处理者向境外提供个人信息的条件进行了调整和细化,增加了符合劳动规章制度和集体合同实施跨境人力资源管理、紧急情况下保护自然人生命健康和财产安全等条件。
1. 第三十四条:
正式稿明确国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制,研究制定相关政策,协调处理重大事项。征求意见稿无此内容。
2. 第三十五条:
正式稿详细列出了网络数据处理者可以向境外提供个人信息的八种条件,相比征求意见稿更加具体明确。
3. 第三十七条:
正式稿明确网络数据处理者在中华人民共和国境内运营中收集和产生的重要数据确需向境外提供的评估要求,以及未被确认为重要数据时的处理方式。征求意见稿无此详细规定。
4. 第三十八条:
正式稿规定通过数据出境安全评估后,网络数据处理者向境外提供个人信息和重要数据的限制要求。征求意见稿无此内容。
5. 第三十九条:
正式稿新增国家采取措施防范、处置网络数据跨境安全风险和威胁的内容,明确任何个人、组织不得提供专门用于破坏、避开技术措施的程序、工具等。征求意见稿无此内容。
六、网络平台服务提供者义务部分
● 第三方责任明确:正式稿明确了网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者在第三方产品和服务违反规定对用户造成损害时的责任,并鼓励保险公司开发网络数据损害赔偿责任险种。
● 个性化推荐关闭选项设置:要求网络平台服务提供者通过自动化决策方式向个人进行信息推送时,设置易于理解、便于访问和操作的个性化推荐关闭选项。
● 大型网络平台服务提供者义务增加:正式稿对大型网络平台服务提供者提出了发布个人信息保护社会责任报告、跨境提供网络数据遵守国家数据跨境安全管理要求等新的义务要求。
1. 第四十条:
正式稿明确网络平台服务提供者应通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务,并规定了第三方产品和服务提供者违规时的责任及鼓励措施。征求意见稿相关内容相对简单。
2. 第四十一条:
正式稿规定提供应用程序分发服务的网络平台服务提供者应建立应用程序核验规则并开展网络数据安全相关核验,以及对不符合要求的应用程序的处理措施。征求意见稿无此内容。
3. 第四十二条:
正式稿明确网络平台服务提供者通过自动化决策方式向个人进行信息推送时应设置的个性化推荐关闭选项及功能。征求意见稿无此详细规定。
4. 第四十三条:
正式稿强调国家推进网络身份认证公共服务建设及鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息。征求意见稿表述相对简单。
5. 第四十四条:
正式稿要求大型网络平台服务提供者每年度发布个人信息保护社会责任报告,明确了报告内容。征求意见稿无此内容。
6. 第四十五条:
正式稿明确大型网络平台服务提供者跨境提供网络数据应遵守的要求及健全相关技术和管理措施防范风险。征求意见稿无此内容。
7. 第四十六条:
正式稿明确大型网络平台服务提供者不得利用网络数据、算法以及平台规则等从事的四类活动。征求意见稿无此具体内容。
七、监督管理部分
● 职责分工更明确:正式稿进一步明确了国家网信部门、公安机关、国家安全机关、国家数据管理部门以及各地区、各部门在网络数据安全监督管理中的职责,强调统筹协调、协同配合。
● 监督检查措施细化:对有关主管部门开展网络数据安全监督检查的措施进行了细化,使其更具操作性。
● 信息保密要求强化:强调有关主管部门及其工作人员对在履行职责中知悉的网络数据应当依法予以保密,不得泄露或非法向他人提供。
1. 第四十七条:
正式稿明确国家网信部门、公安机关、国家安全机关、国家数据管理部门及各地区、各部门在网络数据安全监督管理中的职责分工。征求意见稿相对笼统。
2. 第四十八条:
正式稿详细规定各有关主管部门在本行业、本领域网络数据安全监督管理中的职责,包括明确保护工作机构、制定应急预案、开展风险评估、监督检查及整改等。征求意见稿表述相对简单。
3. 第四十九条:
正式稿明确国家网信部门统筹协调有关主管部门及时汇总、研判、共享、发布网络数据安全风险相关信息,加强网络数据安全信息共享等工作。征求意见稿无此内容。
4. 第五十一条:
正式稿对有关主管部门开展网络数据安全监督检查的要求更加具体,包括不得向被检查单位收取费用、不得访问收集无关业务信息、合理确定检查频次和方式、避免不必要的检查和交叉重复检查等。征求意见稿相关内容不够详细。
5. 第五十二条:
正式稿强调有关主管部门在开展网络数据安全监督检查时应加强协同配合、信息沟通,以及个人信息保护合规审计、重要数据风险评估等的衔接和结果采信。征求意见稿无此内容。
6. 第五十三条:
正式稿明确有关主管部门及其工作人员对在履行职责中知悉的网络数据应依法保密,不得泄露或非法提供。征求意见稿无此内容。
7. 第五十四条:
正式稿明确境外的组织、个人从事危害中华人民共和国国家安全等网络数据处理活动时,国家网信部门会同有关主管部门可依法采取相应必要措施。征求意见稿无此内容。
八、法律责任部分
● 处罚标准细化:正式稿对违反条例不同条款的行为制定了更加细化的处罚标准,明确了不同情节下的罚款金额、责令暂停相关业务、停业整顿、吊销相关业务许可证或营业执照等处罚措施,以及对直接负责的主管人员和其他直接责任人员的处罚。
● 从轻、减轻或不予处罚情形明确:明确了网络数据处理者存在主动消除或减轻违法行为危害后果等情形时,依照《中华人民共和国行政处罚法》的规定从轻、减轻或者不予行政处罚。
1. 第五十五条至第五十八条:
正式稿对违反不同条款的法律责任进行了整合和细化,明确了由网信、电信、公安等主管部门依据各自职责进行处罚的具体情形和罚款额度。征求意见稿的法律责任规定相对分散。
2. 第五十九条:
正式稿明确网络数据处理者存在特定情形时,依照《中华人民共和国行政处罚法》的规定从轻、减轻或者不予行政处罚。征求意见稿无此内容。
九、附则部分
1. 第六十二条:
正式稿对网络数据、网络数据处理活动、网络数据处理者、重要数据等用语的含义进行了重新定义和细化。征求意见稿的定义相对简单。
2. 第六十四条:
正式稿明确《网络数据安全管理条例》自2025年1月1日起施行。征求意见稿中施行日期为空白。
扫码可下载(内含详细对比)
