該條例由國(guó)家網(wǎng)信辦組織起草。2021年11月，國(guó)家網(wǎng)信辦曾就《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》（征求意見(jiàn)稿）（以下簡(jiǎn)稱《條例》）公開(kāi)征求意見(jiàn)，共九章七十五條，從個(gè)人信息保護(hù)、重要數(shù)據(jù)安全、數(shù)據(jù)跨境安全管理、互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者義務(wù)等多方面，作了詳細(xì)規(guī)定。

文末掃描二維碼即可下載高清版思維導(dǎo)圖

概括來(lái)說(shuō)，《條例》是在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》三部上位法的基礎(chǔ)上制定，在實(shí)施細(xì)則、責(zé)任界定、規(guī)范要求、懲罰措施等方面更加清晰細(xì)致，同時(shí)也增加了一些新的內(nèi)容，進(jìn)一步強(qiáng)化和落實(shí)數(shù)據(jù)處理者的主體責(zé)任，共同保護(hù)重要數(shù)據(jù)和個(gè)人信息的安全。

規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，保護(hù)個(gè)人、組織在網(wǎng)絡(luò)空間的合法權(quán)益，維護(hù)國(guó)家安全、公共利益。

在中華人民共和國(guó)境內(nèi)利用網(wǎng)絡(luò)開(kāi)展數(shù)據(jù)處理活動(dòng)，以及網(wǎng)絡(luò)數(shù)據(jù)安全的監(jiān)督管理，適用本條例。

在中華人民共和國(guó)境外處理中華人民共和國(guó)境內(nèi)個(gè)人和組織數(shù)據(jù)的活動(dòng)，有下列情形之一的，適用本條例：

（一）以向境內(nèi)提供產(chǎn)品或者服務(wù)為目的；

（二）分析、評(píng)估境內(nèi)個(gè)人、組織的行為；

（三）涉及境內(nèi)重要數(shù)據(jù)處理；

（四）法律、行政法規(guī)規(guī)定的其他情形。

自然人因個(gè)人或者家庭事務(wù)開(kāi)展數(shù)據(jù)處理活動(dòng)，不適用本條例。

《條例》的制定是以《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》三部上位法為依據(jù)。

（簡(jiǎn)稱數(shù)據(jù)）是指任何以電子方式對(duì)信息的記錄。

一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國(guó)家安全、公共利益的數(shù)據(jù)。?

關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生和重大公共利益等的數(shù)據(jù)。

國(guó)家機(jī)關(guān)和法律、行政法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織履行公共管理職責(zé)或者提供公共服務(wù)過(guò)程中收集、產(chǎn)生的各類數(shù)據(jù)，以及其他組織在提供公共服務(wù)中收集、產(chǎn)生的涉及公共利益的各類數(shù)據(jù)。

在數(shù)據(jù)處理活動(dòng)中自主決定處理目的和方式的個(gè)人和組織。

為用戶提供信息發(fā)布、社交、交易、支付、視聽(tīng)等互聯(lián)網(wǎng)平臺(tái)服務(wù)的數(shù)據(jù)處理者。

用戶超過(guò)五千萬(wàn)、處理大量個(gè)人信息和重要數(shù)據(jù)、具有強(qiáng)大社會(huì)動(dòng)員能力和市場(chǎng)支配地位的互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者。

1、負(fù)責(zé)統(tǒng)籌協(xié)調(diào)數(shù)據(jù)安全和相關(guān)監(jiān)督管理工作。

2、大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者在境外設(shè)立總部或者運(yùn)營(yíng)中心、研發(fā)中心，需向國(guó)家網(wǎng)信部門和主管部門報(bào)告。

3、各地區(qū)、各部門需將重要數(shù)據(jù)和核心數(shù)據(jù)目錄報(bào)送國(guó)家網(wǎng)信部門。

4、國(guó)家機(jī)關(guān)和關(guān)基運(yùn)營(yíng)者采購(gòu)的云計(jì)算服務(wù)，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的安全評(píng)估。

5、國(guó)家網(wǎng)信部門認(rèn)定進(jìn)行個(gè)人信息保護(hù)認(rèn)證的專業(yè)機(jī)構(gòu)。

6、國(guó)家網(wǎng)信部門制定數(shù)據(jù)出境標(biāo)準(zhǔn)合同。

7、國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門核驗(yàn)向境外提供個(gè)人信息和重要數(shù)據(jù)的類型、范圍。

8、國(guó)家網(wǎng)信部門組織數(shù)據(jù)出境安全評(píng)估。

日活用戶超過(guò)一億的大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者平臺(tái)規(guī)則、隱私政策制定或者對(duì)用戶權(quán)益有重大影響的修訂的，應(yīng)當(dāng)經(jīng)國(guó)家網(wǎng)信部門認(rèn)定的第三方機(jī)構(gòu)評(píng)估，并報(bào)省級(jí)及以上網(wǎng)信部門和電信主管部門同意。

1、數(shù)據(jù)處理者發(fā)生重要數(shù)據(jù)或者十萬(wàn)人以上個(gè)人信息泄露、毀損、丟失等數(shù)據(jù)安全事件，需向設(shè)區(qū)的市級(jí)網(wǎng)信部門和有關(guān)主管部門報(bào)告。

2、在事件處置完畢后五個(gè)工作日內(nèi)向設(shè)區(qū)的市級(jí)網(wǎng)信部門和有關(guān)主管部門報(bào)告。

3、涉及重要數(shù)據(jù)和一百萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者的合并、分立、解散，應(yīng)當(dāng)向設(shè)區(qū)的市級(jí)主管部門報(bào)告，主管部門不明確的，應(yīng)當(dāng)向設(shè)區(qū)的市級(jí)網(wǎng)信部門報(bào)告。

4、數(shù)據(jù)處理者發(fā)生解散、被宣告破產(chǎn)等情況的，應(yīng)當(dāng)向設(shè)區(qū)的市級(jí)主管部門報(bào)告，主管部門不明確的，應(yīng)當(dāng)向設(shè)區(qū)的市級(jí)網(wǎng)信部門報(bào)告。

5、重要數(shù)據(jù)的處理者需向設(shè)區(qū)的市級(jí)網(wǎng)信部門備案重要數(shù)據(jù)。

6、處理重要數(shù)據(jù)或者赴境外上市的數(shù)據(jù)處理者，需在每年1月31日前將上一年度數(shù)據(jù)安全評(píng)估報(bào)告報(bào)設(shè)區(qū)的市級(jí)網(wǎng)信部門。

7、共享、交易、委托處理重要數(shù)據(jù)的，應(yīng)當(dāng)征得設(shè)區(qū)的市級(jí)及以上主管部門同意，主管部門不明確的，應(yīng)當(dāng)征得設(shè)區(qū)的市級(jí)及以上網(wǎng)信部門同意。

8、向境外提供個(gè)人信息和重要數(shù)據(jù)的數(shù)據(jù)處理者，應(yīng)當(dāng)在每年1月31日前編制數(shù)據(jù)出境安全報(bào)告，向設(shè)區(qū)的市級(jí)網(wǎng)信部門報(bào)告。

1、公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)等在各自職責(zé)范圍內(nèi)承擔(dān)數(shù)據(jù)安全監(jiān)管職責(zé)。

2、安全事件涉嫌犯罪的，數(shù)據(jù)處理者應(yīng)當(dāng)按規(guī)定向公安機(jī)關(guān)報(bào)案。

1、主管部門應(yīng)當(dāng)明確本行業(yè)、本領(lǐng)域數(shù)據(jù)安全保護(hù)工作機(jī)構(gòu)和人員，編制并組織實(shí)施本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全規(guī)劃和數(shù)據(jù)安全事件應(yīng)急預(yù)案。

2、主管部門應(yīng)當(dāng)定期組織開(kāi)展本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，對(duì)數(shù)據(jù)處理者履行數(shù)據(jù)安全保護(hù)義務(wù)情況進(jìn)行監(jiān)督檢查，指導(dǎo)督促數(shù)據(jù)處理者及時(shí)對(duì)存在的風(fēng)險(xiǎn)隱患進(jìn)行整改。

3、大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者在境外設(shè)立總部或者運(yùn)營(yíng)中心、研發(fā)中心，向國(guó)家網(wǎng)信部門和主管部門報(bào)告的義務(wù)。

4、國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門核驗(yàn)向境外提供個(gè)人信息和重要數(shù)據(jù)的類型、范圍。

5、日活用戶超過(guò)一億的大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者平臺(tái)規(guī)則、隱私政策制定或者對(duì)用戶權(quán)益有重大影響的修訂的，應(yīng)當(dāng)經(jīng)國(guó)家網(wǎng)信部門認(rèn)定的第三方機(jī)構(gòu)評(píng)估，并報(bào)省級(jí)及以上網(wǎng)信部門和電信主管部門同意。

6、數(shù)據(jù)處理者發(fā)生重要數(shù)據(jù)或者十萬(wàn)人以上個(gè)人信息泄露、毀損、丟失等數(shù)據(jù)安全事件，向設(shè)區(qū)的市級(jí)網(wǎng)信部門和有關(guān)主管部門報(bào)告的義務(wù)。

7、涉及重要數(shù)據(jù)和一百萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者發(fā)生合并、重組、分立等情況的，向設(shè)區(qū)的市級(jí)主管部門報(bào)告的義務(wù)；數(shù)據(jù)處理者發(fā)生解散、被宣告破產(chǎn)等情況，向設(shè)區(qū)的市級(jí)主管部門報(bào)告的義務(wù)。

8、數(shù)據(jù)處理者共享、交易、委托處理重要數(shù)據(jù)的，應(yīng)當(dāng)征得設(shè)區(qū)的市級(jí)及以上主管部門同意。

（一）、要求數(shù)據(jù)處理者相關(guān)人員就監(jiān)督檢查事項(xiàng)作出說(shuō)明；

（二）、查閱、調(diào)取與數(shù)據(jù)安全有關(guān)的文檔、記錄；

（三）、按照規(guī)定程序，利用檢測(cè)工具或者委托專業(yè)機(jī)構(gòu)對(duì)數(shù)據(jù)安全措施運(yùn)行情況進(jìn)行技術(shù)檢測(cè)；

（四）、核驗(yàn)數(shù)據(jù)出境類型、范圍等；

（五）、法律、行政法規(guī)、規(guī)章規(guī)定的其他必要方式。

“數(shù)據(jù)開(kāi)發(fā)利用和保障數(shù)據(jù)安全并重”是《條例》的基調(diào)，即我們不僅要促進(jìn)數(shù)據(jù)的使用，更要保護(hù)數(shù)據(jù)的安全。保障數(shù)據(jù)依法有序自由流動(dòng)，促進(jìn)數(shù)據(jù)依法合理有效利用。

《條例》第五條明確提出，“國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，不同級(jí)別的數(shù)據(jù)采取不同的保護(hù)措施。國(guó)家對(duì)個(gè)人信息和重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)，對(duì)核心數(shù)據(jù)實(shí)行嚴(yán)格保護(hù)。”

眾所周知，數(shù)據(jù)分類分級(jí)是數(shù)據(jù)使用、管理和安全防護(hù)的基礎(chǔ)，也是數(shù)據(jù)安全治理中的難點(diǎn)和重點(diǎn)。

《條例》進(jìn)一步界定了一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)的區(qū)別，同時(shí)增加了個(gè)人信息保護(hù)的范疇。例如，為了進(jìn)一步明確重要數(shù)據(jù)的定義，《條例》在第七十三條列舉了七大具體類型數(shù)據(jù)，可為數(shù)據(jù)合規(guī)提供指引，企業(yè)可參考相關(guān)規(guī)定執(zhí)行。

在今年3月發(fā)布的GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級(jí)規(guī)則》6.5 b）中，也給出了重要數(shù)據(jù)的級(jí)別確定規(guī)則；

滿足以下任一條件的數(shù)據(jù)，識(shí)別為重要數(shù)據(jù)：

1) 數(shù)據(jù)一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，直接對(duì)國(guó)家安全造成一般危害；

2) 數(shù)據(jù)一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，直接對(duì)經(jīng)濟(jì)運(yùn)行造成嚴(yán)重危害；

3) 數(shù)據(jù)一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，直接對(duì)社會(huì)秩序造成嚴(yán)重危害（如影響社會(huì)穩(wěn)定）；

4) 數(shù)據(jù)一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，直接對(duì)公共利益造成嚴(yán)重危害（如危害公共健康和安全）；

5) 數(shù)據(jù)直接關(guān)系國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全的特定領(lǐng)域、特定群體或特定區(qū)域；

6) 數(shù)據(jù)達(dá)到一定精度、規(guī)模、深度或重要性，直接影響國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全；

7) 經(jīng)行業(yè)領(lǐng)域主管（監(jiān)管）部門評(píng)估確定的重要數(shù)據(jù)。

同時(shí)，由于不同行業(yè)、不同地區(qū)數(shù)據(jù)分類分級(jí)的具體規(guī)則和考慮因素差異巨大，《條例》還強(qiáng)調(diào)“各地區(qū)、各部門應(yīng)對(duì)本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的數(shù)據(jù)進(jìn)行分類分級(jí)管理?！?span style="color:#BE1C12;">其意在于將數(shù)據(jù)分類分級(jí)的標(biāo)準(zhǔn)制定權(quán)限下放，制定出針對(duì)性的分類分級(jí)標(biāo)準(zhǔn)，真正將分類分級(jí)落在細(xì)處。

1、具備數(shù)據(jù)安全專業(yè)知識(shí)和相關(guān)管理工作經(jīng)歷；

2、由數(shù)據(jù)處理者決策層成員承擔(dān)；

3、有權(quán)直接向網(wǎng)信部門和主管、監(jiān)管部門反映數(shù)據(jù)安全情況。

數(shù)據(jù)安全管理機(jī)構(gòu)在數(shù)據(jù)安全負(fù)責(zé)人的領(lǐng)導(dǎo)下，履行以下職責(zé)：

1、研究提出數(shù)據(jù)安全相關(guān)重大決策建議；

2、制定實(shí)施數(shù)據(jù)安全保護(hù)計(jì)劃和數(shù)據(jù)安全事件應(yīng)急預(yù)案；

3、開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)，及時(shí)處置數(shù)據(jù)安全風(fēng)險(xiǎn)和事件；

4、定期組織開(kāi)展數(shù)據(jù)安全宣傳教育培訓(xùn)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練等活動(dòng)；

5、受理、處置數(shù)據(jù)安全投訴、舉報(bào)；

6、按照要求及時(shí)向網(wǎng)信部門和主管、監(jiān)管部門報(bào)告數(shù)據(jù)安全情況。

（本條例首次細(xì)化數(shù)據(jù)安全負(fù)責(zé)人的專業(yè)能力及數(shù)據(jù)安全管理機(jī)構(gòu)職責(zé)。）

1、采取備份、加密、訪問(wèn)控制等必要措施，保障數(shù)據(jù)免遭泄露、竊取、篡改、毀損、丟失、非法使用，維護(hù)數(shù)據(jù)的完整性、保密性、可用性；

2、應(yīng)當(dāng)使用密碼對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)進(jìn)行保護(hù)；

3、網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在安全缺陷、漏洞，或者威脅國(guó)家安全、危害公共利益等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施；

4、重要數(shù)據(jù)的處理者，應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。

重要數(shù)據(jù)的處理者，應(yīng)當(dāng)：

1、制定數(shù)據(jù)安全培訓(xùn)計(jì)劃，每年組織開(kāi)展全員數(shù)據(jù)安全教育培訓(xùn)；

2、數(shù)據(jù)安全相關(guān)的技術(shù)和管理人員每年教育培訓(xùn)時(shí)間不得少于二十小時(shí)。?

發(fā)生安全事件對(duì)個(gè)人、組織造成危害的，數(shù)據(jù)處理者應(yīng)當(dāng)在三個(gè)工作日內(nèi)通知利害關(guān)系人：

1、告知方式：電話、短信、即時(shí)通信工具、電子郵件，或公告等方式；

2、告知事項(xiàng)：安全事件和風(fēng)險(xiǎn)情況、危害后果、已經(jīng)采取的補(bǔ)救措施；

3、事件報(bào)警：涉嫌犯罪的，數(shù)據(jù)處理者應(yīng)當(dāng)按規(guī)定向公安機(jī)關(guān)報(bào)案；

4、發(fā)生重要數(shù)據(jù)或者十萬(wàn)人以上個(gè)人信息泄露、毀損、丟失等數(shù)據(jù)安全事件時(shí)：

5、事件發(fā)生八小時(shí)內(nèi)：向設(shè)區(qū)的市級(jí)網(wǎng)信部門和有關(guān)主管部門報(bào)告事件 基本信息，包括涉及的數(shù)據(jù)數(shù)量、類型、可能的影響、已經(jīng)或擬采取的處置措施等；

6、事件處置完畢五個(gè)工作日內(nèi)：向設(shè)區(qū)的市級(jí)網(wǎng)信部門和有關(guān)主管部門 報(bào)告包括事件原因、危害后果、責(zé)任處理、改進(jìn)措施等情況的調(diào)查評(píng)估報(bào)告。?

和2020年4月印發(fā)的《網(wǎng)絡(luò)安全審查辦法》相比，《條例》進(jìn)一步擴(kuò)大了需要接受網(wǎng)絡(luò)安全審查的范疇。除“掌握超過(guò)100萬(wàn)用戶個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查”以外，“大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者實(shí)施合并、重組、分立”；“數(shù)據(jù)處理者赴香港上市，影響或者可能影響國(guó)家安全的”；都需要申報(bào)進(jìn)行網(wǎng)絡(luò)安全審查。

同時(shí)，“大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者在境外設(shè)立總部或者運(yùn)營(yíng)中心、研發(fā)中心，應(yīng)當(dāng)向國(guó)家網(wǎng)信部門和主管部門報(bào)告。”

在數(shù)據(jù)保護(hù)上，《條例》體現(xiàn)出“抓大放小”的原則。無(wú)論是“數(shù)據(jù)處理者合并、重組、分立”還是“發(fā)生解散、被宣告破產(chǎn)等情況”，只要涉及重要數(shù)據(jù)和一百萬(wàn)人以上的個(gè)人信息，都應(yīng)該向設(shè)區(qū)的市級(jí)主管部門或網(wǎng)信部門報(bào)告。

《條例》還強(qiáng)調(diào)，“日活用戶超過(guò)1億的大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者平臺(tái)規(guī)則、隱私政策制定或者對(duì)用戶權(quán)益有重大影響的修訂的，應(yīng)當(dāng)經(jīng)國(guó)家網(wǎng)信部門認(rèn)定的第三方機(jī)構(gòu)評(píng)估，并報(bào)省級(jí)及以上網(wǎng)信部門和電信主管部門同意?！?

這意味著，掌握著大量個(gè)人信息的大型互聯(lián)網(wǎng)平臺(tái)將迎來(lái)更強(qiáng)的監(jiān)管，尤其是國(guó)內(nèi)頭部互聯(lián)網(wǎng)平臺(tái)企業(yè)更是如此。其平臺(tái)規(guī)則和隱私政策將是制度性的，涉及群體利益和公眾利益時(shí)必定是牽一發(fā)而動(dòng)全身，平臺(tái)自主性將受到明顯限制，企業(yè)必須提前做好相應(yīng)的準(zhǔn)備。

值得一提的是，《條例》第十八條要求數(shù)據(jù)處理者“當(dāng)建立便捷的數(shù)據(jù)安全投訴舉報(bào)渠道，及時(shí)受理、處置數(shù)據(jù)安全投訴舉報(bào)。數(shù)據(jù)處理者應(yīng)當(dāng)公布接受投訴、舉報(bào)的聯(lián)系方式、責(zé)任人信息，每年公開(kāi)披露受理和收到的個(gè)人信息安全投訴數(shù)量、投訴處理情況、平均處理時(shí)間情況，接受社會(huì)監(jiān)督?！?

毫無(wú)疑問(wèn)，《條例》第十八條規(guī)定進(jìn)一步將數(shù)據(jù)安全放在了明處，徹底改變了以往“普通民眾無(wú)法了解數(shù)據(jù)保護(hù)的現(xiàn)狀”，同時(shí)也進(jìn)一步促進(jìn)企業(yè)規(guī)范使用數(shù)據(jù)，保護(hù)數(shù)據(jù)，減少數(shù)據(jù)黑箱操作的可能性。

在個(gè)人信息保護(hù)方面，《條例》主要來(lái)源于《個(gè)人信息保護(hù)法》，但對(duì)其中的內(nèi)容進(jìn)行了細(xì)化，從用戶的角度出發(fā)，維護(hù)了用戶應(yīng)有的權(quán)利，讓他們可以對(duì)企業(yè)的不合理要求說(shuō)“不”。同時(shí)也對(duì)企業(yè)提出了具體的要求，促進(jìn)他們做好安全合規(guī)工作。

《條例》的三部上位法都在一定程度上明確了用戶的“知情同意權(quán)”，在此基礎(chǔ)上，《條例》進(jìn)一步提出了細(xì)則，對(duì)企業(yè)提出了更加具體的要求，進(jìn)一步明確了用戶的知情同意權(quán)。

《條例》第二十條規(guī)定，“數(shù)據(jù)處理者處理個(gè)人信息，應(yīng)當(dāng)制定個(gè)人信息處理規(guī)則并嚴(yán)格遵守。個(gè)人信息處理規(guī)則應(yīng)當(dāng)集中公開(kāi)展示、易于訪問(wèn)并置于醒目位置，內(nèi)容明確具體、簡(jiǎn)明通俗?！?

此舉將有效改變當(dāng)下信息收集“服務(wù)協(xié)議”和“隱私政策”又長(zhǎng)又難懂的情況，要“以清單形式列明”每項(xiàng)功能收集信息的目的、用途等等，用戶可以一目了然，不再需要去閱讀密密麻麻的文字，對(duì)于用戶來(lái)說(shuō)無(wú)疑是一件幸事。

同時(shí)，集中展示的內(nèi)容還包括“個(gè)人查閱、復(fù)制、更正、刪除”等敏感操作的途徑；向第三方提供個(gè)人信息情形及其目的等；個(gè)人信息安全問(wèn)題的投訴、舉報(bào)渠道及解決途徑，個(gè)人信息保護(hù)負(fù)責(zé)人聯(lián)系方式等；以及產(chǎn)品服務(wù)中嵌入的所有收集個(gè)人信息的第三方代碼、插件的名稱和信息收集的規(guī)則。

《條例》第二十一條規(guī)定，“處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意”，同時(shí)明確“不得使用概括性條款取得同意”；“敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意”；“處理不滿十四周歲未成年人的個(gè)人信息，應(yīng)當(dāng)取得其監(jiān)護(hù)人同意”；“不得以脅迫、誤導(dǎo)、欺詐、捆綁、批量處理、頻繁征求等方式獲取個(gè)人同意處理器個(gè)人信息等。”

此外，當(dāng)“個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，數(shù)據(jù)處理者應(yīng)當(dāng)重新取得個(gè)人同意，并同步修改個(gè)人信息處理規(guī)則?！?

總的來(lái)說(shuō)，《條例》在個(gè)人信息保護(hù)上花費(fèi)了大量的篇幅，詳細(xì)地?cái)⑹隽擞脩粝碛械闹橥鈾?quán)，將三部上位法個(gè)人信息保護(hù)的內(nèi)容更加淺顯、直白地進(jìn)行告知。

《條例》賦予用戶自由處理自己信息的權(quán)利，包括查閱、復(fù)制、更正、補(bǔ)充、限制處理、刪除其個(gè)人信息、個(gè)人信息轉(zhuǎn)移等權(quán)利。

《條例》第二十三條規(guī)定，對(duì)于以上的操作，企業(yè)應(yīng)執(zhí)行對(duì)應(yīng)的規(guī)定，保障用戶擁有信息處理權(quán)，包括“不得以時(shí)間、位置等因素對(duì)個(gè)人的合理請(qǐng)求進(jìn)行限制；不得設(shè)置不合理?xiàng)l件；應(yīng)當(dāng)在十五個(gè)工作日內(nèi)處理并反饋等?！?

在轉(zhuǎn)移個(gè)人信息時(shí)，企業(yè)應(yīng)確定這些個(gè)人信息的范疇，包括確定是本人信息，或已獲得且不違背他人意愿的他人信息，在信息轉(zhuǎn)移時(shí)還需要確認(rèn)請(qǐng)求人的合法身份，給予相應(yīng)的風(fēng)險(xiǎn)提示，避免因此造成個(gè)人信息泄露事件。

《條例》第二十五條規(guī)定，“不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個(gè)人身份認(rèn)證方式，以強(qiáng)制個(gè)人同意收集其個(gè)人生物特征信息。”這意味著日后所有互聯(lián)網(wǎng)產(chǎn)品及線下產(chǎn)品都應(yīng)提供人臉等生物特征認(rèn)證以外的其他認(rèn)證方法。

數(shù)據(jù)分類分級(jí)的目的就是為了區(qū)分一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)，以便采取不同的數(shù)據(jù)安全保護(hù)措施。其中，重要數(shù)據(jù)作為大多數(shù)企業(yè)占比最大的數(shù)據(jù)種類，常成為企業(yè)重點(diǎn)保護(hù)對(duì)象，也是《條例》中需要重點(diǎn)關(guān)注的內(nèi)容。

《條例》第二十八條提出，“重要數(shù)據(jù)的處理者，應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人，成立數(shù)據(jù)安全管理機(jī)構(gòu)，數(shù)據(jù)安全管理機(jī)構(gòu)在數(shù)據(jù)安全負(fù)責(zé)人的領(lǐng)導(dǎo)下履行職責(zé)?！边@意味著重要數(shù)據(jù)的識(shí)別與保護(hù)再次得到加強(qiáng)，從文件上規(guī)定了企業(yè)內(nèi)部設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和管理結(jié)構(gòu)的義務(wù)。

同時(shí)，“數(shù)據(jù)安全負(fù)責(zé)人應(yīng)當(dāng)具備數(shù)據(jù)安全專業(yè)知識(shí)和相關(guān)管理工作經(jīng)歷，由數(shù)據(jù)處理者決策層成員承擔(dān)，有權(quán)直接向網(wǎng)信部門和主管、監(jiān)管部門反映數(shù)據(jù)安全情況”，積極做好事情的決策建議、應(yīng)急預(yù)案、風(fēng)險(xiǎn)監(jiān)測(cè)、宣傳培訓(xùn)、處置投訴等安全工作。

該規(guī)定大大提升了數(shù)據(jù)安全負(fù)責(zé)人在企業(yè)內(nèi)部的地位和權(quán)利，也體現(xiàn)出數(shù)據(jù)安全的重要性。

在提升數(shù)據(jù)安全負(fù)責(zé)人的地位后，《條例》對(duì)于企業(yè)的重要數(shù)據(jù)也提出了一系列的合規(guī)要求，督促數(shù)據(jù)處理者完成備案、培訓(xùn)、上報(bào)等關(guān)鍵操作。

其中，第二十九條提出，“重要數(shù)據(jù)的處理者，也要在識(shí)別其重要數(shù)據(jù)后的十五個(gè)工作日內(nèi)向設(shè)區(qū)的市級(jí)網(wǎng)信部門備案。備案內(nèi)容包括數(shù)據(jù)處理者基本信息，處理數(shù)據(jù)的目的、規(guī)模、方式、范圍、類型、存儲(chǔ)期限、存儲(chǔ)地點(diǎn)等，以及其他規(guī)定的備案內(nèi)容?！?

第三十條提出，“重要數(shù)據(jù)的處理者，應(yīng)當(dāng)制定數(shù)據(jù)安全培訓(xùn)計(jì)劃，每年組織開(kāi)展全員數(shù)據(jù)安全教育培訓(xùn)，數(shù)據(jù)安全相關(guān)的技術(shù)和管理人員每年教育培訓(xùn)時(shí)間不得少于二十小時(shí)?！?

第三十二條提出，“每年一度自行或委托數(shù)據(jù)安全服務(wù)機(jī)構(gòu)開(kāi)展數(shù)據(jù)安全評(píng)估，在1月31日前將上一年評(píng)估報(bào)告上報(bào)至設(shè)區(qū)的市級(jí)網(wǎng)信部門并保存至少三年?！?

從上面的規(guī)定中不難發(fā)現(xiàn)國(guó)家對(duì)于重要數(shù)據(jù)安全的重視，對(duì)于企業(yè)的合規(guī)要求直接細(xì)化到了最低的顆粒度，其中包括詳細(xì)的備案內(nèi)容，以及不少于20小時(shí)一年的安全培訓(xùn)工作等。此外，這樣也給企業(yè)滿足重要數(shù)據(jù)安全合規(guī)指出了具體的方向，企業(yè)只需要按照規(guī)定完成即可。

除此之外，政府部門還對(duì)企業(yè)重要數(shù)據(jù)處理提出了其他的合規(guī)要求。比如開(kāi)展共享、交易、委托處理、向境外提供重要數(shù)據(jù)的安全評(píng)估，一旦評(píng)估認(rèn)為可能危害國(guó)家安全、經(jīng)濟(jì)發(fā)展和公共利益，數(shù)據(jù)處理者不得共享、交易、委托處理、向境外提供數(shù)據(jù)。

第三十三條提出，“數(shù)據(jù)處理者共享、交易、委托處理重要數(shù)據(jù)的，應(yīng)當(dāng)征得設(shè)區(qū)的市級(jí)及以上主管部門同意，主管部門不明確的，應(yīng)當(dāng)征得設(shè)區(qū)的市級(jí)及以上網(wǎng)信部門同意?！?

第三十四條提出，“國(guó)家機(jī)關(guān)和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)的云計(jì)算服務(wù)，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的安全評(píng)估?！?

這意味著，當(dāng)某些操作涉及重要數(shù)據(jù)時(shí)，企業(yè)已經(jīng)不能再完全按照自身意愿處理，而是要在國(guó)家政策的同意之下方能進(jìn)行。

針對(duì)數(shù)據(jù)跨境安全管理，《條例》作出了十分完善的規(guī)定，對(duì)于數(shù)據(jù)出境增加了許多限制條件，體現(xiàn)出我國(guó)對(duì)數(shù)據(jù)跨境的高度重視。

例如《條例》第三十五條明確提出，數(shù)據(jù)可以跨境流通，但是首先要通過(guò)網(wǎng)信部門組織的數(shù)據(jù)出境安全評(píng)估和滿足《網(wǎng)絡(luò)安全審查辦法》的要求，以及其他審查需求，包括數(shù)據(jù)接收方、合同訂立、權(quán)利與義務(wù)等都需要進(jìn)行審查和滿足規(guī)定的條件。

《條例》第三十六條提出，“數(shù)據(jù)處理者向中華人民共和國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知境外數(shù)據(jù)接收方的名稱、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外數(shù)據(jù)接收方行使個(gè)人信息權(quán)利的方式等事項(xiàng)，并取得個(gè)人的單獨(dú)同意。”

單獨(dú)同意是指數(shù)據(jù)處理者在開(kāi)展具體數(shù)據(jù)處理活動(dòng)時(shí)，對(duì)每項(xiàng)個(gè)人信息取得個(gè)人同意，不包括一次性針對(duì)多項(xiàng)個(gè)人信息、多種處理活動(dòng)的同意。

《條例》還要求展開(kāi)數(shù)據(jù)出境活動(dòng)的數(shù)據(jù)處理者應(yīng)每年編制數(shù)據(jù)出境安全報(bào)告，并在1月31日前向市級(jí)網(wǎng)信部門報(bào)告上一年度的數(shù)據(jù)出境情況，報(bào)告應(yīng)包括接收方的名稱與聯(lián)系方式、數(shù)據(jù)出境后再轉(zhuǎn)移的情況、數(shù)據(jù)在境外的存放地點(diǎn)、存儲(chǔ)期限等。

這將給企業(yè)數(shù)據(jù)跨境增加了不少限制條件，尤其是涉及國(guó)計(jì)民生的信息，充分凸顯出我國(guó)堅(jiān)守?cái)?shù)據(jù)安全大前提的戰(zhàn)略構(gòu)想。

此外，《條例》第四十一條提出，“國(guó)家建立數(shù)據(jù)跨境安全網(wǎng)關(guān)，對(duì)來(lái)源于中華人民共和國(guó)境外、法律和行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒂枰宰钄鄠鞑?。任何個(gè)人和組織不得提供用于穿透、繞過(guò)數(shù)據(jù)跨境安全網(wǎng)關(guān)的程序、工具、線路等，不得為穿透、繞過(guò)數(shù)據(jù)跨境安全網(wǎng)關(guān)提供互聯(lián)網(wǎng)接入、服務(wù)器托管、技術(shù)支持、傳播推廣、支付結(jié)算、應(yīng)用下載等服務(wù)?！?/span>

數(shù)據(jù)跨境安全網(wǎng)關(guān)是指阻斷訪問(wèn)境外反動(dòng)網(wǎng)站和有害信息、防止來(lái)自境外的網(wǎng)絡(luò)攻擊、管控跨境網(wǎng)絡(luò)數(shù)據(jù)傳輸、防范偵查打擊跨境網(wǎng)絡(luò)犯罪的重要安全基礎(chǔ)設(shè)施。

《條例》花費(fèi)了大量的篇幅來(lái)說(shuō)明互聯(lián)網(wǎng)平臺(tái)應(yīng)該滿足的合規(guī)要求，除了將其可能影響國(guó)家安全的數(shù)據(jù)處理行為納入網(wǎng)絡(luò)安全審查范疇外，還對(duì)平臺(tái)規(guī)則、隱私政策修訂等提出要求。

《條例》第四十三條提出，互聯(lián)網(wǎng)平臺(tái)的平臺(tái)規(guī)則、隱私政策發(fā)生重大更新時(shí)需要公示三十日，并廣泛聽(tīng)取用戶的建議；日活超過(guò)一億的大型平臺(tái)還應(yīng)當(dāng)經(jīng)國(guó)家網(wǎng)信部門認(rèn)定的第三方機(jī)構(gòu)評(píng)估，并報(bào)省級(jí)及以上網(wǎng)信部門和電信主管部門同意。

同時(shí)互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者還需要承擔(dān)第三方數(shù)據(jù)安全管理責(zé)任，且“第三方產(chǎn)品和服務(wù)對(duì)用戶造成損害的，用戶可以要求互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者先行賠償”，這點(diǎn)對(duì)于移動(dòng)通信終端和預(yù)裝APP同樣適用。

近年來(lái)，因第三方而導(dǎo)致的數(shù)據(jù)泄露事件層出不窮，很多第三方平臺(tái)缺乏必要的數(shù)據(jù)安全防護(hù)措施?！稐l例》的出現(xiàn)將會(huì)有效改變這一現(xiàn)狀，能否保證數(shù)據(jù)安全將會(huì)成為互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者選擇第三方合作商的衡量指標(biāo)之一，并且會(huì)體現(xiàn)在合同中，倒逼第三方提高數(shù)據(jù)安全保護(hù)能力。

互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者通過(guò)已掌握的數(shù)據(jù)殺熟，定制化推薦廣告已經(jīng)不是什么秘密，針對(duì)這些熱議的問(wèn)題，《條例》做出了明確的規(guī)定。

第四十六條提出，禁止向用戶提供產(chǎn)品和服務(wù)差異化定價(jià)等損害用戶合法利益的行為；禁止利用數(shù)據(jù)誘導(dǎo)用戶的行為；禁止最低價(jià)銷售等損害公平競(jìng)爭(zhēng)的行為；禁止限制中小企業(yè)獲取資源等。

同時(shí)，對(duì)于人們關(guān)心的定制化推薦廣告的行為，第四十九條提出，互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者要“對(duì)推送信息的真實(shí)性、準(zhǔn)確性以及來(lái)源合法性負(fù)責(zé)”，且“應(yīng)取得個(gè)人單獨(dú)同意”，還應(yīng)該“設(shè)置便捷易懂的一鍵化關(guān)閉選項(xiàng)，允許用戶重置、修改或調(diào)整針對(duì)其個(gè)人的定向推送參數(shù)”，和“允許個(gè)人刪除定向推送信息服務(wù)收集產(chǎn)生的個(gè)人信息”。

《條例》第五十三條提出，大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者應(yīng)每年對(duì)平臺(tái)數(shù)據(jù)安全進(jìn)行審計(jì)，并將審計(jì)結(jié)果進(jìn)行披露。這意味著，大型互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)安不安全以及數(shù)據(jù)使用情況，已經(jīng)不僅僅是企業(yè)自己的事情，而是需要接受第三方監(jiān)督，避免企業(yè)出現(xiàn)陽(yáng)奉陰違的情況，這也是企業(yè)需要完成的合規(guī)義務(wù)之一。

《條例》第五十五條提出，“國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)數(shù)據(jù)安全和相關(guān)監(jiān)督管理工作；公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)等在各自職責(zé)范圍內(nèi)承擔(dān)數(shù)據(jù)安全監(jiān)管職責(zé)；工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔(dān)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)?！?

同時(shí)還明確了各監(jiān)督、執(zhí)法部門的工作范疇，包括“對(duì)數(shù)據(jù)安全進(jìn)行監(jiān)督檢查”，“對(duì)重要數(shù)據(jù)處理活動(dòng)的審計(jì)”，以及“制定數(shù)據(jù)安全行為規(guī)范，加強(qiáng)行業(yè)自律，指導(dǎo)會(huì)員加強(qiáng)數(shù)據(jù)安全保護(hù)，提高數(shù)據(jù)安全保護(hù)水平，促進(jìn)行業(yè)健康發(fā)展?！?

針對(duì)互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者的違法行為，《條例》也列舉出詳細(xì)的處罰措施，包括不履行《條例》處以金額不等的罰金；對(duì)違法處理個(gè)人信息的應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)，最高可以處以上一年?duì)I業(yè)額百分之五的罰金，吊銷營(yíng)業(yè)執(zhí)照，追究直接負(fù)責(zé)人和直接主管人員的責(zé)任，并處罰金。

第七十條更是明確指出，“數(shù)據(jù)處理者違反本《條例》規(guī)定，給他人造成損害的，依法承擔(dān)民事責(zé)任；構(gòu)成違反治安管理行為的，依法給予治安管理處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任”，值得企業(yè)和個(gè)人警醒。