數據合規觀察 |《網絡數據安全管理條例（徵求意見稿）》發佈_風聞

走出去智庫觀察

**11月14日，國家互聯網信息辦公室公佈了《網絡數據安全管理條例（徵求意見稿）》（以下簡稱“《數安條例》”），並向社會公開徵求意見。《數安條例》**聚焦互聯網平台，規範了平台數據行為準則、互聯互通要求、公共運維數據專用等，並且對違法者提出5%的最高處罰力度。

走出去智庫(CGGT)特約法律專家、中倫律師事務所顧問賈申指出，《數安條例》沿襲貫徹了《網絡安全法》、《數據安全法》和《個人信息保護法》三大基石中的原則與要求，進一步細化了實施路徑，強化了數據處理者的責任與義務，將對企業數據合規工作架構的搭建與落地產生重要影響。

互聯網平台如何做好數據安全、互聯互通？今天，走出去智庫（CGGT）刊發中倫律師事務所賈申、李瑞、徐晨的文章，供關注數據合規管理的讀者參考**。**

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、重要數據保護是數據分類分級制度中關鍵一環。開展重要數據保護工作的第一步是盤點數據資產，識別認定重要數據範圍，但此前重要數據的具體認定一直尚不明確。

2、《數安條例》進一步明確了數據處理者在數據跨境傳輸活動中的責任與義務。其中特別值得注意的是，數據處理者在數據出境後仍應承擔起數據安全保護的責任義務，包括接受和處理數據出境所涉及的用户投訴、個人信息出境後再轉移的，應事先與個人信息主體約定再轉移的條件等。

3、通過要求重點企業在開展合併、重組、分立等交易時履行報告義務，中國監管部門將能夠在重點企業境外上市前即把握企業準備上市的動向，從而加強監管部門對經濟動態的覺知和管控，避免出現“先上車後補票”式的交易案例，同時對可能存在的針對網絡安全審查程序專門設計交易予以規避的情形加以管控和預防。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/賈申 李瑞 徐晨****

中倫律師事務所2021年11月14日，國家互聯網信息辦公室發佈《網絡數據安全管理條例（徵求意見稿）》（下稱“《數安條例》”）並公開向社會徵求意見。《數安條例》沿襲貫徹了《網絡安全法》、《數據安全法》和《個人信息保護法》三大基石中的原則與要求，進一步細化了實施路徑。

《數安條例》一方面強化了數據處理者在日常業務經營場景中的合規責任與義務，另一方面又梳理及/或增設了企業在合併重組、解散破產、境外上市等各類交易場景下的年度和特別報告及審查義務，尤其是對企業上市行為形成了上市前、中、後全鏈條、全法域覆蓋的監管體系。可以看出，通過《數安條例》的頒佈和落地，針對企業日常經營和交易兩大條線的合規體系即將得到完善和落實；不言而喻，這將對企業數據合規工作架構的搭建與落地產生重要影響。

本快訊通過兩大條線、【六】大亮點對《數安條例》中部分需重點關注的內容進行概括，以供業界同仁參考指正。

一、涉及日常經營條線的亮點概覽

**1.**亮點一：再次加強重要數據的識別與保護

重要數據保護是數據分類分級制度中關鍵一環。開展重要數據保護工作的第一步是盤點數據資產，識別認定重要數據範圍，但此前重要數據的具體認定一直尚不明確。信息安全標準化技術委員會（下稱“信安標委”）雖於近期發佈了《信息安全技術 重要數據識別指南（徵求意見稿）》 （下稱“《識別指南》”），但主要是明確了重要數據識別的原則和流程，且《識別指南》尚未生效，所以企業在實操中大概率仍存疑慮。《數安條例》在第73條中對於重要數據進行了列舉性定義，明確概括重要數據包括出口管制數據、國家經濟運行數據等七大類，從立法位階來看，《數安條例》對於重要數據的認定識別具有更重要指導意義。

《數安條例》將重要數據的安全保護單列一章，系統地規定了重要數據處理者的責任義務。從企業合規措施落地角度，可初步將其分為內外部合規義務：

● 內部義務，企業應（1）設立數據安全負責人和管理結構；（2）梳理識別重要數據；（3）制定數據安全培訓計劃並對相關人員開展每年不少於20小時的培訓。

● 外部義務，企業還需（1）在完成重要數據識別的15個工作日內向市級網信部門備案；（2）每年一度自行或委託數據安全服務機構開展數據安全評估，在1月31日前將上一年評估報告上報至市級網信部門並保存至少三年；（3）共享、交易、委託處理重要數據前還需徵得相關部門同意。

**2.**亮點二：加強數據處理者在數據跨境傳輸中的責任和義務

目前，數據出境安全評估機制已初見輪廓（有關數據出境監管要求的分析，請參見我們此前的文章九層之台，起於累土：我國數據跨境傳輸監管體系雛形初現）。在此基礎上，《數安條例》進一步明確了數據處理者在數據跨境傳輸活動中的責任與義務。其中特別值得注意的是，數據處理者在數據出境後仍應承擔起數據安全保護的責任義務，包括接受和處理數據出境所涉及的用户投訴、個人信息出境後再轉移的，應事先與個人信息主體約定再轉移的條件等。此外，《數據條例》還要求展開數據出境活動的數據處理者應每年編制數據出境安全報告，並在1月31日前向市級網信部門報告上一年度的數據出境情況，報告應包括接收方的名稱與聯繫方式、數據出境後再轉移的情況、數據在境外的存放地點、存儲期限等。

**3.**亮點三：重點突出互聯網平台運營者的合規義務

互聯網平台運營者在《數安條例》中也佔據了重大篇幅。根據第73條，互聯網平台運營者指的是“為用户提供信息發佈、社交、交易、支付、試聽等互聯網平台服務的數據處理者”，“用户超過五千萬、處理大量個人信息和重要數據、具有強大社會動員能力和市場支配地位的”則是大型互聯網平台運營者。值得注意的是，提供程序分發服務的數據處理者也屬於互聯網平台運營者，所以諸多手機廠商開發的程序商店也需遵守互聯網平台運營者的合規要求，不僅應制定披露應用程序審核規則，還應對申請上架的程序進行安全審核。

互聯網平台運營者掌握海量數據，一旦濫用可能帶來不可估量的不良後果。針對於日前熱議的大數據殺熟，平台“二選一”等問題，《數據條例》在第六章做出了明確回應，禁止無正當理由實行差異化定價、利用數據誤導用户等行為，並且提出互聯網平台運營者在使用個性化推送算法向用户提供信息時應（1）取得用户的單獨同意；（2）設置便捷易懂的一鍵化關閉選項，允許用户重置、修改或調整針對其個人的定向推送參數；並（3）允許用户刪除定推產生的個人數據。

互聯網平台運營者的其他重要義務還包括（1）制定和修訂平台規則、隱私政策中的特殊義務；（2）開展第三方審計；和（3）進行安全評估等。具體而言，在制定和修訂平台規則、隱私政策時，互聯網平台運營者應公開徵求意見，日活量超過一億用户的大型互聯網平台運營者還應通過國家網信部門認定的第三方機構評估並批報相關部門同意。互聯網平台運營者每年應委託第三方進行審計並披露審計結果，在利用人工智能、虛擬現實等新技術前，需要進行安全評估。

二、涉及交易條線的亮點概覽

**4.**亮點四：明確赴港上市觸發網絡安全審查申報的標準

近年來，中國互聯網行業發展迅速，眾多企業已在境外掛牌或正在考慮進行上市。自《網絡安全審查辦法（修訂草案徵求意見稿）》發佈以來，可能觸發網絡安全審查的情況以及其具體流程與內容一直受到廣泛關注。根據《網絡安全審查辦法（修訂草案徵求意見稿）》，擬國外上市的數據處理者，如處理100萬人以上個人信息，應申報網絡安全審查。赴港上市將被如何對待較受關注。《數安條例》第13條對此做出了明確回應，即赴香港上市如影響或可能影響國家安全的，也需要進行網絡安全審查。與“處理一百萬人以上個人信息”的觸發條件不同，赴港上市網絡安全審查的觸發條件着眼於對於國家安全的影響。由此對比可見，赴港上市的可行性或許更高，但“影響或可能影響國家安全”的具體認定標準還有待監管部門進一步澄清。

**5.**亮點五：針對企業境外上市行為建立前、中、後全鏈條、以及全地域覆蓋的監管體系

《數安條例》第14條提出，數據處理者在合併、重組和分立等情況下涉及重要數據和一百萬人以上個人信息的（“重點企業”），公司需向市級主管部門報告。而結構重組幾乎是企業境外上市前的必經階段。我們理解，通過要求重點企業在開展合併、重組、分立等交易時履行報告義務，中國監管部門將能夠在重點企業境外上市前即把握企業的準備上市的動向，從而加強監管部門對經濟動態的覺知和管控，避免出現“先上車後補票”式的交易案例，同時對可能存在的針對網絡安全審查程序專門設計交易予以規避的情形加以管控和預防。當然，針對重點企業合併、重組和分立行為的報告機制並不是僅針對境外上市情形而創設，重點企業的所有合併、重組和合並行為都將落入報告範圍，14條本身覆蓋非常廣泛，值得企業重視。

就企業境外上市本身而言，通過明確香港上市觸發網絡安全審查的標準（見上文亮點四），法規空白得到了填補，從而中國企業在任何地域的證券交易所上市都將進入中國網絡安全及數據合規體系的監管視野。

而在企業完成境外上市之後，《數安條例》也新增規定，要求赴境外上市者每年應自行或委託第三方機構開展數據安全評估，在1月31日前將上一年評估報告上報至市級網信部門，並將報告保存至少三年。此項要求不管是赴香港還是國外上市的企業，不論其是否觸發網絡安全審查都應遵守。雖然條文並未明確，但我們認為已經掛牌的數據處理者也應按規定進行年度評估並提交報告。

**6.**亮點六：增設數據處理者解散或宣告破產時的合規義務

針對企業解散或宣告破產的情形，《數安條例》規定，數據處理者解散或宣告破產的，需要履行向主管部門報告的義務，此外，還應按照相關要求移交或刪除數據。結合前文中歸納的針對企業的合併、重組、分立、上市等交易條線以及日常經營條線的合規要求，可以説，《數安條例》已經針對企業的全生命週期建立起了全面的合規體系。

三、小結

如開篇所述，《數安條例》如正式發佈，將對企業整體的數據保護合規義務造成了重要的影響，企業不僅需要在日常運營和產品投放時細化落實相關的要求，還應在兼併上市等交易項目中重點關注其可能涉及的網絡安全審查申報或報告義務。《數安條例》還對於未履行相應要求的法律責任進行了壓實和細化，可見數據保護監管將越來越嚴格。但隨着配套法律法規的不斷髮布，我們也相信數據保護工作的開展將更加有條不紊。本快訊拋磚引玉，我們後續還將發佈專題解讀，對相關要求進行全面詳盡的分析，同時提供有關合規落地方案的洞察。