關於《網絡數據安全管理條例（徵求意見稿）》的三十四個核心問題_風聞

走出去智库-走出去智库官方账号-2021-11-23 19:15

2021-11-23

走出去智庫觀察

11月14日，國家網信辦公佈的《網絡數據安全管理條例（徵求意見稿）》（簡稱《數安條例》）提出，國家建立數據分類分級保護制度，對個人信息和重要數據進行重點保護，對核心數據實行嚴格保護。

走出去智庫（CGGT）特約法律專家、中倫律師事務所合夥人陳際紅指出，隨法律法規的進一步細化，隱私政策的透明度及細節程度可謂有增無減，建議企業在制定隱私政策時全盤把握個人信息處理活動的各生命週期，確保真實、準確、完整地披露各項要求的內容。

《數安條例》對企業數據合規提出了要求？今天，走出去智庫（CGGT）刊發中倫律師事務所陳際紅、吳佳蔚、焦雅婷、陳煜烺、韋龍傑的分析文章，供關注數據合規管理的讀者參考。

要點

CGGT，CHINA GOING GLOBAL THINKTANK

**1、**數據處理者應當建立數據安全應急處置機制，並在數據安全事件發生時及時啓動，以防止危害擴大，消除安全隱患。

**2、**處理重要數據的數據處理者應自行或者委託數據安全服務機構每年開展一次數據安全評估，並在每年1月31日前彙報上一年度的數據安全評估報告。數據安全評估報告需保留至少三年。

****3、****對於為訂立、履行合同所必需而向境外提供個人信息的場景可見於跨境網購、與境外證券公司開展交易等境內個人直接與境外處理者發生個人信息傳輸的場景，根據《數安條例》，此等場景無需再履行《個保法》第三十八條設定的個人信息跨境傳輸合法路徑。

正文

CGGT，CHINA GOING GLOBAL THINKTANK

文/****陳際紅、吳佳蔚、焦雅婷、陳煜烺、韋龍傑

中倫律師事務所2021年11月14日，國家互聯網信息辦公室公佈《網絡數據安全管理條例（徵求意見稿）》（以下簡稱“《數安條例》”）。《數安條例》以《中華人民共和國網絡安全法》（以下簡稱“《網安法》”）、《中華人民共和國數據安全法》（以下簡稱“《數安法》”）和《中華人民共和國個人信息保護法》（以下簡稱“《個保法》”）“三駕馬車”作為上位法，內容龐大，既有對“三駕馬車”重要但又落地細節不足條款的細化和補充，也增設了一些新的制度體系。鑑於該條例的高度重要性，我們通過本文對三十四個核心問題進行解讀。

基本問題的細化與澄清

1、條例的定位、目標和適用範圍是？

2、哪些主體適用該條例？

根據《數安條例》第七十三條的規定，下列主體在進行數據處理活動時應當遵循《數安條例》的相關規定：

3、什麼是重要數據？

根據《數安條例》第七十三條第（三）款規定，重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取利用，可能會對國家安全和公共利益造成危害的數據，具體如下：

此項定義沒有采取多年前《數據安全管理辦法（徵求意見稿）》（下稱“《數安辦法》”）中的定義，個人信息或者企業內部的生產數據在此版本中並沒有被排除出重要數據的範圍。

4、什麼是國家核心數據？

根據《數安條例》第七十三條第（四）條規定，核心數據是指關係國家安全、國民經濟命脈、重要民生和重大公共利益等的相關數據。國家核心數據在《數安法》中有所提及，但是並未明確其定義，而《數安條例》的規定對於國家核心數據概念的確立尚屬首次。

5、個人信息和重要數據的關係？

根據《數安條例》第二十六條規定，如果數據處理者處理一百萬人以上個人信息時應當參照《數安條例》第四章關於重要數據處理者的規定（重要數據處理的規定參見下文）。也就是説，《數安條例》將一百萬以上的個人信息的保護要求提升到與重要數據相同的水平。但是，我們也注意到在某些行業中存在特別規定，例如在《汽車數據安全管理若干規定》（試行）（以下稱“《汽車數據安全管理規定》”）的第三條規定了涉及個人信息主體超過10萬人的個人信息屬於重要數據。由此，分別在國家層面和行業層面，個人信息和重要數據的認定的交叉關係可能是一個需要持續關注的話題。

6、什麼是公共數據？

根據《數安條例》第七十三條第（六）條規定，公共數據包括兩類：第一，國家機關和法律、行政法規授權的具有管理公共事務職能的組織在履行公共管理職責或者提供公共服務過程中收集和產生的各類數據；第二，其他組織在提供公共服務過程中收集和產生的涉及公共利益的各類數據。

7、數據安全保障措施有什麼具體要求？

根據《數安條例》第九條和第十條的規定，數據處理者需要採取下列數據保障措施：

1) 採取備份、加密、訪問控制等基本必要措施；

2) 按照網絡安全等級保護的要求加強數據處理系統、傳輸網絡、存儲環境等安全防護；

3) 如果發現使用或者提供的網絡產品和服務存在安全缺陷或漏洞，抑或威脅國家安全和危害公共利益等風險時，應當立即採取補救措施。

另外，數據處理者在處理重要數據和/或核心數據時，應當採取下列數據保障措施：

1) 使用密碼對重要數據和核心數據進行保護；

2) 重要數據的處理系統原則上應滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求；另外，在處理核心數據時，數據處理系統需要依照有關規定從嚴保護。

8、關於數據安全事件的處理和報告

根據《數安條例》第十一條規定，數據處理者應當建立數據安全應急處置機制，並在數據安全事件發生時及時啓動，以防止危害擴大，消除安全隱患。同時，數據處理者應當注意下列時間節點：

9、如何進行涉及第三方的數據流轉？

根據《數安條例》第十二條規定，數據處理者如果向第三方提供個人信息或者共享、交易、委託處理重要數據時，應當注意下列要求：

10、企業合併、重組、分立、解散、破產，數據怎麼辦？

《個保法》在第二十二條中已經規定，個人信息處理者在合併、分立、解散、被宣告破產等原因需要轉移個人信息時，應當向個人告知相關個人信息接收方的名稱或者姓名和聯繫方式。而《數安條例》的第十四條則進一步細化了數據處理者的相關義務，具體如下：

1）數據處理在者在發生合併、重組、分立等情況時，除了繼續履行數據安全保護義務外，如果涉及重要數據和一百萬人以上個人信息時，應當向設區的市級主管部門進行報告；

2）數據處理者發生解散、被宣告破產等情況時，應當向設區的市級主管部門報告，並按照相關要求移交或刪除相關數據，如果上述主管部門不明確時應當向設區的市級網信部門報告。

11、爬蟲類的自動化訪問、收集工具還能用嗎？

根據《數安條例》第二十二條第四款規定，如果使用自動化採集技術等技術措施，且無法避免採集到非必要個人信息或者未經個人同意的個人信息時，相關數據處理者應當在十五個工作日內刪除上述採集的個人信息或者對上述個人信息進行匿名化處理。我們理解，爬蟲類自動化訪問、收集工具以及網聯汽車收集車外數據等均可能落入此類範疇。因此，如果該類自動化訪問和收集工具的確採集到非必要個人信息或未經個人同意的個人信息時，使用者應當在十五個工作日內對相關個人信息予以刪除或進行匿名化處理。

關於個人信息

12、隱私政策得寫到什麼程度？

就隱私政策的寫作尺度，《數安條例》第二十條延續了《個保法》真實、準確、完整的標準，同時進一步細化了相關內容要求。

《數安條例》在形式上要求隱私政策應當“集中公開展示、易於訪問並置於醒目位置”，這一點與《App違法違規收集使用個人信息行為認定方法》（下稱“《認定方法》”）的相關規定一脈相承；

在內容上應“明確具體、簡明通俗、系統全面”，具體而言：

1）從體例上，隱私政策應依據產品或服務的功能，以清單的形式列明各項功能處理個人信息的目的、用途、方式、種類、頻次或者時機、保存地點，以及拒絕處理個人信息對個人的影響。此處，個人信息收集的頻次首次被明確要求在隱私政策中加以列明，這也與《數安條例》第十九條規定的個人信息需限於處理目的最低頻次相對應。

2）《數安條例》還首次規定需在隱私政策中列明個人信息存儲期限的確定方法，即企業需內部論證並梳理存儲期限的訂立邏輯，並加以公示。

3）對於公眾多有困惑的第三方、第三方代碼/插件的公示情況，《數安條例》也在第二十條中給出了明確的方案，要求需以集中展示等便利用户訪問的方式説明第三方代碼/插件的名稱、收集個人信息的目的、方式、種類、頻次或者時機及其個人信息處理規則，也需列明向第三方提供個人信息情形及其目的、方式、種類、數據接收方相關信息等。在實踐中，我們經常可以看到部分企業以在隱私政策中嵌入單獨超鏈接或表格的方式進行公示，結合近期工信部發布的《關於開展信息通信服務感知提升行動的通知》中所要求的“雙清單”義務，第三方數據共享的嚴格透明化將是《個保法》生效後的顯著趨勢。

4）《數安條例》還包括個人信息主體權利響應、個人信息安全風險及保護措施、個人信息安全問題投訴、舉報渠道及解決路徑、個人信息保護負責人聯繫方式的內容要求。

綜上，隨法律法規的進一步細化，隱私政策的透明度及細節程度可謂有增無減，建議企業在制定隱私政策時全盤把握個人信息處理活動的各生命週期，確保真實、準確、完整地披露各項要求的內容。

13、用户的同意需具備哪些條件？

《數安條例》第二十一條對用户的同意條件進行了集中闡述。在形式上，需按照服務類型分別向個人申請處理個人信息的同意，不得使用概括性條款取得同意；不得通過捆綁不同類型服務、批量申請同意等方式誘導、強迫個人進行批量個人信息同意。此要求與今年5月1日出台的《網絡交易監督管理辦法》第十三條[1]相呼應。另外，與《信息安全技術個人信息安全規範》（下稱“《安全規範》”）第5.3條[2]類似，不得僅以改善服務質量、提升用户體驗、研發新產品等為由強迫個人同意處理其個人信息，即前述條件需以同意作為處理的法律基礎。特殊場景如敏感個人信息需取得個人單獨同意，不滿十四周歲的未成年人的個人信息需取得監護人同意。在獲取同意之後，不得超出個人授權同意的範圍處理個人信息，也不得在個人明確表示不同意後，頻繁徵求同意、干擾正常使用服務。

值得一提的是，《數安條例》全文在多處提及單獨同意相關細化要求。首先，《數安條例》在第九章中，首次對單獨同意的定義加以明確。單獨同意是指指數據處理者在開展具體數據處理活動時，對每項個人信息取得個人同意，不包括一次性針對多項個人信息、多種處理活動的同意。其次，如第三十六條規定，針對跨境提供個人信息的場景，如收集個人信息時已單獨就個人信息出境取得個人同意，且按照取得同意的事項出境的，無需再次取得個人單獨同意。此要求即是在確保個人信息單獨同意的前提下平衡用户體驗的典型體現。

《數安條例》第二十一條還與《個保法》的舉證責任條款有效連接，如對於同意行為有效性存在爭議，數據處理者負有舉證責任。對此，企業需在內部建立相關流程機制，對同意行為的有效性進行論證，並留存相關日誌記錄。

14、數據主體行權的響應要求

《數安條例》在延續《個保法》《安全規範》數據主體行權響應要求的基礎上，細化了部分權利的響應要求。數據主體行權的範圍包括查閲、複製、更正、補充、限制處理、刪除其個人信息。

根據《數安條例》第二十二條，個人信息刪除的條件除個人信息處理目的已實現或不再必要、存儲期限屆滿、服務終止或賬號註銷外，還包括因使用自動化採集技術等，無法避免採集到的非必要個人信息或者未經個人同意的個人信息，此處可能是針對爬蟲或者汽車數據處理者可能收集的人臉信息、車牌信息等的車外視頻、圖像數據。本條跟《個保法》規定有所差異，例如不包含撤回同意的情形。

對於個人信息主體的查閲權，《數安條例》第二十三條要求數據處理者需“提供便捷的支持個人結構化查詢本人被收集的個人信息類型、數量等的方法和途徑，不得以時間、位置等因素對個人的合理請求進行限制”。其中，“便捷”、“結構化”、“個人信息類型、數量”均為值得關注的要點。業界良好實踐包括部分企業提供自動化方式，供用户自行導出個人信息列表，但也需檢查確保符合前述內容條件。

另外，《數安條例》繼《認定方法》第六條[3]後，再一次明確了數據主體權利行使要求為十五個工作日。企業在接收到數據主體行權申請後，應確保在十五個工作日內處理並反饋。

15、“數據轉移權”如何響應？

《數安條例》第二十四條首次對數據轉移權進行了細化規定。與《歐洲通用數據保護法》（下稱“GDPR”）[4]的立法邏輯類似，轉移權僅針對基於同意或者訂立、履行合同所必需而收集的個人信息。與GDPR不同的是，《數安條例》明確説明轉移的個人信息可以是本人的信息，也可以是他人的信息，但請求人需確保他人的信息是通過合法的方式獲得，且不違揹他人意願，同時，請求人的合法身份也需可驗證。在實踐中，企業可以考慮如何設置信息內容及申請者合法的前置證明條件。《數安條例》也未像GDPR一樣規定轉移的個人信息需為“通用”且“機器可讀”的。

另外，GDPR規定如技術可行，數據主體有權要求數據控制者將其個人數據直接傳輸給另一數據控制者，而《數據條例》第二十四條在開頭即表明，數據處理者提供的轉移服務適用於個人指定的其他數據處理者訪問、獲取個人轉移的個人信息，從文意上理解，此處的轉移服務也發生在數據處理者及個人指定的數據接收方之間。《數安條例》特別規定，如數據處理者發現“接收個人信息的其他數據處理者有非法處理個人信息風險的，應當對個人信息轉移請求做合理的風險提示”。我們理解，此項要求如何在實踐中落地還有待進一步觀察及討論，如轉移權的行使是否均需要數據主體告知接收個人信息的其他數據處理者？企業如何判斷其他數據處理者的個人信息處理活動是否存在風險？是否僅需做統一提示？對此，我們將持續觀察後續法律進展及行業實踐。

16、只能用人臉信息進行打卡合法嗎？

個人生物特徵的準確性及便捷性，使得相關身份識別及認證技術在社會上廣泛使用。《數安條例》第二十五條規定數據處理者在利用生物特徵進行個人身份認證時，應首先對其必要性、安全性進行風險評估。同時，規定生物特徵，包括人臉、步態、指紋、虹膜、聲紋等，不得作為唯一的個人身份認證方式。對於此類生物特徵信息的收集，由於其屬於敏感個人信息範疇，根據《數安條例》第二十一條，在收集前需獲取用户的單獨同意，此條規定也確認了生物特徵信息用於個人身份識別是以同意作為法律基礎，在使用該技術收集個人信息時需同時提供其他替代方案。

關於重要數據

17、誰能當數據安全負責人？

《數安法》第二十七條即明確重要數據的處理者應當明確數據安全負責人和管理機構，對於具體由誰來承擔數據安全負責人這一角色，《數安條例》延續了《數安辦法》第十七條[5]的規定。《數安條例》第二十八條説明，數據安全負責人應當具備數據安全專業知識和相關管理工作經歷，且由數據處理決策層成員承擔，有權直接向網信部門和主管、監管部門反映數據安全情況。與《數安辦法》不同的是，《數安條例》直接明確該負責人需為決策層成員承擔，而非參與有關數據活動的重要決策。企業如需在內部設置數據安全負責人，可以根據工作背景及工作職責綜合考慮決定。

18、數據安全負責機構有哪些職責？

根據《數安條例》第二十八條，重要數據的處理者應成立數據安全管理機構。數據安全管理機構應履行多方面職責。該機構由數據安全負責人帶領，即該數據處理決策層成員將帶領機構研究提出數據安全相關重大決策建議，並制定實施數據安全保護計劃和數據安全事件應急預案。同時，數據安全負責機構還將開展數據安全風險監測，及時處置數據安全風險和事件；定期組織開展數據安全宣傳教育培訓、風險評估、應急演練等活動。機構還將受理、處置數據安全投訴、舉報；按照要求及時向網信部門和主管、監管部門報告數據安全情況。

19、重要數據處理者的數據安全法定責任有哪些？

根據《數安條例》，重要數據處理者的數據安全法定責任包括：

20、如何進行重要數據的安全評估？

《數安條例》第三十二條對於重要數據處理者的安全評估分成兩種類型：

1）定期評估：處理重要數據的數據處理者應自行或者委託數據安全服務機構每年開展一次數據安全評估，並在每年1月31日前彙報上一年度的數據安全評估報告。數據安全評估報告需保留至少三年。評估內容包括：

此項要求與《汽車數據安全管理規定》第十三條[6]規定的汽車數據處理者的報送義務類似。

2）場景評估：對於共享、交易、委託處理、向境外提供重要數據的場景，重點評估的內容有所區別：

如評估結果為可能危害國家安全、經濟發展和公共利益，則不得共享、交易、委託處理、向境外提供數據。

關於數據跨境

21、哪些情況下，個人信息跨境提供無需簽訂標準合同、獲得認證或者通過安全評估？

根據《數安條例》第三十五條第二款，以下兩種情形無需履行《個人信息保護法》（下稱“《個保法》”）第三十八條設定的個人信息跨境傳輸合法路徑：

1) 為訂立、履行個人作為一方當事人的合同所必需向境外提供個人信息；

2) 為了保護個人生命健康和財產安全而必須向境外提供個人信息；

其中，對於為訂立、履行合同所必需而向境外提供個人信息的場景可見於跨境網購、與境外證券公司開展交易等境內個人直接與境外處理者發生個人信息傳輸的場景，根據《數安條例》，此等場景無需再履行《個保法》第三十八條設定的個人信息跨境傳輸合法路徑。

我們理解，這可能由於此等場景下境外處理者將直接根據《個保法》第三條第二款構成《個保法》項下的義務主體（進而需滿足個人信息處理者的一系列要求），據此無需再以跨境傳輸的合法路徑對境外數據處理者的數據安全能力等予以重複規制。

22、哪些主體需要通過國家網信部門組織的數據出境安全評估？

23、向境外提供數據的具體義務有哪些？

24、什麼是數據跨境安全網關？

數據跨境安全網關在實踐中又常稱為“防火牆”，《數安條例》第四十一條系國家首次以立法形式明確了“防火牆”的法律地位。具體而言，數據跨境安全網關是指阻斷訪問境外反動網站和有害信息、防止來自境外的網絡攻擊、管控跨境網絡數據傳輸、防範偵查打擊跨境網絡犯罪的重要安全基礎設施（《數安條例》第七十三條第（十一）項）。

網絡安全審查

25、涉及數據處理活動的網絡安全審查如何啓動？

此前網信辦於2021年7月10日發佈了《網絡安全審查辦法（修訂草案徵求意見稿）》（以下稱“《審查辦法》”），其中對於數據處理活動規定了主動申報審查和依職權啓動審查兩種情形，《數安條例》第十三條在此基礎上新增了部分場景，具體請見下表：

26、國外上市和香港上市在網絡安全審查方面有區別嗎？

《審查辦法》規定，“掌握超過100萬用户個人信息的運營者赴國外上市”應主動申報網絡安全審查，相較於《中華人民共和國證券法》以及國務院的有關規定，此條款並未使用“境外”這一概念，而是使用了“國外”一詞。我們之前的解讀《激活網絡安全審查制度築牢數據安全防火牆——〈網絡安全審查辦法（修訂草案徵求意見稿）〉評析》認為，這一特殊安排的用意旨在將赴香港上市排除在本條所規定的網絡安全審查的適用範圍。《數安條例》將“赴國外上市”和“赴香港上市”通過第十三條的第二項和第三項分置規定，顯然印證了這一理解，即《審查辦法》第六條的適用範圍不包括香港上市。

我們理解，《數安條例》並非在《審查辦法》基礎上對香港上市監管加碼，而是法律適用的明確。《數安法》第二十四條規定，“國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。”即，只要數據處理活動影響或可能影響國家安全，都會觸發安全審查，赴港上市行為當然也應包括在內。《審查辦法》第六條雖然不包括香港上市，但在第二條卻有原則性的要求，即：“數據處理者開展數據處理活動，影響或可能影響國家安全的，應當按照本辦法進行網絡安全審查。”

據此，相較於對國外上市所採取的一刀切的量化標準，赴港上市的網絡安全審查採取是風險導向的標準，只有確實存在影響或可能影響國家安全的風險，才會觸發網絡安全審查。同時，為消除該規定對香港上市帶來的不確定性，我們也建議監管部門儘快制定赴港上市的數據風險預判指南。

最後，《數安條例》第三十二條還規定赴境外上市的數據處理者應每年開展數據安全評估並向市級網信部門報送的義務。此為赴國外上市和赴香港上市均需遵循的法定義務。

關於互聯網平台運營者

27、互聯網平台運營者應當制定哪些重要規則？如何公示？

《數安條例》第四十三條規定，“互聯網平台運營者應當建立與數據相關的平台規則、隱私政策和算法策略披露制度”，並對相關規則提出了具體的公示要求，結合此前網信辦於2021年8月27日發佈的《互聯網信息服務算法推薦管理規定（徵求意見稿）》，相關要求梳理如下：

28、互聯網平台運營者如何管理接入第三方？

《數安條例》第四十四條強調通過合同等形式明確第三方的數據安全責任義務，並督促第三方加強數據安全管理，採取必要的數據安全保護措施。同時，如因第三方產品和服務對用户造成損害，互聯網平台運營者將可能直接向用户承擔先行賠償的責任。此外，對於移動通信終端預裝第三方產品同樣適用於上述規定，例如信安標委於2021年11月12日發佈的《移動智能終端預裝應用程序分類方法（徵求意見稿）》所規定的不可卸載應用程序和可卸載應用程序均可視為上述規定中的“第三方”。

具體而言，結合《GB/T 35273-2020信息安全技術個人信息安全規範》第9.7條的相關規定，互聯網平台可採取如下措施管理接入的第三方：

29、互聯網平台運營者不能利用數據及平台規則做哪些事？

互聯網平台運營者作為平台數據處理者和平台規則的制定者，相較於用户和平台內經營者均具有相當的優勢地位。國家市場監管管理總局亦於2021年10月29日發佈《互聯網平台分類分級指南（徵求意見稿）》（以下稱“《平台分類分級指南》”）《互聯網平台落實主體責任指南（徵求意見稿）》（以下稱“《平台責任指南》”），對互聯網平台的分類分級規則以及平台需落實的主體責任予以明確。其中《平台責任指南》中與數據及平台規則相關的義務包括平等對待平台自身和平台內經營者（第二條）、建立健全數據安全審查與內控機制（第四條）、公示服務協議與交易規則（第十四條）、禁止從事壟斷或不正當競爭行為（第十六條、第十七條）、數據獲取合規（第十八條）、遵循算法規制（第十九條）、規範價格行為（第二十條）、保護平台內經營者（第二十九條）。

《數安條例》第四十六條則從損害後果的角度進行劃分，規定了四類互聯網平台運營者利用數據以及平台規則的禁止性行為：

30、互聯網個性化推薦僅能一鍵關閉還合規嗎？

《個保法》第二十四條第二款規定，通過自動化決策方式向個人進行信息推送，應當同時提供不針對其個人特徵的選項，或者向個人提供便捷的拒絕方式。由此一鍵關閉個性化推薦為法定的明確要求。但是，對於個性化推薦活動的法律基礎如何界定一直是業界爭議的焦點，如果適用同意這一基礎，則會給企業帶來包括opt-in在內的更重的合規負擔。

然而，《數安條例》第四十九條對於利用個人信息和個性化推送算法向用户提供信息提出了一系列的合規要求，我們理解，《數安條例》正式稿生效後，此等合規要求將成為互聯網平台提供個性化推薦服務的法定義務，僅提供一鍵關閉功能將面臨較高合規風險。具體而言，互聯網平台運營者需履行的合規義務包括：

31、公共服務下收集、產生的數據能用於自身平台發展的目的嗎？

根據《數安條例》第五十一條，“互聯網平台運營者在為國家機關提供服務，參與公共基礎設施、公共服務系統建設運維管理，利用公共資源提供服務過程中收集、產生的數據不得用於其他用途。”

據此，我們理解該條與《數安法》項下政務數據的相關規定有銜接，傾向於認定公共服務下收集、產生的數據僅可用於“為國家機關提供服務”這一目的本身，同時，如該互聯網平台系專為提供公共服務所搭建，則將前述數據用於此等平台發展也可能被認定屬於上述目的範圍。然而，如該互聯網平台還存在其他非公共性質的平台服務內容，則我們理解平台運營者不得將此等基於公共服務所收集、產生的數據概括性地用於平台發展。

32、大型互聯網平台運營者有哪些義務？

《數安條例》第七十三條第（十）項規定的大型互聯網平台運營者是指“用户超過五千萬、處理大量個人信息和重要數據、具有強大社會動員能力和市場支配地位的互聯網平台運營者。”其中關於“用户超過五千萬”的量化標準與《平台分類分級指南》第3.4條所規定的“大型平台”之“上年度在中國的年活躍用户不低於5000萬”相呼應。可以預見，未來正式稿將有較大可能以5000萬年活躍用户作為大型互聯網平台的判斷標準，同時，我們也傾向於認定將以5000萬作為《個保法》第五十八條規定“用户數量巨大”的法定門檻。

具體而言，結合《個保法》《數安條例》和《平台責任指南》，根據對平台規制領域側重的不同，此等大型互聯網平台（或《個保法》下的“重要互聯網平台”；《平台責任指南》下的“超大型平台”[7]）運營者的義務包括：

關於監督管理

33、監管機構可以採取哪些監督措施？

《數安條例》第五十七條首次對於監管機構採取的監管措施進行細化，明確處理者的配合義務，可以採取以下措施對數據安全進行監督檢查：

有關主管、監管部門開展數據安全監督檢查，應當客觀公正，不得向被檢查單位收取費用。在數據安全監督檢查中獲取的信息只能用於維護數據安全的需要，不得用於其他用途。

數據處理者應當對有關主管、監管部門的數據安全監督檢查予以配合，包括對組織運作、技術系統、算法原理、數據處理程序等進行解釋説明，開放安全相關數據訪問、提供必要技術支持等。

34、數據安全審計怎麼開展？

根據《數安條例》第五十八條規定，數據安全審計工作應當包括以下內容：

1）針對國家而言，應當建立數據安全審計制度；

2）對於數據處理者而言，如果數據處理者的處理活動涉及個人信息時，應當委託專業的數據安全審計機構定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。上述規定與《個保法》第五十四條規定一致；

3）如果數據處理者的處理活動涉及重要數據時，相關主管監管部門應當組織開展對上述處理活動的審計工作，重點審計數據處理者履行法律法規規定的重要數據處理義務等內容。

除上述問題之外，還有一些制度或內容仍待澄清，包括並不限於公共信息、新技術安全評估具體流程、個人信息保護行業組織等。基於此，我們會持續關注法律變化和監管動態，對上述仍待澄清的制度或內容予以關注。

注

[1]《網絡交易監督管理辦法》第十三條：網絡交易經營者不得采用一次概括授權、默認授權、與其他授權捆綁、停止安裝使用等方式，強迫或者變相強迫消費者同意收集、使用與經營活動無直接關係的信息。

[2]《個人信息安全規範》第5.3（f）條：不得僅以改善服務質量、提升使用體驗、研發新產品、增強安全性等為由，強制要求個人信息主體同意收集個人信息。

[3]《App違法違規收集使用個人信息行為認定方法》第六（5）條：以下行為可被認定為“未按法律規定提供刪除或更正個人信息功能”或“未公佈投訴、舉報方式等信息”：…未建立並公佈個人信息安全投訴、舉報渠道，或未在承諾時限內（承諾時限不得超過15個工作日，無承諾時限的，以15個工作日為限）受理並處理的。…

[4] Article 20 of GDPR: The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where: (a) the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and (b) the processing is carried out by automated means. 2. In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.

[5]《數據安全管理辦法（徵求意見稿）》第十七條：網絡運營者以經營為目的收集重要數據或個人敏感信息的，應當明確數據安全責任人。數據安全責任人由具有相關管理工作經歷和數據安全專業知識的人員擔任，參與有關數據活動的重要決策，直接向網絡運營者的主要負責人報告工作。

[6]《汽車數據安全管理規定》第十三條：汽車數據處理者開展重要數據處理活動，應當在每年十二月十五日前向省、自治區、直轄市網信部門和有關部門報送以下年度汽車數據安全管理情況：（一）汽車數據安全管理負責人、用户權益事務聯繫人的姓名和聯繫方式；（二）處理汽車數據的種類、規模、目的和必要性；（三）汽車數據的安全防護和管理措施，包括保存地點、期限等；（四）向境內第三方提供汽車數據情況；（五）汽車數據安全事件和處置情況；（六）汽車數據相關的用户投訴和處理情況；（七）國家網信部門會同國務院工業和信息化、公安、交通運輸等有關部門明確的其他汽車數據安全管理情況。

[7] 根據《平台責任指南》附則第（4）項，超大型平台，是指在中國的上年度年活躍用户不低於5000萬、具有表現突出的主營業務、上年底市值（或估值）不低於1000億人民幣、具有較強的限制平台內經營者接觸消費者（用户）能力的平台。

來源：中倫視界