非官方不专业版

版权所有，转发请注明出处

1.管理要求

《条例》从四个层面提出管理要求，分别是一般规定、个人信息保护、重要数据安全和网络数据跨境安全管理。其中个人信息保护可以看作针对《个人信息保护法》对应的《个人信息保护管理条例》的前奏。

1.1一般规定

一般规定主要由十三个条款构成，在一般规定中描述了《条例》的基本保护要求，作为数据处理者应如下履行基本责任和义务；《条例》第九条、第十二条、第十三条、十八条和十九条中网络数据处理者是指实际操作数据的实体；其中第十二条针对数据合作关系、第十八、十九条针对数据处理活动中产生的自动化决策以及生成式人工智能所产生的隐私及歧视性问题进行约束；第十条针对网络数据的服务者、产品提供商、软件开发商等实体在网络数据安全保护中应履行的责任和义务提供法律依据；第十一条、第十四条、第二十条是所有网络数据处理者应共同履行的责任和义务；第十五条至第十七条针对政务数据处理进一步明确其处理的法律责任；

《条例》首先明确指出“任何个人、组织不得利用网络数据从事非法活动，不得从事窃取或者以其他非法方式获取网络数据、非法出售或者非法向他人提供网络数据等非法网络数据处理活动。”在最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中明确指出，非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为“情节严重”：（1）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；（2）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；（3）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；（4）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；（5）违法所得五千元以上的；（6）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；（7）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；（8）其他情节严重的情形

任何个人、组织不得提供专门用于从事前款非法活动的程序、工具；明知他人从事前款非法活动的，不得为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助。《刑法》第二百八十七条之二明确指出“明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”同时，最高人民法院最高人民检察院在《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》中，对上述问题进行了详细说明。

5.1.1 网络数据安全保护一般规定基本原则

正如《网络安全法》第二十一条规定“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：……”《条例》第九条指出“网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求，在网络安全等级保护的基础上，加强网络数据安全防护……”也就意味着，未来网络数据安全保护以网络安全等级保护作为基础，在分等级保护的能力基础上构建网络数据的分类分级保护。从技术角度而言，可以理解为，承载组织重要、核心数据的业务系统应满足至少网络安全等级保护三级保护要求。在此基础上，网络数据处理者应满足建立以下基本工作

• 健全网络数据安全管理制度

• 采取加密、备份、访问控制、安全认证等技术措施和其他必要措施

• 处置网络数据安全事件

通过上述基本手段保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用，防范针对和利用网络数据实施的违法犯罪活动，并对所处理网络数据的安全承担主体责任。

5.1.2 网络数据处理者责任

网络数据处理者在条例中应包含如下组织和实体①网络数据的实际持有人，其具备对网络数据处理的实际主观动机和客观行为；基于合同或其他合法授权实际采集用户信息的组织或个人；②通过合法的数据交易获取数据的组织或实体；③为获取数据的组织或个人通过商业合同或其他合法权利实施数据分析和数据再利用的组织和个人；④为数据处理者提供相关技术、产品和服务的实体，如：厂商、服务商和软件开发商；⑤数据交易中间人；⑥其他可能持有数据某些权利的实体和个人；

5.1.2.1 合作方关系

第十二条为数据合作关系提供立法要求，其第一款针对数据提供方，第二款针对接收方，第三款为共同处理提供法律要求。首先，明确数据合作关系中的主体为数据资源持有权的实体，也就是我们通常所认为的实际数据持有者；数据合作的客体为其他网络数据处理者或数据托管服务、数据分析服务的数据服务商。标的物为个人信息和重要数据，核心数据是否可以进行委托处理，本条款未做进一步说明。

委托处理过程应符合如下约定：①双方签订合同；②数据接收方在合同中约定处理目的、方式、范围及安全保护义务；③提供网络数据的网络处理者有责任和义务通过第二方审计[1]的方式对数据接收者（服务商）针对接收数据后的安全保护能力实施审计，并监督其履行数据安全保护责任和义务；④对数据处理情况进行记录并至少保存3年；⑤作为数据接收方作为新的数据处理者应当与原数据处理者拥有等同的网络数据安全保护义务，其保护能力和水平不应低于原数据处理者的能力和水平；⑥按约定处理数据，不得违反数据处理的基本原则（具体可参阅《中华人民共和国个人信息保护法》第五条-第十条）[2]⑦两个以上的网络数据处理者应在数据处理过程中共同约定权利和义务；常见的场景主要体现在云数据的处理过程中，尤其是在多云环境下，云服务商、云厂商、云租户以及云用户应针对云数据的处理共同协商网络数据安全保护的责权义关系。

由于在技术上存在的复杂性，多网络数据处理者在实际数据处理活动中很难清晰定义相关责任，尤其是在复杂的数据流动中产生的软件、硬件、通信、人为、业务逻辑等诸多因素难以通过立法形成约定；这需要广义的技术和法学领域的共同努力。

5.1.2.2 网络数据安全审查

2022年国家互联网信息办公室、中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局联合发布《网络安全审查办法》，在第二条中，明确提出“关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。”《条例》在第十三条中要求“网络数据处理者开展网络数据处理活动，影响或者可能影响国家安全的，应当按照国家有关规定进行国家安全审查。”根据《网络安全审查办法》规定，需要进行国家安全审查的条件包括第五条“关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。”与第七条“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”以及第十条“网络安全审查重点评估相关对象或者情形的以下国家安全风险因素：（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；（七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。”

有关个人信息出境审查，具体可参阅《数据出境评估管理办法》

[1]第二方审计，也称为买方审计，是指由客户或采购方对供应商或卖方进行的审计。这种审计通常是为了评估供应商的产品质量、生产能力、管理体系、财务状况、合规性等方面是否符合客户的要求。通过第二方审计，客户可以更好地了解供应商的运营状况，确保供应链的稳定性和产品质量的可靠性。

[2]《中华人民共和国个人信息保护法》第五条 处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。第六条 处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。第七条 处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。第八条 处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。第九条 个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

原文始发于微信公众号（老烦的草根安全观）：老烦读《网络数据安全管理条例》之二