渐行渐实：《网络数据安全管理条例》要点解读（下）

《网数条例》第二十一条总结提炼近年来监管层面提出的要求和行业层面的实践经验，进一步细化了《个保法》对告知的相关要求，新增需要进一步披露“个人信息保存期限和到期后的处理方式，保存期限难以确定的，应当明确保存期限的确定方法”，并列举个人信息主体的查阅、复制、转移、更正等权利。在实践中，网络数据处理者需要按照法律、行政法规规定和用户约定的方式、期限，并结合业务实际情况和诉讼时效规定等方面因素进行数据存储期限的设置，具有复杂性。该条指出保存期间可不列明具体特定的数字，而通过“说明保存期限的确定方法”，能够回应不同场景中个人信息保存期限的差异性。

形式上，《网数条例》认可《工业和信息化部关于开展信息通信服务感知提升行动的通知》中建立个人信息保护“双清单”制度的要求，要求网络数据处理者以清单等形式向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息。网络数据处理者应当根据个人信息处理活动的实际情况，核对个人信息处理规则是否真实、准确、完整披露信息，是否清晰易懂，避免歧义等。

《网数条例》明确了基于个人同意处理个人信息应当遵守的基本要求，对处理敏感个人信息、十四周岁未成年人个人信息等情形下的“同意”做了列举细化，同时明确规定了禁则，“不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息；不得在个人明确表示不同意处理其个人信息后，频繁征求同意”等。

网络数据处理者应当建立有效同意获取的标准，且提供撤回同意的路径，确保同意在充分知情的前提下自愿、明确作出，且以主动点击、勾选、填写等肯定性动作自主作出；梳理敏感个人信息类型，仅在具有特定的目的和充分的必要性，并采取严格保护措施的情形下进行处理；确定未满十四周岁未成年人的个人信息处理规则，如向其提供产品或服务，应取得监护人同意，并制定专门的个人信息处理规则。

此前，《个保法》第四十五条第三款规定，“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”，被视为是中国版“数据可携带权”，但目前除了在电信领域“携号转网”方面的实践外，由于一直缺乏具体的规则，该权利往往难以实现。

《网数条例》第二十五条细化了个人信息转移的具体条件，要求网络数据处理者应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径：（1）能够验证请求人的真实身份；（2）请求转移的是本人同意提供的或者基于合同收集的个人信息；（3）转移个人信息具备技术可行性；（4）转移个人信息不损害他人合法权益。网络数据处理者需根据二十五条调整个人信息主体权利响应机制，建立响应流程和相关技术手段支持个人信息主体的权利实现。

此外，《网数条例》还要求网络数据处理者衔接《个保法》第五十三条规定在境内设立专门机构或者指定代表的，履行相应的报送要求（第二十六条）；履行个人信息保护合规审计义务（第二十七条）以及处理1000万人以上个人信息的网络数据处理者处理应当参照重要数据处理者履行“安全保护义务”和“因合并、分立、解散、破产等可能影响数据安全时的措施保障和报告义务”（第二十八条），该条调整了《征求意见稿》中“100万”的阈值，减轻了企业的合规负担。

《数据安全法》对数据安全保护的要求比较零散，尚未对重要数据提出一整套保护要求，《网数条例》完善重要数据安全制度，将“重要数据”定义为“特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”，同时对重要数据处理者的管理义务提出明确的要求，具体而言：

《网数条例》在总结《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等规定实施经验基础上，进一步优化数据跨境流动机制，第三十五条和三十六条明确了网络数据处理者可以向境外提供个人信息的条件，并规定可以按照缔结或者参加的国际条约、协定向境外提供个人信息。

第三十七条规定未被相关地区、部门告知或者公开发布为重要数据的，不需要将其作为重要数据申报数据出境安全评估。第三十八条明确网络数据处理者通过数据出境安全评估后向境外提供个人信息和重要数据的，不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。

网络数据处理者应当针对可能存在数据跨境传输的场景，进行梳理和评估，筛选出受中国法规制的数据跨境传输场景；及时跟进数据出境相关法律法规的立法进展，并根据现行法要求建立数据跨境传输管理机制，包括签署与接收方的数据传输协议，明示跨境情况并保障个人信息主体权利、开展安全评估、留存记录等。

孙鹏程 大成中国区数字业务中心副秘书长，数据安全共同体计划专家 

徐安妮 北京大成（宁波）律师事务所