小贝案语

11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例》(征求意见稿)(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。

需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。

对应条款

第一条 为了规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定本条例。

解读

《条例》的上位法有三个,分别是《网络安全法》《数据安全法》和《个人信息保护法》。《条例》作为行政法规,执行、细化、补充前述三部上位法的规定,进一步增强了数据安全法律体系的完备性和可操作性。

《条例》在一定程度上可以看作《数据安全法》和《个人信息保护法》的实施细则,但又不全是。《数据安全法》从贯彻落实总体国家安全观、维护国家安全角度设立数据安全制度、规定数据安全责任义务,其对“数据”的定义是广义的,并提出了多项宣示性条款。而《条例》针对的是“网络数据”,且重在落实法律中提出的数据安全制度。除去法律位阶不同外,两者也在其他方面有所差别。故不能把《条例》理解为“《数据安全法》实施条例”。但就《数据安全法》涉及到的多项具体工作(并非全部工作)而言,《条例》的很多条款也的确是在执行《数据安全法》的规定。因此也可以把《条例》看作实施细则。

具体而言,《条例》与《数据安全法》和《个人信息保护法》的关系体现在三个方面:

一是执行。《条例》很多条款是为了执行《数据安全法》和《个人信息保护法》设立的制度,给出了这些制度的实施路径。如上位法中提出的“网信部门规定的条件”“网信部门规定的数量”等,《条例》尽可能作了明确。对于社会各界在理解、实施上位法时普遍希望进一步解释、说明的事项,如“单独同意”等,《条例》都作了规定。后续需要制定部门规章和规范性文件的,《条例》也都作了指定。

需要指出,对于上位法中已经明确的,《条例》不再重复规定。

二是细化。上位法中有一些规定比较原则,有必要进一步细化。例如,什么是处理个人信息的“合法、正当、必要”原则?处理个人信息前,向个人告知事项的具体要求是什么?对“同意”的具体要求是什么?对数据出境的几种条件有什么具体要求?《条例》在这些问题上都作了明确规定。

三是新增。作为行政法规,《条例》本身可以创设制度,设定行政许可。因此,《条例》相比《数据安全法》和《个人信息保护法》而言,还增加了一些新的要求。例如重要数据处理者备案要求和年度报告要求、数据出境安全管理义务、网络平台责任等。

相关文章:

数安条例百问 1:关于《条例》的定位

数安条例百问 2:关于《条例》的结构

数安条例百问3、4:关于“网络数据”和“数据处理者”

数安条例百问5、6:关于《条例》的适用范围

数安条例百问7、8:关于数据分类分级保护制度和管理

数安条例百问9、10、11、12:关于重要数据

数安条例百问13、14:关于数据开发利用和交易管理

数安条例百问15、16、17、18、19:关于数据处理者安全保护义务

数安条例百问20、21、22:关于向第三方提供个人信息

数安条例百问23、24、25、26:关于网络安全审查

数安条例百问27、28、29、30:关于“一般要求”中的几个特定考虑

数安条例百问31、32:关于“合法、正当、必要”原则

数安条例百问33、34、35、36:关于个人信息处理规则

数安条例百问37、38、39、40:关于“同意”

数安条例百问41、42、关于“删除”

数安条例百问43、44、45:关于个人行权

数安条例百问46、47、48:关于生物特征应用和一百万人以上个人信息处理者的适用