我國數據安全管理制度分為幾個方面？

從制度內容來看，我國數據安全管理制度重點分為四個方面。

一、覆蓋全類型網絡數據明確安全管理要求

《條例》第二章明確了網絡數據安全管理的一般義務，通過禁止 性規定劃定網絡數據處理底線要求，細化網絡數據處理事前事中事后 的安全保護措施，并與時俱進地提出人工智能等新場景中的網絡數據 安全保護規則。

1.以一般禁止性規定劃定數據安全紅線 《條例》第八條明確針對所有主體的、危害網絡數據安全的禁止 性規定。一是不得利用網絡數據從事非法活動，二是禁止竊取或以其 他非法方式獲取網絡數據，三是禁止非法出售或非法向他人提供網絡 數據，四是禁止針對上述非法活動提供技術支持或其他幫助行為。 首次針對網絡數據使用環節作出禁止性要求，同時對上位法中的 禁止性規定進行細化補充。《條例》吸收了《刑法》中侵犯公民個人 信息罪、幫助信息網絡犯罪活動罪的相關表述，同時對《網絡安全法》 第二十七條、《數據安全法》第三十二條中所禁止的危害網絡安全行 為和從事非法網絡數據處理活動進行了補充?！毒W絡安全法》第二十 七條禁止為危害網絡安全的行為提供技術支持，但尚未明確此類幫助 行為的類型，《條例》在此基礎上將其明確為“提供互聯網接入、服 務器托管、網絡存儲、通訊傳輸等技術支持”行為，進一步提升了法 律法規的可操作性和針對非法網絡數據處理行為的打擊精度。

與其他國家或地區相比，我國的禁止性規定多為一般性、原則性 規定，如《條例》第八條是針對“任何個人、組織”提出的要求，是 網絡數據處理活動開展的基本安全底線。美國在數據領域的禁止性規 定主要體現在對特定數據和特定交易活動的限制，如《保護美國人民 數據免受外國對手侵害法》禁止“數據經紀人”(data broker)向包括中 國、俄羅斯等在內的“受關注國家”提供敏感數據。歐盟維護網絡數 據安全的立法規定更多體現在命令性規定或授權性規定，而非禁止性 規定，如《通用數據保護條例》（以下簡稱 GDPR）第 89 條規定，基 于公共利益存檔目的、科學或歷史研究目的、統計目的而進行的個人 數據處理行為應當采取適當的保護措施。

2.以全流程制度設計明確數據安全要求 在個人信息及重要數據的特殊保護要求之外，《條例》明確了網 絡數據處理事前事中事后全流程的安全管理要求，其中包含數據安全 管理措施、產品和服務安全、應急處置及國家安全審查等內容。 （1）明確數據處理者需采取的數據安全管理措施 《條例》第九條要求網絡數據處理者采取管理制度和技術措施相 結合的方式，對所處理網絡數據的安全負責。一方面，網絡數據處理 者應當依照法律、行政法規的規定和國家標準的強制性要求，在網絡 安全等級保護的基礎上，建立健全網絡數據安全管理制度；另一方面， 網絡數據處理者采取加密、備份、訪問控制、安全認證等技術措施和 其他必要措施。兩類措施的共同目的是保護網絡數據免遭篡改、破壞、 泄露或者非法獲取、非法利用，進一步加強網絡數據安全防護。

數據安全管理措施以網絡安全等級保護為基礎?！毒W絡安全法》 第二十一條明確，國家實行網絡安全等級保護制度，網絡運營者應當 按照網絡安全等級保護的要求，履行安全保護義務?！稊祿踩ā?第二十七條也明確，利用互聯網等信息網絡開展數據處理活動，應在 網絡安全等級保護制度的基礎上，履行數據安全保護義務。以此觀之， 網絡安全等級保護是針對網絡安全和數據安全領域的統一要求，不能 脫離網絡安全保護而談數據安全，網絡安全是基礎。《條例》對《數 據安全法》第二十七條作了進一步說明，解釋了網絡安全等級保護制 度之上的“數據安全保護義務”的具體含義，這就包括建立健全網絡 數據安全管理制度、采取技術防護等具體措施。此外，《條例》還明 確了國家標準在落實網絡數據安全管理要求方面的重要性，并將網絡 安全等級保護所涉及的相關標準進一步納入制度范圍。

對數據處理規定強制性安全保護措施是域外立法中的通行做法。 歐盟數據保護立法對相關義務主體采取事前保護措施進行了詳細的 規定，如《數據治理法》《數據法》《網絡與信息系統安全指令》以及 GDPR 中都有對傳輸或處理數據采取保護措施的要求。美國聯邦法律、 州級立法、監管實踐及標準認證等各層面均包含事前安全措施的相關 規定，如《聯邦信息安全管理法》（FISMA）要求所有直接與政府系 統交換數據的政府機構、政府承包商和組織必須通過制定、記錄和實 施信息安全計劃來保護其所有信息技術系統及存儲數據，《加州消費 者隱私法》（以下簡稱 CCPA）要求企業采取與其持有數據信息性質相 稱的合理安全措施。

（2）明確網絡產品和服務安全要求 《條例》第十條明確網絡產品和服務的風險處置要求。一是網絡 數據處理者提供的網絡產品、服務應當符合相關國家標準的強制性要 求；二是當發現網絡產品、服務存在安全缺陷、漏洞等風險時，應當 立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告； 三是涉及危害國家安全、公共利益的，應當滿足在 24 小時內向有關 主管部門報告的要求。 安全報告義務是網絡數據安全管理制度的重要組成部分。《條例》 在《網絡安全法》第二十二條的基礎上，補充了“涉及危害國家安全、 公共利益”的情形，明確網絡數據處理者應當在更短的時間內履行向 有關主管部門報告的義務。《網絡安全事件報告管理辦法》（征求意見 稿）也作了類似規定，對于屬于較大、重大或特別重大網絡安全事件 的，網絡運營者須在更短的時間內向有關主管部門報告。2021 年 9 月， 工業和信息化部等三部門頒布的《網絡產品安全漏洞管理規定》，明 確了一般情形下的時間要求，要求網絡產品提供者在發現或者獲知所 提供網絡產品存在安全漏洞后，應當在 2 日內向工業和信息化部網絡 安全威脅和漏洞信息共享平臺報送相關漏洞信息。

網絡產品及服務安全是歐美網絡安全立法重點。歐盟《網絡彈性 法》（CRA）為歐盟市場內具有數字組件的產品制定了全面的網絡安 全標準，將帶有數字組件的產品劃分為“默認”、“重要”和“關鍵” 產品三類，重要產品進一步劃分為 I 類和 II 類產品，不同類別的產品 適用嚴格程度不同的安全保護措施，如 I 類重要產品必須遵守歐洲網絡安全認證計劃或相關標準，或者接受第三方評估。美國《確保信息 通信技術服務供應鏈安全暫行規則》要求對美國國家或公民安全構成 不可接受之風險的信息通信技術和服務（ICTS）開展安全審查，如認 定具備相應風險，則可以采取措施降低交易風險或禁止該交易。

（3）明確數據安全事件應急處置要求 《條例》第十一條明確數據安全事件的應急處置要求。一是建立 健全網絡數據安全事件應急預案，當網絡數據安全事件發生時，應立 即啟動預案，采取措施防止危害擴大，消除安全隱患并向主管部門報 告。二是細化網絡數據安全事件的通知措施，對個人、組織合法權益 造成危害的，網絡數據處理者應當及時將安全事件和風險情況、危害 后果、已經采取的補救措施等，以電話、短信、即時通信工具、電子 郵件或者公告等方式通知利害關系人；法律、行政法規規定可以不通 知的，從其規定。三是建立違法犯罪線索舉報機制，網絡數據處理者 在處置網絡數據安全事件過程中發現涉嫌違法犯罪線索的，應當按照 規定向公安機關、國家安全機關報案，并配合開展偵查、調查和處置 工作。

吸收《個人信息保護法》相關規定明確發生網絡數據安全事件時 的告知義務要求?！秱€人信息保護法》第五十七條規定，個人信息處 理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的，個人 信息處理者可以不通知個人。換言之，只有在危害發生時，個人信息 處理者才需要向個人履行告知義務?！稐l例》第十一條吸收了《個人 信息保護法》相關要求，明確僅在對“個人、組織合法權益造成危害”時，才需要通知受影響的個人和組織?！稐l例》還提出可采用電話、 短信、即時通信工具、電子郵件或者公告等通知方式，其中公告告知 具有廣泛覆蓋、持續性長、成本相對較低等優勢。 應急處置要求也是域外數據立法重點。歐盟在 GDPR 的基礎上， 就數據安全事件及應急處置發布了相關指南及指令。GDPR 規定，發 生數據安全事件導致數據泄露時應立即通知監管機構、數據控制者和 受高風險影響的個人。《關于 GDPR 下的個人數據泄露通知的第 9/2022 號指南》規定，應急預案中應包括向主管部門報告及向個人數 據主體通知的機制，且顆粒度要達到需要向哪一個具體主管部門通知 的程度?！蛾P于在整個歐盟全境實現高度統一網絡安全措施的指令》 （NIS 2 指令）對重大網絡安全事件作出更為精細的規定，采用分層 的方式規范通知流程，包括 24 小時內“預警”，72 小時內發出“事件 通知”，1 個月內提交“最終報告”等要求。美國聯邦層面制定了一系 列網絡安全事件披露的立法,如美國證券交易委員會要求上市公司為 投資者的利益披露重大網絡安全事件；美國網絡安全和基礎設施安全 局（CISA）發布相關擬議規則，要求相關實體在 72 小時內向 CISA 報告重大的網絡安全事件，并在 24 小時內報告勒索軟件情況。

（4）明確對相關數據處理活動國家安全審查要求 《條例》第十三條提出國家安全審查相關要求。針對網絡數據處 理活動提出要求，對于影響或者可能影響國家安全的，網絡數據處理 者應當按照國家有關規定進行國家安全審查。 國家安全審查制度體系進一步完善健全。我國《國家安全法》第理活動進行國家安全審查。2021 年 12 月，國家互聯網信息辦公室發 布修訂后的《網絡安全審查辦法》，明確關鍵信息基礎設施運營者采 購網絡產品和服務，數據處理者開展數據處理活動，影響或可能影響 國家安全的，應當進行網絡安全審查。網絡安全審查重點評估采購活 動、數據處理活動以及國外上市可能帶來的國家安全風險?！稐l例》 的出臺，進一步完善了國家安全審查制度在行政法規層面的要求。

美歐重視安全審查措施在數據安全領域中的作用。美國近年來頻 繁通過兩類安全審查措施限制外國信息技術和服務，一是以《2019 安 全和可信通信網絡法》為代表實施的國家安全審查，防止威脅國家安 全的通信設備或服務進入美國網絡，移除正在使用的此類設備或服務； 二是以《2018 年外國投資風險審查現代化法》（FIRRMA）為核心實 施的美國外商投資委員會（CFIUS）審查，將敏感個人數據保護作為 衡量國家安全的重要因素。歐盟《外商直接投資審查條例》從關鍵基 礎設施、關鍵技術、關鍵供應、敏感信息等方面，審查非歐盟投資對 歐盟成員國國家安全和公共秩序的風險；其中，關鍵基礎設施包括能 源、交通、水資源、健康、通訊、媒體、數據處理和存儲、航空、國 防等，關鍵技術包括人工智能、芯片等，關鍵供應包括能源和原材料等。

3.以第三方數據安全義務區分主體責任 《條例》第十二條、第十四條明確了在發生主體變更情形時網絡 數據處理者的數據安全保護義務，第十二條涉及提供、委托處理個人 信息和重要數據的情形，第十四條涉及因合并、分立、解散、破產等 原因轉移網絡數據的情形。 （1）明確提供和委托處理數據情形下的數據安全要求 《條例》第十二條對個人信息及重要數據的流轉作出規定。一方 面，網絡數據處理者向其他網絡數據處理者提供、委托處理個人信息 和重要數據時，應當通過合同等與網絡數據接收方約定處理目的、方 式、范圍以及安全保護義務等，并對網絡數據接收方履行義務的情況 進行監督。網絡數據處理者還需在 3 年內保存相關處理記錄。另一方 面，網絡數據接收方應當履行網絡數據安全保護義務，并按照約定的 目的、方式、范圍等處理個人信息和重要數據。

在個人信息保護方面，《條例》第十二條主要延續了《個人信息 保護法》第二十一條的規定，要求個人信息處理者應當與接受委托處 理個人信息的受托人簽署相關合同并且監督受托人。在重要數據方面， 《條例》第十二條從行政法規層面確立了重要數據在一般情形下流轉 的基本框架，對重要數據安全有序自由流動具有至關重要的意義。 域外立法也對數據流轉、委托過程中的相關主體數據安全責任進 行制度設計。歐盟 GDPR 有關委托處理和提供處理的規定主要在序 言部分。在委托處理方面，GDPR 序言（81）條明確，數據控制者應 僅委托在專業知識、可靠性和資源方面有可靠保障的數據處理者，以實施 GDPR 要求的技術及保障措施。數據處理者可通過行為守則或 經批準認證機制的形式遵守數據控制者的相關義務，數據處理者應受 合同或其他歐盟法及成員國法律的約束。在完成相關委托后，數據處 理者應根據數據控制者的要求歸還或刪除數據。在提供處理方面， GDPR 序言第（61）條明確，當個人數據可以合法地披露給其他接收 者時，應該在第一次披露時告知數據主體。當數據控制者意圖基于數 據收集初始目的以外的其他目的處理個人數據時，數據控制者應當在 進一步處理之前向數據主體提供有關其他目的必要信息。美國 CCPA 明確排除適用于提供數據服務的企業，即 CCPA 本身不對作為數據控 制者的企業所委托的第三方數據處理者作出規定，企業與對其提供服 務的數據處理者主要依靠合同或者服務協議約定相關數據保護義務。

（2）明確數據處理者發生主體變更時的數據安全要求 《條例》第十四條針對網絡數據處理者發生合并、分立、解散、 破產等原因需要轉移網絡數據的情形作出規定。該條主要吸收《個人 信息保護法》第二十二條的規定，當網絡數據處理者發生上述情形時， 網絡數據的接收方應當繼續履行網絡數據安全保護義務，避免數據因 企業破產、分立、解散時而被非法獲取或濫用。但與《條例》第十二 條不同，這一條適用于所有網絡數據，不限于個人信息和重要數據。 美歐立法對破產企業相關數據處理的限制較少。美國側重于“商 業利益優先”，《美國破產法》明確規定了破產企業的數據處理規則， 其中第 363（b）（1）條規定，如果公司的隱私政策明確允許出售其客 戶的數據，則該公司可以出售其客戶數據。但是，如果隱私政策未授權出售客戶數據，則必須任命消費者隱私監察員（CPO）審查出售實 施和適用的非破產法，CPO 根據審查結果向法院提出是否批準擬議 交易的建議。歐盟強調“個人信息保護”，GDPR 中的數據控制者和 數據處理者范圍可涵蓋破產管理人，當債務人財產由管理人處置時， 可以將管理人認定為數據控制者，由管理人承擔相應責任。值得注意 的是，在滿足個人信息保護基本要求的前提下，GDPR 并未明令禁止 出售數據。

4.以強化規定提升國家機關數據安全水平 《條例》第十五條至十七條明確涉及國家機關相關數據處理活動 的特殊要求。一是委托情形需經過事前批準程序?！稐l例》第十五條 規定，國家機關委托他人建設、運行、維護電子政務系統，存儲、加 工政務數據，應當按照國家有關規定經過嚴格的批準程序，明確受托 方的網絡數據處理權限、保護責任等，監督受托方履行網絡數據安全 保護義務。二是網絡數據處理者承擔額外安全保護義務。《條例》第 十六條對向國家機關、關鍵信息基礎設施運營者提供服務，或者參與 其他公共基礎設施、公共服務系統建設、運行、維護的網絡數據處理 者提出了額外的規定，要求其在按照法律法規以及合同約定履行網絡 數據安全保護義務的基礎上，在未經委托方同意時，不得訪問、獲取、 留存、使用、泄露或者向他人提供網絡數據，不得對網絡數據進行關 聯分析。三是自有系統提供服務參照電子政務系統管理要求?！稐l例》 第十七條明確，為國家機關提供服務的信息系統，應參照電子政務系 統的管理要求加強網絡數據安全管理，保障網絡數據安全。《條例》第十五至十七條有效地回應了實踐中長期存在的亂象，厘清了公共領 域中第三方服務提供者的權責邊界。

美歐對公共部門信息系統建設中的數據安全進行了詳細規定。歐 盟《網絡彈性法》（CRA）規定了關鍵信息基礎設施中數字產品制造 商、進貨商和經銷商等不同主體的義務。制造商對設計、開發和生產 的數字產品需符合 CRA 規定的網絡安全要求。經質量評估和網絡安 全評估后，制造商必須為產品張貼 CE 標志，并提供清晰、易懂、可 理解和易讀的產品隨附信息和說明，以確保用戶安全地安裝、操作和 使用。進口商需確認數字產品符合質量和網絡安全要求，并在產品包 裝或隨附文件中標明商家名稱、注冊商標、電子郵件等，并對產品的 網絡安全漏洞或事件承擔報告義務。經銷商則需要確保銷售的數字產 品帶有 CE 標志，產品中包含制造商的隨附信息和說明以及進口商的 聯系信息等。美國高度重視政務信息化項目建設中的數據安全保護。 以國土安全領域為例，美國《國土安全采購規章》明確了相關項目承 包商在訪問受控非密信息時的安全流程和程序要求，并要求承包商具 備相應的事件處置能力。

5.以專門條款確立新技術數據安全要求 《條例》第十八、十九條對涉及自動化工具、生成式人工智能等 新興技術的數據處理活動作出特殊規定。一是網絡數據處理者使用自 動化工具訪問、收集網絡數據，應評估對網絡服務帶來的影響，不得 非法侵入他人網絡，不得干擾網絡服務正常運行。二是提供生成式人 工智能服務的網絡數據處理者應當加強對訓練數據和訓練數據處理活動的安全管理，采取有效措施防范和處置網絡數據安全風險。 自動化工具方面，網絡爬蟲（Robotic Process Automation，RPA） 的正當性及其邊界問題一直廣為討論，此前我國主要從反不正當競爭 的角度對自動化采集行為予以規制，如《網絡反不正當競爭暫行規定》 第十九條規定，經營者不得利用技術手段，非法獲取、使用其他經營 者合法持有的數據，妨礙、破壞其他經營者合法提供的網絡產品或者 服務的正常運行，擾亂市場公平競爭秩序?！稐l例》一定程度上吸收 了實踐經驗，從網絡運行安全的角度提出相應禁止性規定。人工智能 方面，我國針對人工智能算法及算法治理領域已經發布了《生成式人 工智能服務管理暫行辦法》及其配套的《生成式人工智能服務安全基 本要求》，并對訓練數據活動提出一系列合規要求。《條例》對訓練數 據合規的規范進一步從行政法規的效力層級上完善了我國對人工智 能訓練數據合規監管的規范體系。

域外立法對人工智能訓練數據的安全及質量要求作出規定。歐盟 《人工智能法》第 10 條對高風險人工智能使用數據和數據治理的過 程提出了規范性的要求，特別針對數據的訓練、驗證和數據庫的測試 等環節。一是數據集的質量要求。高風險 AI 系統和模型的訓練、驗 證和測試所使用的數據集應與其預期用途相關、具有足夠的代表性， 并盡可能完整、免受誤差的影響。數據應具備適當的統計特性，例如 包括與系統預期適用人群有關的（個人或群體）相關的特性。這些數 據集的特性要求可以在單個數據集層面或數據集組合層面得到滿足。 二是數據集的選擇應與高風險人工智能系統開發設計的目的相適應。根據系統的預期用途，數據集的選擇和應用應考慮系統所適用的特定 的地理、社會環境、行為或者功能要求背景，將相應的特征或要素涵 蓋其中。三是個人信息數據使用的必要性和保護要求。如人工智能系 統提供者需要采取特別措施處理特定類型的個人信息，并采取適當的 保障措施以保證自然人的基本權利和自由。美國《關于安全、可靠、 值得信賴地開發和使用人工智能的行政命令》專門設置了“保護美國 民眾的隱私”章節，詳細闡述了白宮應對人工智能數據安全問題的三 條措施。一是針對人工智能技術在實際應用中對個人隱私的威脅，要 支持并加快加密技術等隱私保護技術的研發和資金投入，保護用于人 工智能的訓練數據以及普通用戶的個人信息的安全。二是推動開展機 構評估工作，評估各機構如何收集和使用商業可用信息，包括從數據 代理那里獲得的信息，并加強對聯邦機構的指導。三是制定實施指導 方針，以評估人工智能技術中使用到的隱私保護技術的有效性。

二、針對個人信息進一步細化重點規則

《條例》結合個人信息保護實踐中的新情況、新問題，重點細化、 完善了個人信息保護中的“告知—同意”規則、個人信息權益實現等 規定。

1.細化處理個人信息“告知—同意”具體要求 《條例》細化網絡數據處理者處理個人信息前的告知要求。一是 明確告知方式。要求網絡數據處理者在處理個人信息前，通過制定個 人信息處理規則的方式進行告知。二是明確告知的展示方式。要求個 人信息處理規則應當集中公開展示、易于訪問并置于醒目位置，內容明確具體、清晰易懂。三是細化告知內容要求。要求個人信息處理規 則必須包括：（1）網絡數據處理者的名稱或者姓名和聯系方式；（2） 處理個人信息的目的、方式、種類，處理敏感個人信息的必要性以及 對個人權益的影響；（3）個人信息保存期限和到期后的處理方式，保 存期限難以確定的，應當明確保存期限的確定方法；（4）個人查閱、 復制、轉移、更正、補充、刪除、限制處理個人信息以及注銷賬號、 撤回同意的方法和途徑等。四是明確以清單方式列明向第三方提供個 人信息。明確網絡數據處理者向個人告知收集和向其他網絡數據處理 者提供個人信息的目的、方式、種類以及網絡數據接收方信息的，應 當以清單等形式予以列明。五是強化收集未成年人個人信息的告知要 求。明確處理不滿十四周歲未成年人個人信息應當制定專門的個人信 息處理規則。

《條例》細化列舉取得個人同意后處理個人信息的要求。一是細 化收集個人信息的“必要性”原則要求。規定收集個人信息需為提供 產品或者服務所必需，不得超范圍收集個人信息，不得通過誤導、欺 詐、脅迫等方式取得個人同意。二是加重敏感個人信息、未成年人個 人信息取得同意的要求。規定處理生物識別、宗教信仰、特定身份、 醫療健康、金融賬戶、行蹤軌跡等敏感個人信息的，應當取得個人的 單獨同意；處理不滿十四周歲未成年人個人信息的，應當取得未成年 人的父母或者其他監護人的同意。三是細化取得同意后的個人信息處 理要求。規定不得超出個人同意的個人信息處理目的、方式、種類、 保存期限處理個人信息；個人信息的處理目的、方式、種類發生變更的，應重新取得個人同意。四是規范重復征求同意的情形。規定不得 在個人明確表示不同意處理其個人信息后頻繁征求同意。

從上位法來看，針對處理個人信息的告知、同意規則，《個人信 息保護法》重點規定五方面要求。一是明確個人信息處理規則需公開 的要求?！秱€人信息保護法》第七條要求處理個人信息應當遵循公開、 透明原則，公開個人信息處理規則，明示處理的目的、方式和范圍。 二是明確告知的形式和內容。第十七條規定，在處理個人信息前，應 當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列 事項：（1）個人信息處理者的名稱或者姓名和聯系方式；（2）個人信 息的處理目的、處理方式，處理的個人信息種類、保存期限；（3）個 人行使本法規定權利的方式和程序；（4）法律、行政法規規定應當告 知的其他事項。三是明確個人同意的基本要求?！秱€人信息保護法》 第十四、十五條規定，同意應當由個人在充分知情的前提下自愿、明 確作出；處理目的、方式和處理的個人信息種類發生變更的，應當重 新取得個人同意；個人有權撤回其同意；不得以撤回同意為由拒絕提 供產品或者服務。四是明確敏感個人信息的告知、同意要求。《個人 信息保護法》第二十九、三十一條規定，處理敏感個人信息應取得單 獨同意，告知處理必要性以及對個人權益的影響；處理不滿十四周歲 未成年人個人信息應取得未成年人的父母或者其他監護人的同意。五 是明確轉移個人信息的告知、同意要求?！秱€人信息保護法》第二十 二、二十三條規定，個人信息處理者因合并、分立、解散、被宣告破 產等原因需要轉移個人信息的，應當個人告知接收方信息；向其他網絡數據處理者提供個人信息的，應當向個人告知接收方信息并取得單 獨同意。

《條例》在《個人信息保護法》的基礎上重點細化、補充告知、 同意規則要求。對告知規則的細化補充體現在四個方面：一是細化對 個人信息處理規則的展示、顯示要求；二是增加了告知個人信息保存 期限及到期后處理方式的規定；三是細化了需告知的個人信息權益類 型及實現方法、途徑；四是增加向其他網絡數據處理者提供個人信息 時應以清單方式列明告知事項規定。對同意規則的細化、補充體現在 三個方面：一是補充“必要性”原則要求，即使獲得個人同意也需滿 足“必要性”“最小化”要求。即為提供產品或服務必須處理個人信 息，不得超范圍收集，不得以誤導、欺詐、脅迫等方式取得個人同意。 二是補全了不得超范圍處理個人信息的要求，即不得超出個人同意的 處理目的、方式、種類、保存期限處理個人信息。三是增加禁止頻繁 征求同意的規定。

域外立法通過不同機制明確個人信息處理“告知-同意”規則。 美國 CCPA 圍繞“opt-out”機制明確“告知-同意”相關規則。告知規 則方面，針對明確收集個人信息和出售個人信息兩類場景規定了不同 的告知內容要求。CCPA 區分了收集個人信息時和出售個人信息時不 同的告知要求。在收集個人信息時，需重點告知信息的類別、信息是 否會被出售或共享、存儲期限等；在出售個人信息時，需告知出售信 息的類別，并在收到消費者的核實請求后 45 日內提供相關信息。同 意規則方面，CCPA 采用“選擇退出”（opt-out）規則，默認個人同意處理其個人信息但賦予個人拒絕的權利。CCPA 規定消費者可以要求 企業不出售其個人信息，《加州隱私權法》（以下簡稱“CPRA”）對 CCPA進行修改并擴展了這一權利，允許消費者選擇退出不僅是出售， 還包括共享個人信息。對于兒童個人信息的處理，CCPA 采用了“選 擇加入”（opt-in）規則，處理不滿 13 歲兒童的個人信息，需要獲得 父母或監護人的同意；處理 13 至 16 歲兒童個人信息，企業在出售其 個人信息前需要獲得本人明確授權。CPRA 對兒童個人信息的處理提 出了更嚴格的要求，要求企業在處理 16 歲以下兒童的個人信息時， 必須獲得父母的同意。

歐盟 GDPR 將“告知-同意”作為個人數據保護的基本規則。一 是明確告知內容要求。GDPR 第 13 條規定，數據控制者必須告知數 據主體有關同意的細節，以便數據主體以能夠理解的語言和形式獲得 處理活動的所有必要細節，以便他們能夠理解處理將如何對他們產生 影響，包括處理個人數據的目的、收集個人數據的種類、向第三國轉 移的風險等。二是明確告知的形式要求。GDPR 第 12 條規定，數據 控制者應以一種簡潔明了、透明以及易獲得的形式、使用清晰易懂的 語言，將有關數據處理的信息提供給數據主體；尤其在涉及兒童時， 更應遵守相關要求。另外，相關信息應當以書面或者其他方式提供， 包括使用電子方式進行告知。三是明確對同意的要求。GDPR 第 4 條 （11）款對數據主體的“同意”進行界定，即數據主體依照其意愿自 由作出的、特定的、知情的、不含混的、表示同意對其相關個人數據 進行處理的意愿。具體包括以下要求：（1）由數據主體自由作出，數據主體在作出同意時，其選擇是真實的，不存在受到脅迫或者欺詐的 情況。如果數據主體受到數據控制者的影響（如數據控制者是數據主 體的雇主），則考慮到此類關系的性質，同意并不當然被認為是自由 作出的。（2）針對特定的數據處理目的和處理方式。同意應當清晰準 確地指明數據處理的范圍和結果，無明確目的的概括式同意是無效的。 （3）基于對情況的充分了解。數據控制者必須向數據主體提供關于 數據處理的最低限度的信息，提供的信息應足以保證數據主體作出充 分知情的選擇。（4）明確且充分地表達了數據主體的意愿。同意必須 以聲明或清晰肯定的行為作出，預先勾選的選擇框并不構成同意。

2.創新性落實個人信息權益實現路徑 《條例》明確網絡數據處理者實現個人信息權益的義務。一是要 求網絡數據處理者提供實現個人信息權益的方法和途徑。明確個人請 求查閱、復制、更正、補充、刪除、限制處理其個人信息，或者個人 注銷賬號、撤回同意的，網絡數據處理者應當及時受理，并提供便捷 的支持個人行使權利的方法和途徑，不得設置不合理條件。二是補充 實現個人信息“可攜權”的條件。明確網絡數據處理者為其他網絡數 據處理者訪問、獲取相關個人信息提供途徑應滿足的條件，包括：（1） 能夠驗證請求人的真實身份；（2）請求轉移的是本人同意提供的或者 基于合同收集的個人信息；（3）轉移個人信息具備技術可行性；（4） 轉移個人信息不損害他人合法權益。三是細化網絡數據處理者刪除個 人信息或匿名化處理的要求。明確網絡處理者必須刪除個人信息或進 行匿名化處理的情形，包括因使用自動化采集技術等無法避免采集到非必要個人信息或者未依法取得個人同意的個人信息，以及個人注銷 賬號。同時也規定例外情形，即在保存期限未屆滿或者在技術上難刪 除或匿名化的，網絡數據處理者只能采取存儲和安全保護措施，不得 進行其他處理活動。

針對個人在個人信息處理活動中的權利，《個人信息保護法》重 點規定了三方面內容。一是明確個人信息權益類型。《個人信息保護 法》第四十四至四十七條規定，個人對其個人信息的處理享有知情權、 決定權，有權向個人信息處理者查閱、復制其個人信息，有權請求個 人信息處理者更正、補充、刪除其個人信息。二是規定了個人信息處 理者實現個人信息權益的要求。如個人請求查閱、復制其個人信息的， 個人信息處理者應當及時提供；個人請求將個人信息轉移至其指定的 個人信息處理者，個人信息處理者應當提供轉移的途徑；個人請求更 正、補充其個人信息的，個人信息處理者應當對其個人信息予以核實， 并及時更正、補充。三是明確個人信息處理者應主動刪除個人信息的 情形，包括（1）處理目的已實現、無法實現或者為實現處理目的不 再必要；（2）個人信息處理者停止提供產品或者服務，或者保存期限 已屆滿；（3）個人撤回同意；（4）個人信息處理者違反法律、行政法 規或者違反約定處理個人信息；（5）法律、行政法規規定的其他情形。

《條例》在《個人信息保護法》基礎上重點強調網絡數據處理者 為實現個人信息權益提供方法、路徑。一是針對各項個人信息權益明 確網絡數據處理者的實現義務，網絡數據處理者及時處理個人請求并 提供便捷的行使權利的方法和途徑。二是增加因自動化采集技術采集非必要個人信息或未獲得同意應當刪除個人信息的要求。三是增加個 人行使轉移個人信息權利需滿足的條件。

從域外立法來看，歐盟 GDPR 與美國 CCPA 都明確了知情權、訪 問權、刪除權等一系列個人信息權。歐盟 GDPR 重點規定了五類個人 信息權利。一是個人享有對個人信息處理的知情權。根據 GDPR 第 14 條的規定，數據控制者應向數據主體提供充足信息。具體而言，數據 控制者在收集個人數據時，應當告知數據主體數據控制者的身份信息 與聯系方式、處理個人數據的目的與法律依據、被處理的個人數據的 類型、個人數據儲存的期限以及個人數據轉移情況等。二是個人享有 對個人數據的訪問權。GDPR 第 15 條規定，數據主體有權訪問已被 數據控制者收集的個人數據，以便了解和驗證有關數據處理行為的合 法性，數據控制者應當在合理的時間內滿足數據主體的這種訪問請求。 三是個人享有撤回對個人信息處理同意的權利。此項權利主要規定在 GDPR 第 7 條 3 款，明確數據主體有權隨時撤回其同意，撤回同意不 影響撤回之前基于同意的數據處理；在數據主體表達同意之前，數據 主體應當被告知這點，且撤回同意應當和表達同意一樣簡單。四是個 人享有要求刪除個人信息的權利。GDPR 第 17 條規定了需刪除個人 信息的情形，包括個人數據對于實現收集或處理目的不再必需、數據 主體撤回同意且無其他合法性基礎、數據主體的個人數據被非法處理、 履行法定義務等情形。五是個人享有數據可攜權。GDPR 第 20 條規 定，在數據控制者以自動化方式、基于合同條款或數據主體同意的情 況下處理個人數據時，數據主體有權要求數據控制者提供其個人數據集，這種數據文件應該是結構化、通用的、機器可讀以及不同操作系 統中都可以執行的格式，并且數據主體有權將這些個人數據傳輸給另 一個數據控制者。

美國 CCPA 明確五類個人信息權益。一是個人對其個人信息的收 集、售出的情況享有知情權。CCPA 規定，消費者有權要求收集其個 人信息的公司披露收集的個人信息的類型和具體內容。二是個人享有 訪問個人信息的權利。CCPA 規定，企業從消費者處收到要求訪問個 人信息的請求后，應立即采取措施向消費者免費披露和提供規定要求 的個人信息，個人信息的提供可通過信件或電子方式。三是個人擁有 撤回同意權。對于向第三方出售或共享其個人信息的企業，消費者有 權隨時要求其不得出售或共享其個人信息。四是個人擁有刪除權。在 收到消費者的刪除請求后，企業應及時刪除數據，并確保已共享的第 三方同時刪除該數據。五是個人擁有可攜帶權。CCPA 中的可攜權實 際上是個人訪問權及復制權的延伸，當數據控制者接收到個人查閱其 個人數據的請求時，數據控制者應當采用便利的格式提供該法所規定 的個人數據，使個人能夠不受阻礙地將這些個人數據傳輸到另一數據 控制者。

3.進一步補全數據處理者的個人信息保護要求 《條例》補全《個人信息保護法》對網絡數據處理者的具體要求。 一是明確專門機構、指定代表進行信息報送的部門?！稐l例》在《個 人信息保護法》第五十三條的基礎上，明確境外的個人信息處理者需 將有關機構的名稱或者代表的姓名、聯系方式等報送所在地設區的市級網信部門，由網信部門通報同級有關主管部門。二是補充對合規審 計方式的要求?！稐l例》在《個人信息保護法》第五十四條的基礎上， 明確網絡數據處理者通過自行或者委托專業機構的方式進行合規審 計。三是增加個人信息視為重要數據保護的情形?！稐l例》在《個人 信息保護法》第四十、五十二條的基礎上，明確“國家網信部門規定 數量”為處理 1000 萬人以上個人信息，并對處理超過一定數量個人 信息的網絡數據處理者增加了網絡數據安全管理要求。

歐盟 GDPR 規定了境內代表人信息公開的形式要求。歐盟 GDPR 第 27 條設立了境內代表人制度，當境外數據控制者或數據處理者適 用 GDPR 第 3 條 2 款時，則應以書面形式在歐盟境內指定一名代理 人，代表履行 GDPR 規定的義務。根據歐洲數據保護委員會（EDPB） 發布的《關于 GDPR 第三條地域適用范圍的解釋指南》，境內代表人 信息以兩種形式公開：（1）向歐盟數據主體提供的，可以在收集數據 時告知或在隱私通知中告知；（2）向數據保護機構提供的，僅達到使 監管機構“容易獲得”歐盟境內代表人的信息即可，如采用在公司網 站上公布境內代表人的形式。

個人信息保護審計在多國個人信息保護立法均有體現。歐盟 GDPR 較早提出了數據保護審計的概念，并將數據保護審計作為核查、 判斷數據處理者以及數據控制者是否遵循 GDPR 處理個人信息的手 段。根據 GDPR 第 28 條 3 款（h）項，數據保護審計是數據處理者向 數據控制者證明自身履行 GDPR 項下個人信息保護合規義務的主要 手段；GDPR 第 58 條 1 款（b）項則賦予了監管機構以數據保護審計形式開展調查的權力。美國 CPRA 在 CCPA 的基礎上引入了網絡年 度審計規則，要求在個人信息處理活動中“對消費者隱私或安全構成 重大風險”的企業應當進行年度網絡安全審計，企業應當明確審計范 圍并通過審計程序確保審計的徹底性和獨立性。

4.強化敏感個人信息保護要求 《條例》重申《個人信息保護法》對于敏感個人信息保護的相關 要求。一是對敏感個人信息進行列舉，包括生物識別、宗教信仰、特 定身份、醫療健康、金融賬戶、行蹤軌跡以及不滿十四周歲未成年個 人信息等；二是明確處理敏感個人信息的特殊要求，處理不滿十四周 歲未成年個人信息，應當取得其父母或者監護人同意；處理其他敏感 個人信息的，應當取得個人的單獨同意。三是明確處理個人敏感信息， 應向個人告知處理的必要性和對權益的影響。四是依規定需要取得書 面同意的，應取得書面同意。

《個人信息保護法》第二十八條采用“定性+列舉”的方式對敏 感個人信息進行定義。敏感個人信息是一旦泄露或者非法使用，容易 導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人 信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、 行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。《條例》 吸收了《個人信息保護法》中對于敏感個人信息的列舉內容。此外， 第二十八條還進一步明確了個人敏感信息的處理要求，即只有在具有 特定目的和充分必要性，并采取嚴格保護措施的情形下，個人信息處 理者方可處理敏感個人信息。

大多數國家和地區傾向采取“一般與特殊”的個人信息二分法， 但對于特殊類型個人信息所用稱謂并不一致，中美均采用“敏感個人 信息”定義，歐盟則稱“特殊類型的個人數據”。 歐盟 GDPR 第 9 條明確特殊類型個人數據定義，即顯示民族或 種族身份、政治觀點、宗教或哲學信仰、工會身份的數據，或遺傳數 據、用于唯一識別自然人身份的生物特征數據、健康相關數據或有關 自然人性生活或性取向的數據。在特殊類型個人數據識別規則方面， 歐盟法院在相關判決中提出應盡可能擴大解釋。針對“特殊類型個人 數據”這一概念，應基于 GDPR 保護基本權利的目的進行廣義解釋。 在這一框架下，即便無法準確判斷，但只要有一定的概率能夠追蹤到 數據主體，相關數據就應被視為健康數據等特殊類型個人數據。 GDPR 原則上禁止企業或組織處理敏感個人信息，除非滿足特定條件。 處理敏感個人數據時有額外的規則，不僅必須存在第 6 條中的合法性 基礎，還必須遵守第 9 條的規定，主要包括獲得數據主體明確同意、 為了保護數據主體或其他自然人的重大利益、非盈利性數據處理等情 形。

美國 CCPA 和 CPRA 列舉了敏感個人信息類別，但對于敏感個 人信息無概括性定義。CPRA 列舉的敏感個人信息包括人種與民族信 息、工會成員信息、宗教信仰、遺傳數據、生物特征、健康信息、有 關性生活或性取向的信息、財務賬戶信息等。根據 CPRA 的定義，公 開獲取的敏感個人信息不視為敏感個人信息，甚至也不視為個人信息。 CCPA 和 CPRA 關于敏感個人信息沒有特殊的處理要求，相關的處理 規則僅在通知義務上存在差異。此外，《防止受關注國家訪問美國人的大量敏感個人數據和美國政府相關數據行政令》（第 14117 號行政 令）也對特定敏感數據施加特殊保護，限制其向“受關注國家”流動。

三、圍繞重要數據系統強化數據安全管理

《條例》在《數據安全法》的框架下，補充了重要數據安全管理 制度的基本內容。《條例》第六十二條明確地界定了重要數據的概念， 即特定領域、特定群體、特定區域或者達到一定精度和規模，一旦遭 到篡改、破壞、泄露或者非法獲取、非法利用，可能直接危害國家安 全、經濟運行、社會穩定、公共健康和安全的數據，彌補了我國在法 規層面對于重要數據界定的空白，并與國家標準《數據安全技術 數 據分類分級規則》中的定義基本保持一致。 《條例》設立專章明確對于重要數據安全管理方面的要求，主要 包含三個方面的內容：一是明確制定重要數據目錄的要求，規定網絡 數據處理者識別、申報重要數據義務。二是規定網絡數據安全負責人 和網絡數據安全管理機構責任。三是明確重要數據處理者比一般網絡 數據處理者更加嚴格的安全保護義務。

1.明確重要數據目錄制定要求 從三個層面明確重要數據目錄相關制定要求。一是國家數據安全 工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據 的保護；二是各地區、各部門確定本地區、本部門以及相關行業、領 域的重要數據目錄，確認為重要數據的，相關地區、部門應當及時向 網絡數據處理者告知或者公開發布；三是網絡數據處理者按照國家有 關規定識別、申報重要數據，履行網絡數據安全保護責任。此外，第二十九條第三款還提出國家鼓勵網絡數據處理者使用數據標簽標識 等技術和產品，提高重要數據安全管理水平。 在《數據安全法》關于重要數據目錄規定的基礎上，進一步提出 網絡數據處理者主動申報、識別重要數據的相關要求。《數據安全法》 第二十一條從國家和各地區、各部門兩個維度出發，由國家數據安全 工作協調機制統籌協調各部門重要數據識別工作，各地區、各部門負 責重要數據的具體識別?！稐l例》進一步作出規定，一是確認為重要 數據的，相關地區、部門應當及時向網絡數據處理者履行告知義務， 二是網絡數據處理者應當按照國家有關規定識別、申報重要數據，履 行網絡數據安全保護責任。《條例》在《數據安全法》第二十一條的 基礎上提出了更多要求，同時又為《促進和規范數據跨境流動規定》 （以下簡稱《規定》）第二條提供了上位法依據。《規定》第二條明確， 數據處理者應當按照相關規定識別、申報重要數據，且未被相關部門、 地區告知或者公開發布為重要數據的，數據處理者不需要作為重要數 據申報數據出境安全評估。

我國其他部門規定、國家標準中包含了對于重要數據的相關要求。 《汽車數據安全管理若干規定（試行）》第三條明確了汽車領域的六 類數據，包括軍事管理區、國防科工單位以及縣級以上黨政機關等重 要敏感區域的地理信息、人員流量、車輛流量等數據，車輛流量、物 流等反映經濟運行情況的數據，汽車充電網的運行數據等。GB/T 43697-2024《數據安全技術 數據分類分級規則》作為全國網絡安全標 準化技術委員會發布的首份數據安全技術標準，涵蓋了數據分類分級、重要數據和國家核心數據識別等重要內容，其中附錄 G“重要數據識 別指南（規范性）”對各地區、各部門開展重要數據識別工作具有重 要的指導意義。此外，根據《規定》第六條的授權性規定，目前北京、 上海、天津、福建等地自貿區已經發布了數據清單，對于重要數據目 錄的制定也具有重要的參考價值。

2.明確重要數據處理者組織和人員保障要求 要求重要數據處理者設立網絡數據安全負責人和網絡數據安全 管理機構。針對網絡數據安全負責人，一是要求其應當具備網絡數據 安全專業知識和相關管理工作經歷，由網絡數據處理者管理層成員擔 任，并有權直接向有關主管部門報告網絡數據安全情況；二是掌握特 定種類、規模的重要數據處理者，應對網絡數據安全負責人和關鍵崗 位的人員進行安全背景審查，加強相關人員培訓，在審查時可以申請 公安機關、國家安全機關的協助。針對網絡數據安全管理機構，《條 例》明確其應當履行一定的網絡數據安全保護責任，如制定實施網絡 數據安全管理制度、操作規程和網絡數據安全事件應急預案，定期組 織開展網絡數據安全風險監測、風險評估、應急演練、宣傳教育培訓， 受理并處理網絡數據安全投訴、舉報等。

設立組織和人員保障是重要數據保護的關鍵步驟。《條例》在《網 絡安全法》《關鍵信息基礎設施安全保護條例》基礎上，將組織和人 員保障的相關要求從關鍵信息基礎設施運營者延伸至重要數據處理 者。《網絡安全法》第三十條要求關鍵信息基礎設施的運營者設置專 門安全管理機構和安全管理負責人，《關鍵信息基礎設施安全保護條例》第十四、十五條進一步細化《網絡安全法》的規定，如對專門安 全管理機構負責人和關鍵崗位人員進行安全背景審查，并明確了專門 安全管理機構的特定安全保護職責?！稐l例》吸收了上述規定的部分 要求，補充重要數據保護在組織和人員保障方面的特定要求，以此實 現重要數據保護的組織化、常態化。

3.細化重要數據處理者的數據安全管理要求 重要數據處理者需履行比一般網絡數據處理者更加嚴格的安全 保護義務。一是重要數據的處理者提供、委托處理、共同處理重要數 據前，應當進行風險評估，《條例》第三十一條明確了此類評估的主 要內容，如網絡數據接收方處理網絡數據的目的、方式、范圍等是否 合法、正當、必要，網絡數據可能被篡改、破壞、泄露的風險等。二 是在重要數據處理者發生合并、分立、解散、破產情形時，需履行向 省級以上有關主管部門的報告義務，主管部門不明確的，應當向省級 以上數據安全工作協調機制報告。三是重要數據處理者應每年度對其 網絡數據處理活動開展風險評估，并向有關主管部門報送。《條例》 第三十三條明確了年度風險評估報告的基本內容，其中處理重要數據 的大型網絡平臺服務提供者還需額外說明關鍵業務和供應鏈網絡數 據安全等情況。

《條例》對上位法中重要數據處理者的安全保護義務作了重要補 充。在涉及第三方時，重要數據處理除需滿足《條例》第十二條和第 十四條的一般規定外，還需要進一步滿足事前風險評估和事后通報的 義務。在風險評估方面，《數據安全法》第三十條明確，重要數據處理者需履行定期開展風險評估，對評估內容進行了簡單列舉?！稐l例》 進一步細化了風險評估報告的內容和程序要求，并為大型網絡平臺設 立了額外的報告義務。

4.域外立法較少進行重要數據安全管理制度設計 歐盟并沒有專門以“重要數據”命名的概念，但在相關法律中提 出了“高價值數據集”“關鍵基礎設施數據”等概念。歐盟《開放數據 和公共部門信息復用的指令》（簡稱《開放數據指令》）提出了“高價 值數據集”的概念，并規定了其開放和利用規則。《開放數據指令》 明確，高價值數據是指再利用會對社會、環境和經濟帶來重大利益的 數據。高價值數據能夠創造增值服務、應用和高質量的工作崗位且潛 在的受益者人數眾多?！堕_放數據指令》在附件中列舉了 6 類高價值 數據主題類別，同時授權委員會通過制定實施條例的方式增加新類別。 《網絡和信息系統安全指令》（簡稱 NIS 指令）提出“關鍵基礎設施 數據”的概念，要求運營這些關鍵基礎設施的組織實施嚴格的數據保 護措施，防范網絡攻擊和數據泄露。關鍵基礎設施運營者必須遵守更 高標準的網絡安全要求，確保數據的機密性、完整性和可用性。同時， 這些數據的處理和保護需要符合歐盟的整體網絡安全戰略和相關法 規。美國沒有統一的“重要數據”概念，但在金融、健康和教育領域 等多個關鍵行業均有詳細的立法和監管框架。這些法規在保護敏感數 據的隱私性和安全性方面提出了嚴格要求，類似于我國“重要數據” 的保護思路。在金融領域，美國《金融服務現代化法》（GLBA）要求 金融機構保護客戶的個人金融信息，并制定隱私政策向客戶公開其數據的處理方式。金融機構必須實施強有力的技術措施來保護數據，并 且在發生數據泄露時及時向相關監管機構報告。GLBA 還對金融數據 的共享和傳輸做出了限制，防止未經授權的第三方訪問。在健康領域， 健康數據是美國受保護最嚴格的領域之一。《健康保險流通和責任法》 （HIPPA）對健康數據的保護要求提出了詳細的規定，HIPAA 要求醫 療服務提供商、保險公司和相關第三方嚴格遵守數據保護標準，確保 個人健康信息（PHI）的機密性、完整性和可用性。HIPAA 特別注重 數據的傳輸安全，要求相關主體采取措施防止數據泄露、篡改和未經 授權的訪問。在教育領域，美國通過《家庭教育權利和隱私法》（FERPA） 保護學生的教育記錄。FERPA 賦予學生及其家長對學生教育記錄的 訪問權和隱私保護權，要求教育機構未經許可不得向第三方披露學生 的個人信息。FERPA 類似于我國對教育數據保護的要求，特別是在涉 及學生隱私、成績、學術記錄等方面。