《網絡數據安全管理條例》之個人信息保護制度（中國大陸）

《網絡數據安全管理條例》（以下簡稱“《條例》”）已於2025年1月1日起施行。該《條例》作為一部涉及網絡安全、數據安全及個人信息保護三大重要領域的行政法規，其不僅僅是對 《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》（以下簡稱“《個人信息保護法》”）這三大重要立法的簡單重複，而是對上述三法中的規定進行補充及創新性規定，進一步細化了網絡數據保護的合規要求。本文旨在對《條例》中基於《個人信息保護法》的細化要求予以解讀，著重梳理《條例》中對《個人信息保護法》下企業合規有較大影響的問題。

《條例》第三章共計八條強調了處理個人信息的重點內容，明確了企業對於個人信息保護的合規義務。

一、明確個人信息處理規則的告知性質並強調告知內容

《個人信息保護法》第十七條規定了個人信息處理者關於告知應履行“顯著方式”義務。《條例》則進一步要求網絡數據處理者於告知時應當履行“集中公開展示、易於訪問並置於醒目位置”這三方面義務。有鑒於此，提請企業注意在涉及多份個人信息處理規則，包括但不限於兒童個人信息處理規則、現行個人信息處理規則、已失效個人信息處理規則時，均應在顯著位置進行集中展示，以方便用戶訪問獲取信息。

《條例》第二十一條要求網絡數據處理者向個人告知收集和向其他網絡數據處理者提供個人信息的目的、方式、種類以及網絡數據接收方信息的，應當以清單等形式予以列明。這在行政法規的層面確立了“雙清單 ^[1] 即已收集個人信息清單和與第三方共享個人信息清單）的告知要求。當然，依據上述條款的表述，“以清單形式”告知並非唯一合法的途徑，然對於企業而言這種清單列明的方式可有效提升個人信息處理規則的透明度，避免合規風險。

《條例》明確要求應告知個人信息保存期限和到期後的處理方式，保存期限難以確定的，應當明確保存期限的確定方法。相較《個人信息保護法》中要求個人信息處理規則應包含個人信息保存期限的規定，《條例》就實踐中難以確定保存期限的問題給出了明確的指示。

二、明確自動化採集特殊要求

《條例》第二十四條明確因使用自動化採集技術等無法避免採集到非必要個人信息或者未依法取得個人同意的個人信息，以及個人註銷帳號的，網絡數據處理者應當删除個人信息或者進行匿名化處理。關於此點，提請智能網聯汽車、智能家居設備等智能化生產企業應注意收集個人信息應當遵循最小必要原則。在攝像頭和傳感器無處不在的時代，企業不可避免會收集到不必要的個人信息，而採集技術措施的瑕疵不會成為企業豁免責任的理由，因此企業應當進一步評估現有產品設備和技術能力，做好技術處置預案，確保對非必要個人信息或未取得個人同意的個人信息及時進行删除或匿名化處理，以達到合規要求。

三、細化行使個人信息可攜帶權的條件

《個人信息保護法》第四十五條 ^[2] 確了個人信息可攜帶權。然該規定為原則性規定，缺乏具體的操作規則。《條例》第二十五條細化了個人信息轉移的條件，對於符合下列條件的請求，要求網絡數據處理者應當為個人指定的其他網絡數據處理者訪問、獲取有關個人信息提供途徑：(1)能夠驗證請求人的真實身份；(2)請求轉移的是本人同意提供的或者基於合同收集的個人信息；(3)轉移個人信息具備技術可行性；(4)轉移個人信息不損害他人合法權益。值得注意的是，《條例》雖較《個人信息保護法》有了細化規定，信息可攜帶權真正的落地執行仍存有疑義。建議相關企業重點參考與個人信息可攜帶權有密切關聯的國家標準《信息安全技術 基於個人請求的個人信息轉移要求》徵求意見稿，通過該標準調整個人信息主體權利響應機制，建立響應流程和相關技術手段。

四、明確處理1000萬人以上個人信息處理者應履行之額外義務

根據《條例》第二十八條規定，處理1000萬人以上個人信息的網絡數據處理者應遵守《條例》關於重要數據處理者的兩項義務規定：（1）明確網絡數據安全負責人和網絡數據安全管理機構；（2）因合並、分立、解散、破產等可能影響重要數據安全的，應當採取措施保障網絡數據安全，並向省級以上有關主管部門報告重要數據處置方案、接收方的名稱或者姓名和聯繫方式等；主管部門不明確的，應當向省級以上數據安全工作協調機制報告。

綜上，我們建議企業根據自身情況對現有制度進行合規評估，更新合規流程，以滿足《條例》中較《個人信息保護法》下提出的新監管要求。