《网络数据安全管理条例》之个人信息保护制度（中国大陆）

《网络数据安全管理条例》（以下简称“《条例》”）已于2025年1月1日起施行。该《条例》作为一部涉及网络安全、数据安全及个人信息保护三大重要领域的行政法规，其不仅仅是对 《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）这三大重要立法的简单重复，而是对上述三法中的规定进行补充及创新性规定，进一步细化了网络数据保护的合规要求。本文旨在对《条例》中基于《个人信息保护法》的细化要求予以解读，着重梳理《条例》中对《个人信息保护法》下企业合规有较大影响的问题。

《条例》第三章共计八条强调了处理个人信息的重点内容，明确了企业对于个人信息保护的合规义务。

一、明确个人信息处理规则的告知性质并强调告知内容

《个人信息保护法》第十七条规定了个人信息处理者关于告知应履行“显著方式”义务。《条例》则进一步要求网络数据处理者于告知时应当履行“集中公开展示、易于访问并置于醒目位置”这三方面义务。有鉴于此，提请企业注意在涉及多份个人信息处理规则，包括但不限于儿童个人信息处理规则、现行个人信息处理规则、已失效个人信息处理规则时，均应在显著位置进行集中展示，以方便用户访问获取信息。

《条例》第二十一条要求网络数据处理者向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息的，应当以清单等形式予以列明。这在行政法规的层面确立了“双清单 ^[1] （即已收集个人信息清单和与第三方共享个人信息清单）的告知要求。当然，依据上述条款的表述，“以清单形式”告知并非唯一合法的途径，然对于企业而言这种清单列明的方式可有效提升个人信息处理规则的透明度，避免合规风险。

《条例》明确要求应告知个人信息保存期限和到期后的处理方式，保存期限难以确定的，应当明确保存期限的确定方法。相较《个人信息保护法》中要求个人信息处理规则应包含个人信息保存期限的规定，《条例》就实践中难以确定保存期限的问题给出了明确的指示。

二、明确自动化采集特殊要求

《条例》第二十四条明确因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息，以及个人注销账号的，网络数据处理者应当删除个人信息或者进行匿名化处理。关于此点，提请智能网联汽车、智能家居设备等智能化生产企业应注意收集个人信息应当遵循最小必要原则。在摄像头和传感器无处不在的时代，企业不可避免会收集到不必要的个人信息，而采集技术措施的瑕疵不会成为企业豁免责任的理由，因此企业应当进一步评估现有产品设备和技术能力，做好技术处置预案，确保对非必要个人信息或未取得个人同意的个人信息及时进行删除或匿名化处理，以达到合规要求。

三、细化行使个人信息可携带权的条件

《个人信息保护法》第四十五条 ^[2] 确了个人信息可携带权。然该规定为原则性规定，缺乏具体的操作规则。《条例》第二十五条细化了个人信息转移的条件，对于符合下列条件的请求，要求网络数据处理者应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径：(1)能够验证请求人的真实身份；(2)请求转移的是本人同意提供的或者基于合同收集的个人信息；(3)转移个人信息具备技术可行性；(4)转移个人信息不损害他人合法权益。值得注意的是，《条例》虽较《个人信息保护法》有了细化规定，信息可携带权真正的落地执行仍存有疑义。建议相关企业重点参考与个人信息可携带权有密切关联的国家标准《信息安全技术 基于个人请求的个人信息转移要求》征求意见稿，通过该标准调整个人信息主体权利响应机制，建立响应流程和相关技术手段。

四、明确处理1000万人以上个人信息处理者应履行之额外义务

根据《条例》第二十八条规定，处理1000万人以上个人信息的网络数据处理者应遵守《条例》关于重要数据处理者的两项义务规定：（1）明确网络数据安全负责人和网络数据安全管理机构；（2）因合并、分立、解散、破产等可能影响重要数据安全的，应当采取措施保障网络数据安全，并向省级以上有关主管部门报告重要数据处置方案、接收方的名称或者姓名和联系方式等；主管部门不明确的，应当向省级以上数据安全工作协调机制报告。

综上，我们建议企业根据自身情况对现有制度进行合规评估，更新合规流程，以满足《条例》中较《个人信息保护法》下提出的新监管要求。