《网络数据安全管理条例》（以下简称《条例》）已经于2024年9月30日正式发布（成文于2024年9月24日），将于2025年1月1日起施行。与2021年11月14日发布的《网络数据安全管理条例（征求意见稿）》（以下简称《征求意见稿》）相比，措辞有较大调整，但是变化并不一定意味着内容的改变，有的变化仅仅是出于与相关法规表述一致的考量。同时《条例》因为将《网络安全法》《数据安全法》《个人信息保护法》以及相关法规的要求进行整合和细化，例如吸收了《促进和规范数据跨境流动规定》的基本要求，所以内容非常丰富。

为了化繁为简、拨云见日，本文将通过图文结合的方式为读者直观展示《条例》的定位逻辑和主要内容，并提炼值得注意的要点，帮助读者更好地把握《条例》的内核以及日常适用。

通过下图可以发现，网络数据是《网络安全法》《数据安全法》《个人信息保护法》重叠覆盖的重要部分。这是数字中国发展过程中不得不重视的重要领域，也是众多热点问题高频发生的地带。

《条例》整合了相关法律要求，其出台有助于让处于这一地带的参与者更好地找寻法律依据，为合规经营提供更为清晰的指引。

《条例》一共九章六十四条，笔者将各条款核心内容归纳后形成下图。

接下来将从条款内容本身、与征求意见稿的对比等角度来分析《条例》的具体内容有哪些值得特别关注。

（一）11 安全事件应急预案的制定与启动

相较于征求意见稿，少了安全事件的明确报告时间，改为“及时”，也将负有条件的“公告”通知方式变更为与其他通知方式并列，提升了企业的可操作性。

（二）13 国家安全审查（网络安全审查）

相较于征求意见稿，删除了将香港上市纳入明确应当进行网络安全审查的条件，只是简单地保持了与《网络安全审查办法》的衔接关系，减少了一些困惑，增强了预期。

（三）16 为国家机关、关基运营者提供服务以及参与公共服务的安保要求

该条不仅明确了相关企业应当履行网络数据安全保护义务，还明确未经委托方同意处理数据的限制，为实操中开发、建设、运维单位对数据的处理权限范围的确定提供了直接依据，有助于减少争议。

（四）21公开个人信息处理规则要求

该条直接针对个人信息处理规则展示，或者说隐私政策展示这一问题高发需求。其中“应当集中公开展示”成为明确的义务，但是是企业需要将所有个人信息处理规则整合到一个文本中，还是需要区分场景或者服务，将某一场景或者服务内全部涉及的个人信息处理规则整合到一个文本中仅从文义是难以判断的。笔者倾向于后者，因为从《个人信息保护法》“清晰易懂”的角度来看，如果一个企业将多款不同业务场景的App，或者将内部员工与外部用户的个人信息处理规则整合到一起将变得复杂臃肿、不易理解。

该条也回应了实务中经常会遇到的保存期限如何告知的问题——保存期限难以确定的，应当明确保存期限的确定方法。

另外将“信息通信服务感知提升行动”中推动建立的双清单固定为明确的义务。

（五）25 受理转移请求的前提条件和收费条件

转移权（可携带权）的行使、受理一直是实操中的难点，但这一权利的设置无疑是有助于打破数据孤岛、挖掘数据价值的。该条将前提条件进行了明确，并增加了超合理范围的收费条件，在防范权利滥用的同时也限制了企业拒绝的理由。有两个小的细节是相比于《征求意见稿》，将请求次数后加了个“等”，将“合理费用”变更了“必要费用”，既增加了企业判断请求合理性的维度，又收缩了收费依据，可以体会其中的平衡之道。

（六）28 处理1000万人以上个人信息的合规要求

将1000万人这个标准作为适用重要数据处理者部分义务的指标，但是没有简单地将其认定为重要数据的标准是值得注意的地方。但是对于特定领域，在适用中还是需要结合具体情况进行分析，例如汽车行业的《汽车数据安全管理若干规定（试行）》是将涉及个人信息主体超过10万人的个人信息直接作为重要数据的。

（七）33 重要数据处理者的年度风险评估义务

该条列示的风险评估报告内容中有一款是针对大型网络平台的——处理重要数据的大型网络平台服务提供者报送的风险评估报告，除包括前款规定的内容外，还应当充分说明关键业务和供应链网络数据安全等情况。其中供应链安全和关键信息基础设施运营者所涉的网络安全审查义务有着相似的目的，也可以作为网络安全审查的有益补充，在“卡脖子”日益频繁以及国际竞争加剧的现在有着特殊的意义。

（八）40 对第三方安保义务的约束及责任承担

该条第二款规定预装应用程序的智能终端等设备生产者适用网络平台服务提供者对于第三方的约束义务，可以视为对终端厂商渠道能力认可的体现，与其影响力和社会责任相当。

本条还提及国家鼓励保险公司开发网络数据损害赔偿责任险种，鼓励网络平台服务提供者、预装应用程序的智能终端等设备生产者投保。在网络数据安全保护义务越发明确、潜在纠纷可能增加的现在，该类保险极可能有旺盛的需求。

（九）46 大型平台特定禁止性要求

该条明确提及不得利用数据、算法、规则行使禁止行为，重申了禁止“大数据杀熟”，还明确禁止无正当理由限制用户访问、使用其在平台上产生的网络数据。最后一点除了保障一般意义上的用户访问、使用权外，还可能为用户保障账号使用的权利提供依据。当然“正当理由”的范围亦需要在实践中不断摸索。

（十）52 避免不必要、交叉重复，重合可以互相采信

“九龙治水”常常给企业带来困惑和负担，该条规定明显有助于改善目前的状况，通过政府内部协调来为企业减负。同样，企业也应注意到许多工作是有多重价值的，合规审计、风险评估、等保测评等工作结果可以互相采信。当然实操中如何实现该条目标还有待时间检验。

（十一）62 用语定义

定义虽然平常不易引起重视，但是也包含非常重要的内容。例如“网络数据处理者”“委托处理”将在《个人信息保护法》中确定的委托处理的认定标准推广到网络数据领域，而且加强了对于适用于全部数据领域的预期。

相较于《征求意见稿》,“单独同意”也删除了“不包括一次性针对多项个人信息、多种处理活动的同意”的限制，与《信息安全技术 个人信息处理中告知和同意的实施指南》可以更好地进行衔接、避免冲突。

相较于《征求意见稿》,“大型互联网平台”的标准略有变化，除了原5000万注册用户外，增加了月活1000万人的“或”标准，也将原有从数据类型角度的认定标准“重要数据”变更成了注重活动本身的影响领域“国家安全、经济运行、国计民生等”。

（十二）第八章 法律责任

相较于征求意见稿，整体上罚款额度有所下降。相较于已有法律相对较宽的处罚范围，《条例》针对一些高频的违法违规行为作出了更为细致的规定，提高了后果预期，同时强调了从轻、减轻或者不予行政处罚的情形，体现了解决问题的导向——罚不是目的，避免危害才是。

虽然《条例》规定罚则没有覆盖所有相关违法违规情形，仍存在需要援引《网络安全法》《数据安全法》《个人信息保护法》进行适用情形，但部分规则的明确化给“举轻以明重”和“举重以明轻”的法律推理提供了宝贵的依据，提高了可预期性。