top of page

新年伊始,新數據安全法規正式實施

作家相片: Frankie TamFrankie Tam

中華人民共和國數據處理者重點關注事項



為強化數位時代數據安全,國務院發佈的《網絡數據安全管理條例》(以下簡稱“條例”)於2025年1月1日正式施行。該條例歷經數年籌備,終於面世。


雖然條例中多項義務已在現行《網絡安全法》、《數據安全法》及《個人信息保護法》(以下簡稱“個保法”)等相關法規中規定,但條例仍為大陸運營的數據處理者提供了重要指導和額外要求。以下為條例重點關注事項:


網絡數據處理者措施


條例正式定義“網絡數據處理者”,指獨立確定數據處理活動目的和方法的個人或組織。該定義涵蓋個保法下的“個人數據處理者”和“重要數據處理者”,並擴展至所有經由網絡創建或處理的電子數據。


網絡數據處理者需監督管理數據安全義務,包括加密、備份、訪問控制和安全認證等。並需遵守國家安全、記錄保存、人工智能培訓和社會責任等合規義務,制定應急響應計劃。違規者將受警告或罰款。


數據安全事件發生時,網絡數據處理者需立即執行應急響應計劃,並及時通知受影響數據主體。值得注意的是,條例取消了數據泄露通知的具體時間框架,但明確危害國家安全或公共利益的事件須24小時內報告。此外,《網絡安全事件報告措施(草案)》是否實施1小時報告要求,尚待觀察。


個人數據和重要數據措施


條例對個保法處理個人數據的要求進行擴展。網絡數據處理者在處理個人數據前,需公開、顯著展示與數據處理相關的信息。向第三方提供個人數據時,須列出數據目的、方法、類別及第三方信息。這參考了工信部對APP運營者的規定,要求建立“收集個人信息清單”和“與第三方共享個人信息清單”(統稱“雙清單”)。此外,條例還制定了一系列基於數據主體同意處理個人數據時須遵守的規則。建議大陸網絡數據處理者審查隱私政策,確保符合新要求。


處理超過1000萬人個人數據的處理者(原草案門檻為100萬人)須遵守額外內部治理和外部監督要求,適用於重要數據處理者。包括確定數據安全負責人和團隊,負責網絡數據安全義務,如風險監測、評估、應急演練和教育培訓。違反者將受警告或罰款。


重要數據處理者還需注意,風險評估應每年進行,並在向第三方提供、委托或共同處理數據前進行。年度風險評估報告須提交省級主管部門。


大型網絡平台,即注冊用戶超5000萬或月活躍用戶超1000萬且業務復雜、數據處理對國家安全和經濟有重大影響的平台,須每年發布個人數據保護社會責任報告。條例還禁止大型網絡平台利用數據、算法或規則對用戶進行欺詐性或不公平對待。


跨境轉移

與個保法第38條及《關於促進和規範跨境數據流動的規定》相比,條例進一步擴展跨境數據轉移適用情況。特別允許為“履行法律義務”進行跨境數據轉移。但“法律義務”範圍是否包括外國法規定義務,條例未明確。因此,企業進行跨境數據轉移時應謹慎。


受個保法域外效力管轄的海外數據處理者須指定境內機構或代表處理境外數據處理事務。該機構或代表的名稱和聯繫方式須向市級網信部門備案,並及時通知相關部門。


結論


條例體現中國確保數位時代數據安全的同時,平衡組織商業成本和負擔的承諾。對數據安全要求的逐步放寬(如擴大跨境數據轉移範圍和降低“重要數據處理”義務門檻)對大陸企業來説無疑是個好跡象。

中國香港網絡安全協會

香港​灣仔莊士敦道208號8樓

+852 3580 8126

  • LinkedIn
  • WeChat

版權所有© 2025 中國香港網絡安全協會

感謝留言,秘書處將盡快與閣下取得聯繫!

bottom of page