解读中国网络数据安全管理条例：与GDPR和PIPL的关键比较

fabiha01

经过多年发展，中华人民共和国已经建立起以《网络安全法》、《数据安全法》、《个人信息保护法》为核心的数据安全法律体系。国务院发布《网络数据安全管理条例》（以下简称《条例》），以行政法规形式统筹落实上述三个上位法律规定的数据安全管理要求。

网络数据安全管理条例的目标
该条例将于2025年1月1日起施行，旨在规范网络数据处理活动，保护个人和组织的合法权益，维护国家安全和社会公共利益。 《条例》对网络数据安全提出了总体要求和规定，进一步明确了个人信息保护规则，加强了重要数据管理机制。 《条例》还加强了网络数据跨境安全框架，明确了网络数据控制者向境外转移个人信息的条件。此外，《条例》还规定了互联网平台服务提供者的义务，明确了第三方服务和产品提供者等实体的数据保护要求。

《条例》个人信息保护规定
该条例继承了《个人信息保护法》，对个人信息保护作出了进一步明确。它对《公共利益法》的某些条款进行了详细阐述，重点保障个人权利，并明确组织的义务。

条例第20条规定了隐私政策的方式和内容要求。该规定解决了目前普遍存在的与信息收集相关的“服务协议”和“隐私政策”等条款冗长、难以理解的问题。通过要求清楚列出每个功能的数据收集目的和用途，该措施确保用户可以轻松理解信息，而无需筛选密集的文本。

《条例》在《隐私法》规定的“知情同意”原则下，重申并进一步细化了不同情形下的同意要求。在此基础上，还明确界定并排除了不能视为有效同意的情况（例如通过误导、欺诈或强制手段获得的同意）。 《条例》第二十二条与GB/T 35273-2020《信息安全技术 个人信息安全规范》相衔接，爱尔兰商业传真列表 规定个人明确表示拒绝处理其个人信息后，不得重复征求个人同意。

值得注意的是，《条例》对个人信息的保存期限提供了灵活性，其第二十四条规定“保存期限不易确定的，应当明确确定保存期限的标准”。可以理解，这在一定程度上体现了网信部门近年来对控制者特殊业务状况的认可。这在跨境数据传输合规声明的背景下尤其重要。很多企业由于定制化的多方数据存储服务或海外接收方的特定政策，难以明确个人信息的保留期限，这给修改个人信息处理规则的告知内容带来了挑战。我们理解，条例对于难以明确个人信息具体保存期限的情况，考虑到企业的实际业务需求，给予了较为宽容的政策，以减轻企业的合规负担。

虽然《个人信息保护法》第45条明确赋予个人“请求向指定的控制者传输其个人信息”的权利——通常称为“数据可携权”，但由于缺乏符合国家网信部门规定条件的具体规定，这项权利在实际中未能得到落实。 《实施条例》第二十五条首次从立法角度明确了数据可携权的具体应对规则，从而使数据可携权在我国具有切实的可执行性。

结论
《网络数据安全管理条例》作为《网络安全法》、《数据安全法》、《个人信息保护法》的重要补充，对三法的诸多规定进行了补充和完善。它通过进一步澄清和详细化监管要求，特别是在数据安全和个人信息保护等领域，带来了重要的改进。

总体来看，《条例》体现了我国近年来在数据合规监管方面积累的经验和进步。它标准化了关键的监管实践，包括隐私政策的详细规则（例如个人信息用途的具体列表），并正式规定了行使“数据可携带权”的流程。这些措施为网络数据安全提供了更加全面、可执行的框架。

对于在中国运营的组织来说，2025 年 1 月 1 日之前的时期是评估和调整其数据管理实践的宝贵机会。通过积极履行合规义务并遵守新的监管要求，企业可以降低风险并与消费者和监管机构建立信任。