前言　　在历经多轮修订和漫长的意见征集过程后，2024年9月30日，国务院正式公布了《网络数据安全管理条例》（以下简称《网数条例》），并将于2025年1月1日起施行。　　《网数条例》是在《中华人民共和国网络安全法》（以下简称《网安法》）、《中华人民共和国数据安全法》（以下简称《数安法》）和《中华人民共和国个人信息保护法》（以下简称《个保法》）基础上制定的。这三部法律共同构建了我国网络信息安全保护领域的基础性法律框架,《网数条例》的出台一方面巩固和重申了三部基本法律的核心要求，另一方面也提供了更为详细的落地要求和实施指南。　　本文旨在梳理《网数条例》在重点监管领域（即：个人信息保护、重要数据保护、数据跨境传输、人工智能治理）的重点要求，为企业应对提供参考建议。　　个人信息保护　　1　　告知与同意　　“告知与同意”仍然是个人信息保护的核心原则。《网数条例》对这一原则进行了细化，以更好地适应网络环境的独特要求。具体来说，网络数据处理者应当以清单形式明确告知个人，包括但不限于收集和提供个人信息的目的、方法、类型以及接收方等信息（即“双清单”模式）。　　2　　个人信息主体权利响应　　《网数条例》明确规定了网络数据处理者在个人行使《个保法》规定下的各项权利时所承担的义务。网络数据处理者应当及时响应个人的请求，并提供便捷的方法和途径来支持个人行使这些权利。具体来说，个人请求查阅、复制、转移、更正、补充、删除、限制处理其个人信息，或者在个人注销账号、撤回同意时，网络数据处理者都应当及时受理，并提供便捷的支持个人行使权利的方法和途径。此外，网络数据处理者不得设置不合理的条件来限制个人的合理请求，以确保个人信息的保护义务得到充分履行。　　3　　合规审计　　《网数条例》承接《个保法》规定要求，再次强调个人信息合规审计的重要性，并要求网络处理者应定期对其个人信息处理情况进行合规审计。结合先前监管部门发布的《个人信息保护合规审计管理办法（征求意见稿）》及《个人信息保护合规审计要求》（征求意见稿），我们相信个人信息合规审计工作将常态化的融入企业日常业务流程中。　　4　　处理1,000万人以上个人信息　　《网数条例》第二十八条，对于处理1,000万人以上个人信息的网络数据处理者提出了额外要求，需参照《网数条例》中对于重要数据的处理规定，加强数据安全保护责任、履行报告义务，确保个人信息的安全和合规处理。　　企业应对建议　　全面梳理和评估涉及个人信息处理活动的情况，并制定详细的清单明确记录个人信息的收集和向其他网络数据处理者提供个人信息的内容，包括但不限于目的、方式、种类以及网络数据接收方等信息。　　完善个人信息主体权利响应渠道，如建立内部的响应流程、设立专门的响应窗口等，以积极受理个人的请求，保障个人对其个人信息的合法权益。　　建立企业内部的个人信息保护合规审计机制，定期开展个人信息保护合规审计工作，提高个人信息处理活动合规水平，以遵守法律、行政法规等相关要求。　　统计并持续监测企业内部涉及的个人信息处理数量，当达到《网数条例》规定的处理1,000万人以上的个人信息时，应当遵照重要数据处理的规定，履行相关责任和义务。　　普华永道专业支持和服务　　个人信息保护是一项长期的、运营层面的工作，一个完善的个人信息保护管理体系不是一蹴而就的，需要企业在制度、人力、流程、工具等方面持续投入和积累。普华永道致力为客户提供专业的个人信息保护合规服务，包括但不限于：　　开展个人信息保护法合规评估，识别企业内部个人信息处理活动的潜在风险，提出整改建议，并协助企业制定相应的保护措施。　　搭建企业内部个人信息保护管理体系、建立告知与同意机制、梳理个人信息处理活动、完善个人信息主体响应渠道。　　执行个人信息保护合规审计工作，审查个人信息处理活动中的合法性基础条件、个人信息处理规则和告知义务的履行情况、委托或共同处理个人信息的合规情形等。　　此外，结合多年隐私保护专业合规经验，普华永道自主研发并推出了数字化个人信息保护合规管理平台 —— Privacy Ready，该平台通过自动化工具，实现对个人信息场景梳理、知情同意、个人信息权力请求管理等的个人信息一站式管理，以满足企业的合规需求，帮助企业有效应对个保法合规与风险处置。　　有关Privacy Ready产品的问询，欢迎发送至：privacyready@cn.pwc.com，或联系普华永道中国网络安全和隐私服务团队。　　Privacy Ready：一站式个人信息合规管理平台　　重要数据保护　　1　　重要数据安全保护责任　　网络数据处理者应按照有关规定识别、申报和管理重要数据，明确网络数据安全负责人和网络数据安全管理机构，履行网络数据安全保护责任：　　制定并实施网络数据安全管理制度、操作规程和安全事件应急预案；　　定期组织开展网络数据安全风险监测、评估、应急演练、宣传教育培训等，及时处理网络数据安全风险和事件；　　受理并处理网络数据安全投诉、举报。　　2　　风险评估　　重要数据处理者应按照要求开展两类风险评估：　　重要数据传输：提供、委托处理、共同处理重要数据前。　　年度风险评估：每年度对其网络数据处理活动开展风险评估，并向省级以上有关主管部门报送风险评估报告，处理重要数据的大型网络平台*服务提供者报送的风险评估报告中，还应当充分说明关键业务和供应链网络数据安全等情况。需要注意的是，该评估并非仅包括重要数据，而是针对重要数据处理者所处理的全部网络数据，包括个人信息、业务数据等其他数据。　　*指注册用户5,000万以上或者月活跃用户1,000万以上，业务类型复杂，网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。　　企业应对建议　　定期开展数据盘点工作，并根据国家有关规定识别本行业的重要数据。对确认为重要数据的，及时开展重要数据的申报工作。　　明确网络数据安全负责人和网络数据安全管理机构，建立完善的网络数据安全管理制度、开展网络数据安全风险监测活动、受理网络数据安全投诉和举报等工作。　　按照《网数条例》规定，当涉及重要数据的处理者提供、委托处理、共同处理重要数据前，进行风险评估。同时，对已识别出重要数据的企业，应每年度对网络数据处理活动开展风险评估，并报送省级以上有关主管部门。　　普华永道专业支持和服务　　根据《网数条例》，重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。普华永道致力于为客户提供专业的数据安全合规治理服务，包括但不限于：　　开展网络安全法和数据安全法合规评估，结合客户所属领域、行业的具体规章制度，评估企业内部数据处理活动的合规性。　　建立数据安全管理体系，明确相关责任人的职责和义务，制定数据安全风险监测、风险评估、应急演练等机制，保障企业数据处理活动的顺利开展，符合相关法律法规的要求。　　针对特定领域、行业，如工业与信息化领域的汽车行业，涉及重要数据处理活动的，协助开展年度重要数据风险评估工作，报送相关部门。　　开展第三方安全评估，全面了解第三方的数据管理能力，确保与企业密切关联的供应商内部数据管理的安全性。同时借助互联网攻击面管理等工具，对第三方的互联网暴露面进行快速识别与评估。　　数据全生命周期安全管理　　数据跨境传输　　《网数条例》衔接《促进和规范数据跨境流动规定》的要求，其中明确了未被相关地区、部门告知或者公开发布为重要数据的情形下，不需要作为重要数据申报数据出境安全评估。　　同时，符合下列条件之一的，网络数据处理者可以向境外提供个人信息：　　通过国家网信部门组织的数据出境安全评估；　　按照国家网信部门的规定经专业机构进行个人信息保护认证；　　符合国家网信部门制定的关于个人信息出境标准合同的规定；　　为订立、履行个人作为一方当事人的合同，确需向境外提供个人信息；　　按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息；　　为履行法定职责或者法定义务，确需向境外提供个人信息；　　紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息；　　法律、行政法规或国家网信部门规定的其他条件。　　企业应对建议　　根据相关规定，识别并申报需要出境的重要数据，开展重要数据出境安全评估。　　向境外提供个人信息前，开展个人信息保护影响评估，并判断是否需要进行安全评估、标准合同备案或个人信息保护认证等相关工作。　　加固数据跨境传输的保障机制，如施行严格的管控访问措施，监控数据的传输过程，以确保数据传输的安全性。　　普华永道专业支持和服务　　无论对于在华经营的外资企业，还是出海拓展的中国企业，数据跨境传输都是一个无法回避的课题。《网数条例》的出台令我国的数据跨境规则进一步清晰化， 企业需要建立一套有效的数据传输监控体系，以应对跨境数据流动中的复杂性和不确定性。普华永道凭借全球网络专家资源，致力于为企业跨境业务的数据流动合规保驾护航：　　开展数据跨境传输前的安全评估，包括数据字段清单梳理、跨境流转路径识别、境外接收方识别和能力评估、跨境目的的合法性与必要性评估等。　　构建定制化的数据跨境管理机制，并利用自动化工具，实时监测跨境数据，确保跨境数据的合规性和安全性。　　评估企业出海业务的合规性，识别目标地区或国家的数据合规要求，制定出海业务解决方案，规避潜在的合规风险。　　普华永道数据跨境合规监测解决方案　　人工智能治理　　《网数条例》要求网络数据处理者在提供生成式人工智能服务时在两个方面加强安全管理:（1）对训练数据的安全管理：这包括训练数据的来源、质量等方面的安全管理；（2）对训练数据处理活动的安全管理：涉及数据处理过程中的各个环节，如数据清洗、模型训练等。　　企业应对建议　　制定企业AI合规战略，明确AI应用在设计、开发、部署、运营等各阶段需要满足的安全合规要求。　　当涉及提供信息内容、深度合成服务、AIGC服务或利用生成式AI产品向公众提供服务前，按法规要求开展算法备案和大模型备案工作。　　普华永道专业支持和服务　　普华永道专家团队汇集了数据科学、应用开发、法律合规、风险控制、安全测试等领域的专家，致力于帮助企业以负责任的方式推动人工智能技术在各行业的落地实施：　　建立负责任的AI治理制度、流程、以及评估工具和模板。　　开展AI应用安全评估和测试，确保AI应用在隐私保护、算法透明、知识产权、公平公正、健壮性等风险领域满足合规要求并达到既定的安全标准。　　协助企业准备备案材料，按需履行算法备案等外部合规要求。　　端到端的AI治理框架　　结语　　《网数条例》的出台是对《网安法》《数安法》《个保法》的一次全面总结和深化。普华永道建议企业在《网数条例》生效前尽快开展自评估工作，查漏补缺，做好应对；另外，在其生效后也应持续关注各项合规要求，将安全合规嵌入日常运营中，建立合规基线，实现可持续合规。