国家网信办拟出台《网络数据安全管理条例》，有何创新亮点？

细化补充上位法，提高可操作性

《条例》的上位法有三个，分别是《网络安全法》《数据安全法》和《个人信息保护法》。《条例》作为行政法规，执行、细化、补充前述三部上位法的规定，进一步增强了数据安全法律体系的完备性和可操作性。

具体而言，《条例》与《数据安全法》和《个人信息保护法》的关系体现在三个方面。

强化个人信息权益保护和重要数据保护

随着《网络安全法》《数据安全法》《个人信息保护法》的出台，我国网络空间法制的“四梁八柱”已经形成，可要落实其规则，充实其内容，依然需要行政法规、部门规章、国家标准来“雕梁画栋”。而《条例》便是其中举足轻重的关键构件。

《条例》共九章七十五条，其中， “强化个人信息权益保护”和“强化重要数据保护”尤其引人瞩目。

《条例》从诸多方面强化了个人信息权益保护：针对个人信息处理知情权环节，详细列出了个人信息处理规则的内容；针对个人信息处理决定权，明确了“单独同意”的含义，即“数据处理者在开展具体数据处理活动时，对每项个人信息取得个人同意，不包括一次性针对多项个人信息、多种处理活动的同意”；针对个人信息的查阅、复制、更正、补充、限制处理、删除其个人信息等权利，要求在十五个工作日予以答复；明确了个人信息转移权的行使条件。

《条例》通过定性和列举的方法，将重要数据锚定在“危害国家安全、公共利益的数据”上，进而明确了国家对重要数据的最终控制权地位。这体现在：重要数据的行政备案；重要数据的强制性安全评估；数据处理者共享、交易、委托处理重要数据时，应当征得主管部门同意。

《条例》因其规范目的多元、规范主体多样、规范内容庞杂，依然存在进一步修改的空间，有待各方共同参与、集思广益，推动《条例》臻于完善。

强化数据安全治理的法治保障

作为一部行政法规性质的专门立法，《条例》将不同立法意旨和需求下的《网络安全法》《数据安全法》《个人信息保护法》进行协调统合，对数据安全和个人信息保护规则做出了整体性的考虑，试图积极回应不同阶段立法中可能形成或产生的歧义、衔接等问题，体现了立法者保障数据安全和强化个人信息保护的态度和决心。

针对数据安全问题，《条例》从强化重要数据处理者、大型互联网平台等特殊主体以及数据聚合、数据出境等核心环节的监管维度，对数据安全提出强化要求。

《条例》建立发展了重要数据备案制度、年度数据安全评估制度以及特定重要数据处理行为的审批制度。

《条例》回应“大数据杀熟”、“爬虫”自动化工具、算法透明度解释等热点问题，全面强化大型互联网平台治理。《条例》将互联网平台运营者可能影响国家安全的数据处理行为纳入网络安全审查范畴；对平台规则、隐私政策修订等提出增强要求；第三方产品和服务对用户造成损害的，用户可以要求互联网平台运营者先行赔偿等。

《条例》规定处理重要数据的系统应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求，核心数据则从严保护，进一步凸显密码保护的基石地位。

就《条例》本身而言，社会各界积极关注，正围绕“是什么”“为什么”“谁来管”“如何管”“管到哪”这5个立法关键环节展开研讨和论证，这也契合了立法者向社会公开征求意见的初衷。