【律师点评】：2024年8月30日，国务院常务会议审议通过《网络数据安全管理条例（草案）》，会议指出，要对网络数据实行分类分级保护，明确各类主体责任，落实网络数据安全保障措施。要厘清安全边界，保障数据依法有序自由流动，为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。2024年9月30日下午，《网络数据安全管理条例》（以下简称《条例》）正式发布并自2025年1月1日起施行，这意味在我国网络安全、个人信息保护和数据安全领域一份相对综合的指导落地实践的配套规章终于落地，也可以预见在3个月左右的“过渡期”之后，《条例》的正式公布生效将在业内开启新一轮的合规整改和监督执法行动。本文试通过比对《条例》与《条例（草案）》、相关上位法及规章、办法的条款，系统梳理《条例》的细化、落地和新增内容，并就若干重点部分进行分析和讨论，以期为理解《条例》的深远影响及未来实施效果提供有价值的参考。

上篇回顾：兰迪研究 | 三载终落地：《网络数据安全管理条例》全文对比分析（上）

在个人信息保护方面，《条例》规定主要来源于《个人信息保护法》，但对其中的内容进行了细化与补充，以进一步保障个人信息安全，同时也对企业提出了具体的要求以便促进安全合规工作的落地。

《条例》进一步细化《个人信息保护法》对于处理个人信息时知情同意权的规定，包括要求“不得超范围收集个人信息，不得通过误导、欺诈、胁迫等方式取得个人同意”，“个人明确表示不同意后，频繁征求同意、干扰正常使用服务”等情形，删除了《征求意见稿》中列举性的一些规定。此外，《条例》删除了《征求意见稿》中对个人同意行为有效性存在争议时，数据处理者负有举证责任的规定。

《条例》第五章专门规定了数据跨境安全管理，对数据出境相关事项提出了进一步的要求。

《条例》新增了“为履行法定职责或者法定义务，确需向境外提供个人信息”作为豁免跨境合规机制的情形之一，而未沿袭《征求意见稿》中将《个人信息保护法》项下的个人信息跨境传输要求（包括签署数据处理合同）扩展到所有类型的数据。除此以外，《条例》还将关于国际条约、协定的内容作为新增第三十六条单独列出，体现出与国际规则相衔接的立法趋势。

《条例》未沿袭《征求意见稿》以及国家网信办于2024年3月22日公布的《促进和规范数据跨境流动规定》规定的需要通过国家网信部门组织的数据出境安全评估的几种情形，而是仅概括性地规定了对于重要数据出境，应通过数据出境安全评估。另外，《条例》亦未规定出境安全评估的有效期。

值得注意的是，《条例》新增了对于为规避国家跨境数据安全技术保护措施提供技术工具、技术支持或帮助的个人和组织的禁止性条款。从目前表述来看，此处的“国家措施”尚有进一步明确的空间，但联想到近期频发的VPN“翻墙”类案例似乎在本《条例》中有了执法依据（当前更多引用其他法规进行处罚）。