网络安全重要法律解读

一、《密码法》

本部分引用https://m.thepaper.cn/baijiahao_17582211内容

密码法全文：http://www.npc.gov.cn/npc/c36798/201910/6f7be7dd5ae5459a8de8baf36296bc74.shtml#

2019年10月26日，十三届全国人大常委会第十四次会议审议通过《中华人民共和国密码法》，自2020年1月1日起施行。

密码的定义

密码的定义：密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
密码的主要表现形式是技术、产品和服务；
主要功能是加密保护和安全认证，保护的对象是信息等相关内容，
密码的本质是特定变换的方法。

银行取款密码、网站登录密码，实际上并不是密码法中规定的“密码”，取款密码和网站登录密码只是一种简单、初级的认证方式，原因就在于不具备“特定变换”的方法。
密码的分类：国家对于密码实行分类管理，密码分为核心密码、普通密码和商用密码，分别用来保护不同类型和等级的密码：

核心密码，保护国家秘密，保护绝密级、机密级、秘密级的国家秘密；

普通密码，保护国家秘密，保护机密级、秘密级的国家秘密；

商用密码，保护不属于国家秘密的信息。

密码的管理制度

核心密码和普通密码

根据《中华人民共和国密码法》第七条第二款的规定，核心密码、普通密码属于国家秘密。密码管理部门对核心密码、普通密码实行严格统一管理，主要要求为：

建立健全核心密码、普通密码的安全管理制度

从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构（以下统称密码工作机构）应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求，建立健全安全管理制度，采取严格的保密措施和保密责任制，确保核心密码、普通密码的安全。（《密码法》第十五条）

建立核心密码、普通密码的安全预警等协作机制

密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制，确保核心密码、普通密码安全管理的协同联动和有序高效。（《密码法》第十七条）

建立核心密码、普通密码的监督和安全审查制度，开展安全审查

密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度，对其工作人员遵守法律和纪律等情况进行监督，并依法采取必要措施，定期或者不定期组织开展安全审查。（《密码法》第二十条）

商用密码

商用密码的管理制度，主要包括有商用密码标准化制度、检测认证制度、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。

商用密码标准化制度

国家建立和完善商用密码标准体系。国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用。（《密码法》第二十二条、二十三条）

商用密码检测认证制度

对商用密码实行自主认证检测和强制认证相结合。
国家推进商用密码检测认证体系建设，制定商用密码检测认证技术规范、规则，鼓励商用密码从业单位自愿接受商用密码检测认证，提升市场竞争力。
涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的机构检测认证合格后，方可销售或者提供。（密码法》第二十五条、二十六条）

进口许可和出口管制制度

国家依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可，对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。
大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

电子政务电子认证服务管理制度

国家对采用商用密码技术从事电子政务电子认证服务的机构进行认定，会同有关部门负责政务活动中使用电子签名、数据电文的管理。

日常监管和随机抽查相结合的事中事后监管制度

密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度，建立统一的商用密码监督管理信息平台，推进事中事后监管与社会信用体系相衔接，强化商用密码从业单位自律和社会监督。

密码的使用

核心密码和普通密码

针对核心密码和普通密码的使用，提出了强制性的要求，在有线、无线通信中传递的国家秘密信息，以及存储、处理国家秘密信息的信息系统，应当依照规定使用核心密码、普通密码进行加密保护、安全认证。（《密码法》第十四条）

商用密码

商用密码，对一般用户使用商用密码没有提出强制性要求，公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。（《密码法》第八条）
同时，为了保障关键信息基础设施安全稳定运行，维护国家安全和社会公共利益，关键信息基础设施必须依法使用商用密码进行保护，并开展商用密码应用安全性评估；要求关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当依法通过国家网信办会同国家密码管理局等有关部门组织的国家安全审查。（《密码法第二十七条》）
密码法还突出了对于密码的保护，第十二条明确规定，任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统，不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息，并对其在履行职责中知悉的商业秘密和个人隐私严格保密，不得泄露或者非法向他人提供。

二、《数据安全法》

法律全文：

http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml

本部分内容引用:

https://www.tianchang.gov.cn/public/161054602/1110118205.html

http://drc.hangzhou.gov.cn/art/2021/11/8/art_1229057478_58902002.html

主要核心概括

明确将数据安全上升到国家安全范畴

新出台的《数据安全法》第四条明确“维护数据安全，应当坚持总体国家安全观”，并将“维护国家主权、安全和发展利益”写入本法的立法目的条款中。主要包括涉及国家安全数据的审查、境外数据对国家安全的侵犯和相关数据的境外传输问题。

1.涉及国家安全数据的审查

《国家安全法》第五十九条规定国家建立国家安全审查和监管的制度和机制，对影响国家安全的关键技术、网络信息技术产品和服务等进行国家安全审查。但此条规定的国家安全审查和监管制度所需要的审查的内容众多，其中“关键技术、网络信息技术产品和服务”只是一项，且审查重点为产品、服务本身，而对其获取、分析、使用的数据并没有专门的规定。而《网络安全法》第三十五条也对此做出了相应规定，但一般只局限于网络范围内。对此，《数据安全法》规定了针对“数据”的国家安全审查，其第二十四条规定，国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查，以此实施对相关数据的专门审查。同时，《数据安全法》明确数据处理服务提供者应当依法取得行政许可，为未来对数据处理服务市场准入环节实施准入资格监管提供了上位法依据。

2.境外数据对国家安全的侵犯

《数据安全法》不仅对国内范围内的数据活动进行规范，同时其第二条规定，在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任，此条明确规定了境外数据侵犯国家安全属于我国数据规范范围。

3.相关数据的境外传输

如今数据所承载的不仅仅是个人信息和隐私，当大量的数据被分析处理，其所得出的结果有可能涉及国家重要信息和隐私。对此，《网络安全法》规定了关键信息基础设施的运营者收集的数据的出境管理，在此基础上《数据安全法》规定此外其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法由国家网信部门会同国务院有关部门制定。此款条文明确了针对“数据”的出境规制补全了以往的数据管理漏洞。

不仅如此，《数据安全法》还对数据安全违法行为赋予了多项处罚说明，对违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的，依法追究刑事责任。

建立重要数据和数据分级分类管理制度

《数据保护法》全文有三个条款对“数据分级”作出规定，

一是其对数据级别的界定采用两个方法，第一种方法是用概念表述，即“根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护”，此概念定义较为笼统，至于具体分类标准必须结合具体分级分类认定。
二是重要数据保护目录的制定，本法要求，国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，同时各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。
三是本法第三十条还规定了风险评估报告制度。重要数据处理者要定期报送风险评估报告，本条增加了数据处理者的数据安全保护义务，提高对其数据保护的要求。

完善数据出境风险管理

1.《数据安全法》补充和完善了数据出境管理要求，强化境内数据出境风险控制。《数据安全法》出台之前，也有法律涉及数据境外传输的规定，如《网络安全法》第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储，因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。但由于《网络安全法》的立法目的主要是保护互联网环境安全，对涉及国家安全的数据保护一般只限于网络范围，因此有必要利用《数据安全法》对涉及国家安全的数据内容进行专门规制，《数据安全法》第三十一条继续沿用了以上条款，同时规定此外其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

2.《数据安全法》针对全球数据竞争形势，作出应对性规定。其一，针对国外相关立法普遍具有域外适用效力、扩张本国立法管辖权的问题，如欧盟《通用数据保护条例》，如前所述，《数据安全法》第二条以实际后果为标准，明确将对“损害中华人民共和国国家安全、公共利益或者公民、组织合法权益”的境外数据处理活动，追究法律责任。其二，针对国外近期立法授权本国执法机构跨境调取数据，可能侵犯我国数据主权、威胁我国数据安全的问题(如美国《云法案》)，《数据安全法》第36条明确规定，非经我国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于我国境内的数据。其三，针对我国网信企业在出海过程中频遭他国国家安全审查等不平等对待的问题，《数据安全法》第26条明确任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对我国采取歧视性的禁止、限制或者其他类似措施的，我国可以根据实际情况对该国家或者地区对等采取措施。

明确规定数据安全保护义务

《数据安全法》从多个方面规定了相关企业的数据安全义务，包括制度管理、风险监测、风险评估、数据收集、数据交易、经营备案和配合调查等多个方面。

《数据安全法》明确，相关企业应在网络安全等级保护制度的基础上，建立健全全流程数据安全管理制度，组织开展教育培训。重要数据的处理者应当明确数据安全负责人和管理机构，进一步落实数据安全保护责任主体。对出现缺陷、漏洞等风险，要采取补救措施：发生数据安全事件，应当立即采取处置措施，并按规定上报。并要求企业定期开展风险评估并上报风评报告。针对数据服务商或交易机构，要求其提供并说明数据来源证据，要审核相关人员身份并留存记录。数据服务经营者应当取得行政许可的，服务提供者应当依法取得许可。《数据安全法》还明确要求企业依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据，未经批准，不得提供。

三、《个人信息保护法》

法律全文：http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml

本文引用：https://baijiahao.baidu.com/s?id=1715297949662406241&wfr=spider&for=pc

规范个人信息处理活动

《个人信息保护法》第一条规定：“为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。” 从《个人信息保护法》的立法目的看，个人信息保护法的实质功能是一部个人信息处理活动行为规范法，个人信息保护的真正立法目的有两个，一个是“保护个人信息权益”，另一个是“促进个人信息合理利用”，其中“规范个人信息处理活动”处于整个《个人信息保护法》的核心地位，只有夯实“规范个人信息处理活动”这个关键环节，才能确保实现保护个人信息权益和促进个人信息合理利用之目的。

个人信息的匿名化

《个人信息保护法》第四条第一款明确了“个人信息”的定义：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。《个人信息保护法》中的“个人信息”定义增加了“不包括匿名化处理后的信息”，明确了“个人信息”经匿名化处理后不属于个人信息，也就无须适用《个人信息保护法》的相关规定，体现了《个人信息保护法》的“保护”和“利用”并重。

《个人信息保护法》第七十三条（四）将“匿名化”定义为：“是指个人信息经过处理无法识别特定自然人且不能复原的过程。”该定义中的“不能复原”主采取了两种方法：一是删除个人信息包含的个人描述部分，包括将描述部分替换为其他描述部分，或者使用具有不可恢复的方法等；二是删除所述个人信息中所包含的全部标识符，包括将标识符替换为其他描述部分，或者使用具有不可恢复的方法等。

个人信息保护法的域外效力

我国《个人信息保护法》第三条第二款的规定，在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列三种情形之一的，也适用《个人信息保护法》：

一是“以向境内自然人提供产品或者服务为目的”，比如一家位于美国运营的电子商务网站（Amazon）向中国境内的自然人（包括本国人、外国人和无国籍人）提供产品或服务；
二是“分析、评估境内自然人的行为”，比如一家位于境外的社交网站分析、评估中国境内自然人的行为，像全球最大的社交网站Facebook，每年发布专门的用户行为习惯研究分析报告；
三是法律、行政法规规定的其他情形，如我国《数据安全法》第二条第二款明确规定：“在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”

个人信息处理的核心原则

《个人信息保护法》主要确立以下五项重要原则：

一是遵循合法、正当、必要和诚信原则；

二是采取对个人权益影响最小的方式，限于实现处理目的的最小范围原则；

三是处理个人信息应当遵循公开、透明原则；

四是处理个人信息应当保证个人信息质量原则；

五是采取必要措施确保个人信息安全原则等。

以上个人信息处理原则，如“遵循合法、正当、必要”、“应当遵循公开、透明原则”以及“保障个人信息安全”等原则在《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》《民法典》《消费者权益保护法》等相关个人信息保护立法中均规定，已经成为我国个人信息处理应遵循的通用规则。

以“告知-知情-同意”为核心的个人信息处理规则

个人信息处理者“告知”的目的是为了确保被告知者的充分“知情”，只有被告知者在充分知情的前提下才能自愿、明确地做出决定。为此，《个人信息保护法》第十四条明确规定：“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。”由此，《个人信息保护法》构建了以“告知-知情-同意”为核心的个人信息处理规则。

敏感个人信息的认定与保护规则

《个人信息保护法》第二十八条给出了“敏感个人信息”的定义，即“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”

《个人信息保护法》对处理敏感个人信息作出了严格的限制性规定，即在履行“告知-知情-同意”原则的基础上，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。特别是处理敏感个人信息应当取得个人的单独同意，如果法律、行政法规规定处理敏感个人信息应当取得书面同意的，应当从其规定。

严禁“大数据杀熟”以及为“用户画像”等涉及不当自动化决策

针对“大数据杀熟”、“用户画像”和“算法推荐”等涉及个人信息自动化决策的热点问题，《个人信息保护法》作出了明确规范（第二十四条）：首先，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇；其次，通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式；第三，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

个人在个人信息处理活动中的七项权利

《个人信息保护法》全面构建了个人在个人信息处理活动中的权利，包括知情权、决定权（限制、拒绝和撤回权）、查阅复制权、个人信息可携带权、更正补充权、删除权、规则解释权。

1.知情同意权，收集和使用公民个人信息必须遵循合法、正当、必要原则，且目的必须明确并经用户的知情同意；

2.决定权，有权限制、拒绝或撤回他人对其个人信息的处理；

3.查阅复制权，个人有权向个人信息处理者查阅、复制其个人信息；

4.个人信息移转权，个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径；

5.更正补充权，个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充

6.删除权，在五种情形下，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：1）处理目的已实现、无法实现或者为实现处理目的不再必要，2）个人信息处理者停止提供产品或者服务，或者保存期限已届满，3）个人撤回同意，4）个人信息处理者违反法律、行政法规或者违反约定处理个人信息，5）法律、行政法规规定的其他情形；

7.规则解释权，个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

重要互联网平台的“守门人”制度

鉴于重要互联网平台掌握海量用户数据，一旦发生信息泄露或滥用，可能导致严重后果，《个人信息保护法》专门要求其履行“守门人”角色，并承担更多责任，主要包括：

1.应按照国家规定建立健全个人信息保护合规制度体系；

2.成立主要由外部成员组成的独立机构进行监督；

3.遵循公开、公平、公正的原则制定平台规则；

4.对严重违法处理个人信息的平台内产品或服务提供者停止提供服务；

5.定期发布个人信息保护社会责任报告并接受社会监督等。

四、《网络安全管理条例》

本部分引用：https://www.wanganke.com/web/article/show/2009

条例原文：http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm

明确数据分类分级分类保护制度

《条例》第五条明确提出，“国家建立数据分类分级保护制度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。”

《条例》进一步界定了一般数据、重要数据和核心数据的区别，同时增加了个人信息保护的范畴。例如，为了进一步明确重要数据的定义，《条例》在第七十三条列举了七大具体类型数据

数据保护措施进一步明确

《条例》对于数据保护技术、合规、措施进行了详细的说明。

第九条提出，数据处理者应当做好等保工作，重要数据原则上要满足等保三级，以及关键信息基础设施安全保护要求，重要数据和核心数据还需使用密码进行保护。

第十条提出，“数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞，或者威胁国家安全、危害公共利益等风险时，应当立即采取补救措施。”

第十一条提出“数据处理者应当建立数据安全应急处置机制，发生数据安全事件时及时启动应急响应机制，采取措施防止危害扩大，消除安全隐患，并且要在三个工作日内向关系人进行说明，涉及犯罪者向公安机关报案。

如果涉及重要数据或10万人以上的个人信息事件，数据处理这还应在八小时内向网信部门或主管部门汇报；事件处置完毕后五个工作日内向网信部门和主管部门再次汇报处理调查报告。

网络安全审查范畴进一步扩大

和2020年4月印发的《网络安全审查办法》相比，《条例》进一步扩大了需要接受网络安全审查的范畴。除“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”以外，“大型互联网平台运营者实施合并、重组、分立”；“数据处理者赴香港上市，影响或者可能影响国家安全的”；都需要申报进行网络安全审查。

同时，“大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告。”

大型互联网平台迎更强监管

在数据保护上，《条例》体现出***“抓大放小”***的原则。

无论是“数据处理者合并、重组、分立”还是“发生解散、被宣告破产等情况”，只要涉及重要数据和一百万人以上的个人信息，都应该向设区的市级主管部门或网信部门报告。

《条例》还强调，“日活用户超过1亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。”

这意味着，掌握着大量个人信息的大型互联网平台将迎来更强的监管，尤其是国内头部互联网平台企业更是如此。其平台规则和隐私政策将是制度性的，涉及群体利益和公众利益时必定是牵一发而动全身，平台自主性将收到明显限制，企业必须提前做好相应的准备。

个人信息保护

在个人信息保护方面，《条例》主要来源于《个人信息保护法》，但对其中的内容进行了细化，从用户的角度出发，维护了用户应有的权利，让他们可以对企业的不合理要求说“不”。同时也对企业提出了具体的要求，促进它们做好安全合规工作。

1、知情同意权

《条例》的三部上位法都在一定程度上明确了用户的“知情同意权”，在此基础上，《条例》进一步提出了细则，对企业提出了更加具体的要求，进一步明确了用户的知情同意权。

2、信息处理权

《条例》赋予用户自由处理自己信息的权利，包括查阅、复制、更正、补充、限制处理、删除其个人信息、人信息转移等权利。

3、不得将人脸、指纹作为唯一认证方式

《条例》第二十五条规定，“不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。”这意味着日后所有互联网产品及线下产品都应提供人脸等生物特征认证以外的其他认证方法。

数据跨境安全管理

针对数据跨境安全管理，《条例》做出了十分完善的规定，对于数据出境增加了许多限制条件，体现出我国对数据跨境的高度重视。

例如《条例》第三十五条明确提出，数据可以跨境流通，但是首先要通过网信部门组织的数据出境安全评估和满足《网络安全审查办法》的要求，以及其他审查需求，包括数据接收方、合同订立、权利与义务等都需要进行审查和满足规定的条件。

此外，《条例》还要求展开数据出境活动的数据处理者应每年编制数据出境安全报告，并在1月31日前向市级网信部门报告上一年度的数据出境情况，报告应包括接收方的名称与联系方式、数据出境后再转移的情况、数据在境外的存放地点、存储期限等。

互联网平台运营者义务

1、互联网平台合规要求更加明确

《条例》花费了大量的篇幅来说明互联网平台应该满足的合规要求，除了将其可能影响国家安全的数据处理行为纳入网络安全审查范畴外，还对平台规则、隐私政策修订等提出要求。

2、杀熟将被禁止

互联网平台运营者通过已掌握的数据杀熟，定制化推荐广告已经不是什么秘密，针对这些热议的问题，《条例》做出了明确的规定。

第四十六条提出，禁止向用户提供产品和服务差异化定价等损害用户合法利益的行为；禁止利用数据诱导用户的行为；禁止最低价销售等损害公平竞争的行为；禁止限制中小企业获取资源等。

《条例》第五十三条提出，大型互联网平台运营者应每年对平台数据安全进行审计，并将审计结果进行披露。这意味着，大型互联网平台数据安不安全以及数据使用情况，已经不仅仅是企业自己的事情，而是需要接受第三方监督，避免企业出现阳奉阴违的情况，这也是企业需要完成的合规义务之一。