1、完善數據安(ān)全法律體(tǐ)系 護航數字經濟高質(zhì)量發展
餘曉晖(第十四屆全國(guó)政協委員、中(zhōng)國(guó)信息通信研究院院長(cháng))
2、強化網絡數據安(ān)全治理(lǐ)體(tǐ)系和能(néng)力現代化的法治保障
時建中(zhōng)(中(zhōng)國(guó)政法大學(xué)副校長(cháng)、教授,數據法治研究院院長(cháng))
3、加快構建網絡數據安(ān)全法規制度體(tǐ)系 全面提升治理(lǐ)監管能(néng)力
楊建軍(中(zhōng)國(guó)電(diàn)子技(jì )術标準化研究院副院長(cháng)、全國(guó)網絡安(ān)全标準化技(jì )術委員會秘書長(cháng))
4、健全數據安(ān)全法律制度 築牢網絡數據安(ān)全防線(xiàn)
蔣豔(國(guó)家工(gōng)業信息安(ān)全發展研究中(zhōng)心主任)
完善數據安(ān)全法律體(tǐ)系
(第十四屆全國(guó)政協委員、中(zhōng)國(guó)信息通信研究院院長(cháng))
《網絡數據安(ān)全管理(lǐ)條例》(以下簡稱《條例》)的出台進一步完善了我國(guó)數據安(ān)全管理(lǐ)法律體(tǐ)系,對于明确網絡數據安(ān)全管理(lǐ)要求、提升治網管網水平具(jù)有(yǒu)重要意義,也為(wèi)充分(fēn)釋放數據要素價值、護航數字經濟高質(zhì)量發展提供了有(yǒu)力法治保障。
一、《條例》完善數據安(ān)全管理(lǐ)法律體(tǐ)系意義重大
(一)貫徹落實總體(tǐ)國(guó)家安(ān)全觀的重要舉措。數據安(ān)全是總體(tǐ)國(guó)家安(ān)全觀的重要領域。黨中(zhōng)央、國(guó)務(wù)院高度重視數據安(ān)全工(gōng)作(zuò),提出加快法規制度建設、切實保障國(guó)家數據安(ān)全等明确要求。習近平總書記強調,“要維護國(guó)家數據安(ān)全,保護個人信息和商(shāng)業秘密,促進數據高效流通使用(yòng)、賦能(néng)實體(tǐ)經濟”“加快構建數據基礎制度體(tǐ)系”。黨的二十屆三中(zhōng)全會指出,要“提升數據安(ān)全治理(lǐ)監管能(néng)力,建立高效便利安(ān)全的數據跨境流動機制”。數據安(ān)全牽一發而動全身,完善數據安(ān)全管理(lǐ)不僅關乎數據本身作(zuò)為(wèi)重要生産(chǎn)要素的開發利用(yòng)與安(ān)全問題,而且與國(guó)家主權、國(guó)家安(ān)全、社會秩序、公(gōng)共利益休戚相關。《條例》貫徹總體(tǐ)國(guó)家安(ān)全觀,統籌促進網絡數據開發利用(yòng)與保障網絡數據安(ān)全,進一步夯實了維護數據安(ān)全的法治根基。(二)順應全球數據安(ān)全發展形勢的必然要求。網絡數據安(ān)全是全球各國(guó)面臨的共同挑戰,随着人工(gōng)智能(néng)、大數據等新(xīn)技(jì )術新(xīn)應用(yòng)的快速發展,數據體(tǐ)量呈現爆發式增長(cháng),安(ān)全風險也與日俱增,強化網絡數據安(ān)全管理(lǐ)的重要性愈加突出。從國(guó)際社會來看,主要國(guó)家和地區(qū)高度重視數據資源的基礎性和戰略性價值,持續完善數據安(ān)全領域法律法規,如歐盟理(lǐ)事會2023年11月正式通過《數據法》,在《通用(yòng)數據保護條例》的基礎上,提供了适用(yòng)于所有(yǒu)數據的更廣泛的規則。我國(guó)積極應對數據安(ān)全新(xīn)形勢,在已有(yǒu)數據安(ān)全法律基礎上制定出台《條例》,進一步完善數據安(ān)全管理(lǐ)制度體(tǐ)系,切實保障國(guó)家數據安(ān)全。(三)推動數字經濟高質(zhì)量發展的制度保障。數據作(zuò)為(wèi)新(xīn)型生産(chǎn)要素,是數字化、網絡化、智能(néng)化的基礎,已快速融入生産(chǎn)、分(fēn)配、流通、消費和社會服務(wù)管理(lǐ)等各環節。《中(zhōng)共中(zhōng)央 國(guó)務(wù)院關于構建數據基礎制度更好發揮數據要素作(zuò)用(yòng)的意見》提出,以維護國(guó)家數據安(ān)全、保護個人信息和商(shāng)業秘密為(wèi)前提,構建适應數據特征、符合數字經濟發展規律、保障國(guó)家數據安(ān)全、彰顯創新(xīn)引領的數據基礎制度。為(wèi)充分(fēn)發揮我國(guó)海量數據規模和豐富應用(yòng)場景優勢,激活數據要素潛能(néng),做強做優做大數字經濟,國(guó)務(wù)院适時出台《條例》,充分(fēn)發揮法治固根本、穩預期、利長(cháng)遠(yuǎn)的作(zuò)用(yòng),确保數據安(ān)全工(gōng)作(zuò)和數據要素市場建設在法治軌道上穩步推進,以高水平數據安(ān)全保障數據要素市場高質(zhì)量發展。
二、《條例》築牢數據安(ān)全管理(lǐ)制度底座特色鮮明
《條例》共計9章64條,不僅明确了網絡數據安(ān)全管理(lǐ)的一般規定,也進一步完善細化了個人信息保護、重要數據安(ān)全管理(lǐ)、網絡數據跨境安(ān)全管理(lǐ)、網絡平台服務(wù)提供者義務(wù)等方面的具(jù)體(tǐ)要求,夯實了我國(guó)數據安(ān)全管理(lǐ)制度底座,具(jù)有(yǒu)鮮明的系統性、創新(xīn)性、時代性和開放性。(一)堅持系統觀念,完善數據安(ān)全法律規範體(tǐ)系。經過多(duō)年的發展,我國(guó)已經初步搭建了以《網絡安(ān)全法》《數據安(ān)全法》《個人信息保護法》為(wèi)核心的數據安(ān)全法律框架。《條例》的出台,通過一部行政法規統籌落實了三部上位法律所規定的數據安(ān)全管理(lǐ)要求,細化了數據分(fēn)類分(fēn)級、數據跨境流動、個人信息處理(lǐ)等制度規定,進一步強化了不同法律之間的制度銜接,增強法律規範的系統性。與此同時,《條例》也進一步推動構建形成了“法律-行政法規-部門規章”的全位階法律規範體(tǐ)系。(二)堅持守正創新(xīn),充實數據安(ān)全管理(lǐ)基本要求。《條例》貫徹落實上位法相關制度,在繼承數據分(fēn)類分(fēn)級保護制度等原則性要求的基礎上,充分(fēn)發揮行政法規的靈活性和創新(xīn)空間,針對數據處理(lǐ)新(xīn)情況作(zuò)了相應制度設計。例如,針對網絡數據處理(lǐ)者使用(yòng)自動化工(gōng)具(jù)訪問、收集網絡數據的情況,《條例》規定應當評估對網絡服務(wù)帶來的影響,要求不得非法侵入他(tā)人網絡、不得幹擾網絡服務(wù)正常運行。再如,針對人工(gōng)智能(néng)發展帶來的訓練數據問題,《條例》要求提供生成式人工(gōng)智能(néng)服務(wù)的網絡數據處理(lǐ)者應當加強對訓練數據和訓練數據處理(lǐ)活動的安(ān)全管理(lǐ),采取有(yǒu)效措施防範和處置網絡數據安(ān)全風險。(三)堅持與時俱進,細化個人信息保護制度規則。《條例》立足當前數字經濟發展的需求,在《個人信息保護法》确立的基本原則和規則基礎上,根據具(jù)體(tǐ)場景進一步細化相關個人信息保護要求。例如,《條例》針對實踐中(zhōng)濫用(yòng)“個人同意”的問題,明确規定了網絡數據處理(lǐ)者基于個人同意處理(lǐ)個人信息應當遵守的具(jù)體(tǐ)要求,包括收集個人信息為(wèi)提供産(chǎn)品或者服務(wù)所必需,不得超範圍收集,不得通過誤導、欺詐、脅迫等方式取得個人同意。再如,《條例》針對個人信息主體(tǐ)需要轉移個人信息行使個人權利的問題,明确規定了實施個人信息轉移的條件,并且要求網絡數據處理(lǐ)者應當為(wèi)個人信息主體(tǐ)行使相關權益提供可(kě)落地的具(jù)體(tǐ)路徑。(四)堅持開放發展,促進網絡數據跨境流動。《條例》細化數據出境中(zhōng)的安(ān)全管理(lǐ)要求,為(wèi)促進數據依法有(yǒu)序自由流動提供具(jù)體(tǐ)指引。一方面,《條例》遵循我國(guó)現有(yǒu)數據跨境流動制度體(tǐ)系,明确了個人信息和重要數據跨境提供的具(jù)體(tǐ)條件,将《促進和規範數據跨境流動規定》等相關規章規定上升為(wèi)行政法規,為(wèi)網絡數據處理(lǐ)者向境外提供網絡數據提供了清晰指引。例如,《條例》明确列舉了網絡數據處理(lǐ)者可(kě)以向境外提供個人信息的八種情形,進一步便利相關主體(tǐ)的實踐操作(zuò),為(wèi)促進數據跨境流動提供了更為(wèi)有(yǒu)力的制度保障。另一方面,《條例》強化了數據跨境流動中(zhōng)的安(ān)全管理(lǐ)要求,規定國(guó)家采取措施防範、處置數據跨境風險和威脅,禁止提供專門用(yòng)于破壞、避開技(jì )術措施的程序、工(gōng)具(jù)等,為(wèi)數據跨境流動提供安(ān)全保障。(五)堅持協同治理(lǐ),壓實網絡平台主體(tǐ)責任。随着互聯網的快速發展,網絡平台已經成為(wèi)網絡空間治理(lǐ)的關鍵節點。尤其是大型網絡平台,因其龐大的用(yòng)戶基礎和複雜的數據處理(lǐ)活動,對個人隐私和數據安(ān)全具(jù)有(yǒu)重大影響。《條例》設立網絡平台服務(wù)提供者專章,規定了其在網絡數據安(ān)全管理(lǐ)方面的義務(wù),強化全鏈條數據安(ān)全保護。例如,《條例》不僅規定了網絡平台服務(wù)提供者自身應當履行的網絡數據安(ān)全管理(lǐ)義務(wù),還明确了網絡平台服務(wù)提供者應當通過平台規則或合同形式明确第三方網絡數據安(ān)全管理(lǐ)義務(wù),未盡到相應督促落實義務(wù)、造成用(yòng)戶損害的,網絡平台服務(wù)提供者依法承擔相應責任。
三、《條例》開啓我國(guó)數據治理(lǐ)法治化新(xīn)階段
當前,互聯網加速演進升級,數字經濟持續快速發展,數據作(zuò)為(wèi)數字時代的新(xīn)型生産(chǎn)要素在推動經濟高質(zhì)量發展和新(xīn)質(zhì)生産(chǎn)力形成中(zhōng)的作(zuò)用(yòng)更加凸顯。新(xīn)時代新(xīn)征程,要準确把握我國(guó)數據治理(lǐ)面臨的新(xīn)形勢新(xīn)任務(wù),以《條例》出台為(wèi)契機,築法治之基、行法治之力、積法治之勢,在法治軌道上持續推進數據發展和安(ān)全治理(lǐ)工(gōng)作(zuò),以高水平數據法治建設護航數字經濟高質(zhì)量發展。一是構建更加完備的數據治理(lǐ)法律規範體(tǐ)系,建立健全數據交易流通等基礎制度規則,及時應對人工(gōng)智能(néng)、大數據、雲計算等新(xīn)技(jì )術發展帶來的數據安(ān)全風險挑戰,科(kē)學(xué)運用(yòng)法律法規引導新(xīn)興領域發展。二是構建更加高效的數據治理(lǐ)法律實施體(tǐ)系,持續深化《條例》各項制度施行,堅持促進發展和依法管理(lǐ)相統一,充分(fēn)發揮《條例》在推動數據産(chǎn)業發展和規範安(ān)全管理(lǐ)中(zhōng)的作(zuò)用(yòng),深入開展嚴格規範公(gōng)正文(wén)明網絡執法。三是構建更加有(yǒu)力的數據治理(lǐ)保障體(tǐ)系,強化數據安(ān)全法規制度宣傳推廣,提升全社會數據安(ān)全法治意識和能(néng)力,深化數據領域法治研究,切實以數據治理(lǐ)法治化助力網絡強國(guó)和數字中(zhōng)國(guó)建設。
強化網絡數據安(ān)全治理(lǐ)體(tǐ)系和能(néng)力現代化
(中(zhōng)國(guó)政法大學(xué)副校長(cháng)、教授,數據法治研究院院長(cháng))随着數字技(jì )術的蓬勃發展和廣泛運用(yòng),社會經濟生活的每個領域都在深度網絡化、信息化和數據化。沒有(yǒu)數據安(ān)全就沒有(yǒu)國(guó)家安(ān)全。《網絡數據安(ān)全管理(lǐ)條例》(以下簡稱《條例》)以《網絡安(ān)全法》《數據安(ān)全法》《個人信息保護法》等法律為(wèi)依據,聚焦網絡數據,細化相關規定,完善網絡數據安(ān)全規則,為(wèi)提升網絡數據安(ān)全治理(lǐ)體(tǐ)系和能(néng)力現代化提供了更有(yǒu)可(kě)操作(zuò)性的法治保障,标志(zhì)着我國(guó)網絡數據安(ān)全治理(lǐ)進入了新(xīn)階段。《條例》完善了網絡數據分(fēn)類分(fēn)級保護制度。分(fēn)類分(fēn)級保護是網絡數據安(ān)全制度的重要抓手。《數據安(ān)全法》第二十一條規定,國(guó)家建立數據分(fēn)類分(fēn)級保護制度。數據分(fēn)類分(fēn)級保護既是《數據安(ān)全法》确定的一項原則,也是《數據安(ān)全法》構建的一般制度。《條例》不僅在總則部分(fēn)明确了數據分(fēn)類分(fēn)級的一般标準,而且專章構建了重要數據安(ān)全制度。例如,重要數據目錄、重要數據的處理(lǐ)者的特别義務(wù)和責任、處理(lǐ)前的風險評估的重點内容、風險評估的報告制度、省級以上有(yǒu)關主管部門的監管措施,等等。《條例》有(yǒu)關數據分(fēn)類分(fēn)級制度具(jù)有(yǒu)可(kě)操作(zuò)性,對于保障數據安(ān)全具(jù)有(yǒu)指引作(zuò)用(yòng)。《條例》壓實了網絡數據處理(lǐ)者的主體(tǐ)責任。厘清網絡數據安(ān)全邊界,需要細化數據處理(lǐ)規則,明确各類主體(tǐ)責任。數據安(ān)全不是抽象的,而是具(jù)體(tǐ)的、全過程的。建立健全網絡數據安(ān)全管理(lǐ)制度,就意味着數據的收集、存儲、使用(yòng)、加工(gōng)、傳輸、提供、公(gōng)開乃至删除等每一項處理(lǐ)活動和數據處理(lǐ)的每一個環節,都需要落實數據安(ān)全管理(lǐ)制度,納入數據安(ān)全的法治軌道。為(wèi)保障數據安(ān)全,基于《數據安(ān)全法》和《個人信息保護法》中(zhōng)“數據處理(lǐ)”“個人信息的處理(lǐ)”以及“重要數據的處理(lǐ)者”“個人信息處理(lǐ)者”等表述,《條例》提煉出“網絡數據處理(lǐ)者”這一重要概念,并且進一步健全了網絡數據處理(lǐ)者在不同場景處理(lǐ)不同數據的義務(wù)規則:履行法律、行政法規和國(guó)家标準強制性要求、建立健全網絡數據安(ān)全管理(lǐ)制度、采取必要安(ān)全技(jì )術措施和其他(tā)必要措施、建立健全網絡數據安(ān)全事件應急預案、處置網絡數據安(ān)全事件等義務(wù),并對所處理(lǐ)的網絡數據的安(ān)全承擔主體(tǐ)責任。《條例》細化了網絡數據處理(lǐ)活動制度要求。對于個人信息和重要數據的提供、委托處理(lǐ)和共同處理(lǐ),《條例》對于相關合同的主要條款予以規定,增強了行政法規的指引性。針對現實經濟生活中(zhōng)已經出現的網絡數據處理(lǐ)者因合并、分(fēn)立、解散、破産(chǎn)等原因需要轉移網絡數據的情形,《條例》明确規定網絡數據接收方應當繼續履行網絡數據安(ān)全保護義務(wù)。同時,針對提供生成式人工(gōng)智能(néng)服務(wù),《條例》專門規定網絡數據處理(lǐ)者應當加強對訓練數據和訓練數據處理(lǐ)活動的安(ān)全管理(lǐ),采取有(yǒu)效措施防範和處置網絡數據安(ān)全風險,提高了相關規定的效力層級。此外,在《個人信息保護法》的基礎上,《條例》專章規定了個人信息保護具(jù)體(tǐ)規則,個人信息安(ān)全得到更加有(yǒu)效的法治保障。《條例》優化了網絡數據跨境安(ān)全管理(lǐ)制度。黨的二十屆三中(zhōng)全會指出,“提升數據安(ān)全治理(lǐ)監管能(néng)力,建立高效便利安(ān)全的數據跨境流動機制。”為(wèi)了規範網絡數據跨境,《條例》設置專章規定了網絡數據跨境安(ān)全管理(lǐ),規定了網絡數據處理(lǐ)者可(kě)以向境外提供個人信息的條件、重要數據出境的程序。同時,國(guó)家采取措施,防範、處置網絡數據跨境安(ān)全風險和威脅。尤為(wèi)值得關注的是,為(wèi)健全網絡數據領域的反制裁、反幹涉、反“長(cháng)臂管轄”機制,完善我國(guó)參與全球數據安(ān)全治理(lǐ)的國(guó)内法基礎,《條例》以《個人信息保護法》和《數據安(ān)全法》的相關規定為(wèi)依據,在總則部分(fēn)明确規定了網絡數據安(ān)全的域外管轄制度。《條例》明确了網絡平台服務(wù)提供者責任義務(wù)。作(zuò)為(wèi)現階段數字經濟的主要形态,平台經濟主要是以數據為(wèi)關鍵要素的經濟活動,因此,網絡平台服務(wù)提供者對于保障網絡數據安(ān)全承擔着重要作(zuò)用(yòng)。《條例》專章規定網絡平台服務(wù)提供者義務(wù)和責任,對于規範網絡平台服務(wù)提供者的行為(wèi)、強化平台依法自律、維護用(yòng)戶合法權益,推動平台經濟向上向善高質(zhì)量發展具(jù)有(yǒu)重要的規範作(zuò)用(yòng)和指導意義。《條例》健全了網絡數據監督管理(lǐ)體(tǐ)制機制。數據作(zuò)為(wèi)新(xīn)型生産(chǎn)要素,是數字化、網絡化、智能(néng)化的基礎,已快速融入生産(chǎn)、分(fēn)配、流通、消費和社會服務(wù)管理(lǐ)等各環節,深刻改變着生産(chǎn)方式、生活方式和社會治理(lǐ)方式。規範網絡數據處理(lǐ)活動,保障網絡數據安(ān)全,促進網絡數據依法合理(lǐ)有(yǒu)效利用(yòng),保護個人、組織的合法權益,維護國(guó)家安(ān)全和公(gōng)共利益,是一項需要政府、企業、社會和個人等各方共同參與的系統工(gōng)程,特别是建立健全科(kē)學(xué)高效的監管體(tǐ)制,更好發揮政府的作(zuò)用(yòng)。《條例》構建了分(fēn)工(gōng)與協同相結合的網絡數據監督管理(lǐ)體(tǐ)制機制,有(yǒu)助于形成網絡數據安(ān)全監管合力。堅持高質(zhì)量發展和高水平安(ān)全良性互動是《條例》的立法導向。準确理(lǐ)解和正确适用(yòng)《條例》,必須全面準确把握《條例》的立法目标,以實現綱舉目張,充分(fēn)發揮其法律效應。規範網絡數據處理(lǐ)活動,既要保障網絡數據安(ān)全,又(yòu)要促進網絡數據依法合理(lǐ)有(yǒu)效利用(yòng),還要保護個人、組織的合法權益,維護國(guó)家安(ān)全和公(gōng)共利益。可(kě)見,《條例》堅持以高質(zhì)量發展促進高水平安(ān)全,以高水平安(ān)全保障高質(zhì)量發展,與《網絡安(ān)全法》《數據安(ān)全法》《個人信息保護法》一脈相承。《條例》設定了網絡數據安(ān)全的底線(xiàn),劃清了網絡數據安(ān)全的紅線(xiàn),明确網絡數據安(ān)全的責任,在法治軌道上明晰了網絡數據安(ān)全邊界,提升了網絡數據安(ān)全治理(lǐ)體(tǐ)系和能(néng)力的現代化的法治保障。我們期待,以高水平的數據安(ān)全法治建設,保障數據依法有(yǒu)序自由流動,助力充分(fēn)發揮我國(guó)海量數據規模和豐富應用(yòng)場景優勢,做強做優做大數字經濟,賦能(néng)高質(zhì)量發展,為(wèi)實現中(zhōng)國(guó)式現代化持續注入強勁動能(néng)。
加快構建網絡數據安(ān)全法規制度體(tǐ)系
(中(zhōng)國(guó)電(diàn)子技(jì )術标準化研究院副院長(cháng)全國(guó)網絡安(ān)全标準化技(jì )術委員會秘書長(cháng))
習近平總書記強調,要堅持依法治網、依法辦(bàn)網、依法上網,讓互聯網在法治軌道上健康運行。近年來,我國(guó)加快網絡數據安(ān)全法律制度體(tǐ)系建設,《網絡安(ān)全法》《數據安(ān)全法》《個人信息保護法》等法律相繼頒布實施,确立了網絡數據安(ān)全的基本制度框架和基本法律原則;制定出台《促進和規範數據跨境流動規定》《數據出境安(ān)全評估辦(bàn)法》《個人信息出境标準合同辦(bàn)法》《汽車(chē)數據安(ān)全管理(lǐ)若幹規定(試行)》等部門規章,對網絡數據安(ān)全管理(lǐ)工(gōng)作(zuò)作(zuò)出明确規定;研制發布數據安(ān)全國(guó)家标準33項,在研标準18項,覆蓋數據分(fēn)類分(fēn)級、數據安(ān)全風險評估、個人信息保護等方面,網絡數據安(ān)全法規制度标準體(tǐ)系取得重大進展和顯著成效。
《網絡數據安(ān)全管理(lǐ)條例》(以下簡稱《條例》)作(zuò)為(wèi)網絡數據安(ān)全法規制度體(tǐ)系的重要組成部分(fēn),提供了更具(jù)操作(zuò)性的法律制度依據,對于全面提升治理(lǐ)監管能(néng)力具(jù)有(yǒu)深刻意義。
一、深刻領會《條例》對網絡數據安(ān)全管理(lǐ)工(gōng)作(zuò)的重要意義
黨中(zhōng)央高度重視數據安(ān)全工(gōng)作(zuò),習近平總書記多(duō)次就數據安(ān)全工(gōng)作(zuò)作(zuò)出重要指示,強調“要維護國(guó)家數據安(ān)全,保護個人信息和商(shāng)業秘密”。(一)《條例》是貫徹落實黨中(zhōng)央決策部署的重要舉措黨的二十屆三中(zhōng)全會提出“提升數據安(ān)全治理(lǐ)監管能(néng)力”“建立高效便利安(ān)全的數據跨境流動機制”等網絡數據安(ān)全領域重要任務(wù)。出台《條例》是構建我國(guó)網絡數據安(ān)全治理(lǐ)體(tǐ)系的重要舉措,是實現網絡數據安(ān)全治理(lǐ)監管能(néng)力現代化的關鍵環節,是落實黨中(zhōng)央關于網絡數據安(ān)全工(gōng)作(zuò)重大部署的有(yǒu)效路徑。《條例》圍繞新(xīn)時期、新(xīn)形勢下網絡數據安(ān)全工(gōng)作(zuò)重點,對《網絡安(ān)全法》《數據安(ān)全法》《個人信息保護法》作(zuò)了進一步細化,為(wèi)我國(guó)深入開展網絡數據安(ān)全保護工(gōng)作(zuò)提供了重要保障。(二)《條例》是應對新(xīn)形勢下網絡數據安(ān)全風險的迫切需求随着網絡化、數字化、智能(néng)化的迅猛發展,網絡數據高度彙聚、高頻流動、高度開放加劇網絡數據洩露風險。新(xīn)型網絡欺詐、黑客攻擊等安(ān)全事件頻發,金融、生物(wù)、能(néng)源等重點領域敏感數據被竊取風險加劇。違法違規收集個人信息、濫采濫用(yòng)現象仍然存在,侵害人民(mín)群衆合法權益,危害社會安(ān)全。《條例》的出台,圍繞數據處理(lǐ)活動安(ān)全、個人信息保護、重要數據保護、網絡平台服務(wù)提供者義務(wù)等方面提出明确要求,有(yǒu)力提升國(guó)家數據安(ān)全保障能(néng)力。(三)《條例》是開展網絡數據安(ān)全綜合治理(lǐ)工(gōng)作(zuò)的重要保障保障網絡數據安(ān)全是激活數據要素價值、推動數字經濟健康發展的重要基礎。我國(guó)依法開展了數據跨境安(ān)全管理(lǐ)、App專項治理(lǐ)、汽車(chē)數據安(ān)全管理(lǐ)、重點領域數據安(ān)全風險評估等重點工(gōng)作(zuò),有(yǒu)效規範網絡數據處理(lǐ)活動和處理(lǐ)行為(wèi),推進網絡數據安(ān)全高質(zhì)量發展。《條例》的出台,圍繞數據安(ān)全、個人信息保護的重點、難點問題進一步明确管理(lǐ)要求,劃定底線(xiàn)、紅線(xiàn),為(wèi)網絡數據安(ān)全治理(lǐ)工(gōng)作(zuò)提供重要法規保障。
二、《條例》對網絡數據安(ān)全管理(lǐ)工(gōng)作(zuò)提出了具(jù)體(tǐ)要求
貫徹總體(tǐ)國(guó)家安(ān)全觀,《條例》界定了适用(yòng)範圍、保護對象、監管主體(tǐ),提出了責任義務(wù)、安(ān)全要求,為(wèi)網絡數據安(ān)全管理(lǐ)工(gōng)作(zuò)提供系統指引和工(gōng)作(zuò)遵循。(一)壓實網絡數據處理(lǐ)者責任義務(wù)。壓實網絡數據處理(lǐ)者的主體(tǐ)責任是做好網絡數據安(ān)全管理(lǐ)工(gōng)作(zuò)的關鍵。《條例》提出,一是網絡數據處理(lǐ)者對所處理(lǐ)網絡數據的安(ān)全承擔主體(tǐ)責任,并要求做好管理(lǐ)制度建設、技(jì )術措施使用(yòng)、漏洞發現上報、事件應急處置等工(gōng)作(zuò)。二是針對為(wèi)國(guó)家機關和關鍵信息基礎設施運營者提供服務(wù)的網絡數據處理(lǐ)者、提供生成式人工(gōng)智能(néng)服務(wù)的網絡數據處理(lǐ)者、面向社會提供産(chǎn)品服務(wù)的網絡數據處理(lǐ)者、網絡平台服務(wù)提供者等不同網絡數據主體(tǐ)提出了具(jù)體(tǐ)要求。(二)強化個人信息、重要數據保護。個人信息保護已成為(wèi)廣大人民(mín)群衆最關心最直接最現實的利益問題之一,重要數據關系國(guó)家安(ān)全、經濟運行、社會穩定、公(gōng)共健康和安(ān)全,做好個人信息、重要數據保護工(gōng)作(zuò)是網絡數據安(ān)全管理(lǐ)工(gōng)作(zuò)的重點。《條例》在上位法的基礎上,針對網絡數據處理(lǐ)者提出,一是響應個人信息轉移請求,提供訪問、獲取其個人信息的途徑。二是定期開展個人信息保護合規審計。三是處理(lǐ)1000萬人以上個人信息的,還應當履行明确網絡數據安(ān)全負責人和管理(lǐ)機構等義務(wù)。《條例》針對重要數據的處理(lǐ)者明确,一是應當按照國(guó)家有(yǒu)關規定識别、申報重要數據,落實網絡數據安(ān)全保護責任。二是明确網絡數據安(ān)全負責人和管理(lǐ)機構。三是定期開展風險評估。(三)做好網絡數據跨境安(ān)全管理(lǐ)。當前,網絡數據跨境交流共享需求旺盛,場景豐富,構建安(ān)全有(yǒu)序便捷的網絡數據跨境流動管理(lǐ)機制是網絡數據安(ān)全管理(lǐ)工(gōng)作(zuò)的重要探索。國(guó)家已明确數據出境安(ān)全評估、個人信息出境标準合同、個人信息保護認證等數據出境安(ān)全管理(lǐ)制度,今年發布的《促進和規範數據跨境流動規定》對上述制度作(zuò)出進一步優化調整。《條例》明确了重要數據出境需要評估,一般數據依法流動的管理(lǐ)原則,提出了個人信息出境的條件,建立了與新(xīn)發展格局相适宜的網絡數據跨境流動安(ān)全監管模式。(四)規範網絡平台服務(wù)提供者義務(wù)。黨的二十屆三中(zhōng)全會明确提出“促進平台經濟創新(xīn)發展,健全平台經濟常态化監管制度”。網絡平台為(wèi)處理(lǐ)個人信息提供了基礎技(jì )術服務(wù)、設定基本處理(lǐ)規則,是個人信息保護的關鍵。《條例》提出,一是網絡平台應加強對接入其平台的第三方産(chǎn)品和服務(wù)的網絡數據安(ān)全管理(lǐ),對應用(yòng)程序進行安(ān)全核驗,規範使用(yòng)自動化決策方式進行信息推送,鼓勵使用(yòng)國(guó)家網絡身份認證公(gōng)共服務(wù)。二是明确了大型網絡平台的定義,并要求其每年發布年度個人信息保護社會責任報告、報送風險評估報告等要求。
三、充分(fēn)發揮好數據安(ān)全标準的規範引導作(zuò)用(yòng),支撐《條例》落地實施
标準化工(gōng)作(zuò)是國(guó)家網絡數據安(ān)全治理(lǐ)體(tǐ)系的重要組成部分(fēn),也是落實《條例》的重要抓手。《條例》對标準化工(gōng)作(zuò)提出了要求。全國(guó)網絡安(ān)全标準化技(jì )術委員會作(zuò)為(wèi)網絡和數據安(ān)全國(guó)家标準的統一技(jì )術歸口組織,研制發布了一批網絡數據安(ān)全重點标準,為(wèi)《條例》的落地實施提供标準保障。(一)為(wèi)網絡數據安(ān)全治理(lǐ)重點工(gōng)作(zuò)提供标準支撐已發布的《數據分(fēn)類分(fēn)級規則》規定了數據分(fēn)類分(fēn)級的原則、框架、方法和流程,給出了重要數據識别指南;在研的《數據安(ān)全風險評估方法》給出了數據安(ān)全風險評估的實施流程、評估内容、分(fēn)析評價方法;在研的《個人信息跨境處理(lǐ)活動安(ān)全認證要求》等标準規定了跨境處理(lǐ)個人信息時相關方應遵守的基本要求。(二)為(wèi)重要數據、個人信息保護提供标準方法正在研制的《數據安(ān)全保護要求》等标準,針對重要數據從數據處理(lǐ)安(ān)全、管理(lǐ)與運行安(ān)全、安(ān)全技(jì )術等方面提出保護要求,确保重要數據有(yǒu)效保護和合法利用(yòng)。《個人信息安(ān)全規範》《敏感個人信息處理(lǐ)安(ān)全要求》等标準為(wèi)個人信息保護工(gōng)作(zuò)提出了基本要求,規範了開展收集、保存、使用(yòng)、對外提供等個人信息處理(lǐ)活動應遵循的原則和安(ān)全要求。正在研制的《基于個人請求的個人信息轉移要求》《個人信息保護合規審計要求》等标準規定了個人信息主體(tǐ)請求轉移其個人信息的技(jì )術要求、個人信息保護合規審計原則,促進個人信息治理(lǐ)工(gōng)作(zuò)走向深入。(三)為(wèi)規範網絡平台健康發展提供标準指引已發布的網上購(gòu)物(wù)、即時通信、網絡支付、網絡預約汽車(chē)、網絡音視頻、快遞物(wù)流等6項網絡服務(wù)數據安(ān)全标準,引導規範網絡服務(wù)平台運營者的數據安(ān)全活動。已發布的《移動互聯網應用(yòng)程序(App)收集個人信息基本要求》《移動互聯網應用(yòng)程序(App)個人信息安(ān)全測評規範》等标準,規範了App等産(chǎn)品和服務(wù)收集和處理(lǐ)個人信息的行為(wèi)。在研的《基于個人信息的自動化決策安(ān)全要求》《數據安(ān)全和個人信息保護社會責任指南》等标準規定了自動化決策的透明度、社會責任評價指标。
下一步,将持續發揮标準在《條例》實施過程中(zhōng)的重要支撐作(zuò)用(yòng),緊扣國(guó)家關于數據要素流通、人工(gōng)智能(néng)等重大戰略部署,加強數據安(ān)全标準化工(gōng)作(zuò)總體(tǐ)研究和規劃布局,加快研制數據安(ān)全領域重點急需标準。
健全數據安(ān)全法律制度 築牢網絡數據安(ān)全防線(xiàn)
(國(guó)家工(gōng)業信息安(ān)全發展研究中(zhōng)心主任)為(wèi)規範網絡數據處理(lǐ)活動,保護個人、組織在網絡空間的合法權益,維護國(guó)家安(ān)全、公(gōng)共利益,國(guó)務(wù)院正式公(gōng)布《網絡數據安(ān)全管理(lǐ)條例》(以下簡稱《條例》)。《條例》的出台,标志(zhì)着我國(guó)數據安(ān)全法規體(tǐ)系的進一步完善,對我國(guó)強化數據安(ān)全和個人信息保護、保障數據要素有(yǒu)序開發利用(yòng)、促進數字經濟健康有(yǒu)序發展意義重大。
《條例》堅持科(kē)學(xué)立法、開門立法的原則,一方面,細化、落實《網絡安(ān)全法》《數據安(ān)全法》《個人信息保護法》相關制度,明晰個人信息“告知-同意”規則、重要數據風險評估、個人信息跨境流動條件、網絡平台服務(wù)提供者第三方安(ān)全管理(lǐ)等要求,為(wèi)後續立法、執法等實踐提供了重要依據。另一方面,《條例》針對網絡數據安(ān)全管理(lǐ)的突出問題,在科(kē)學(xué)總結過往治理(lǐ)經驗的同時,兼顧新(xīn)技(jì )術新(xīn)應用(yòng)帶來的新(xīn)的安(ān)全問題,提煉個人信息保護、重要數據安(ān)全、網絡數據跨境安(ān)全管理(lǐ)、網絡平台服務(wù)提供者義務(wù)等網絡數據治理(lǐ)方案,覆蓋了網絡數據治理(lǐ)重要領域,為(wèi)開展網絡數據安(ān)全管理(lǐ)工(gōng)作(zuò)提供了堅實的制度保障。黨中(zhōng)央、國(guó)務(wù)院高度重視數據安(ān)全工(gōng)作(zuò)。習近平總書記多(duō)次作(zuò)出重要指示批示,強調“沒有(yǒu)網絡安(ān)全就沒有(yǒu)國(guó)家安(ān)全”“要切實保障國(guó)家數據安(ān)全”“強化國(guó)家關鍵數據資源保護能(néng)力”。《條例》貫徹落實黨中(zhōng)央、國(guó)務(wù)院關于數據安(ān)全的決策部署,統籌發展與安(ān)全,鼓勵網絡數據合理(lǐ)有(yǒu)效利用(yòng),促進以數據為(wèi)關鍵要素的數字經濟發展,并劃定安(ān)全“底線(xiàn)”和“紅線(xiàn)”。我國(guó)《網絡安(ān)全法》《數據安(ān)全法》《個人信息保護法》等法律的相繼出台,為(wèi)網絡數據安(ān)全提供了基本的法律框架與制度設計。《條例》作(zuò)為(wèi)《網絡安(ān)全法》《數據安(ān)全法》《個人信息保護法》的配套行政法規,對上位法中(zhōng)的制度設計和原則性規定進行細化與落實,為(wèi)網絡數據安(ān)全保障工(gōng)作(zuò)提供了具(jù)體(tǐ)的制度保障和實施路徑,有(yǒu)助于進一步推動我國(guó)建立健全數據安(ān)全法律法規體(tǐ)系、強化重大制度銜接。(二)《條例》是服務(wù)數字經濟有(yǒu)序發展的重要保障數據作(zuò)為(wèi)數字經濟的核心要素,其價值在于能(néng)夠在不同主體(tǐ)之間流動和整合。然而,随着數據的開發、流通與利用(yòng),數據價值日益凸顯,數據洩露、數據竊取等安(ān)全風險也與日俱增,嚴重影響數字經濟活動的穩定性。《條例》緊扣數字經濟發展需求,通過構建完善網絡數據安(ān)全責任義務(wù)體(tǐ)系,保障數據在安(ān)全的網絡環境下得到充分(fēn)開發和利用(yòng),有(yǒu)助于進一步推動我國(guó)數字經濟高質(zhì)量、可(kě)持續發展。(三)《條例》是維護網絡空間安(ān)全秩序的關鍵舉措近年來,個人信息、企業數據、政務(wù)數據等洩露、被非法利用(yòng)事件時有(yǒu)發生,網絡數據安(ān)全關系廣大人民(mín)群衆切身利益,關系企業經營活動,關系到國(guó)家安(ān)全。社會各界十分(fēn)關注網絡數據安(ān)全,《條例》的出台就是積極回應社會各界的關切,規範網絡數據處理(lǐ)行為(wèi),打擊網絡數據違法活動,保護個人、企業在網絡空間的合法權益,保障好經濟發展和國(guó)家安(ān)全。二、《條例》為(wèi)開展網絡數據安(ān)全管理(lǐ)工(gōng)作(zuò)提供了基本遵循(一)建立網絡數據安(ān)全管理(lǐ)工(gōng)作(zuò)閉環,落實好總體(tǐ)國(guó)家安(ān)全觀《條例》貫徹總體(tǐ)國(guó)家安(ān)全觀,從網絡數據分(fēn)類分(fēn)級、安(ān)全防護、應急處置、事件報告、安(ān)全檢查、信息共享,以及重要數據申報和告知、提供或者委托處理(lǐ)、風險評估、年度報告等角度,構建數據識别、處理(lǐ)、防護、評估、檢查、整改、應急響應等體(tǐ)系化、閉環式管理(lǐ)機制。一是網絡數據治理(lǐ)工(gōng)作(zuò)需要各方參與,《條例》通過對國(guó)家、有(yǒu)關部門和地方層面的網絡數據安(ān)全監管責任劃分(fēn),以及網絡數據處理(lǐ)者對所處理(lǐ)網絡數據的安(ān)全承擔主體(tǐ)責任的要求,統籌推進網絡數據安(ān)全管理(lǐ)工(gōng)作(zuò)。二是強調網絡數據安(ān)全管理(lǐ)的動态性。數據要素是流動的,網絡數據處理(lǐ)者的網絡數據處理(lǐ)情況也是變化的,《條例》強調網絡數據處理(lǐ)者主動識别、申報重要數據情況,重要數據的處理(lǐ)者主體(tǐ)發生變化需要報告重要數據處置方案,以及提供、委托處理(lǐ)個人信息和重要數據的安(ān)全管理(lǐ)等要求,旨在指導網絡數據處理(lǐ)者及時掌握處理(lǐ)網絡數據最新(xīn)情況,及時履行網絡數據安(ān)全保護責任。個人信息保護已成為(wèi)廣大人民(mín)群衆最關心的利益問題之一,《個人信息保護法》規定個人對其個人信息的處理(lǐ)享有(yǒu)知情權、決定權、删除權等權益,但相關規定的實踐、落實,仍需進一步具(jù)體(tǐ)的操作(zuò)指導。一是《條例》明确處理(lǐ)1000萬人以上個人信息的網絡數據處理(lǐ)者,需按照《條例》第三十條規定,明确網絡數據安(ān)全負責人和管理(lǐ)機構。二是針對廣大人民(mín)群衆反映較多(duō)的隐私政策或者用(yòng)戶協議隐藏過深、内容冗長(cháng)晦澀等情況,以及個人信息捆綁授權、強制授權等問題,《條例》規定個人信息處理(lǐ)規則包括處理(lǐ)個人信息的目的、方式、種類,處理(lǐ)敏感個人信息的必要性及其對個人權益的影響等内容,要求個人信息處理(lǐ)規則集中(zhōng)公(gōng)開展示、易于訪問并置于醒目位置;明确“單獨同意”的具(jù)體(tǐ)要求,強調不得通過誤導、欺詐、脅迫等方式取得個人同意,不得在個人明确表示不同意處理(lǐ)其個人信息後,頻繁征求同意。三是針對自動化采集技(jì )術等無法避免采集到非必要個人信息、個人注銷賬号後個人信息處理(lǐ)問題等新(xīn)情況,要求網絡數據處理(lǐ)者删除個人信息或者進行匿名(míng)化處理(lǐ)。(三)規範網絡數據跨境安(ān)全管理(lǐ),促進數據高效便捷安(ān)全流動我國(guó)《“十四五”數字經濟發展規劃》提出要“規範數據采集、傳輸、存儲、處理(lǐ)、共享、銷毀全生命周期管理(lǐ),推動數據使用(yòng)者落實數據安(ān)全保護責任”。規範化的數據處理(lǐ)活動是保障數據準确性、完整性與安(ān)全性的關鍵,也是促進數據高效便捷安(ān)全跨境流動、激發數據要素創新(xīn)活力的關鍵。《條例》在前期數據出境安(ān)全管理(lǐ)工(gōng)作(zuò)基礎上,探索數據跨境流動便利化機制。一是國(guó)家網信部門統籌協調有(yǒu)關部門建立國(guó)家數據出境安(ān)全管理(lǐ)專項工(gōng)作(zuò)機制,研究制定國(guó)家網絡數據出境安(ān)全管理(lǐ)相關政策,協調處理(lǐ)網絡數據出境安(ān)全重大事項。二是《條例》在數據出境安(ān)全評估、安(ān)全認證、标準合同等三種向境外提供個人信息方式的基礎上,結合數據出境安(ān)全實踐情況,針對為(wèi)訂立、履行個人作(zuò)為(wèi)一方當事人的合同,按照依法制定的勞動規章制度和依法簽訂的集體(tǐ)合同實施跨境人力資源管理(lǐ),為(wèi)履行法定職責或者法定義務(wù),緊急情況下為(wèi)保護自然人的生命健康和财産(chǎn)安(ān)全等确需向境外提供個人信息的五種情形,明确其可(kě)以作(zuò)為(wèi)向境外提供個人信息的條件,便利數據跨境流動,服務(wù)高水平對外開放。三是針對重要數據出境情形,《條例》強調網絡數據處理(lǐ)者在中(zhōng)華人民(mín)共和國(guó)境内運營中(zhōng)收集和産(chǎn)生的重要數據确需向境外提供的,應當通過國(guó)家網信部門組織的數據出境安(ān)全評估。網絡數據處理(lǐ)者按照國(guó)家有(yǒu)關規定識别、申報重要數據,但未被相關地區(qū)、部門告知或者公(gōng)開發布為(wèi)重要數據的,不需要将其作(zuò)為(wèi)重要數據申報數據出境安(ān)全評估。回應了各方對于研判是否屬于重要數據出境、是否需要申報數據出境安(ān)全評估的關切。(四)明晰網絡平台服務(wù)提供者義務(wù),壓實網絡數據安(ān)全管理(lǐ)責任随着數字經濟的快速發展,網絡平台服務(wù)提供者在網絡數據處理(lǐ)和管理(lǐ)中(zhōng)扮演着重要角色。當前網絡平台利用(yòng)數據實施不正當競争、算法歧視等問題日益突出,影響用(yòng)戶合法權益和平台的有(yǒu)序發展。為(wèi)此,一是《條例》明确了網絡平台服務(wù)提供者、預裝(zhuāng)應用(yòng)程序的智能(néng)終端等設備生産(chǎn)者第三方安(ān)全管理(lǐ)責任,要求其督促平台内第三方産(chǎn)品和服務(wù)提供者履行網絡數據安(ān)全保護責任。二是針對當前個性化推薦服務(wù)關閉難、收集個人信息類型多(duō)、個人精(jīng)準畫像數據存在濫用(yòng)風險等問題,《條例》強調設置易于理(lǐ)解、便于訪問和操作(zuò)的個性化推薦關閉選項,為(wèi)用(yòng)戶提供拒絕接收推送信息、删除針對其個人特征的用(yòng)戶标簽等功能(néng),以保障用(yòng)戶合法權益。三是明确大型網絡平台服務(wù)提供者每年度發布個人信息保護社會責任報告,接受社會各界監督。同時要求平台不得利用(yòng)數據實施不正當競争行為(wèi),以此維護市場的公(gōng)平競争秩序。三、落實《條例》要求,推動網絡數據治理(lǐ)工(gōng)作(zuò)的幾點思考一方面,持續做好《條例》等網絡數據安(ān)全法規政策宣貫工(gōng)作(zuò),通過集中(zhōng)宣講培訓,深入地方和重點企業等方式,引導有(yǒu)關部門用(yòng)好、用(yòng)活、用(yòng)足政策,指導企業及時掌握政策要求,構建網絡數據安(ān)全合規體(tǐ)系。另一方面,支持網絡數據分(fēn)類分(fēn)級、風險評估、監測預警等技(jì )術、産(chǎn)品研制,加快網絡數據安(ān)全人才培養,更好地支撐網絡數據安(ān)全綜合保障體(tǐ)系建設。(二)推動網絡數據安(ān)全規則指引、标準進一步完善目前,數據分(fēn)類分(fēn)級規則、個人信息安(ān)全規範等國(guó)家标準已制定實施,重要數據安(ān)全管理(lǐ)、敏感個人信息保護等領域多(duō)項标準正在研制,工(gōng)業和信息化、自然資源、金融、教育等領域已制定數據安(ān)全管理(lǐ)辦(bàn)法或者數據分(fēn)類分(fēn)級規則,為(wèi)數據安(ān)全和個人信息保護工(gōng)作(zuò)提供指導。下一步應當鼓勵有(yǒu)關主管部門,結合行業實際情況,加快行業領域數據安(ān)全相關規則指引、标準的制定實施,以及相關制度的試點工(gōng)作(zuò),推動網絡數據治理(lǐ)工(gōng)作(zuò)落地落實。(三)充分(fēn)發揮風險評估、檢查檢測等制度作(zuò)用(yòng)風險評估、合規審計、年度報告等工(gōng)作(zuò),既是網絡數據處理(lǐ)者應當履行網絡數據安(ān)全管理(lǐ)責任,也是提高自身網絡數據安(ān)全管理(lǐ)能(néng)力的重要途徑。《條例》規定各有(yǒu)關主管部門定期組織開展本行業、本領域網絡數據安(ān)全風險評估,對網絡數據處理(lǐ)者履行網絡數據安(ān)全保護義務(wù)情況進行監督檢查;國(guó)家網信部門統籌協調有(yǒu)關主管部門及時彙總、研判、共享、發布網絡數據安(ān)全風險相關信息。有(yǒu)關部門應加強信息共享,統籌各類檢查評估工(gōng)作(zuò),在切實發揮檢查評估工(gōng)作(zuò)效能(néng)的同時,減少網絡數據運營者合規成本。《條例》着眼于國(guó)内外網絡數據治理(lǐ)與安(ān)全發展形勢,明确網絡數據處理(lǐ)者應當履行的義務(wù)責任,是我國(guó)《網絡安(ān)全法》《數據安(ān)全法》《個人信息保護法》在網絡數據治理(lǐ)實踐中(zhōng)發揮作(zuò)用(yòng)的重要抓手,更是我國(guó)建立健全數據安(ān)全法規體(tǐ)系、提高數據安(ān)全保障能(néng)力的關鍵環節。《條例》的出台與實施将進一步築牢我國(guó)數字經濟發展基礎,以高水平安(ān)全護航網絡強國(guó)建設。
免責聲明:本文(wén)轉自信息安(ān)全與通信保密雜志(zhì)社。文(wén)章内容系原作(zuò)者個人觀點,本轉載僅為(wèi)分(fēn)享、傳達不同觀點,如有(yǒu)任何異議,歡迎聯系我們!
浙公(gōng)網安(ān)備 33010502006954号 
