《網絡數據安(ān)全管理(lǐ)條例》解讀:核心規則設計的變化與延續
發布時間:2025-01-03
閱讀次數: 768 次
作(zuò)為(wèi)效力僅次于“法律”的行政法規,《網絡數據安(ān)全管理(lǐ)條例》不是對上位法進行簡單的重複,而是充分(fēn)發揮“行政法規”在法律體(tǐ)系中(zhōng)的重要作(zuò)用(yòng)。一方面細化《網絡安(ān)全法》《數據安(ān)全法》《個人信息保護法》,并落實三法中(zhōng)明确“行政法規”可(kě)以補充規定或另行規定的事項,進行補充性或創新(xīn)性規定。另一方面,結合近年數據治理(lǐ)經驗,聚焦信息技(jì )術創新(xīn)及數字經濟發展中(zhōng)的突出問題,銜接、協調上位法律及下位部門規章相關規定。總的來說,《網絡數據安(ān)全管理(lǐ)條例》确立的規則呈現以下變化與延續:一、明确界定“網絡數據處理(lǐ)者”“重要數據”等核心概念與《數據安(ān)全法》主要以行為(wèi)即“開展數據處理(lǐ)活動”為(wèi)中(zhōng)心構建數據安(ān)全規則不同,《網絡數據安(ān)全管理(lǐ)條例》中(zhōng)的網絡數據安(ān)全保護義務(wù)與責任主要圍繞“網絡數據處理(lǐ)者”這一主體(tǐ)身份展開。隻有(yǒu)“網絡數據處理(lǐ)者”需履行等級保護基礎上全流程的數據安(ān)全保護,網絡數據安(ān)全風險告知報告,網絡數據安(ān)全應急處置,提供、委托、共同處理(lǐ)環節的風險評估義務(wù)等義務(wù)。至于何為(wèi)“網絡數據處理(lǐ)者”,基于《數據安(ān)全法》并未對數據處理(lǐ)者做出界定。《網絡數據安(ān)全管理(lǐ)條例》借鑒了《個人信息保護法》中(zhōng)“個人信息處理(lǐ)者”定義,在附則的含義中(zhōng)明确“網絡數據處理(lǐ)者是指在網絡數據處理(lǐ)活動中(zhōng)自主決定處理(lǐ)目的和處理(lǐ)方式的個人、組織”。由此,能(néng)否“自主決定”處理(lǐ)目的和處理(lǐ)方式判定是否屬于“網絡數據處理(lǐ)者”的核心标準。“自主決定”蘊含着控制力、影響力和決定性地位的實質(zhì)性判斷,并與是否承擔數據安(ān)全責任直接關聯。實踐中(zhōng)證明某個主體(tǐ)是否具(jù)備自主決定數據處理(lǐ)目的和處理(lǐ)方式,往往需要結合場景進行判斷,如數據合作(zuò)或服務(wù)協議中(zhōng)的職責界定,在集團數據處理(lǐ)模式中(zhōng)還要考慮企業股權架構、決策機制等。《網絡數據安(ān)全管理(lǐ)條例》另一個核心概念是“重要數據”,《網絡數據安(ān)全管理(lǐ)條例》吸納了國(guó)家标準《數據安(ān)全技(jì )術 數據分(fēn)類分(fēn)級規則》對“重要數據”的界定,在附則的含義中(zhōng)明确“重要數據是指特定領域、特定群體(tǐ)、特定區(qū)域或者達到一定精(jīng)度和規模,一旦遭到篡改、破壞、洩露或者非法獲取、非法利用(yòng),可(kě)能(néng)直接危害國(guó)家安(ān)全、經濟運行、社會穩定、公(gōng)共健康和安(ān)全的數據”。關于重要數據的認定,《網絡數據安(ān)全管理(lǐ)條例》延續《數據安(ān)全法》确立的國(guó)家數據安(ān)全工(gōng)作(zuò)協調機制制定重要數據目錄,各地區(qū)、各部門确定本地區(qū)、本部門以及行業、領域的重要數據具(jù)體(tǐ)目錄的認定機制,同時吸收近年重要數據出境安(ān)全評估中(zhōng)的監管經驗,明确網絡數據處理(lǐ)者隻需負責重要數據的識别、申報。是否屬于重要數據的認定交由各地區(qū)、各部門,各地區(qū)、各部門負責審核後告知或公(gōng)布。二、新(xīn)增網絡數據安(ān)全風險、事件告知與報告規則《網絡數據安(ān)全管理(lǐ)條例》首先在《網絡安(ān)全法》基礎上強調“網絡數據處理(lǐ)者提供的網絡産(chǎn)品、服務(wù)應當符合相關國(guó)家标準的強制性要求”;其次,在延續《網絡安(ān)全法》關于“網絡産(chǎn)品、服務(wù)提供者”安(ān)全風險告知及補救義務(wù)規定的基礎上,首次提出“涉及危害國(guó)家安(ān)全、公(gōng)共利益的,網絡數據處理(lǐ)者還應當在24小(xiǎo)時内向有(yǒu)關主管部門報告”。關于網絡數據安(ān)全事件的告知與報告,《網絡數據安(ān)全管理(lǐ)條例》延續了《數據安(ān)全法》《網絡安(ān)全法》中(zhōng)安(ān)全事件向主管部門的報告要求,未做進一步細化。但重點補充了是否需要向利害關系人告知以及如何告知的規則。《網絡數據安(ān)全管理(lǐ)條例》在平衡企業合規負擔與個體(tǐ)權益保障的基礎上,僅規定網絡數據安(ān)全事件對個人、組織合法權益“造成危害的”才需告知。告知方式包括電(diàn)話、短信、即時通信工(gōng)具(jù)、電(diàn)子郵件或者公(gōng)告。此前征求意見稿對于以公(gōng)告方式告知的,設置了前置條件,僅無法通知的才可(kě)公(gōng)告告知。正式稿删除了該限制,進一步降低合規要求。三、補充數據流轉中(zhōng)的安(ān)全保護要求數據流轉安(ān)全問題随着數據要素開發利用(yòng)日益頻繁,《數據安(ān)全法》定義了數據安(ān)全有(yǒu)效保護和合法利用(yòng)的兩種狀态,但并未建立數據流轉安(ān)全的具(jù)體(tǐ)規則。《個人信息保護法》針對個人信息對外提供、委托、共同處理(lǐ)确立了一定要求,例如應當開展個人信息保護影響評估。對外提供個人信息的,應當履行告知義務(wù)并取得單獨同意。委托處理(lǐ)個人信息的,應當與受托人約定各自權利義務(wù)并進行監督等。《網絡數據安(ān)全管理(lǐ)條例》緊抓數據流動和利用(yòng)安(ān)全這一數據要素時代的數據安(ān)全核心問題,關注點從“數據安(ān)全”到“數據合法有(yǒu)效利用(yòng)”,在《數據安(ān)全法》《個人信息保護法》基礎上做了諸多(duō)規則補充。一是要求提供、委托處理(lǐ)個人信息和重要數據的,應當通過合同等明确安(ān)全保護義務(wù)、監督義務(wù)履行情況、記錄處理(lǐ)情況并至少保存3年。值得注意的是,《個人信息保護法》僅要求“委托”處理(lǐ)個人信息的需要約定權利義務(wù)并監督,《網絡數據安(ān)全管理(lǐ)條例》則擴展至“提供”個人信息的場景。“提供、委托處理(lǐ)”重要數據的要求則吸收行業、領域的實踐經驗。二是要求重要數據的處理(lǐ)者提供、委托處理(lǐ)、共同處理(lǐ)重要數據前,除為(wèi)履行法定職責或者法定義務(wù)外,應當進行風險評估。三是明确了針對自動化采集豁免知情同意規則。《網絡數據安(ān)全管理(lǐ)條例》第二十四條吸收《個人信息保護法》第十三條、第十八條規定,利用(yòng)行政法規層級,實現對自動化采集知情同意規則的豁免,即免除前端采集環節義務(wù),在後續環節處理(lǐ)即可(kě)。四、新(xīn)增特殊主體(tǐ)的供應鏈安(ān)全要求《網絡數據安(ān)全管理(lǐ)條例》對網絡數據安(ān)全的關注不再是節點安(ān)全而是整個産(chǎn)業鏈供應鏈的安(ān)全。《網絡數據安(ān)全管理(lǐ)條例》不僅明确提出“供應鏈網絡數據安(ān)全”概念,也構建了較為(wèi)全面的數據供應鏈安(ān)全體(tǐ)系。在規則設計上,對國(guó)家機關、關鍵信息基礎設施運營者、公(gōng)共基礎設施及公(gōng)共服務(wù)系統運營者、處理(lǐ)重要數據的大型網絡平台服務(wù)提供者的供應鏈安(ān)全提出新(xīn)增要求。一是《網絡數據安(ān)全管理(lǐ)條例》不僅關注國(guó)家機關網絡數據安(ān)全,還首次針對為(wèi)“關鍵信息基礎設施運營者、參與其他(tā)公(gōng)共基礎設施、公(gōng)共服務(wù)系統建設、運行、維護的”供應商(shāng),提出其與“國(guó)家機關”相關服務(wù)供應商(shāng)同等安(ān)全保護要求。二是不僅關注供應鏈上的服務(wù)安(ān)全還關注信息系統安(ān)全,要求為(wèi)國(guó)家機關提供服務(wù)的信息系統參照電(diàn)子政務(wù)系統的管理(lǐ)要求。三是對于處理(lǐ)重要數據的大型網絡平台服務(wù)提供者,《網絡數據安(ān)全管理(lǐ)條例》首次明确要求前者應當充分(fēn)說明關鍵業務(wù)和供應鏈網絡數據安(ān)全等情況。重要數據安(ān)全保護制度是國(guó)家數據安(ān)全管理(lǐ)的重要抓手,《數據安(ān)全法》在一般數據基礎上對重要數據設置了增強要求,包括明确數據安(ān)全負責人和管理(lǐ)機構、定期開展風險評估以及出境安(ān)全管理(lǐ)。近年來,行業、領域在重要數據安(ān)全保護工(gōng)作(zuò)探索中(zhōng)也提出一些細化、不同強度的保護要求。例如重要數據備案要求,《工(gōng)業和信息化領域數據安(ān)全管理(lǐ)辦(bàn)法(試行)》規定,工(gōng)業和信息化領域數據處理(lǐ)者應當将本單位重要數據和核心數據目錄向本地區(qū)行業監管部門備案;重要數據安(ān)全能(néng)力核驗要求,《工(gōng)業和信息化領域數據安(ān)全管理(lǐ)辦(bàn)法(試行)》規定,委托處理(lǐ)重要數據,應當對受托方的數據安(ān)全保護能(néng)力、資質(zhì)進行核驗;重要數據年度風險評估要求,《工(gōng)業和信息化領域數據安(ān)全管理(lǐ)辦(bàn)法(試行)》規定,工(gōng)業和信息化領域重要數據處理(lǐ)者應當自行或委托第三方評估機構,每年對其數據處理(lǐ)活動至少開展一次風險評估,并向本地區(qū)行業監管部門報送風險評估報告;重要數據的存儲要求,《會計師事務(wù)所數據安(ān)全管理(lǐ)暫行辦(bàn)法》規定,存儲重要數據的信息系統要落實三級及以上網絡安(ān)全等級保護要求;重要數據日志(zhì)留存要求,《會計師事務(wù)所數據安(ān)全管理(lǐ)暫行辦(bàn)法》規定,涉及重要數據的相關日志(zhì)留存時間不少于一年。涉及向他(tā)人提供、委托處理(lǐ)、共同處理(lǐ)重要數據的相關日志(zhì)留存時間不少于三年等。
《網絡數據安(ān)全管理(lǐ)條例》一是補充了網絡數據安(ān)全負責人資格要求。包括具(jù)備網絡數據安(ān)全專業知識、具(jù)備相關管理(lǐ)經驗,屬于管理(lǐ)層成員。對于掌握有(yǒu)關主管部門特定種類、規模重要數據的處理(lǐ)者,還需對網絡數據安(ān)全負責人和關鍵崗位人員進行安(ān)全背景審查。二是補充了網絡數據安(ān)全管理(lǐ)機構職責。三是細化了風險評估制度。《網絡數據安(ān)全管理(lǐ)條例》規定了提供、委托處理(lǐ)、共同處理(lǐ)重要數據前需要開展風險評估以及重要數據安(ān)全年度風險評估兩類評估要求。後者評估報告需向省級以上主管部門報送。四是新(xīn)增了特殊情形下重要數據處置方案報告要求。此前《自然資源部數據安(ān)全管理(lǐ)辦(bàn)法》規定,數據處理(lǐ)者因重組等原因需要轉移數據的,應當明确數據轉移方案。涉及重要數據的,應當事前向行業監管部門報告數據轉移方案。《網絡數據安(ān)全管理(lǐ)條例》則明确隻要因合并、分(fēn)立、解散、破産(chǎn)等可(kě)能(néng)影響重要數據安(ān)全的,均需報告。
轉載自網絡
官方訂閱号
官方服務(wù)号
第59号
浙公(gōng)網安(ān)備 33010502006954号 
