数据安全管理制度的六项发展|浅议《网络数据安全管理条例(征求意见稿)》与《数据安全法》之比较(上篇)

近日,国家互联网信息办公室发布了《网络数据安全管理条例(征求意见稿)》(以下简称《条例》),这是继《数据安全法》生效实施之后,我国正在起草的又一项重要数据安全法规。《条例》作为行政法规,是衔接《数据安全法》和数据安全管理实践的桥梁,其通过对数据安全基本管理制度的一系列发展,强化落实,旨在巩固和提升我国数据安全保护成效。

本文将立足《条例》与《数据安全法》所设立重要制度的比较进行分析:上篇重点分析《条例》对数据安全六项重要制度的发展,下篇重点分析《条例》对数据安全两项重要制度的创新。

一、《条例》对数据安全制度发展的两个特点

对于数据安全保护,《数据安全法》搭建了初步的基本制度框架。这一框架主要涵盖数据分类分级保护制度、数据安全审查制度、数据安全风险管理制度、数据安全应急处置机制、数据出口管制和对等反制机制等6项数据安全保护制度和机制。

总体来看,《条例》作为《数据安全法》的下位行政法规,对于数据安全保护制度的发展主要体现了两个特点:一是对已有制度加以沿袭、细化和完善,如数据分级分类制度、数据安全审查制度等;二是从数据保护需求出发,进行制度探索创新,如数据安全审计制度等。

二、《条例》对数据安全制度的发展延伸

《条例》对《数据安全法》所设立重要制度的发展延伸主要包括六项,逐项分析如下。

(一)数据分类分级保护制度

《条例》对于数据分级分类制度的发展,主要体现在明确数据分级、细化保护类型和要求、明确保护方式三个方面。

一是明文规定了数据的三个分级。即:“将数据分为一般数据、重要数据、核心数据”(《条例》第五条);而《数据安全法》对于数据的分级,并未集中明确界定,只是在相关的条文中提及“重要数据”、“核心数据”,且也没有“一般数据”的表述(涉及到的条文主要是《数据安全法》第二十一条)。《条例》用明文规定的方式确定了数据级别,有助于统一认识,为后续数据分级保护工作的开展奠定理论共识基础。

二是细化了数据分级分类保护的类型和要求。首先,明确了保护类型——重点保护、严格保护,即“国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护”(第五条第二款)。其次,细化了保护要求,《条例》通过设立专章(第四章 重要数据安全)对“重点保护”的要求进行了细化分解,对重要数据处理者规定了目录报备要求、专职机构要求、备案要求、培训要求、安全评估要求、转移审批要求、采购要求等7大类15小项(第二十七条至第三十四条)具体义务规定。

三是明确保护方式。即制定重要数据和核心数据目录,并进一步明确了目录制定单位和工作机制。“各地区、各部门…组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门”(第二十七条)。与《数据安全法》相比,《条例》对数据目录的制定主体、报备部门都做出了进一步明确。

制度《数据安全法》《网络数据安全管理条例(征求意见稿)》
数据分类分级保护制度第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
第五条 国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。

第二十七条 各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。

(二)数据安全风险管理制度

《条例》对数据安全风险管理制度的发展,主要体现在强化评估报告、明确行业评估监管、加强个人信息保护风险监测义务三个方面。

一是拓展了《风险评估报告》的相关要求。首先,扩充了《数据安全法》规定的风险评估报告主体,在原有的“重要数据处理者”之外,增加了“赴境外上市的数据处理者”一类主体。其次,明确了报告的时间频次和报告机制要求,规定数据安全风险评估报告每年开展一次,评估模式可自行开展也可委托第三方机构开展,报告接收部门为“设区的市级网信部门”。再次,细化了风险评估报告内容要求,具体要求分为一般评估和重点评估两类:《条例》第三十二条第一款提出了一般评估报告的8项内容要求;该条第四款明确了对于“数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估”还要完成的5项重点评估内容。

二是进一步细化了行业评估监管要求。《条例》第五十五条第五款规定“主管部门应当定期组织开展本行业、本领域的数据安全风险评估”,主管部门主要是指第三款的“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门”;明确了行业数据安全风险评估的对象和目的是“对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改”。

三是强化了个人信息保护风险监测义务。除了对《数据安全法》风险评估报告、监管要求的细化,《条例》还从加强个人信息保护的角度,对个人信息处理者规定了数据风险监测的义务。主要包括:在个人信息保护规则中加入个人信息安全风险防护措施(第二十条)、个人信息转移处理时的风险提示义务(第二十四条)等。

制度《数据安全法》《网络数据安全管理条例(征求意见稿)》
数据安全风险管理制度第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。第三十二条 处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,年度数据安全评估报告的内容包括:
(一)处理重要数据的情况;
(二)发现的数据安全风险及处置措施;
(三)数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性;
(四)落实国家数据安全法律、行政法规和标准情况;
(五)发生的数据安全事件及其处置情况;
(六)共享、交易、委托处理、向境外提供重要数据的安全评估情况;
(七)数据安全相关的投诉及处理情况;
(八)国家网信部门和主管、监管部门明确的其他数据安全情况。
数据处理者应当保留风险评估报告至少三年。
依据部门职责分工,网信部门与有关部门共享报告信息。

第五十五条
主管部门应当定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。

(三)数据安全应急处置机制

对于数据安全应急,《数据安全法》提出了“国家建立数据安全应急处置机制”的总体要求;《条例》对其的发展延伸,主要体现在对主管部门、行业管理者、数据处理者三方主体,分别明确了数据应急机制、数据应急预案、数据应急处置三个方面的内容完善。

一是建立数据安全应急机制。从主管部门角度,《条例》规定“国家建立健全数据安全应急处置机制”(第五十六条),明确“将数据安全事件纳入国家网络安全事件应急响应机制”中,包括纳入到“网络安全事件应急预案和网络安全信息共享平台”、“国家网络安全事件应急响应机制”。

二是建立健全行业数据安全应急预案。从行业管理部门角度,《条例》规定“主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案(五十五条第四款)。此规定亦可认为是一种管理授权,即授权行业管理部门组织制定本行业领域的数据安全事件应急预案。

三是完善数据应急义务体系。从数据处理者角度,《条例》对数据安全主体责任义务进行了补充完善,主要包括“数据处理者应当建立数据安全应急处置机制”(第十一条)、重要数据处理者应“定期组织开展数据安全应急演练等活动”(第二十八条)。

制度《数据安全法》《网络数据安全管理条例(征求意见稿)》
数据安全应急处置机制第二十三条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。第五十五条 (第四款)主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。   第五十六条 国家建立健全数据安全应急处置机制,完善网络安全事件应急预案和网络安全信息共享平台,将数据安全事件纳入国家网络安全事件应急响应机制,加强数据安全信息共享、数据安全风险和威胁监测预警以及数据安全事件应急处置工作。

(四)数据安全审查制度

与《数据安全法》相比,《条例》对于数据安全审查制度的发展,主要体现在明确了适用条件和发起流程,不仅细化了法规要求,也在法律适用上保持了同正在修订的《网络安全审查办法》的衔接一致。

一是明确了数据安全审查的适用条件。《条例》第十三条规定了适用数据安全审查的4种情形,可归纳为“影响或可能影响国家安全的”和“境外国外相关的”两类。前者包括“特定平台运营者实施的合并重组或分立”、“数据处理者赴香港上市”;后者包括“处理一百万人以上个人信息的数据处理者赴国外上市”。相比而言,后者要求更为严格,只要有该行为发生就应进行数据安全审查申报,而不论其是否对国家安全造成影响或威胁。

二是明确了数据安全审查的流程。这是对数据安全审查在程序方面要求的完善和延伸,《条例》第十三条规定数据处理者在满足审查适用条件时“应当按照国家有关规定,申报网络安全审查”。可见,数据安全审查的发起是由数据处理者进行“申报”。同时,此条所指的“国家有关规定”,应当包括《网络安全审查办法》在内,且从其内容看,《条例》与《网络安全审查办法(修订草案征求意见稿)》也保持了一致。

制度《数据安全法》《网络数据安全管理条例(征求意见稿)》
数据安全审查制度第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
依法作出的安全审查决定为最终决定。
第十三条 数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:
(一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;
(二)处理一百万人以上个人信息的数据处理者赴国外上市的;
(三)数据处理者赴香港上市,影响或者可能影响国家安全的;
(四)其他影响或者可能影响国家安全的数据处理活动。
大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。

(五)数据出口管制和反制机制

《条例》界定了“出口管制数据”的内涵。在出口管制和投资贸易歧视措施的反制相关制度方面,《条例》未对《数据安全法》相关规定做过多发展,仅是《条例》在第七十三条中,给出了“出口管制数据”的具体涵义。即“出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据”。

该条款主要对应了《数据安全法》第二十五条“国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制”之规定。且从该条款所在位置来看,《条例》将“出口管制数据”明确列为7类“重要数据”其中之一。同时,此处所指“出口管制物项”,应遵循了《中华人民共和国出口管制法》的有关界定,即:“出口管制物项主要是指(军民)两用物项、军品、核以及其他与维护国家安全和利益、履行防扩散等国际义务相关的货物、技术、服务等物项”。

制度《数据安全法》《网络数据安全管理条例(征求意见稿)》
数据出口管制和反制机制第二十五条 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
第二十六条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
第七十三条 本条例下列用语的含义:
(三)重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:
2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;

(六)数据交易管理制度

《条例》对数据交易管理制度的发展完善,主要体现在进一步明确强调了数据交易机构的准入管理。

《条例》第七条第二款指出,“国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准”。而《数据安全法》对于数据交易管理制度,主要是明确了该制度的立法目的“规范数据交易行为,培育数据交易市场”,并对数据交易中介机构的行为提出了初步规范要求“数据交易中介服务机构应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录”。可见,《条例》对该制度的发展,重在提出了主体准入要求。相信后续国家相关部门会发布专门的管理规定或规范,对数据交易机构的设立条件、流程和管理机制等提出更加详细的要求。

制度《数据安全法》《网络数据安全管理条例(征求意见稿)》
数据交易管理制度第十九条 国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。第七条
国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

Leave Comment