數(shù)據(jù)安全管理制度的六項發(fā)展|淺議《網絡數(shù)據(jù)安全管理條例(征求意見稿)》與《數(shù)據(jù)安全法》之比較(上篇)

發(fā)布時間:2021-12-06 16:07:48  |  來源:榕城網  

近日,國家互聯(lián)網信息辦公室發(fā)布了《網絡數(shù)據(jù)安全管理條例(征求意見稿)》(以下簡稱《條例》),這是繼《數(shù)據(jù)安全法》生效實施之后,我國正在起草的又一項重要數(shù)據(jù)安全法規(guī)?!稐l例》作為行政法規(guī),是銜接《數(shù)據(jù)安全法》和數(shù)據(jù)安全管理實踐的橋梁,其通過對數(shù)據(jù)安全基本管理制度的一系列發(fā)展,強化落實,旨在鞏固和提升我國數(shù)據(jù)安全保護成效。

本文將立足《條例》與《數(shù)據(jù)安全法》所設立重要制度的比較進行分析:上篇重點分析《條例》對數(shù)據(jù)安全六項重要制度的發(fā)展,下篇重點分析《條例》對數(shù)據(jù)安全兩項重要制度的創(chuàng)新。

一、《條例》對數(shù)據(jù)安全制度發(fā)展的兩個特點

對于數(shù)據(jù)安全保護,《數(shù)據(jù)安全法》搭建了初步的基本制度框架。這一框架主要涵蓋數(shù)據(jù)分類分級保護制度、數(shù)據(jù)安全審查制度、數(shù)據(jù)安全風險管理制度、數(shù)據(jù)安全應急處置機制、數(shù)據(jù)出口管制和對等反制機制等6項數(shù)據(jù)安全保護制度和機制。

總體來看,《條例》作為《數(shù)據(jù)安全法》的下位行政法規(guī),對于數(shù)據(jù)安全保護制度的發(fā)展主要體現(xiàn)了兩個特點:一是對已有制度加以沿襲、細化和完善,如數(shù)據(jù)分級分類制度、數(shù)據(jù)安全審查制度等;二是從數(shù)據(jù)保護需求出發(fā),進行制度探索創(chuàng)新,如數(shù)據(jù)安全審計制度等。

二、《條例》對數(shù)據(jù)安全制度的發(fā)展延伸

《條例》對《數(shù)據(jù)安全法》所設立重要制度的發(fā)展延伸主要包括六項,逐項分析如下。

(一)數(shù)據(jù)分類分級保護制度

《條例》對于數(shù)據(jù)分級分類制度的發(fā)展,主要體現(xiàn)在明確數(shù)據(jù)分級、細化保護類型和要求、明確保護方式三個方面。

一是明文規(guī)定了數(shù)據(jù)的三個分級。即:“將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)”(《條例》第五條);而《數(shù)據(jù)安全法》對于數(shù)據(jù)的分級,并未集中明確界定,只是在相關的條文中提及“重要數(shù)據(jù)”、“核心數(shù)據(jù)”,且也沒有“一般數(shù)據(jù)”的表述(涉及到的條文主要是《數(shù)據(jù)安全法》第二十一條)。《條例》用明文規(guī)定的方式確定了數(shù)據(jù)級別,有助于統(tǒng)一認識,為后續(xù)數(shù)據(jù)分級保護工作的開展奠定理論共識基礎。

二是細化了數(shù)據(jù)分級分類保護的類型和要求。首先,明確了保護類型——重點保護、嚴格保護,即“國家對個人信息和重要數(shù)據(jù)進行重點保護,對核心數(shù)據(jù)實行嚴格保護”(第五條第二款)。其次,細化了保護要求,《條例》通過設立專章(第四章 重要數(shù)據(jù)安全)對“重點保護”的要求進行了細化分解,對重要數(shù)據(jù)處理者規(guī)定了目錄報備要求、專職機構要求、備案要求、培訓要求、安全評估要求、轉移審批要求、采購要求等7大類15小項(第二十七條至第三十四條)具體義務規(guī)定。

三是明確保護方式。即制定重要數(shù)據(jù)和核心數(shù)據(jù)目錄,并進一步明確了目錄制定單位和工作機制。“各地區(qū)、各部門...組織制定本地區(qū)、本部門以及相關行業(yè)、領域重要數(shù)據(jù)和核心數(shù)據(jù)目錄,并報國家網信部門”(第二十七條)。與《數(shù)據(jù)安全法》相比,《條例》對數(shù)據(jù)目錄的制定主體、報備部門都做出了進一步明確。

表1.png

(二)數(shù)據(jù)安全風險管理制度

《條例》對數(shù)據(jù)安全風險管理制度的發(fā)展,主要體現(xiàn)在強化評估報告、明確行業(yè)評估監(jiān)管、加強個人信息保護風險監(jiān)測義務三個方面。

一是拓展了《風險評估報告》的相關要求。首先,擴充了《數(shù)據(jù)安全法》規(guī)定的風險評估報告主體,在原有的“重要數(shù)據(jù)處理者”之外,增加了“赴境外上市的數(shù)據(jù)處理者”一類主體。其次,明確了報告的時間頻次和報告機制要求,規(guī)定數(shù)據(jù)安全風險評估報告每年開展一次,評估模式可自行開展也可委托第三方機構開展,報告接收部門為“設區(qū)的市級網信部門”。再次,細化了風險評估報告內容要求,具體要求分為一般評估和重點評估兩類:《條例》第三十二條第一款提出了一般評估報告的8項內容要求;該條第四款明確了對于“數(shù)據(jù)處理者開展共享、交易、委托處理、向境外提供重要數(shù)據(jù)的安全評估”還要完成的5項重點評估內容。

二是進一步細化了行業(yè)評估監(jiān)管要求?!稐l例》第五十五條第五款規(guī)定“主管部門應當定期組織開展本行業(yè)、本領域的數(shù)據(jù)安全風險評估”,主管部門主要是指第三款的“工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門”;明確了行業(yè)數(shù)據(jù)安全風險評估的對象和目的是“對數(shù)據(jù)處理者履行數(shù)據(jù)安全保護義務情況進行監(jiān)督檢查,指導督促數(shù)據(jù)處理者及時對存在的風險隱患進行整改”。

三是強化了個人信息保護風險監(jiān)測義務。除了對《數(shù)據(jù)安全法》風險評估報告、監(jiān)管要求的細化,《條例》還從加強個人信息保護的角度,對個人信息處理者規(guī)定了數(shù)據(jù)風險監(jiān)測的義務。主要包括:在個人信息保護規(guī)則中加入個人信息安全風險防護措施(第二十條)、個人信息轉移處理時的風險提示義務(第二十四條)等。

表2.png

(三)數(shù)據(jù)安全應急處置機制

對于數(shù)據(jù)安全應急,《數(shù)據(jù)安全法》提出了“國家建立數(shù)據(jù)安全應急處置機制”的總體要求;《條例》對其的發(fā)展延伸,主要體現(xiàn)在對主管部門、行業(yè)管理者、數(shù)據(jù)處理者三方主體,分別明確了數(shù)據(jù)應急機制、數(shù)據(jù)應急預案、數(shù)據(jù)應急處置三個方面的內容完善。

一是建立數(shù)據(jù)安全應急機制。從主管部門角度,《條例》規(guī)定“國家建立健全數(shù)據(jù)安全應急處置機制”(第五十六條),明確“將數(shù)據(jù)安全事件納入國家網絡安全事件應急響應機制”中,包括納入到“網絡安全事件應急預案和網絡安全信息共享平臺”、“國家網絡安全事件應急響應機制”。

二是建立健全行業(yè)數(shù)據(jù)安全應急預案。從行業(yè)管理部門角度,《條例》規(guī)定“主管部門應當明確本行業(yè)、本領域數(shù)據(jù)安全保護工作機構和人員,編制并組織實施本行業(yè)、本領域的數(shù)據(jù)安全規(guī)劃和數(shù)據(jù)安全事件應急預案(五十五條第四款)。此規(guī)定亦可認為是一種管理授權,即授權行業(yè)管理部門組織制定本行業(yè)領域的數(shù)據(jù)安全事件應急預案。

三是完善數(shù)據(jù)應急義務體系。從數(shù)據(jù)處理者角度,《條例》對數(shù)據(jù)安全主體責任義務進行了補充完善,主要包括“數(shù)據(jù)處理者應當建立數(shù)據(jù)安全應急處置機制”(第十一條)、重要數(shù)據(jù)處理者應“定期組織開展數(shù)據(jù)安全應急演練等活動”(第二十八條)。

表3.png

(四)數(shù)據(jù)安全審查制度

與《數(shù)據(jù)安全法》相比,《條例》對于數(shù)據(jù)安全審查制度的發(fā)展,主要體現(xiàn)在明確了適用條件和發(fā)起流程,不僅細化了法規(guī)要求,也在法律適用上保持了同正在修訂的《網絡安全審查辦法》的銜接一致。

一是明確了數(shù)據(jù)安全審查的適用條件?!稐l例》第十三條規(guī)定了適用數(shù)據(jù)安全審查的4種情形,可歸納為“影響或可能影響國家安全的”和“境外國外相關的”兩類。前者包括“特定平臺運營者實施的合并重組或分立”、“數(shù)據(jù)處理者赴香港上市”;后者包括“處理一百萬人以上個人信息的數(shù)據(jù)處理者赴國外上市”。相比而言,后者要求更為嚴格,只要有該行為發(fā)生就應進行數(shù)據(jù)安全審查申報,而不論其是否對國家安全造成影響或威脅。

二是明確了數(shù)據(jù)安全審查的流程。這是對數(shù)據(jù)安全審查在程序方面要求的完善和延伸,《條例》第十三條規(guī)定數(shù)據(jù)處理者在滿足審查適用條件時“應當按照國家有關規(guī)定,申報網絡安全審查”。可見,數(shù)據(jù)安全審查的發(fā)起是由數(shù)據(jù)處理者進行“申報”。同時,此條所指的“國家有關規(guī)定”,應當包括《網絡安全審查辦法》在內,且從其內容看,《條例》與《網絡安全審查辦法(修訂草案征求意見稿)》也保持了一致。

表4.png

(五)數(shù)據(jù)出口管制和反制機制

《條例》界定了“出口管制數(shù)據(jù)”的內涵。在出口管制和投資貿易歧視措施的反制相關制度方面,《條例》未對《數(shù)據(jù)安全法》相關規(guī)定做過多發(fā)展,僅是《條例》在第七十三條中,給出了“出口管制數(shù)據(jù)”的具體涵義。即“出口管制數(shù)據(jù),出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數(shù)據(jù),密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數(shù)據(jù)”。

該條款主要對應了《數(shù)據(jù)安全法》第二十五條“國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數(shù)據(jù)依法實施出口管制”之規(guī)定。且從該條款所在位置來看,《條例》將“出口管制數(shù)據(jù)”明確列為7類“重要數(shù)據(jù)”其中之一。同時,此處所指“出口管制物項”,應遵循了《中華人民共和國出口管制法》的有關界定,即:“出口管制物項主要是指(軍民)兩用物項、軍品、核以及其他與維護國家安全和利益、履行防擴散等國際義務相關的貨物、技術、服務等物項”。

表5.png

(六)數(shù)據(jù)交易管理制度

《條例》對數(shù)據(jù)交易管理制度的發(fā)展完善,主要體現(xiàn)在進一步明確強調了數(shù)據(jù)交易機構的準入管理。

《條例》第七條第二款指出,“國家建立健全數(shù)據(jù)交易管理制度,明確數(shù)據(jù)交易機構設立、運行標準”。而《數(shù)據(jù)安全法》對于數(shù)據(jù)交易管理制度,主要是明確了該制度的立法目的“規(guī)范數(shù)據(jù)交易行為,培育數(shù)據(jù)交易市場”,并對數(shù)據(jù)交易中介機構的行為提出了初步規(guī)范要求“數(shù)據(jù)交易中介服務機構應當要求數(shù)據(jù)提供方說明數(shù)據(jù)來源,審核交易雙方的身份,并留存審核、交易記錄”??梢?《條例》對該制度的發(fā)展,重在提出了主體準入要求。相信后續(xù)國家相關部門會發(fā)布專門的管理規(guī)定或規(guī)范,對數(shù)據(jù)交易機構的設立條件、流程和管理機制等提出更加詳細的要求。

表6.png

免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據(jù)。

關鍵詞: 數(shù)據(jù) 安全 稿)

 

網站介紹  |  版權說明  |  聯(lián)系我們  |  網站地圖 

星際派備案號:京ICP備2022016840號-16 營業(yè)執(zhí)照公示信息版權所有 郵箱聯(lián)系:920 891 263@qq.com