作为效力仅次于“法律”的行政法规,《网络数据安全管理条例》不是对上位法进行简单的重复,而是充分发挥“行政法规”在法律体系中的重要作用。一方面细化《网络安全法》《数据安全法》《个人信息保护法》,并落实三法中明确“行政法规”可以补充规定或另行规定的事项,进行补充性或创新性规定。另一方面,结合近年数据治理经验,聚焦信息技术创新及数字经济发展中的突出问题,衔接、协调上位法律及下位部门规章相关规定。总的来说,《网络数据安全管理条例》确立的规则呈现以下变化与延续:
一、明确界定“网络数据处理者”“重要数据”等核心概念
与《数据安全法》主要以行为即“开展数据处理活动”为中心构建数据安全规则不同,《网络数据安全管理条例》中的网络数据安全保护义务与责任主要围绕“网络数据处理者”这一主体身份展开。只有“网络数据处理者”需履行等级保护基础上全流程的数据安全保护,网络数据安全风险告知报告,网络数据安全应急处置,提供、委托、共同处理环节的风险评估义务等义务。至于何为“网络数据处理者”,基于《数据安全法》并未对数据处理者做出界定。《网络数据安全管理条例》借鉴了《个人信息保护法》中“个人信息处理者”定义,在附则的含义中明确“网络数据处理者是指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织”。由此,能否“自主决定”处理目的和处理方式判定是否属于“网络数据处理者”的核心标准。“自主决定”蕴含着控制力、影响力和决定性地位的实质性判断,并与是否承担数据安全责任直接关联。实践中证明某个主体是否具备自主决定数据处理目的和处理方式,往往需要结合场景进行判断,如数据合作或服务协议中的职责界定,在集团数据处理模式中还要考虑企业股权架构、决策机制等。
《网络数据安全管理条例》另一个核心概念是“重要数据”,《网络数据安全管理条例》吸纳了国家标准《数据安全技术 数据分类分级规则》对“重要数据”的界定,在附则的含义中明确“重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”。关于重要数据的认定,《网络数据安全管理条例》延续《数据安全法》确立的国家数据安全工作协调机制制定重要数据目录,各地区、各部门确定本地区、本部门以及行业、领域的重要数据具体目录的认定机制,同时吸收近年重要数据出境安全评估中的监管经验,明确网络数据处理者只需负责重要数据的识别、申报。是否属于重要数据的认定交由各地区、各部门,各地区、各部门负责审核后告知或公布。
二、新增网络数据安全风险、事件告知与报告规则
《网络数据安全管理条例》首先在《网络安全法》基础上强调“网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求”;其次,在延续《网络安全法》关于“网络产品、服务提供者”安全风险告知及补救义务规定的基础上,首次提出“涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告”。
关于网络数据安全事件的告知与报告,《网络数据安全管理条例》延续了《数据安全法》《网络安全法》中安全事件向主管部门的报告要求,未做进一步细化。但重点补充了是否需要向利害关系人告知以及如何告知的规则。《网络数据安全管理条例》在平衡企业合规负担与个体权益保障的基础上,仅规定网络数据安全事件对个人、组织合法权益“造成危害的”才需告知。告知方式包括电话、短信、即时通信工具、电子邮件或者公告。此前征求意见稿对于以公告方式告知的,设置了前置条件,仅无法通知的才可公告告知。正式稿删除了该限制,进一步降低合规要求。
三、补充数据流转中的安全保护要求
数据流转安全问题随着数据要素开发利用日益频繁,《数据安全法》定义了数据安全有效保护和合法利用的两种状态,但并未建立数据流转安全的具体规则。《个人信息保护法》针对个人信息对外提供、委托、共同处理确立了一定要求,例如应当开展个人信息保护影响评估。对外提供个人信息的,应当履行告知义务并取得单独同意。委托处理个人信息的,应当与受托人约定各自权利义务并进行监督等。《网络数据安全管理条例》紧抓数据流动和利用安全这一数据要素时代的数据安全核心问题,关注点从“数据安全”到“数据合法有效利用”,在《数据安全法》《个人信息保护法》基础上做了诸多规则补充。一是要求提供、委托处理个人信息和重要数据的,应当通过合同等明确安全保护义务、监督义务履行情况、记录处理情况并至少保存3年。值得注意的是,《个人信息保护法》仅要求“委托”处理个人信息的需要约定权利义务并监督,《网络数据安全管理条例》则扩展至“提供”个人信息的场景。“提供、委托处理”重要数据的要求则吸收行业、领域的实践经验。二是要求重要数据的处理者提供、委托处理、共同处理重要数据前,除为履行法定职责或者法定义务外,应当进行风险评估。三是明确了针对自动化采集豁免知情同意规则。《网络数据安全管理条例》第二十四条吸收《个人信息保护法》第十三条、第十八条规定,利用行政法规层级,实现对自动化采集知情同意规则的豁免,即免除前端采集环节义务,在后续环节处理即可。
四、新增特殊主体的供应链安全要求
《网络数据安全管理条例》对网络数据安全的关注不再是节点安全而是整个产业链供应链的安全。《网络数据安全管理条例》不仅明确提出“供应链网络数据安全”概念,也构建了较为全面的数据供应链安全体系。在规则设计上,对国家机关、关键信息基础设施运营者、公共基础设施及公共服务系统运营者、处理重要数据的大型网络平台服务提供者的供应链安全提出新增要求。
一是《网络数据安全管理条例》不仅关注国家机关网络数据安全,还首次针对为“关键信息基础设施运营者、参与其他公共基础设施、公共服务系统建设、运行、维护的”供应商,提出其与“国家机关”相关服务供应商同等安全保护要求。二是不仅关注供应链上的服务安全还关注信息系统安全,要求为国家机关提供服务的信息系统参照电子政务系统的管理要求。三是对于处理重要数据的大型网络平台服务提供者,《网络数据安全管理条例》首次明确要求前者应当充分说明关键业务和供应链网络数据安全等情况。
五、补充重要数据安全保护规则
重要数据安全保护制度是国家数据安全管理的重要抓手,《数据安全法》在一般数据基础上对重要数据设置了增强要求,包括明确数据安全负责人和管理机构、定期开展风险评估以及出境安全管理。近年来,行业、领域在重要数据安全保护工作探索中也提出一些细化、不同强度的保护要求。例如重要数据备案要求,《工业和信息化领域数据安全管理办法(试行)》规定,工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案;重要数据安全能力核验要求,《工业和信息化领域数据安全管理办法(试行)》规定,委托处理重要数据,应当对受托方的数据安全保护能力、资质进行核验;重要数据年度风险评估要求,《工业和信息化领域数据安全管理办法(试行)》规定,工业和信息化领域重要数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,并向本地区行业监管部门报送风险评估报告;重要数据的存储要求,《会计师事务所数据安全管理暂行办法》规定,存储重要数据的信息系统要落实三级及以上网络安全等级保护要求;重要数据日志留存要求,《会计师事务所数据安全管理暂行办法》规定,涉及重要数据的相关日志留存时间不少于一年。涉及向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于三年等。《网络数据安全管理条例》一是补充了网络数据安全负责人资格要求。包括具备网络数据安全专业知识、具备相关管理经验,属于管理层成员。对于掌握有关主管部门特定种类、规模重要数据的处理者,还需对网络数据安全负责人和关键岗位人员进行安全背景审查。二是充了网络数据安全管理机构职责。三是化了风险评估制度。《网络数据安全管理条例》规定了提供、委托处理、共同处理重要数据前需要开展风险评估以及重要数据安全年度风险评估两类评估要求。后者评估报告需向省级以上主管部门报送。四是增了特殊情形下重要数据处置方案报告要求。此前《自然资源部数据安全管理办法》规定,数据处理者因重组等原因需要转移数据的,应当明确数据转移方案。涉及重要数据的,应当事前向行业监管部门报告数据转移方案。《网络数据安全管理条例》则明确只要因合并、分立、解散、破产等可能影响重要数据安全的,均需报告。
来源:国家网络安全通报中心
浙公网安备 33010502006954号 
