近日,國家互聯網信息辦公室發布了《網絡數據安全管理條例(征求意見稿)》(以下簡稱《條例》),這是繼《數據安全法》生效實施之后,我國正在起草的又一項重要數據安全法規�����!稐l例》作為行政法規,是銜接《數據安全法》和數據安全管理實踐的橋梁,其通過對數據安全基本管理制度的一系列發展,強化落實,旨在鞏固和提升我國數據安全保護成效���。
本文將立足《條例》與《數據安全法》所設立重要制度的比較進行分析:上篇重點分析《條例》對數據安全六項重要制度的發展,下篇重點分析《條例》對數據安全兩項重要制度的創新�����。
一、《條例》對數據安全制度發展的兩個特點
對于數據安全保護,《數據安全法》搭建了初步的基本制度框架。這一框架主要涵蓋數據分類分級保護制度��、數據安全審查制度��、數據安全風險管理制度��、數據安全應急處置機制�、數據出口管制和對等反制機制等6項數據安全保護制度和機制。
總體來看,《條例》作為《數據安全法》的下位行政法規,對于數據安全保護制度的發展主要體現了兩個特點:一是對已有制度加以沿襲�����、細化和完善,如數據分級分類制度�、數據安全審查制度等;二是從數據保護需求出發,進行制度探索創新,如數據安全審計制度等。
二、《條例》對數據安全制度的發展延伸
《條例》對《數據安全法》所設立重要制度的發展延伸主要包括六項,逐項分析如下。
(一)數據分類分級保護制度
《條例》對于數據分級分類制度的發展,主要體現在明確數據分級��、細化保護類型和要求��、明確保護方式三個方面����。
一是明文規定了數據的三個分級�����。即:“將數據分為一般數據�����、重要數據���、核心數據”(《條例》第五條);而《數據安全法》對于數據的分級,并未集中明確界定,只是在相關的條文中提及“重要數據”��、“核心數據”,且也沒有“一般數據”的表述(涉及到的條文主要是《數據安全法》第二十一條)�����!稐l例》用明文規定的方式確定了數據級別,有助于統一認識,為后續數據分級保護工作的開展奠定理論共識基礎。
二是細化了數據分級分類保護的類型和要求。首先,明確了保護類型——重點保護、嚴格保護,即“國家對個人信息和重要數據進行重點保護,對核心數據實行嚴格保護”(第五條第二款)�。其次,細化了保護要求,《條例》通過設立專章(第四章 重要數據安全)對“重點保護”的要求進行了細化分解,對重要數據處理者規定了目錄報備要求、專職機構要求��、備案要求���、培訓要求����、安全評估要求���、轉移審批要求、采購要求等7大類15小項(第二十七條至第三十四條)具體義務規定�����。
三是明確保護方式�。即制定重要數據和核心數據目錄,并進一步明確了目錄制定單位和工作機制�����。“各地區��、各部門...組織制定本地區�、本部門以及相關行業����、領域重要數據和核心數據目錄,并報國家網信部門”(第二十七條)。與《數據安全法》相比,《條例》對數據目錄的制定主體�����、報備部門都做出了進一步明確����。
(二)數據安全風險管理制度
《條例》對數據安全風險管理制度的發展,主要體現在強化評估報告���、明確行業評估監管�����、加強個人信息保護風險監測義務三個方面�����。
一是拓展了《風險評估報告》的相關要求����。首先,擴充了《數據安全法》規定的風險評估報告主體,在原有的“重要數據處理者”之外,增加了“赴境外上市的數據處理者”一類主體��。其次,明確了報告的時間頻次和報告機制要求,規定數據安全風險評估報告每年開展一次,評估模式可自行開展也可委托第三方機構開展,報告接收部門為“設區的市級網信部門”。再次,細化了風險評估報告內容要求,具體要求分為一般評估和重點評估兩類:《條例》第三十二條第一款提出了一般評估報告的8項內容要求;該條第四款明確了對于“數據處理者開展共享、交易、委托處理、向境外提供重要數據的安全評估”還要完成的5項重點評估內容。
二是進一步細化了行業評估監管要求�����。《條例》第五十五條第五款規定“主管部門應當定期組織開展本行業、本領域的數據安全風險評估”,主管部門主要是指第三款的“工業���、電信����、交通���、金融���、自然資源、衛生健康���、教育��、科技等主管部門”;明確了行業數據安全風險評估的對象和目的是“對數據處理者履行數據安全保護義務情況進行監督檢查,指導督促數據處理者及時對存在的風險隱患進行整改”。
三是強化了個人信息保護風險監測義務�����。除了對《數據安全法》風險評估報告��、監管要求的細化,《條例》還從加強個人信息保護的角度,對個人信息處理者規定了數據風險監測的義務。主要包括:在個人信息保護規則中加入個人信息安全風險防護措施(第二十條)����、個人信息轉移處理時的風險提示義務(第二十四條)等。
(三)數據安全應急處置機制
對于數據安全應急,《數據安全法》提出了“國家建立數據安全應急處置機制”的總體要求;《條例》對其的發展延伸,主要體現在對主管部門��、行業管理者�����、數據處理者三方主體,分別明確了數據應急機制、數據應急預案、數據應急處置三個方面的內容完善�����。
一是建立數據安全應急機制��。從主管部門角度,《條例》規定“國家建立健全數據安全應急處置機制”(第五十六條),明確“將數據安全事件納入國家網絡安全事件應急響應機制”中,包括納入到“網絡安全事件應急預案和網絡安全信息共享平臺”�、“國家網絡安全事件應急響應機制”。
二是建立健全行業數據安全應急預案。從行業管理部門角度,《條例》規定“主管部門應當明確本行業�����、本領域數據安全保護工作機構和人員,編制并組織實施本行業、本領域的數據安全規劃和數據安全事件應急預案(五十五條第四款)�����。此規定亦可認為是一種管理授權,即授權行業管理部門組織制定本行業領域的數據安全事件應急預案���。
三是完善數據應急義務體系����。從數據處理者角度,《條例》對數據安全主體責任義務進行了補充完善,主要包括“數據處理者應當建立數據安全應急處置機制”(第十一條)�����、重要數據處理者應“定期組織開展數據安全應急演練等活動”(第二十八條)�。
(四)數據安全審查制度
與《數據安全法》相比,《條例》對于數據安全審查制度的發展,主要體現在明確了適用條件和發起流程,不僅細化了法規要求,也在法律適用上保持了同正在修訂的《網絡安全審查辦法》的銜接一致��。
一是明確了數據安全審查的適用條件����!稐l例》第十三條規定了適用數據安全審查的4種情形,可歸納為“影響或可能影響國家安全的”和“境外國外相關的”兩類���。前者包括“特定平臺運營者實施的合并重組或分立”、“數據處理者赴香港上市”;后者包括“處理一百萬人以上個人信息的數據處理者赴國外上市”����。相比而言,后者要求更為嚴格,只要有該行為發生就應進行數據安全審查申報,而不論其是否對國家安全造成影響或威脅���。
二是明確了數據安全審查的流程。這是對數據安全審查在程序方面要求的完善和延伸,《條例》第十三條規定數據處理者在滿足審查適用條件時“應當按照國家有關規定,申報網絡安全審查”�����?梢,數據安全審查的發起是由數據處理者進行“申報”�。同時,此條所指的“國家有關規定”,應當包括《網絡安全審查辦法》在內,且從其內容看,《條例》與《網絡安全審查辦法(修訂草案征求意見稿)》也保持了一致�。
(五)數據出口管制和反制機制
《條例》界定了“出口管制數據”的內涵。在出口管制和投資貿易歧視措施的反制相關制度方面,《條例》未對《數據安全法》相關規定做過多發展,僅是《條例》在第七十三條中,給出了“出口管制數據”的具體涵義��。即“出口管制數據,出口管制物項涉及的核心技術�、設計方案��、生產工藝等相關的數據,密碼、生物、電子信息�����、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據”�����。
該條款主要對應了《數據安全法》第二十五條“國家對與維護國家安全和利益�����、履行國際義務相關的屬于管制物項的數據依法實施出口管制”之規定����。且從該條款所在位置來看,《條例》將“出口管制數據”明確列為7類“重要數據”其中之一��。同時,此處所指“出口管制物項”,應遵循了《中華人民共和國出口管制法》的有關界定,即:“出口管制物項主要是指(軍民)兩用物項���、軍品、核以及其他與維護國家安全和利益�、履行防擴散等國際義務相關的貨物��、技術�����、服務等物項”��。
(六)數據交易管理制度
《條例》對數據交易管理制度的發展完善,主要體現在進一步明確強調了數據交易機構的準入管理����。
《條例》第七條第二款指出,“國家建立健全數據交易管理制度,明確數據交易機構設立、運行標準”�����。而《數據安全法》對于數據交易管理制度,主要是明確了該制度的立法目的“規范數據交易行為,培育數據交易市場”,并對數據交易中介機構的行為提出了初步規范要求“數據交易中介服務機構應當要求數據提供方說明數據來源,審核交易雙方的身份,并留存審核、交易記錄”����。可見,《條例》對該制度的發展,重在提出了主體準入要求。相信后續國家相關部門會發布專門的管理規定或規范,對數據交易機構的設立條件�、流程和管理機制等提出更加詳細的要求。
(責編:東 華)
手機中網資訊
