数据安全管理制度的六项发展|浅议《网络数据安全管理条例(征求意见稿)》与《数据安全法》之比较(上篇)

来源:全球财经网 时间:2021-12-06 17:02:19

近日,国家互联网信息办公室发布了《网络数据安全管理条例(征求意见稿)》(以下简称《条例》),这是继《数据安全法》生效实施之后,我国正在起草的又一项重要数据安全法规。《条例》作为行政法规,是衔接《数据安全法》和数据安全管理实践的桥梁,其通过对数据安全基本管理制度的一系列发展,强化落实,旨在巩固和提升我国数据安全保护成效。

本文将立足《条例》与《数据安全法》所设立重要制度的比较进行分析:上篇重点分析《条例》对数据安全六项重要制度的发展,下篇重点分析《条例》对数据安全两项重要制度的创新。

一、《条例》对数据安全制度发展的两个特点

对于数据安全保护,《数据安全法》搭建了初步的基本制度框架。这一框架主要涵盖数据分类分级保护制度、数据安全审查制度、数据安全风险管理制度、数据安全应急处置机制、数据出口管制和对等反制机制等6项数据安全保护制度和机制。

总体来看,《条例》作为《数据安全法》的下位行政法规,对于数据安全保护制度的发展主要体现了两个特点:一是对已有制度加以沿袭、细化和完善,如数据分级分类制度、数据安全审查制度等;二是从数据保护需求出发,进行制度探索创新,如数据安全审计制度等。

二、《条例》对数据安全制度的发展延伸

《条例》对《数据安全法》所设立重要制度的发展延伸主要包括六项,逐项分析如下。

(一)数据分类分级保护制度

《条例》对于数据分级分类制度的发展,主要体现在明确数据分级、细化保护类型和要求、明确保护方式三个方面。

一是明文规定了数据的三个分级。即:“将数据分为一般数据、重要数据、核心数据”(《条例》第五条);而《数据安全法》对于数据的分级,并未集中明确界定,只是在相关的条文中提及“重要数据”、“核心数据”,且也没有“一般数据”的表述(涉及到的条文主要是《数据安全法》第二十一条)。《条例》用明文规定的方式确定了数据级别,有助于统一认识,为后续数据分级保护工作的开展奠定理论共识基础。

二是细化了数据分级分类保护的类型和要求。首先,明确了保护类型——重点保护、严格保护,即“国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护”(第五条第二款)。其次,细化了保护要求,《条例》通过设立专章(第四章 重要数据安全)对“重点保护”的要求进行了细化分解,对重要数据处理者规定了目录报备要求、专职机构要求、备案要求、培训要求、安全评估要求、转移审批要求、采购要求等7大类15小项(第二十七条至第三十四条)具体义务规定。

三是明确保护方式。即制定重要数据和核心数据目录,并进一步明确了目录制定单位和工作机制。“各地区、各部门...组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门”(第二十七条)。与《数据安全法》相比,《条例》对数据目录的制定主体、报备部门都做出了进一步明确。

表1.png

(二)数据安全风险管理制度

《条例》对数据安全风险管理制度的发展,主要体现在强化评估报告、明确行业评估监管、加强个人信息保护风险监测义务三个方面。

一是拓展了《风险评估报告》的相关要求。首先,扩充了《数据安全法》规定的风险评估报告主体,在原有的“重要数据处理者”之外,增加了“赴境外上市的数据处理者”一类主体。其次,明确了报告的时间频次和报告机制要求,规定数据安全风险评估报告每年开展一次,评估模式可自行开展也可委托第三方机构开展,报告接收部门为“设区的市级网信部门”。再次,细化了风险评估报告内容要求,具体要求分为一般评估和重点评估两类:《条例》第三十二条第一款提出了一般评估报告的8项内容要求;该条第四款明确了对于“数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估”还要完成的5项重点评估内容。

二是进一步细化了行业评估监管要求。《条例》第五十五条第五款规定“主管部门应当定期组织开展本行业、本领域的数据安全风险评估”,主管部门主要是指第三款的“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门”;明确了行业数据安全风险评估的对象和目的是“对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改”。

三是强化了个人信息保护风险监测义务。除了对《数据安全法》风险评估报告、监管要求的细化,《条例》还从加强个人信息保护的角度,对个人信息处理者规定了数据风险监测的义务。主要包括:在个人信息保护规则中加入个人信息安全风险防护措施(第二十条)、个人信息转移处理时的风险提示义务(第二十四条)等。

表2.png

(三)数据安全应急处置机制

对于数据安全应急,《数据安全法》提出了“国家建立数据安全应急处置机制”的总体要求;《条例》对其的发展延伸,主要体现在对主管部门、行业管理者、数据处理者三方主体,分别明确了数据应急机制、数据应急预案、数据应急处置三个方面的内容完善。

一是建立数据安全应急机制。从主管部门角度,《条例》规定“国家建立健全数据安全应急处置机制”(第五十六条),明确“将数据安全事件纳入国家网络安全事件应急响应机制”中,包括纳入到“网络安全事件应急预案和网络安全信息共享平台”、“国家网络安全事件应急响应机制”。

二是建立健全行业数据安全应急预案。从行业管理部门角度,《条例》规定“主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案(五十五条第四款)。此规定亦可认为是一种管理授权,即授权行业管理部门组织制定本行业领域的数据安全事件应急预案。

三是完善数据应急义务体系。从数据处理者角度,《条例》对数据安全主体责任义务进行了补充完善,主要包括“数据处理者应当建立数据安全应急处置机制”(第十一条)、重要数据处理者应“定期组织开展数据安全应急演练等活动”(第二十八条)。

表3.png

(四)数据安全审查制度

与《数据安全法》相比,《条例》对于数据安全审查制度的发展,主要体现在明确了适用条件和发起流程,不仅细化了法规要求,也在法律适用上保持了同正在修订的《网络安全审查办法》的衔接一致。

一是明确了数据安全审查的适用条件。《条例》第十三条规定了适用数据安全审查的4种情形,可归纳为“影响或可能影响国家安全的”和“境外国外相关的”两类。前者包括“特定平台运营者实施的合并重组或分立”、“数据处理者赴香港上市”;后者包括“处理一百万人以上个人信息的数据处理者赴国外上市”。相比而言,后者要求更为严格,只要有该行为发生就应进行数据安全审查申报,而不论其是否对国家安全造成影响或威胁。

二是明确了数据安全审查的流程。这是对数据安全审查在程序方面要求的完善和延伸,《条例》第十三条规定数据处理者在满足审查适用条件时“应当按照国家有关规定,申报网络安全审查”。可见,数据安全审查的发起是由数据处理者进行“申报”。同时,此条所指的“国家有关规定”,应当包括《网络安全审查办法》在内,且从其内容看,《条例》与《网络安全审查办法(修订草案征求意见稿)》也保持了一致。

表4.png

(五)数据出口管制和反制机制

《条例》界定了“出口管制数据”的内涵。在出口管制和投资贸易歧视措施的反制相关制度方面,《条例》未对《数据安全法》相关规定做过多发展,仅是《条例》在第七十三条中,给出了“出口管制数据”的具体涵义。即“出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据”。

该条款主要对应了《数据安全法》第二十五条“国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制”之规定。且从该条款所在位置来看,《条例》将“出口管制数据”明确列为7类“重要数据”其中之一。同时,此处所指“出口管制物项”,应遵循了《中华人民共和国出口管制法》的有关界定,即:“出口管制物项主要是指(军民)两用物项、军品、核以及其他与维护国家安全和利益、履行防扩散等国际义务相关的货物、技术、服务等物项”。

表5.png

(六)数据交易管理制度

《条例》对数据交易管理制度的发展完善,主要体现在进一步明确强调了数据交易机构的准入管理。

《条例》第七条第二款指出,“国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准”。而《数据安全法》对于数据交易管理制度,主要是明确了该制度的立法目的“规范数据交易行为,培育数据交易市场”,并对数据交易中介机构的行为提出了初步规范要求“数据交易中介服务机构应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录”。可见,《条例》对该制度的发展,重在提出了主体准入要求。相信后续国家相关部门会发布专门的管理规定或规范,对数据交易机构的设立条件、流程和管理机制等提出更加详细的要求。

表6.png

免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。

标签:

相关阅读

推荐阅读

新氧亚太医美行业颁奖盛典,氐珠PN喜获年度体验官十大口碑品牌

新氧亚太医美行业颁奖盛典,氐珠PN喜获年度体验官

2021年第七届新氧亚太医美行业颁奖盛典,在海南三亚亚特兰蒂斯酒店盛大开启。作为医美行业的一员,氐珠PN一直致力推动医美行业的创新发展,更多

2022-01-20 12:04:02
坚持技术创新 聚力人才培养 | 绿盟科技亮相2021网络空间安全人才峰会

坚持技术创新 聚力人才培养 | 绿盟科技亮相202

12月23日,2021网络空间安全人才峰会暨中国网络空间安全人才教育论坛年会在长沙正式召开。会上,绿盟科技与广州大学网络空间先进技术研究院更多

2021-12-30 10:34:09
第十一届电信和互联网行业网络安全年会|绿盟科技深度参与 安全战队战绩颇丰

第十一届电信和互联网行业网络安全年会|绿盟科技

12月10日,第十一届电信和互联网行业网络安全年会在武汉举办。工业和信息化部网络安全管理局局长隋静、湖北省通信管理局局长吴俊、中国国防更多

2021-12-16 16:06:14
再度夺魁|绿盟科技荣获2021年广州市网络安全实战攻防演练第一名

再度夺魁|绿盟科技荣获2021年广州市网络安全实战

12月9日,在由中共广州市委网络安全和信息化委员会办公室组织的2021年广州市网络安全应急演练现场会议上,绿盟科技获颁2021年广州市网络安更多

2021-12-16 15:57:33
数据安全管理制度的两项创新|浅议《网络数据安全管理条例(征求意见稿)》与《数据安全法》之比较(下篇)

数据安全管理制度的两项创新|浅议《网络数据安全

如本文上篇所述,《条例》不仅重视发展,还注重在数据安全重要管理制度上的创新和拓展。本篇将对其创新制度加以简析,并尝试归纳《条例》有待更多

2021-12-06 17:37:30
绿盟科技与武汉德发签署战略合作协议 共同开拓数字安全运营新思路

绿盟科技与武汉德发签署战略合作协议 共同开拓数

2021年11月26日,在武汉市硚口区领导的见证下,绿盟科技与武汉德发签署战略合作协议,成立联合安全运营中心。武汉德发董事长黄进、总裁徐武萍更多

2021-12-06 17:17:37
数据安全管理制度的六项发展|浅议《网络数据安全管理条例(征求意见稿)》与《数据安全法》之比较(上篇)

数据安全管理制度的六项发展|浅议《网络数据安全

近日,国家互联网信息办公室发布了《网络数据安全管理条例(征求意见稿)》(以下简称《条例》),这是继《数据安全法》生效实施之后,我国正在起更多

2021-12-06 17:02:19
拥抱云与移动化时代,SASE护航企业数字化转型

拥抱云与移动化时代,SASE护航企业数字化转型

绿盟科技已推出安全访问服务边缘产品11月23日,由中国计算机学会计算机安全专委会指导,计算机安全专委会创新创业工作组、绿盟科技集团股份有更多

2021-12-06 16:56:59
+ 点击查看更多精彩

精彩放送

春节楼市表现低迷 整体上看2022年春节楼市表现惨淡
    今年春节楼市表现如何?2月7日,中国商报记者走访北京市部分房产中...
房地产调控力度持续加大成效明显 全年楼市“稳”字当头
    2021年,房地产调控力度持续加大。在房住不炒的主基调下,调控政...
北京首个“交房即交证”回迁房项目竣工!推进地区城市化建设跨越式发展
    房子都住了好几年,大红本却还没拿到手,办户口、上学都麻烦,这...
北京共有产权房新版导则对面积标准作出调整 中心城区面积不再“一刀切”
    12月23日,北京市住建委、市规自委联合印发《北京市共有产权住房...
93套房一次性抛售却无法网签? 开发商表示终止销售并启动善后程序
    93套房一次性抛售却无法网签?这两日,一则上海93套房的消息冲上热...
鼓励并购出险房企优质项目 切实推动房地产市场良性循环和健康发展
    12月20日,央行和银保监会联合印发《关于做好重点房地产企业风险...
    最新见闻