11 月 14 日,网信办发布《网络数据安全管理条例(征求意见稿)》(以下简称《征求意见稿》),征求意见稿明确提出,国家将建立数据分类分级保护制度,并首次明确数据处理者责任、数据安全建设标准等要求。
目前,《网络安全法》、《数据安全法》、《个人信息保护法》 等法律均已生效,《征求意见稿》 的出台是对我国数据安全管理做出的具体措施和手段,具有很强的可操作性。
此次意见稿是对《数据安全法》进行具体化补充。此前《数据安全法》制定数据分级分类管理是数据管理的基本制度,《征求意见稿》指出“国家将建立数据分级保护制度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措。”“国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。”
我们认为,分级制度的难点在于对数据分级的认定,核心数据相对较为容易识别,但如何对重要数据进行识别将是未来关注的重点,后续识别难题需要解决。
《征求意见稿》对数据处理者安全审查的标准更为严格, 明确指出“数据处理者赴香港上市,影响或者可能影响国家安全的”需要申报网络安全审查。
《征求意见稿》对数据处理者和数据接收者的义务进行明确规定。数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据需向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外;与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督。
数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。
从《征求意见稿》的内容上看,明确了数据处理者在数据安全保护管理中的主体责任,要求数据处理者使用数据安全产品和服务,来应对数据安全事件。征求意见稿》提出数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。
此外,《征求意见稿》还要求互联网运营平台支持不同即时通信服务之间用户数据互通,并对接入其平台的第三方产品和服务承担数据安全管理责任。对于大型互联网平台运营者,还需每年委托第三方机构进行数据安全审计, 为安全服务领域带来新兴增量市场
目前,我国网络安全体系正在有序建设中,《征求意见稿》的发布,将进一步推动我国网络安全体系的完善,对数据这一新生产要素产生重大意义。
