關于《網絡數據安全管理條例（征求意見稿）》的10條精簡歸納

背景

2020年3月30日，中共中央、國務院首次公布關于要素市場化配置的文件——《關于構建更加完善的要素市場化配置體制機制的意見》（以下簡稱《意見》），指出土地、勞動力、資本、技術、數據五大生產要素的改革方向和相關體制機制的建設要求，要求如下：

（二十）推進政府數據開放共享

（二十一）提升社會數據資源價值

（二十二）加強數據資源整合和安全保護

2021年3月11日，《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》第五篇提出加快數字化發展，建設數字中國，要求如下：

第十五章　打造數字經濟新優勢

第十六章　加快數字社會建設步伐

第十七章　提高數字政府建設水平

第十八章　營造良好數字生態

一邊是數字經濟的蓬勃發展，一邊是數據安全事件的愈演愈烈，為保障數字經濟發展成果，落實《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律關于數據安全管理的規定，規范網絡數據處理活動，保護個人、組織在網絡空間的合法權益，維護國家安全和公共利益，國家互聯網信息辦公室在2021年11月14日發布了《網絡數據安全管理條例（征求意見稿）》。

解讀

《網絡數據安全管理條例（征求意見稿）》共九章七十五條。如下：

條例圍繞三法開展 工作，對三法落地操作做了更明確的細化，目的是發展和安全并重，加強數據安全防護能力建設，保障數據依法有序自由流動，促進數據依法合理有效利用。解讀如下：

1、條例明確了采用分類分級保護制度，將數據分為一般數據、重要數據、核心數據，不同級別的數據采取不同的保護措施。對個人信息和重要數據進行重點保護，對核心數據實行嚴格保護。一百萬以上的個人信息按重要數據級別保護，并定義了重要數據范疇。

2、條例強調整體安全，數據安全離不開網絡安全，網絡安全也伴生數據安全；應當按照網絡安全等級保護的要求，加強整體安全防護，處理重要數據的系統原則上應當滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求，處理核心數據的系統依照有關規定從嚴保護

3、條例明確了哪些活動需要申報網絡安全審查，并明確了在數據安全監督檢查中獲取的信息只能用于維護數據安全的需要，不得用于其他用途。

4、條例明確了跨境提供數據的條件，數據出境安全評估的情形，數據處理者向境外提供數據應當履行的義務。

5、條例明確了重要數據處理者、赴境外上市的數據處理者、向境外提供個人信息和重要數據的數據處理者，應當每年開展一次數據安全評估，并在每年1月31日前向設區的市級網信部門報告上一年度數據安全評估報告。國家機關和關鍵信息基礎設施運營者采購的云計算服務，應當通過國家網信部門會同國務院有關部門組織的安全評估。

6、條例對互聯網平臺運營者提出了具體規范，強調了互聯網平臺是第一責任人，并支持即時通信服務跨平臺的互聯互通。要求委托第三方審計方式，每年對平臺數據安全情況、平臺規則和自身承諾的執行情況、個人信息保護情況、數據開發利用情況等進行年度審計，并披露審計結果。明確了大型互聯網平臺運營者在境外設立總部或者運營中心、研發中心，應當向國家網信部門和主管部門報告。

7、條例強調建立數據安全審計制度。數據處理者應當委托數據安全審計專業機構定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。主管、監管部門組織開展對重要數據處理活動的審計，重點審計數據處理者履行法律、行政法規規定的義務等情況。

8、條例明確數據處理者應當采取備份、加密、訪問控制等必要措施，應對數據安全事件。

9、條例要求數據安全負責人應當具備安全專業知識和相關管理工作經歷。

10、條例對重要數據首提備案制度，重要數據的處理者應當在識別其重要數據后的十五個工作日內向設區的市級網信部門備案。對共享、交易、委托處理重要數據的，應當征得主管部門同意，主管部門不明確的，應當征得網信部門同意。

建議

數據安全是一個復雜的體系工程，涉及的不單是數據自身，終端安全、網絡安全、應用安全等都會導致數據安全問題，所以數據安全建設要從體系化、科學的視角看，分批、分層次解決數據安全問題。建議用戶選擇數據安全解決方案時要考慮：數據安全解決方案商是否具備頂層規劃能力、中間產品全覆蓋能力、基層安全運營能力及可持續性服務能力，這都將影響到數據安全建設的效果。