數安條例百問 2:關于《條例》的結構
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
網絡數據安全管理條例
第一章 總則
第二章 一般規定
第三章 個人信息保護
第四章 重要數據安全
第五章 數據跨境安全管理
第六章 互聯網平臺運營者義務
第七章 監督管理
第八章 法律責任
第九章 附則
解讀
《條例》共九章七十五條,同時涵蓋了數據安全和個人信息保護問題,結構作了精心設計。整部《條例》中,倡導性條款很少,重在對上位法的制度設計進行落地,并創設新的制度。
一、關于第一章“總則”
第一章明確了制定《條例》的目的依據,規定了《條例》適用范圍。并指出,自然人因個人或者家庭事務開展數據處理活動,不適用《條例》,以便豁免數據出境等某些場景下的義務。根據“附則”中的定義,非電子化數據的處理活動也不適用《條例》。
此外,總則中還明確了數據分類分級保護制度,將數據分為一般數據、重要數據和核心數據三級,規定各地區、各部門對本地區、本部門以及相關行業、領域的數據進行分類分級管理。“附則”部分給出了重要數據和核心數據的定義。第四章“重要數據安全”則要求各地區、各部門組織制定重要數據和核心數據目錄,這一要求也是數據分類分級保護制度的內容。
為了強調以安全保發展,總則中還專設條款,明確了促進數據開發利用的原則性要求。但其并非簡單的宣示性條款,而是對《數據安全法》提出的數據交易管理制度作了細化。
二、關于第二章“一般規定”
第二章明確了個人和組織的行為禁則、數據處理者的一般安全義務、應急處置義務、向第三方提供個人信息和對外提供重要數據的安全要求、與數據有關的網絡安全審查制度、國家機關的數據安全保護責任、自動化收集數據安全要求等,并規定從其他途徑獲取的數據也適用《條例》規定的數據安全保護義務。
為與《數據安全法》第二十七條銜接,落實“在網絡安全等級保護制度的基礎上”要求,本章規定,處理重要數據的系統應當滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求,核心數據則從嚴保護。還要求數據處理者應當使用密碼對重要數據和核心數據進行保護。
三、關于第三章“個人信息保護”
第三章在《個人信息保護法》基礎上,對個人信息處理規則提出了進一步要求。主要對“合法、正當、必要”作了闡釋,對制定個人信息處理規則作了具體要求,細化了征得個人同意的要求,明確了刪除個人信息要求,規定了個人信息處理者應當對個人行權提供支持,提出了應當支持對外轉移個人信息的條件(即明確了《個人信息保護法》提出的“國家網信部門規定條件”),還對生物特征應用提出了要求。
考慮到一百萬人以上個人信息可能產生較大影響,擁有此類數據的機構應當承擔更多的保護義務,故本章規定,處理一百萬人以上個人信息的,還應當遵守《條例》對重要數據處理者作出的規定。
四、關于第四章“重要數據安全”
第四章主要對重要數據安全管理制度作了規定,包括重要數據處理者明確數據安全負責人、成立數據安全管理機構、向網信部門備案、實施全員教育培訓、采購安全可信的產品和服務、年度評估報告、對外提供數據的安全評估等。
考慮到越來越多的重要數據處理者在使用云計算服務,《條例》還對國家機關和關鍵信息基礎設施運營者使用云計算服務提出了要求。這項工作已開展多年,此次是將其上升為法規的規定,并將云計算安全評估在國家機關和關鍵信息基礎設施范圍內改為強制實施。
五、關于第五章“數據跨境安全管理”
第五章在《網絡安全法》《數據安全法》和《個人信息保護法》基礎上,對數據跨境流動規則進行了完善,較完整地建立了數據出境安全管理制度。包括個人信息出境前同意、數據出境安全評估、數據出境安全管理義務、數據出境情況報告等。
考慮到數據出境可能影響國家安全,本章還提出建立數據跨境安全監管機制,包括建立數據跨境安全網關,以及要求數據處理者建立健全相關技術和管理措施。
六、關于第六章“互聯網平臺運營者義務”
第六章主要規定了互聯網平臺運營者應當履行的數據安全相關義務,包括披露數據相關的平臺規則、隱私政策和算法策略,履行第三方安全管理義務,即時通信服務商設立個人通信和非個人通信選項,不得利用數據以及平臺規則實施不正當競爭或限制,履行平臺上應用程序分發管理義務,平臺間通信的數據互通,履行個性化推薦安全義務,優先使用國家網絡身份認證公共服務基礎設施,開展年度合規審計等。
本章還對特定公共數據的應用作出了限制性要求,并針對一些部門越來越多地調取公共數據的情況,提出了規范性要求。
需要指出,互聯網平臺治理涉及到很多方面的問題,各國也都在從不同角度進行探索。《條例》聚集于互聯網平臺治理領域影響數據安全或與數據收集、使用有關的問題。
七、關于第七章“監督管理”
第七章主要對數據安全監督管理相關事項作了規定,包括數據安全統籌協調職責、數據安全監管職責、數據安全應急處置機制、監督檢查、數據安全審計、行業自律和社會監督等。
其中,關于數據安全審計的條款使《個人信息保護法》中的合規審計要求得以落地實施,但《條例》還另外對重要數據的處理提出了審計要求。區別是,個人信息處理者應當委托數據安全審計專業機構進行審計,但重要數據的處理要由主管、監管部門組織開展審計。
八、關于第八章“法律責任”
第八章對違反《條例》的法律責任作了規定。鑒于《條例》多數內容是執行上位法的規定和細化有關要求,故本章與上位法中的“法律責任”保持一致。
九、關于第九章“附則”
第九章對《條例》中的十二個術語作了定義,包括網絡數據、數據處理活動、重要數據、核心數據、數據處理者、公共數據、委托處理、單獨同意、互聯網平臺運營者、大型互聯網平臺運營者、數據跨境安全網關、公共信息等。此外,該章還規定,涉及國家秘密信息、核心數據、密碼使用的數據處理活動,按照國家有關規定執行。關于國家秘密信息保護和密碼使用,我國已有《保守國家秘密法》和《密碼法》,核心數據的保護則由另外的文件專門規定。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
