服务热线

020-38921330

手机站
新闻中心行业新闻 技术交流
首页 > 新闻资讯 > 行业新闻

《网络数据安全管理条例(征求意见稿)》出台背景和亮点解读

2021-11-25 0:00:00浏览量:1328编辑:管理员来源:天畅

新冠肺炎疫情的全球大流行不仅深刻影响了世界政治经济格局的发展演进,而且加速改变了人们的生产生活方式和思维方式。从疫情监测、病毒溯源、行程跟踪到物资调配、医疗救治、疫苗研发,再到政府决策、产业转型、政务服务,随处可见台前幕后的大数据力量。以大数据、人工智能为代表的数字技术加快与实体经济深度融合,正在成为化危为机、开创新局的强大新动能。但是,大数据同样是把“双刃剑”,一方面益处多多,另一方面也会诱发风险。诸如隐私保护、数据垄断、数据安全、算法监管等方面的挑战。解决这些问题,既迫在眉睫,又关乎长远大局。

 征求意见稿-1.jpg



2020年3月30日,中共中央、国务院首次公布关于要素市场化配置的文件——《关于构建更加完善的要素市场化配置体制机制的意见》(以下简称《意见》),指出土地、劳动力、资本、技术、数据五大生产要素的改革方向和相关体制机制的建设要求,要求如下:

(二十)推进政府数据开放共享

(二十一)提升社会数据资源价值

(二十二)加强数据资源整合和安全保护


2021年3月11日,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》第五篇提出加快数字化发展,建设数字中国,要求如下:

第十五章 打造数字经济新优势

第十六章 加快数字社会建设步伐

第十七章 提高数字政府建设水平

第十八章 营造良好数字生态



一边是数字经济的蓬勃发展,一边是数字安全事件的愈演愈烈。为保障数字经济发展成果,落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,国家互联网信息办公室在2021年11月14日发布了《网络数据安全管理条例(征求意见稿)》。



《条例》一共9章,75个条款,涵盖了对于网络数据安全保护相关的一系列内容,在《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》(以下简称《网安法》、《数安法》、《个保法》)构建的体系下,做了更具体的落地规定。《条例》作为行政法规,在实施细则、责任界定、规范要求、惩罚措施等方面进行了明确、细化和补充,进一步增强了数据安全法律法规体系的完备性和可操作性,为广大政企机构、互联网平台等数据处理者或运营方提供了网络数据安全管理的合规路径。

亮点一:数据分类分级是关键

征求意见稿中提及“建立数据分类分级保护制度”,这其实也是《数安法》的亮点之一。将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。对个人信息和重要数据进行重点保护,对核心数据实行严格保护。一百万以上的个人信息按重要数据级别保护,并定义了重要数据范畴。



亮点二:处理安全事件时效性更严格

针对发生数据安全事件,对个人、组织造成危害的情形,《条例》强调通知的即时性和有效性,拟定的3个工作日和8小时更具有可执行性。《条例》第11条明确要求数据处理者应在3个工作日内将安全事件和风险情况、危害后果、已采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人。只有在无法通知的情形,方可采用公告方式进行告知。若发生重要数据或者10万人以上个人信息泄露、毁损、丢失等安全事件,数据处理者还需要在发生安全事件的8小时内向相关部门报告事件基本信息;并在事件处置完毕后5个工作日内向相关部门报告事件相关的调查评估报告。这一项要求将促使数据处理者在发现或发生安全事件时更具行动力。



亮点三:明确单独同意的操作方式

《条例》在其第九章“附则”部分提供了相应定义,明确“单独同意”是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,且不包括一次性针对多项个人信息、多种处理活动的同意。基于此,数据处理者在相关法律法规要求取得个人单独同意的情形时不得再将之囊括在先前的概括性授权条款之中。

此外,本次《条例》第21条明文规定,当对于个人信息主体的同意行为有效性产生争议时,数据处理者承担举证责任,这就意味着数据处理者需要设置更加清晰明了的机制和告知同意取得相关同意,在发生争议时,数据处理者需要“自证清白”。



亮点四:不得将人脸、指纹作为唯一认证方式

《条例》第二十五条拟规定,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其生物特征信息。这意味着日后所有互联网产品及线下产品都应提供人脸等生物特征认证以外的其他认证方法。

如此一来,作为普通用户,可以要求对方干什么、不能干什么,可以对哪些行为说不,在法规上都有据可查,非常具体。保护公民个人信息,个人是重要主体,当个人权益受到粗暴对待乃至严重侵害时,要敢于维权,别当“沉默的大多数”。


亮点五:重要数据及处理100万人以上个人信息安全

针对重要数据及处理100万人以上个人信息的数据处理者,本次《条例》明确要求其数据安全负责人应当具备数据安全专业知识和相关管理工作经历,并应当由其决策层成员承担,保证其有权直接向相关部门反映数据安全情况。针对重要数据的备案,《条例》亦明确了在识别其重要数据后15个工作日内向设区的市级网信部门备案。同时,相关数据处理者还应保证其数据安全相关的技术和管理人员每年有不少于20个小时的教育培训时间。

针对处理重要数据的数据处理者每年应开展的数据安全评估义务,《条例》细化该项义务的具体履行时间、年度评估报告和重点评估内容,要求数据处理者在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,且该份报告应保存至少三年。



亮点六:数据跨境安全管理相关细化规定

针对《个保法》第40条中关于应当通过国家网信部门组织的数据出境安全评估“处理个人信息达到国家网信部门规定数量”的个人信息处理者,《条例》明确该数量为100万人以上。除此之外,出境数据中包含重要数据的、关键信息基础设施运营者向境外提供个人信息的,也应当通过国家网信部门组织的数据出境安全评估。

对于向境外提供个人信息和重要数据的数据处理者,也应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度数据的出境情况,如数据接收方名称、联系方式、境外存储情况、用户投诉及处理情况等。

针对数据的跨境情形,《条例》亦明文要求数据出境日志记录和数据出境审批记录应留存3年以上。


征求意见稿-9.jpg


亮点七:互联网平台运营者的特别义务

本次《条例》明确规定了互联网平台运营者不仅应当建立和披露与数据相关的平台规则和隐私政策和算法策略,保证公平公正。若相关平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于30个工作日,并说明对公众意见采纳和未采纳的情况。这是先前未有的规定,且征求意见的期限明显长于我们常见的天数(通常为30日,但本次为工作日)。该规定为互联网平台运营者设定了一项接受社会监督的具体的法定义务。对于日活用户超过一亿的大型互联网平台运营者,《条例》还规定应当经第三方机构评估,并报相关部门同意。这个新的要求使得负载大量用户的大型互联网平台在出现规则与策略变动时,需要通过更加严格的审核与监督。



 


亮点八:“大数据杀熟”、“低价策略”等热点问题得到回应

值得注意的是,征求意见稿第四十六条回应了“大数据杀熟”、低价策略等热点问题,意在规制平台运营者滥用数据实施不正当竞争或不合理限制的行为。


数字经济引领信息时代社会的高质量发展,显示出巨大的经济价值和社会效益。全球数据呈爆发式增长,数字资源如同“新石油”,正在成为各国经济发展和产业革新的动力。可以预见,《征求意见稿》落地之后,将对企业整体的数据保护合规义务造成重要的影响,也将改变我国当前严峻的信息数据治理生态。








上一篇:天畅信息荣获“广东省计算机学会第十二届理事会会员单位”

下一篇:你了解国密算法吗?SM9密钥协商协议纳入国际标准ISOIEC,..

快分享给好友吧!0