返回研究

《网络数据安全管理条例(征求意见稿)》系列解读之一

  发布时间:2021-11-16

作者:秦英、肖莆羚令

2021年11月14日,国家互联网信息办公室(以下简称“网信办”)发布《网络数据安全管理条例(征求意见稿)》(以下简称《数安条例》),迅速引起社会各界的广泛关注。2021年见证了网络安全和数据合规产业的大爆发。《数据安全法》和《个人信息保护法》先后生效,我国网络安全与数据保护的顶层设计正式形成。同样,各部门、各机构也纷纷出台了规范、指南和要求等,其中不乏《关键信息基础设施安全保护条例》《汽车数据安全管理若干规定(征求意见稿)》等重要部门规章。

在《个人信息保护法》生效之日仅13天后发布的《数安条例》,是我国第一部明确规定以《网络安全法》、《数据安全法》《个人信息保护法》三部基本法共同作为其上位法的行政规章,也被视为三大基本法的实施细则。立方网络安全与数据合规团队特推出系列解析文章,深度解读《数安条例》,以期为企业就网络安全与数据合规工程的落地实施提供一些思路。

一、《数安条例》简述

《数安条例》由网信办制定颁布。作为背景介绍,网信办成立于2011年,与中央网络安全和信息化委员会办公室是一个机构两块牌子,属中共中央直属机构。近年来,网信办与工信部作为国家网络安全和数据合规最重要的两大部门,出台了大量的部门规章和规范性文件。而《数安条例》作为被纳入国务院2021年度立法工作计划的法律文件,其重要性不言而喻。

《数安条例》包括总则(第1-7条)、一般规定(第8-18条)、个人信息保护(第19-26条)、重要数据安全(第27-34条)、数据跨境安全管理(第35-42条)、互联网平台运营者义务(第43-54条)、监督管理(第55-59条)、法律责任(60-72条)、附则(73-75条)九个章节,内容覆盖三大基本法的重要制度和热点问题,包括国家核心数据保护、个人信息保护、安全保障措施具体要求、数据转移权、互联网平台运营者识别与义务等。立方系列文章将结合三大基本法以及其他规范性文件,针对《数安条例》的重点和亮点加以解析。

二、三大基本法的衔接和融合

自2017年《网络安全法》生效至2021年《数据安全法》和《个人信息保护法》正式通过,三大基本法的制定和实施历时至少5年。与其他法域动辄经历数十年的立法进程相比,我国网络安全与数据保护体系的建立不可谓不快。但同时,由于市场发展、社会观念以及立法技术的变动,三大基本法及其下位法也时常出现衔接困难的窘境。例如,2019年的《数据安全管理办法(征求意见稿)》[1]以《网络安全法》为上位法;2017年生效的《网络安全法》和2021年生效的《数据安全法》分别对重要数据提出不同的保护要求等。

《数安条例》作为第一部明确以三大基本法为上位法的法规,充分吸纳了三大法各自的亮点和重点,并在落地层面融会贯通,相互融合具体制度,一定程度上有利于三大法的衔接。例如,《数安条例》第九条规定数据处理者应当采取必要措施维护数据的“完整性、保密性和可用性”。这一说法源自《网络安全法》第七十六条对网络安全的定义[2],后作为信息安全基本要素被《电子商务法》《关键信息基础设施保护条例》《信息安全技术 重要数据识别指南》所吸纳。然而,作为数据安全领域的基石,《数据安全法》却并没有提出同样或近似的概念,不免令人对其适用对象产生疑惑。而《数安条例》第九条则起到了一个桥梁作用,妥善地将“完整性、保密性和可用性”与数据安全衔接起来。

第九条 数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。

数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。

数据处理者应当使用密码对重要数据和核心数据进行保护。

三、三大基本法的补充和细化

《数安条例》主要针对三部上位法的重点监管内容加以明确和细化,为网络安全与数据合规法律义务的落地实施搭建阶梯,同时也充分反映出网络安全与数据保护领域的执法重点。值得一提的是,《数安条例》不仅是对三大基本法的释义,也是对它们的查漏补缺,个别条款甚至是对原有法规的突破。

例如,关于数据安全事件发生时的报告义务,《数安条例》第十一条[3]在《数据安全法》第二十九条[4]的基础上进一步明确了报告时间限制和报告对象部门,有利于报告制度的落地。

再例如,《数安条例》第二条关于该条例适用范围的规定则是弥补了此前《个人信息保护法》的漏洞。如下表所示,《个人信息保护法》中关于境外处理活动对该法的适用情形(一)限定为“以向境内自然人提供产品或者服务为目的”的情形,无形中排除了以向机构、公司提供产品或服务为目的而收集个人信息的情形,增加企业合规的不确定性[5]。而《数安条例》则是对这一款的补漏,从立法形式上扩大了个人信息保护的范围。

《数安条例》

《数据安全法》

《个人信息保护法》

第二条 在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。

在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例:

(一)以向境内提供产品或者服务为目的;

(二)分析、评估境内个人、组织的行为;

(三)涉及境内重要数据处理;

(四)法律、行政法规规定的其他情形。

自然人因个人或者家庭事务开展数据处理活动,不适用本条例。

第二条 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。

第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:

(一)以向境内自然人提供产品或者服务为目的;

(二)分析、评估境内自然人的行为;

(三)法律、行政法规规定的其他情形。

 

第七十二条 自然人因个人或者家庭事务处理个人信息的,不适用本法。

此外,《数安条例》引用三大基本法多个重要概念的同时,引入了不少新的概念和表述,企业在解读和适用《数安条例》具体规定时可能产生一定的困难。关于这一点我们将在此后系列文章中详细讨论,也期待未来正式生效的版本会对这些问题进行修正或进一步说明。

注释:

[1] 该法至今没有正式实施。

[2] 网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。

[3]第十一条 数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。

发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

[4] 第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

[5] 笔者认为,实践中执法机构仍可通过扩大解释《个人信息保护法》第三条第二款(二)“分析、评估境内自然人的行为”将这一情形包含在内,但这无疑会损害法律的权威。

作者简介:

特别声明

本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。

Copyright © 2020 立方律师     京ICP备09037220号-1      京公网安备11010102000452号