发布时间:2021-11-19
作者:秦英、郭寿其
作为《网络数据安全管理条例(征求意见稿)》(“《数安条例》”)的系列解读文章第三篇,本文将重点分析《数安条例》对重要数据安全的规定,结合国家互联网信息办公室( “网信办”)与工业和信息化部( “工信部”)等主管部门此前发布的相关指南、规定及要求等,厘清《数安条例》重要数据安全的新要求、新标准、新举措。
一、《数安条例》明确了重要数据的定义
重要数据的概念,最早出现在2016年11月发布的《中华人民共和国网络安全法》(“《网安法》”)中,《网安法》第二十一条要求对重要数据采取“备份和加密等措施”,但《网安法》并没有明确重要数据的具体内涵。此后,有多部其他规定(大多为征求意见稿)试图对重要数据进行定义,我们初略梳理如下:
《数安条例》第七十三条
(三)重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:
1.未公开的政务数据、工作秘密、情报数据和执法司法数据;
2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;
3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;
4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;
5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;
6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;
7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
当然,《数安条例》的以上定义虽然已经尽量列举了一些相关行业的数据,但是对于活跃在各行各业的具体企业而言,识别重要数据仍然会有较大的不确定性。对此,《数安条例》第二十七条承接了《数安法》第二十一条的规定,要求“各地区、各部门按照国家有关要求和标准……组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门”。因此,我们理解各地区和各行业的重要数据目录很可能在较短时间内陆续制定和颁布。
二、关于个人信息和重要数据的关系
《数安条例》第二十六条规定,数据处理者处理一百万人以上个人信息时应当参照《数安条例》第四章关于重要数据处理者的规定。换言之,《数安条例》要求一百万人以上的个人信息将被视为重要数据进行相应的保护。事实上,这种做法并非《数安条例》首创。《汽车数据规定》第三条规定,涉及个人信息主体超过10万人的个人信息属于重要数据。
因此,处理大量个人信息的企业对其所持有的个人信息的保护除了关注个人信息保护相关的规定,还需要关注特定两级以上个人信息构成重要数据时的额外义务。
三、《数安条例》对重要数据的保护措施要求
(1) 重要数据的安全保护措施
《数安条例》第九条规定数据处理者处理一般数据的要求,即“采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性”也应当同样适用于重要数据的保护。此外,数据处理者在处理重要数据时,还应当采取下列数据保障措施:
使用密码对重要数据进行保护;
重要数据的处理系统原则上应满足三级以上网络安全等级保护和关键信息基础设施安全保护要求。
(2) 共享、交易、委托处理重要数据的要求
《数安条例》第十二条规定进一步明确了重要数据的共享、交易、委托处理,所涉及的各方主体应当履行如下义务:
|
主体 |
要求 |
|
数据处理者 |
|
|
|
|
|
|
数据接收方 |
|
(3) 对核心数据的保护要求
首先,与重要数据相比,核心数据是影响更为重大的一类数据。对于核心数据的定义,《数安条例》沿用了《数安法》的规定,即核心数据是指关系国家安全、国民经济命脉、重要民生、重大公共利益等数据。
其次,除核心数据的定义之外,《数安条例》同样要求各地区、各部门制定本地区或者本行业的核心数据目录,并报国家网信部门。因此,企业要精准识别其处理的核心数据并对其进行相应的保护,还需要等待相关部门制定的核心数据目录提供更多的指引。
最后,在识别核心数据之后,《数安条例》第九条规定对于核心数据的保护要求,包括使用密码对核心数据进行保护,以及依照其他有关核心数据保护的相关规定从严保护。
四、《数安条例》对企业人员和组织结构提出具体要求
(1) 人员要求
对于企业数据合规的人员要求,《数安法》第二十七条[1]明确规定重要数据的处理者应当明确数据安全负责人和管理机构,以落实数据安全保护责任。然而,对于企业数据安全负责人这一角色的具体要求,《数安法》并没有明确。对此,《数据安全管理办法(征求意见稿)》(“《数安办法》”)和《数安条例》均有所涉及,具体规定如下:
(2) 对企业组织机构的要求
《数安条例》第二十八条规定,重要数据的处理者应成立数据安全管理机构。数据安全管理机构由数据安全负责人带领,履行如下职责:
实践中,企业的数据安全负责人以及数据安全管理机构是否应当是单独设立的职位和部门,还是可以由其他职能部门兼任目前并没有明确的规定。我们倾向于认为,在满足相关任职要求和履行相关职责的前提下,从企业运营成本等角度考虑,该等职位和管理机构可以不是单独设立的职位或机构。
五、《数安条例》明确了重要数据处理者的义务以及法律责任
《数安条例》明确了重要数据处理者的法定义务:
|
义务内容 |
具体要求 |
立方解读 |
|
备案(第二十九条) |
在识别重要数据后的十五个工作日内向设区的市级网信部门备案,备案内容包括: (一)数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等; (二)处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身; (三)国家网信部门和主管、监管部门规定的其他备案内容。 |
该条对于数据处理的备案时间、主管部门、备案内容等做出了详细的规定,可落地性更强。 |
|
培训(第三十条) |
应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。 |
对于企业的培训频率、培训对象以及特定对象的培训时长均做出了明确要求 |
|
优先采购(第三十一条) |
应当优先采购安全可信的网络产品和服务。 |
应在内部建立采购流程及制度,避免采购的网络产品和服务造成相应安全风险。 |
|
安全评估(第三十二条) |
应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。 |
对于评估频率、日期、和报告部门等均做出了明确要求 |
|
流转报批(第三十三条) |
数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。 |
进一步规制数据处理者共享、交易、委托处理重要数据的行为,企业可以在共享、交易、委托处理前进行内部风险评估。相关批准流程仍有待进一步明确。 |
|
合并、重组、分立时的报告义务(第十四条) |
数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。 |
对于企业在发生合并、重组、分立时的报告义务,包括报告的部门做出的规定,在主管部门不明确时,向市级网信部门报告。 |
结语
关于重要数据的保护,是一个非常庞杂的话题。有很多内容没有办法在本篇文章一一讨论,例如,《数安条例》细化重要数据处理者的安全评估义务和要求,包括每年1月31日之前必须完成的年度定期评估,以及在共享、交易、委托处理、向境外提供重要数据等特殊场景的评估,这些都是值得进一步讨论的问题,我们将在以后的文章中再详细论述。
注释
[1] 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
作者简介:
特别声明
本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。
《数安办法》
《数安条例
《数安办法》
《数安
Copyright © 2020 立方律师 京ICP备09037220号-1 京公网安备11010102000452号 
