数安条例百问 2:关于《条例》的结构
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
网络数据安全管理条例
第一章 总则
第二章 一般规定
第三章 个人信息保护
第四章 重要数据安全
第五章 数据跨境安全管理
第六章 互联网平台运营者义务
第七章 监督管理
第八章 法律责任
第九章 附则
解读
《条例》共九章七十五条,同时涵盖了数据安全和个人信息保护问题,结构作了精心设计。整部《条例》中,倡导性条款很少,重在对上位法的制度设计进行落地,并创设新的制度。
一、关于第一章“总则”
第一章明确了制定《条例》的目的依据,规定了《条例》适用范围。并指出,自然人因个人或者家庭事务开展数据处理活动,不适用《条例》,以便豁免数据出境等某些场景下的义务。根据“附则”中的定义,非电子化数据的处理活动也不适用《条例》。
此外,总则中还明确了数据分类分级保护制度,将数据分为一般数据、重要数据和核心数据三级,规定各地区、各部门对本地区、本部门以及相关行业、领域的数据进行分类分级管理。“附则”部分给出了重要数据和核心数据的定义。第四章“重要数据安全”则要求各地区、各部门组织制定重要数据和核心数据目录,这一要求也是数据分类分级保护制度的内容。
为了强调以安全保发展,总则中还专设条款,明确了促进数据开发利用的原则性要求。但其并非简单的宣示性条款,而是对《数据安全法》提出的数据交易管理制度作了细化。
二、关于第二章“一般规定”
第二章明确了个人和组织的行为禁则、数据处理者的一般安全义务、应急处置义务、向第三方提供个人信息和对外提供重要数据的安全要求、与数据有关的网络安全审查制度、国家机关的数据安全保护责任、自动化收集数据安全要求等,并规定从其他途径获取的数据也适用《条例》规定的数据安全保护义务。
为与《数据安全法》第二十七条衔接,落实“在网络安全等级保护制度的基础上”要求,本章规定,处理重要数据的系统应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,核心数据则从严保护。还要求数据处理者应当使用密码对重要数据和核心数据进行保护。
三、关于第三章“个人信息保护”
第三章在《个人信息保护法》基础上,对个人信息处理规则提出了进一步要求。主要对“合法、正当、必要”作了阐释,对制定个人信息处理规则作了具体要求,细化了征得个人同意的要求,明确了删除个人信息要求,规定了个人信息处理者应当对个人行权提供支持,提出了应当支持对外转移个人信息的条件(即明确了《个人信息保护法》提出的“国家网信部门规定条件”),还对生物特征应用提出了要求。
考虑到一百万人以上个人信息可能产生较大影响,拥有此类数据的机构应当承担更多的保护义务,故本章规定,处理一百万人以上个人信息的,还应当遵守《条例》对重要数据处理者作出的规定。
四、关于第四章“重要数据安全”
第四章主要对重要数据安全管理制度作了规定,包括重要数据处理者明确数据安全负责人、成立数据安全管理机构、向网信部门备案、实施全员教育培训、采购安全可信的产品和服务、年度评估报告、对外提供数据的安全评估等。
考虑到越来越多的重要数据处理者在使用云计算服务,《条例》还对国家机关和关键信息基础设施运营者使用云计算服务提出了要求。这项工作已开展多年,此次是将其上升为法规的规定,并将云计算安全评估在国家机关和关键信息基础设施范围内改为强制实施。
五、关于第五章“数据跨境安全管理”
第五章在《网络安全法》《数据安全法》和《个人信息保护法》基础上,对数据跨境流动规则进行了完善,较完整地建立了数据出境安全管理制度。包括个人信息出境前同意、数据出境安全评估、数据出境安全管理义务、数据出境情况报告等。
考虑到数据出境可能影响国家安全,本章还提出建立数据跨境安全监管机制,包括建立数据跨境安全网关,以及要求数据处理者建立健全相关技术和管理措施。
六、关于第六章“互联网平台运营者义务”
第六章主要规定了互联网平台运营者应当履行的数据安全相关义务,包括披露数据相关的平台规则、隐私政策和算法策略,履行第三方安全管理义务,即时通信服务商设立个人通信和非个人通信选项,不得利用数据以及平台规则实施不正当竞争或限制,履行平台上应用程序分发管理义务,平台间通信的数据互通,履行个性化推荐安全义务,优先使用国家网络身份认证公共服务基础设施,开展年度合规审计等。
本章还对特定公共数据的应用作出了限制性要求,并针对一些部门越来越多地调取公共数据的情况,提出了规范性要求。
需要指出,互联网平台治理涉及到很多方面的问题,各国也都在从不同角度进行探索。《条例》聚集于互联网平台治理领域影响数据安全或与数据收集、使用有关的问题。
七、关于第七章“监督管理”
第七章主要对数据安全监督管理相关事项作了规定,包括数据安全统筹协调职责、数据安全监管职责、数据安全应急处置机制、监督检查、数据安全审计、行业自律和社会监督等。
其中,关于数据安全审计的条款使《个人信息保护法》中的合规审计要求得以落地实施,但《条例》还另外对重要数据的处理提出了审计要求。区别是,个人信息处理者应当委托数据安全审计专业机构进行审计,但重要数据的处理要由主管、监管部门组织开展审计。
八、关于第八章“法律责任”
第八章对违反《条例》的法律责任作了规定。鉴于《条例》多数内容是执行上位法的规定和细化有关要求,故本章与上位法中的“法律责任”保持一致。
九、关于第九章“附则”
第九章对《条例》中的十二个术语作了定义,包括网络数据、数据处理活动、重要数据、核心数据、数据处理者、公共数据、委托处理、单独同意、互联网平台运营者、大型互联网平台运营者、数据跨境安全网关、公共信息等。此外,该章还规定,涉及国家秘密信息、核心数据、密码使用的数据处理活动,按照国家有关规定执行。关于国家秘密信息保护和密码使用,我国已有《保守国家秘密法》和《密码法》,核心数据的保护则由另外的文件专门规定。
相关文章:
数安条例百问15、16、17、18、19:关于数据处理者安全保护义务
