2021年11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》(以下简称《条例》),面向社会公开征求意见。《条例》旨在落实三大上位法关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。

《网络安全法》《数据安全法》和《个人信息保护法》,共同构成与数据安全紧密相关的三大上位法。 《条例》作为行政法规,在实施细则、责任界定、规范要求、惩罚措施等方面进行了明确、细化和补充,进一步增强了数据安全法律法规体系的完备性和可操作性,为广大政企机构、互联网平台等数据处理者或运营方提供了网络数据安全管理的合规路径。

《条例》明确了国家建立数据分类分级保护制度。 按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。对个人信息和重要数据进行重点保护,对核心数据实行严格保护。一百万以上的个人信息按重要数据级别保护,并定义了重要数据范畴。分类分级保护制度的建立和实施,是向数据安全精细化管理迈出的重要一步。

《条例》明确了数据处理者开展哪些活动需要申报网络安全审查。 特别是掌握大量关系国家安全、经济发展、公共利益的数据资源或大量个人信息数据的企业,其组织变动或涉及境外的经营活动,可能影响国家安全的,均应主动申报。

《条例》从多个方面强化了个人信息保护: 针对个人信息处理知情权环节,详细列出了个人信息处理规则的内容;针对个人信息处理决定权,明确了“单独同意”的含义;针对个人信息的查阅、复制、更正、补充、限制处理、删除其个人信息等权利,要求在十五个工作日予以答复;明确了个人信息转移权的行使条件。

《条例》明确将重要数据锚定在“危害国家安全、公共利益的数据”上,通过强化重要数据保护,确立了国家对重要数据的最终控制权地位。 具体要求包括重要数据的行政备案;重要数据的强制性安全评估;数据处理者共享、交易、委托处理重要数据时,应当征得主管部门同意等。《条例》规定处理重要数据的系统应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,核心数据则从严保护,进一步凸显密码对数据保护的基石地位。

《条例》明确了跨境提供数据的条件, 数据出境安全评估的情形,数据处理者向境外提供数据应当履行的义务,数据出境安全报告的要求,建立数据跨境安全网关等。

《条例》对互联网平台运营者提出了具体规范, 将其可能影响国家安全的数据处理行为纳入网络安全审查范畴,对平台规则、隐私政策修订等提出增强要求。特别是规范互联网平台运营者不得利用数据以及平台规则等从事的活动,是对“大数据杀熟”、“爬虫”自动化工具、算法透明度解释等热点问题的回应。《条例》还要求通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。可见,《条例》全面强化了对大型互联网平台的数据安全治理。

《条例》明确了国家建立数据安全审计制度。 数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。主管、监管部门组织开展对重要数据处理活动的审计,重点审计数据处理者履行法律、行政法规规定的义务等情况。

数据安全关系到经济发展、公共利益和国家安全。《条例》的发布,是对网络数据安全管理具体方式方法的进一步明确,是对政企机构、互联网平台等数据处理者或运营方围绕数据相关活动或行为的进一步规范,也是对国家数据主权的进一步巩固。 广大政企机构、互联网平台需要顺应行业发展大势,主动拥抱监管,以正确的方式、科学的手段加强数据处理、应用和运营过程中的安全管理,包括数据分类分级、数据安全治理、数据安全共享、数据脱敏、数据防泄漏、数据活动全流程监管溯源等,建立完备、合规的数据安全防护和管理体系。


中国网安作为网络安全“国家队”,长期深耕数据安全,在该领域具有深厚的技术积淀和成熟的产品体系,主要面向关系国家战略安全的核心领域、关系国家经济命脉的重要行业、关系社会稳定和经济发展的企业和公众行业,提供各类安全产品、服务以及行业解决方案。2021年,针对国内数据安全管理和应用现状和面临的问题,中国网安整合数据安全领域的优势技术资源和产品体系,率先提出建立“可信数据基础设施”的设想,形成了集数据安全防护、数据安全应用、数据安全管理为一体的体系化解决方案。 (参见杨新:打造可信数据基础设施,护航数据要素市场健康发展)

中国网安的数据安全产品体系具体包括——

◆数据安全治理服务平台产品: 基于数据分级分类产品为企业提供数据资产分布地图的基础上,为企业提供数据资产全生命周期安全管理、审计、泄漏风险预警功能,同时也是企业数据安全相关产品的配置管理平台。

◆数据分类分级产品: 根据企业数据类型为企业数据提供分类分级服务,为数据的细粒度安全管理提供依据,是企业数据资产管理的核心抓手,分级后数据将交由数据安全治理服务平台进行管理。

◆数据脱敏产品: 为企业数据提供脱敏服务,实现在不影响数据分析的前提下确保个人隐私数据安全。由数据安全治理服务平台进行配置管理,输出数据将交由数据中台进行数据处理。

◆数据安全网关: 根据数据安全级别和企业管理要求,为应用使用大数据提供权限管理服务,同时负责对外服务数据的安全审计。由数据安全治理服务平台进行配置管理,以及结合数据安全治理服务平台的策略对数据的访问权限进行接入验证并授权。

◆数据加密存储产品: 为企业大数据中心提供库表、文件级的数据加密存储服务。由数据安全治理服务平台进行管理。

◆数据安全擦除产品: 为企业大数据中心提供数据安全可信擦除服务,实现数据的安全销毁。由数据安全治理服务平台进行管理。

◆数据隐私计算产品: 为企业提供多方联合的数据隐私计算服务平台,通过“数据不动、算法跑路”实现数据的安全可信防护,降低数据的泄露便捷。由数据安全治理服务平台进行管理。

◆数据标签产品: 为企业数据的共享交互提供标签加密服务,确保数据共享交互过程的安全性。由数据安全治理服务平台进行管理。

◆数据共享交换产品: 为企业数据的多方共享交换提供服务平台。由数据安全治理服务平台进行管理。

◆数据防泄漏产品: 为企业提供数据的防泄露服务,防止企业重要数据在未经授权的情况下泄露。由数据安全治理服务平台进行管理。

◆跨网隔离交换产品: 为企业不同网络的业务系统数据交换提供安全保护。由数据安全治理服务平台进行管理。

◆区块链服务产品:为企业数据的可信监管、审计提供存证服务,同时实现与监管方及其他数据中心的管理数据可信流转。为数据安全治理服务平台提供数据流转存证和溯源服务。

◆数据监管服务平台产品:为相关监管机构 或者企业的数据资产管理机构提供数据全生命周期的安全监管、风险预警、态势呈现服务。与数据安全治理服务平台进行数据对接,实现数据资产及相关处理活动的报备、评估及监管。

此外,中国网安还提供密码服务平台、信任服务平台等成熟的基础支撑产品,满足数据安全防护、应用和管理各场景所需的密码安全合规使用和实体身份信任服务需求。