原標(biāo)題:淺議《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》與《數(shù)據(jù)安全法》之比較(上篇)
近日,國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》(以下簡(jiǎn)稱(chēng)《條例》),這是繼《數(shù)據(jù)安全法》生效實(shí)施之后,我國(guó)正在起草的又一項(xiàng)重要數(shù)據(jù)安全法規(guī)!稐l例》作為行政法規(guī),是銜接《數(shù)據(jù)安全法》和數(shù)據(jù)安全管理實(shí)踐的橋梁,其通過(guò)對(duì)數(shù)據(jù)安全基本管理制度的一系列發(fā)展,強(qiáng)化落實(shí),旨在鞏固和提升我國(guó)數(shù)據(jù)安全保護(hù)成效。
本文將立足《條例》與《數(shù)據(jù)安全法》所設(shè)立重要制度的比較進(jìn)行分析:上篇重點(diǎn)分析《條例》對(duì)數(shù)據(jù)安全六項(xiàng)重要制度的發(fā)展,下篇重點(diǎn)分析《條例》對(duì)數(shù)據(jù)安全兩項(xiàng)重要制度的創(chuàng)新。
一、《條例》對(duì)數(shù)據(jù)安全制度發(fā)展的兩個(gè)特點(diǎn)
對(duì)于數(shù)據(jù)安全保護(hù),《數(shù)據(jù)安全法》搭建了初步的基本制度框架。這一框架主要涵蓋數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度、數(shù)據(jù)安全審查制度、數(shù)據(jù)安全風(fēng)險(xiǎn)管理制度、數(shù)據(jù)安全應(yīng)急處置機(jī)制、數(shù)據(jù)出口管制和對(duì)等反制機(jī)制等6項(xiàng)數(shù)據(jù)安全保護(hù)制度和機(jī)制。
總體來(lái)看,《條例》作為《數(shù)據(jù)安全法》的下位行政法規(guī),對(duì)于數(shù)據(jù)安全保護(hù)制度的發(fā)展主要體現(xiàn)了兩個(gè)特點(diǎn):一是對(duì)已有制度加以沿襲、細(xì)化和完善,如數(shù)據(jù)分級(jí)分類(lèi)制度、數(shù)據(jù)安全審查制度等;二是從數(shù)據(jù)保護(hù)需求出發(fā),進(jìn)行制度探索創(chuàng)新,如數(shù)據(jù)安全審計(jì)制度等。
二、《條例》對(duì)數(shù)據(jù)安全制度的發(fā)展延伸
《條例》對(duì)《數(shù)據(jù)安全法》所設(shè)立重要制度的發(fā)展延伸主要包括六項(xiàng),逐項(xiàng)分析如下。
(一)數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度
《條例》對(duì)于數(shù)據(jù)分級(jí)分類(lèi)制度的發(fā)展,主要體現(xiàn)在明確數(shù)據(jù)分級(jí)、細(xì)化保護(hù)類(lèi)型和要求、明確保護(hù)方式三個(gè)方面。
一是明文規(guī)定了數(shù)據(jù)的三個(gè)分級(jí)。即:“將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)”(《條例》第五條);而《數(shù)據(jù)安全法》對(duì)于數(shù)據(jù)的分級(jí),并未集中明確界定,只是在相關(guān)的條文中提及“重要數(shù)據(jù)”、“核心數(shù)據(jù)”,且也沒(méi)有“一般數(shù)據(jù)”的表述(涉及到的條文主要是《數(shù)據(jù)安全法》第二十一條)!稐l例》用明文規(guī)定的方式確定了數(shù)據(jù)級(jí)別,有助于統(tǒng)一認(rèn)識(shí),為后續(xù)數(shù)據(jù)分級(jí)保護(hù)工作的開(kāi)展奠定理論共識(shí)基礎(chǔ)。
二是細(xì)化了數(shù)據(jù)分級(jí)分類(lèi)保護(hù)的類(lèi)型和要求。首先,明確了保護(hù)類(lèi)型——重點(diǎn)保護(hù)、嚴(yán)格保護(hù),即“國(guó)家對(duì)個(gè)人信息和重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù),對(duì)核心數(shù)據(jù)實(shí)行嚴(yán)格保護(hù)”(第五條第二款)。其次,細(xì)化了保護(hù)要求,《條例》通過(guò)設(shè)立專(zhuān)章(第四章 重要數(shù)據(jù)安全)對(duì)“重點(diǎn)保護(hù)”的要求進(jìn)行了細(xì)化分解,對(duì)重要數(shù)據(jù)處理者規(guī)定了目錄報(bào)備要求、專(zhuān)職機(jī)構(gòu)要求、備案要求、培訓(xùn)要求、安全評(píng)估要求、轉(zhuǎn)移審批要求、采購(gòu)要求等7大類(lèi)15小項(xiàng)(第二十七條至第三十四條)具體義務(wù)規(guī)定。
三是明確保護(hù)方式。即制定重要數(shù)據(jù)和核心數(shù)據(jù)目錄,并進(jìn)一步明確了目錄制定單位和工作機(jī)制。“各地區(qū)、各部門(mén)...組織制定本地區(qū)、本部門(mén)以及相關(guān)行業(yè)、領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)目錄,并報(bào)國(guó)家網(wǎng)信部門(mén)”(第二十七條)。與《數(shù)據(jù)安全法》相比,《條例》對(duì)數(shù)據(jù)目錄的制定主體、報(bào)備部門(mén)都做出了進(jìn)一步明確。
(二)數(shù)據(jù)安全風(fēng)險(xiǎn)管理制度
《條例》對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)管理制度的發(fā)展,主要體現(xiàn)在強(qiáng)化評(píng)估報(bào)告、明確行業(yè)評(píng)估監(jiān)管、加強(qiáng)個(gè)人信息保護(hù)風(fēng)險(xiǎn)監(jiān)測(cè)義務(wù)三個(gè)方面。
一是拓展了《風(fēng)險(xiǎn)評(píng)估報(bào)告》的相關(guān)要求。首先,擴(kuò)充了《數(shù)據(jù)安全法》規(guī)定的風(fēng)險(xiǎn)評(píng)估報(bào)告主體,在原有的“重要數(shù)據(jù)處理者”之外,增加了“赴境外上市的數(shù)據(jù)處理者”一類(lèi)主體。其次,明確了報(bào)告的時(shí)間頻次和報(bào)告機(jī)制要求,規(guī)定數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告每年開(kāi)展一次,評(píng)估模式可自行開(kāi)展也可委托第三方機(jī)構(gòu)開(kāi)展,報(bào)告接收部門(mén)為“設(shè)區(qū)的市級(jí)網(wǎng)信部門(mén)”。再次,細(xì)化了風(fēng)險(xiǎn)評(píng)估報(bào)告內(nèi)容要求,具體要求分為一般評(píng)估和重點(diǎn)評(píng)估兩類(lèi):《條例》第三十二條第一款提出了一般評(píng)估報(bào)告的8項(xiàng)內(nèi)容要求;該條第四款明確了對(duì)于“數(shù)據(jù)處理者開(kāi)展共享、交易、委托處理、向境外提供重要數(shù)據(jù)的安全評(píng)估”還要完成的5項(xiàng)重點(diǎn)評(píng)估內(nèi)容。
二是進(jìn)一步細(xì)化了行業(yè)評(píng)估監(jiān)管要求!稐l例》第五十五條第五款規(guī)定“主管部門(mén)應(yīng)當(dāng)定期組織開(kāi)展本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估”,主管部門(mén)主要是指第三款的“工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門(mén)”;明確了行業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的對(duì)象和目的是“對(duì)數(shù)據(jù)處理者履行數(shù)據(jù)安全保護(hù)義務(wù)情況進(jìn)行監(jiān)督檢查,指導(dǎo)督促數(shù)據(jù)處理者及時(shí)對(duì)存在的風(fēng)險(xiǎn)隱患進(jìn)行整改”。
三是強(qiáng)化了個(gè)人信息保護(hù)風(fēng)險(xiǎn)監(jiān)測(cè)義務(wù)。除了對(duì)《數(shù)據(jù)安全法》風(fēng)險(xiǎn)評(píng)估報(bào)告、監(jiān)管要求的細(xì)化,《條例》還從加強(qiáng)個(gè)人信息保護(hù)的角度,對(duì)個(gè)人信息處理者規(guī)定了數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)的義務(wù)。主要包括:在個(gè)人信息保護(hù)規(guī)則中加入個(gè)人信息安全風(fēng)險(xiǎn)防護(hù)措施(第二十條)、個(gè)人信息轉(zhuǎn)移處理時(shí)的風(fēng)險(xiǎn)提示義務(wù)(第二十四條)等。
(三)數(shù)據(jù)安全應(yīng)急處置機(jī)制
對(duì)于數(shù)據(jù)安全應(yīng)急,《數(shù)據(jù)安全法》提出了“國(guó)家建立數(shù)據(jù)安全應(yīng)急處置機(jī)制”的總體要求;《條例》對(duì)其的發(fā)展延伸,主要體現(xiàn)在對(duì)主管部門(mén)、行業(yè)管理者、數(shù)據(jù)處理者三方主體,分別明確了數(shù)據(jù)應(yīng)急機(jī)制、數(shù)據(jù)應(yīng)急預(yù)案、數(shù)據(jù)應(yīng)急處置三個(gè)方面的內(nèi)容完善。
一是建立數(shù)據(jù)安全應(yīng)急機(jī)制。從主管部門(mén)角度,《條例》規(guī)定“國(guó)家建立健全數(shù)據(jù)安全應(yīng)急處置機(jī)制”(第五十六條),明確“將數(shù)據(jù)安全事件納入國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機(jī)制”中,包括納入到“網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案和網(wǎng)絡(luò)安全信息共享平臺(tái)”、“國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機(jī)制”。
二是建立健全行業(yè)數(shù)據(jù)安全應(yīng)急預(yù)案。從行業(yè)管理部門(mén)角度,《條例》規(guī)定“主管部門(mén)應(yīng)當(dāng)明確本行業(yè)、本領(lǐng)域數(shù)據(jù)安全保護(hù)工作機(jī)構(gòu)和人員,編制并組織實(shí)施本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全規(guī)劃和數(shù)據(jù)安全事件應(yīng)急預(yù)案(五十五條第四款)。此規(guī)定亦可認(rèn)為是一種管理授權(quán),即授權(quán)行業(yè)管理部門(mén)組織制定本行業(yè)領(lǐng)域的數(shù)據(jù)安全事件應(yīng)急預(yù)案。
三是完善數(shù)據(jù)應(yīng)急義務(wù)體系。從數(shù)據(jù)處理者角度,《條例》對(duì)數(shù)據(jù)安全主體責(zé)任義務(wù)進(jìn)行了補(bǔ)充完善,主要包括“數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)安全應(yīng)急處置機(jī)制”(第十一條)、重要數(shù)據(jù)處理者應(yīng)“定期組織開(kāi)展數(shù)據(jù)安全應(yīng)急演練等活動(dòng)”(第二十八條)。
(四)數(shù)據(jù)安全審查制度
與《數(shù)據(jù)安全法》相比,《條例》對(duì)于數(shù)據(jù)安全審查制度的發(fā)展,主要體現(xiàn)在明確了適用條件和發(fā)起流程,不僅細(xì)化了法規(guī)要求,也在法律適用上保持了同正在修訂的《網(wǎng)絡(luò)安全審查辦法》的銜接一致。
一是明確了數(shù)據(jù)安全審查的適用條件!稐l例》第十三條規(guī)定了適用數(shù)據(jù)安全審查的4種情形,可歸納為“影響或可能影響國(guó)家安全的”和“境外國(guó)外相關(guān)的”兩類(lèi)。前者包括“特定平臺(tái)運(yùn)營(yíng)者實(shí)施的合并重組或分立”、“數(shù)據(jù)處理者赴香港上市”;后者包括“處理一百萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者赴國(guó)外上市”。相比而言,后者要求更為嚴(yán)格,只要有該行為發(fā)生就應(yīng)進(jìn)行數(shù)據(jù)安全審查申報(bào),而不論其是否對(duì)國(guó)家安全造成影響或威脅。
二是明確了數(shù)據(jù)安全審查的流程。這是對(duì)數(shù)據(jù)安全審查在程序方面要求的完善和延伸,《條例》第十三條規(guī)定數(shù)據(jù)處理者在滿(mǎn)足審查適用條件時(shí)“應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定,申報(bào)網(wǎng)絡(luò)安全審查”?梢(jiàn),數(shù)據(jù)安全審查的發(fā)起是由數(shù)據(jù)處理者進(jìn)行“申報(bào)”。同時(shí),此條所指的“國(guó)家有關(guān)規(guī)定”,應(yīng)當(dāng)包括《網(wǎng)絡(luò)安全審查辦法》在內(nèi),且從其內(nèi)容看,《條例》與《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見(jiàn)稿)》也保持了一致。
(五)數(shù)據(jù)出口管制和反制機(jī)制
《條例》界定了“出口管制數(shù)據(jù)”的內(nèi)涵。在出口管制和投資貿(mào)易歧視措施的反制相關(guān)制度方面,《條例》未對(duì)《數(shù)據(jù)安全法》相關(guān)規(guī)定做過(guò)多發(fā)展,僅是《條例》在第七十三條中,給出了“出口管制數(shù)據(jù)”的具體涵義。即“出口管制數(shù)據(jù),出口管制物項(xiàng)涉及的核心技術(shù)、設(shè)計(jì)方案、生產(chǎn)工藝等相關(guān)的數(shù)據(jù),密碼、生物、電子信息、人工智能等領(lǐng)域?qū)?guó)家安全、經(jīng)濟(jì)競(jìng)爭(zhēng)實(shí)力有直接影響的科學(xué)技術(shù)成果數(shù)據(jù)”。
該條款主要對(duì)應(yīng)了《數(shù)據(jù)安全法》第二十五條“國(guó)家對(duì)與維護(hù)國(guó)家安全和利益、履行國(guó)際義務(wù)相關(guān)的屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制”之規(guī)定。且從該條款所在位置來(lái)看,《條例》將“出口管制數(shù)據(jù)”明確列為7類(lèi)“重要數(shù)據(jù)”其中之一。同時(shí),此處所指“出口管制物項(xiàng)”,應(yīng)遵循了《中華人民共和國(guó)出口管制法》的有關(guān)界定,即:“出口管制物項(xiàng)主要是指(軍民)兩用物項(xiàng)、軍品、核以及其他與維護(hù)國(guó)家安全和利益、履行防擴(kuò)散等國(guó)際義務(wù)相關(guān)的貨物、技術(shù)、服務(wù)等物項(xiàng)”。
(六)數(shù)據(jù)交易管理制度
《條例》對(duì)數(shù)據(jù)交易管理制度的發(fā)展完善,主要體現(xiàn)在進(jìn)一步明確強(qiáng)調(diào)了數(shù)據(jù)交易機(jī)構(gòu)的準(zhǔn)入管理。
《條例》第七條第二款指出,“國(guó)家建立健全數(shù)據(jù)交易管理制度,明確數(shù)據(jù)交易機(jī)構(gòu)設(shè)立、運(yùn)行標(biāo)準(zhǔn)”。而《數(shù)據(jù)安全法》對(duì)于數(shù)據(jù)交易管理制度,主要是明確了該制度的立法目的“規(guī)范數(shù)據(jù)交易行為,培育數(shù)據(jù)交易市場(chǎng)”,并對(duì)數(shù)據(jù)交易中介機(jī)構(gòu)的行為提出了初步規(guī)范要求“數(shù)據(jù)交易中介服務(wù)機(jī)構(gòu)應(yīng)當(dāng)要求數(shù)據(jù)提供方說(shuō)明數(shù)據(jù)來(lái)源,審核交易雙方的身份,并留存審核、交易記錄”?梢(jiàn),《條例》對(duì)該制度的發(fā)展,重在提出了主體準(zhǔn)入要求。相信后續(xù)國(guó)家相關(guān)部門(mén)會(huì)發(fā)布專(zhuān)門(mén)的管理規(guī)定或規(guī)范,對(duì)數(shù)據(jù)交易機(jī)構(gòu)的設(shè)立條件、流程和管理機(jī)制等提出更加詳細(xì)的要求。
投稿郵箱:chuanbeiol@163.com 詳情請(qǐng)?jiān)L問(wèn)川北在線(xiàn):http://dstuf.com/