数据安全管理制度的六项发展|浅议《网络数据安全管理条例（征求意见稿）》与《数据安全法》之比较（上篇）

2021-12-06 16:39:16来源：全球财经网

近日,国家互联网信息办公室发布了《网络数据安全管理条例(征求意见稿)》(以下简称《条例》),这是继《数据安全法》生效实施之后,我国正在起草的又一项重要数据安全法规。《条例》作为行政法规,是衔接《数据安全法》和数据安全管理实践的桥梁,其通过对数据安全基本管理制度的一系列发展,强化落实,旨在巩固和提升我国数据安全保护成效。

本文将立足《条例》与《数据安全法》所设立重要制度的比较进行分析:上篇重点分析《条例》对数据安全六项重要制度的发展,下篇重点分析《条例》对数据安全两项重要制度的创新。

一、《条例》对数据安全制度发展的两个特点

对于数据安全保护,《数据安全法》搭建了初步的基本制度框架。这一框架主要涵盖数据分类分级保护制度、数据安全审查制度、数据安全风险管理制度、数据安全应急处置机制、数据出口管制和对等反制机制等6项数据安全保护制度和机制。

总体来看,《条例》作为《数据安全法》的下位行政法规,对于数据安全保护制度的发展主要体现了两个特点:一是对已有制度加以沿袭、细化和完善,如数据分级分类制度、数据安全审查制度等;二是从数据保护需求出发,进行制度探索创新,如数据安全审计制度等。

二、《条例》对数据安全制度的发展延伸

《条例》对《数据安全法》所设立重要制度的发展延伸主要包括六项,逐项分析如下。

(一)数据分类分级保护制度

《条例》对于数据分级分类制度的发展,主要体现在明确数据分级、细化保护类型和要求、明确保护方式三个方面。

一是明文规定了数据的三个分级。即:“将数据分为一般数据、重要数据、核心数据”(《条例》第五条);而《数据安全法》对于数据的分级,并未集中明确界定,只是在相关的条文中提及“重要数据”、“核心数据”,且也没有“一般数据”的表述(涉及到的条文主要是《数据安全法》第二十一条)。《条例》用明文规定的方式确定了数据级别,有助于统一认识,为后续数据分级保护工作的开展奠定理论共识基础。

二是细化了数据分级分类保护的类型和要求。首先,明确了保护类型——重点保护、严格保护,即“国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护”(第五条第二款)。其次,细化了保护要求,《条例》通过设立专章(第四章重要数据安全)对“重点保护”的要求进行了细化分解,对重要数据处理者规定了目录报备要求、专职机构要求、备案要求、培训要求、安全评估要求、转移审批要求、采购要求等7大类15小项(第二十七条至第三十四条)具体义务规定。

三是明确保护方式。即制定重要数据和核心数据目录,并进一步明确了目录制定单位和工作机制。“各地区、各部门...组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门”(第二十七条)。与《数据安全法》相比,《条例》对数据目录的制定主体、报备部门都做出了进一步明确。

表1.png

(二)数据安全风险管理制度

《条例》对数据安全风险管理制度的发展,主要体现在强化评估报告、明确行业评估监管、加强个人信息保护风险监测义务三个方面。

一是拓展了《风险评估报告》的相关要求。首先,扩充了《数据安全法》规定的风险评估报告主体,在原有的“重要数据处理者”之外,增加了“赴境外上市的数据处理者”一类主体。其次,明确了报告的时间频次和报告机制要求,规定数据安全风险评估报告每年开展一次,评估模式可自行开展也可委托第三方机构开展,报告接收部门为“设区的市级网信部门”。再次,细化了风险评估报告内容要求,具体要求分为一般评估和重点评估两类:《条例》第三十二条第一款提出了一般评估报告的8项内容要求;该条第四款明确了对于“数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估”还要完成的5项重点评估内容。

二是进一步细化了行业评估监管要求。《条例》第五十五条第五款规定“主管部门应当定期组织开展本行业、本领域的数据安全风险评估”,主管部门主要是指第三款的“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门”;明确了行业数据安全风险评估的对象和目的是“对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改”。

三是强化了个人信息保护风险监测义务。除了对《数据安全法》风险评估报告、监管要求的细化,《条例》还从加强个人信息保护的角度,对个人信息处理者规定了数据风险监测的义务。主要包括:在个人信息保护规则中加入个人信息安全风险防护措施(第二十条)、个人信息转移处理时的风险提示义务(第二十四条)等。

表2.png

(三)数据安全应急处置机制

对于数据安全应急,《数据安全法》提出了“国家建立数据安全应急处置机制”的总体要求;《条例》对其的发展延伸,主要体现在对主管部门、行业管理者、数据处理者三方主体,分别明确了数据应急机制、数据应急预案、数据应急处置三个方面的内容完善。

一是建立数据安全应急机制。从主管部门角度,《条例》规定“国家建立健全数据安全应急处置机制”(第五十六条),明确“将数据安全事件纳入国家网络安全事件应急响应机制”中,包括纳入到“网络安全事件应急预案和网络安全信息共享平台”、“国家网络安全事件应急响应机制”。

二是建立健全行业数据安全应急预案。从行业管理部门角度,《条例》规定“主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案(五十五条第四款)。此规定亦可认为是一种管理授权,即授权行业管理部门组织制定本行业领域的数据安全事件应急预案。

三是完善数据应急义务体系。从数据处理者角度,《条例》对数据安全主体责任义务进行了补充完善,主要包括“数据处理者应当建立数据安全应急处置机制”(第十一条)、重要数据处理者应“定期组织开展数据安全应急演练等活动”(第二十八条)。

表3.png

(四)数据安全审查制度

与《数据安全法》相比,《条例》对于数据安全审查制度的发展,主要体现在明确了适用条件和发起流程,不仅细化了法规要求,也在法律适用上保持了同正在修订的《网络安全审查办法》的衔接一致。

一是明确了数据安全审查的适用条件。《条例》第十三条规定了适用数据安全审查的4种情形,可归纳为“影响或可能影响国家安全的”和“境外国外相关的”两类。前者包括“特定平台运营者实施的合并重组或分立”、“数据处理者赴香港上市”;后者包括“处理一百万人以上个人信息的数据处理者赴国外上市”。相比而言,后者要求更为严格,只要有该行为发生就应进行数据安全审查申报,而不论其是否对国家安全造成影响或威胁。

二是明确了数据安全审查的流程。这是对数据安全审查在程序方面要求的完善和延伸,《条例》第十三条规定数据处理者在满足审查适用条件时“应当按照国家有关规定,申报网络安全审查”。可见,数据安全审查的发起是由数据处理者进行“申报”。同时,此条所指的“国家有关规定”,应当包括《网络安全审查办法》在内,且从其内容看,《条例》与《网络安全审查办法(修订草案征求意见稿)》也保持了一致。

表4.png

(五)数据出口管制和反制机制

《条例》界定了“出口管制数据”的内涵。在出口管制和投资贸易歧视措施的反制相关制度方面,《条例》未对《数据安全法》相关规定做过多发展,仅是《条例》在第七十三条中,给出了“出口管制数据”的具体涵义。即“出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据”。

该条款主要对应了《数据安全法》第二十五条“国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制”之规定。且从该条款所在位置来看,《条例》将“出口管制数据”明确列为7类“重要数据”其中之一。同时,此处所指“出口管制物项”,应遵循了《中华人民共和国出口管制法》的有关界定,即:“出口管制物项主要是指(军民)两用物项、军品、核以及其他与维护国家安全和利益、履行防扩散等国际义务相关的货物、技术、服务等物项”。

表5.png

(六)数据交易管理制度

《条例》对数据交易管理制度的发展完善,主要体现在进一步明确强调了数据交易机构的准入管理。

《条例》第七条第二款指出,“国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准”。而《数据安全法》对于数据交易管理制度,主要是明确了该制度的立法目的“规范数据交易行为,培育数据交易市场”,并对数据交易中介机构的行为提出了初步规范要求“数据交易中介服务机构应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录”。可见,《条例》对该制度的发展,重在提出了主体准入要求。相信后续国家相关部门会发布专门的管理规定或规范,对数据交易机构的设立条件、流程和管理机制等提出更加详细的要求。