1、完善資料安全法律體系 護航數字經濟高品質發展
餘曉晖(第十四屆全國政協委員、中國資訊通信研究院院長)
2、強化網絡資料安全治理體系和能力現代化的法治保障
時建中(中國政法大學副校長、教授,資料法治研究院院長)
3、加快建構網絡資料安全法規制度體系 全面提升治理監管能力
楊建軍(中國電子技術标準化研究院副院長、全國網絡安全标準化技術委員會秘書長)
4、健全資料安全法律制度 築牢網絡資料安全防線
蔣豔(國家工業資訊安全發展研究中心主任)
專家解讀一
完善資料安全法律體系
護航數字經濟高品質發展餘曉晖(第十四屆全國政協委員、中國資訊通信研究院院長)
《網絡資料安全管理條例》(以下簡稱《條例》)的出台進一步完善了大陸資料安全管理法律體系,對于明确網絡資料安全管理要求、提升治網管網水準具有重要意義,也為充分釋放資料要素價值、護航數字經濟高品質發展提供了有力法治保障。
一、《條例》完善資料安全管理法律體系意義重大
(一)貫徹落實總體國家安全觀的重要舉措。資料安全是總體國家安全觀的重要領域。黨中央、國務院高度重視資料安全工作,提出加快法規制度建設、切實保障國家資料安全等明确要求。習近平總書記強調,“要維護國家資料安全,保護個人資訊和商業秘密,促進資料高效流通使用、賦能實體經濟”“加快建構資料基礎制度體系”。黨的二十屆三中全會指出,要“提升資料安全治理監管能力,建立高效便利安全的資料跨境流動機制”。資料安全牽一發而動全身,完善資料安全管理不僅關乎資料本身作為重要生産要素的開發利用與安全問題,而且與國家主權、國家安全、社會秩序、公共利益休戚相關。《條例》貫徹總體國家安全觀,統籌促進網絡資料開發利用與保障網絡資料安全,進一步夯實了維護資料安全的法治根基。(二)順應全球資料安全發展形勢的必然要求。網絡資料安全是全球各國面臨的共同挑戰,随着人工智能、大資料等新技術新應用的快速發展,資料體量呈現爆發式增長,安全風險也與日俱增,強化網絡資料安全管理的重要性愈加突出。從國際社會來看,主要國家和地區高度重視資料資源的基礎性和戰略性價值,持續完善資料安全領域法律法規,如歐盟理事會2023年11月正式通過《資料法》,在《通用資料保護條例》的基礎上,提供了适用于所有資料的更廣泛的規則。大陸積極應對資料安全新形勢,在已有資料安全法律基礎上制定出台《條例》,進一步完善資料安全管理制度體系,切實保障國家資料安全。(三)推動數字經濟高品質發展的制度保障。資料作為新型生産要素,是數字化、網絡化、智能化的基礎,已快速融入生産、配置設定、流通、消費和社會服務管理等各環節。《中共中央 國務院關于建構資料基礎制度更好發揮資料要素作用的意見》提出,以維護國家資料安全、保護個人資訊和商業秘密為前提,建構适應資料特征、符合數字經濟發展規律、保障國家資料安全、彰顯創新引領的資料基礎制度。為充分發揮大陸海量資料規模和豐富應用場景優勢,激活資料要素潛能,做強做優做大數字經濟,國務院适時出台《條例》,充分發揮法治固根本、穩預期、利長遠的作用,確定資料安全工作和資料要素市場建設在法治軌道上穩步推進,以高水準資料安全保障資料要素市場高品質發展。
二、《條例》築牢資料安全管理制度底座特色鮮明
《條例》共計9章64條,不僅明确了網絡資料安全管理的一般規定,也進一步完善細化了個人資訊保護、重要資料安全管理、網絡資料跨境安全管理、網絡平台服務提供者義務等方面的具體要求,夯實了大陸資料安全管理制度底座,具有鮮明的系統性、創新性、時代性和開放性。(一)堅持系統觀念,完善資料安全法律規範體系。經過多年的發展,大陸已經初步搭建了以《網絡安全法》《資料安全法》《個人資訊保護法》為核心的資料安全法律架構。《條例》的出台,通過一部行政法規統籌落實了三部上位法律所規定的資料安全管理要求,細化了資料分類分級、資料跨境流動、個人資訊處理等制度規定,進一步強化了不同法律之間的制度銜接,增強法律規範的系統性。與此同時,《條例》也進一步推動建構形成了“法律-行政法規-部門規章”的全位階法律規範體系。(二)堅持守正創新,充實資料安全管理基本要求。《條例》貫徹落實上位法相關制度,在繼承資料分類分級保護制度等原則性要求的基礎上,充分發揮行政法規的靈活性和創新空間,針對資料處理新情況作了相應制度設計。例如,針對網絡資料處理者使用自動化工具通路、收集網絡資料的情況,《條例》規定應當評估對網絡服務帶來的影響,要求不得非法侵入他人網絡、不得幹擾網絡服務正常運作。再如,針對人工智能發展帶來的訓練資料問題,《條例》要求提供生成式人工智能服務的網絡資料處理者應當加強對訓練資料和訓練資料處理活動的安全管理,采取有效措施防範和處置網絡資料安全風險。(三)堅持與時俱進,細化個人資訊保護制度規則。《條例》立足目前數字經濟發展的需求,在《個人資訊保護法》确立的基本原則和規則基礎上,根據具體場景進一步細化相關個人資訊保護要求。例如,《條例》針對實踐中濫用“個人同意”的問題,明确規定了網絡資料處理者基于個人同意處理個人資訊應當遵守的具體要求,包括收集個人資訊為提供産品或者服務所必需,不得超範圍收集,不得通過誤導、欺詐、脅迫等方式取得個人同意。再如,《條例》針對個人資訊主體需要轉移個人資訊行使個人權利的問題,明确規定了實施個人資訊轉移的條件,并且要求網絡資料處理者應當為個人資訊主體行使相關權益提供可落地的具體路徑。(四)堅持開放發展,促進網絡資料跨境流動。《條例》細化資料出境中的安全管理要求,為促進資料依法有序自由流動提供具體指引。一方面,《條例》遵循大陸現有資料跨境流動制度體系,明确了個人資訊和重要資料跨境提供的具體條件,将《促進和規範資料跨境流動規定》等相關規章規定上升為行政法規,為網絡資料處理者向境外提供網絡資料提供了清晰指引。例如,《條例》明确列舉了網絡資料處理者可以向境外提供個人資訊的八種情形,進一步便利相關主體的實踐操作,為促進資料跨境流動提供了更為有力的制度保障。另一方面,《條例》強化了資料跨境流動中的安全管理要求,規定國家采取措施防範、處置資料跨境風險和威脅,禁止提供專門用于破壞、避開技術措施的程式、工具等,為資料跨境流動提供安全保障。(五)堅持協同治理,壓實網絡平台主體責任。随着網際網路的快速發展,網絡平台已經成為網絡空間治理的關鍵節點。尤其是大型網絡平台,因其龐大的使用者基礎和複雜的資料處理活動,對個人隐私和資料安全具有重大影響。《條例》設立網絡平台服務提供者專章,規定了其在網絡資料安全管理方面的義務,強化全鍊條資料安全保護。例如,《條例》不僅規定了網絡平台服務提供者自身應當履行的網絡資料安全管理義務,還明确了網絡平台服務提供者應當通過平台規則或合同形式明确第三方網絡資料安全管理義務,未盡到相應督促落實義務、造成使用者損害的,網絡平台服務提供者依法承擔相應責任。
三、《條例》開啟大陸資料治理法治化新階段
目前,網際網路加速演進更新,數字經濟持續快速發展,資料作為數字時代的新型生産要素在推動經濟高品質發展和新質生産力形成中的作用更加凸顯。新時代新征程,要準确把握大陸資料治理面臨的新形勢新任務,以《條例》出台為契機,築法治之基、行法治之力、積法治之勢,在法治軌道上持續推進資料發展和安全治理工作,以高水準資料法治建設護航數字經濟高品質發展。一是建構更加完備的資料治理法律規範體系,建立健全資料交易流通等基礎制度規則,及時應對人工智能、大資料、雲計算等新技術發展帶來的資料安全風險挑戰,科學運用法律法規引導新興領域發展。二是建構更加高效的資料治理法律實施體系,持續深化《條例》各項制度施行,堅持促進發展和依法管理相統一,充分發揮《條例》在推動資料産業發展和規範安全管理中的作用,深入開展嚴格規範公正文明網絡執法。三是建構更加有力的資料治理保障體系,強化資料安全法規制度宣傳推廣,提升全社會資料安全法治意識和能力,深化資料領域法治研究,切實以資料治理法治化助力網絡強國和數字中國建設。
專家解讀二
強化網絡資料安全治理體系和能力現代化
的法治保障時建中(中國政法大學副校長、教授,資料法治研究院院長)随着數字技術的蓬勃發展和廣泛運用,社會經濟生活的每個領域都在深度網絡化、資訊化和資料化。沒有資料安全就沒有國家安全。《網絡資料安全管理條例》(以下簡稱《條例》)以《網絡安全法》《資料安全法》《個人資訊保護法》等法律為依據,聚焦網絡資料,細化相關規定,完善網絡資料安全規則,為提升網絡資料安全治理體系和能力現代化提供了更有可操作性的法治保障,标志着大陸網絡資料安全治理進入了新階段。《條例》完善了網絡資料分類分級保護制度。分類分級保護是網絡資料安全制度的重要抓手。《資料安全法》第二十一條規定,國家建立資料分類分級保護制度。資料分類分級保護既是《資料安全法》确定的一項原則,也是《資料安全法》建構的一般制度。《條例》不僅在總則部分明确了資料分類分級的一般标準,而且專章建構了重要資料安全制度。例如,重要資料目錄、重要資料的處理者的特别義務和責任、處理前的風險評估的重點内容、風險評估的報告制度、省級以上有關主管部門的監管措施,等等。《條例》有關資料分類分級制度具有可操作性,對于保障資料安全具有指引作用。《條例》壓實了網絡資料處理者的主體責任。厘清網絡資料安全邊界,需要細化資料處理規則,明确各類主體責任。資料安全不是抽象的,而是具體的、全過程的。建立健全網絡資料安全管理制度,就意味着資料的收集、存儲、使用、加工、傳輸、提供、公開乃至删除等每一項處理活動和資料處理的每一個環節,都需要落實資料安全管理制度,納入資料安全的法治軌道。為保障資料安全,基于《資料安全法》和《個人資訊保護法》中“資料處理”“個人資訊的處理”以及“重要資料的處理者”“個人資訊處理者”等表述,《條例》提煉出“網絡資料處理者”這一重要概念,并且進一步健全了網絡資料處理者在不同場景處理不同資料的義務規則:履行法律、行政法規和國家标準強制性要求、建立健全網絡資料安全管理制度、采取必要安全技術措施和其他必要措施、建立健全網絡資料安全事件應急預案、處置網絡資料安全事件等義務,并對所處理的網絡資料的安全承擔主體責任。《條例》細化了網絡資料處理活動制度要求。對于個人資訊和重要資料的提供、委托處理和共同處理,《條例》對于相關合同的主要條款予以規定,增強了行政法規的指引性。針對現實經濟生活中已經出現的網絡資料處理者因合并、分立、解散、破産等原因需要轉移網絡資料的情形,《條例》明确規定網絡資料接收方應當繼續履行網絡資料安全保護義務。同時,針對提供生成式人工智能服務,《條例》專門規定網絡資料處理者應當加強對訓練資料和訓練資料處理活動的安全管理,采取有效措施防範和處置網絡資料安全風險,提高了相關規定的效力層級。此外,在《個人資訊保護法》的基礎上,《條例》專章規定了個人資訊保護具體規則,個人資訊安全得到更加有效的法治保障。《條例》優化了網絡資料跨境安全管理制度。黨的二十屆三中全會指出,“提升資料安全治理監管能力,建立高效便利安全的資料跨境流動機制。”為了規範網絡資料跨境,《條例》設定專章規定了網絡資料跨境安全管理,規定了網絡資料處理者可以向境外提供個人資訊的條件、重要資料出境的程式。同時,國家采取措施,防範、處置網絡資料跨境安全風險和威脅。尤為值得關注的是,為健全網絡資料領域的反制裁、反幹涉、反“長臂管轄”機制,完善大陸參與全球資料安全治理的國内法基礎,《條例》以《個人資訊保護法》和《資料安全法》的相關規定為依據,在總則部分明确規定了網絡資料安全的域外管轄制度。《條例》明确了網絡平台服務提供者責任義務。作為現階段數字經濟的主要形态,平台經濟主要是以資料為關鍵要素的經濟活動,是以,網絡平台服務提供者對于保障網絡資料安全承擔着重要作用。《條例》專章規定網絡平台服務提供者義務和責任,對于規範網絡平台服務提供者的行為、強化平台依法自律、維護使用者合法權益,推動平台經濟向上向善高品質發展具有重要的規範作用和指導意義。《條例》健全了網絡資料監督管理體制機制。資料作為新型生産要素,是數字化、網絡化、智能化的基礎,已快速融入生産、配置設定、流通、消費和社會服務管理等各環節,深刻改變着生産方式、生活方式和社會治理方式。規範網絡資料處理活動,保障網絡資料安全,促進網絡資料依法合理有效利用,保護個人、組織的合法權益,維護國家安全和公共利益,是一項需要政府、企業、社會和個人等各方共同參與的系統工程,特别是建立健全科學高效的監管體制,更好發揮政府的作用。《條例》建構了分工與協同相結合的網絡資料監督管理體制機制,有助于形成網絡資料安全監管合力。堅持高品質發展和高水準安全良性互動是《條例》的立法導向。準确了解和正确适用《條例》,必須全面準确把握《條例》的立法目标,以實作綱舉目張,充分發揮其法律效應。規範網絡資料處理活動,既要保障網絡資料安全,又要促進網絡資料依法合理有效利用,還要保護個人、組織的合法權益,維護國家安全和公共利益。可見,《條例》堅持以高品質發展促進高水準安全,以高水準安全保障高品質發展,與《網絡安全法》《資料安全法》《個人資訊保護法》一脈相承。《條例》設定了網絡資料安全的底線,劃清了網絡資料安全的紅線,明确網絡資料安全的責任,在法治軌道上明晰了網絡資料安全邊界,提升了網絡資料安全治理體系和能力的現代化的法治保障。我們期待,以高水準的資料安全法治建設,保障資料依法有序自由流動,助力充分發揮大陸海量資料規模和豐富應用場景優勢,做強做優做大數字經濟,賦能高品質發展,為實作中國式現代化持續注入強勁動能。
專家解讀三
加快建構網絡資料安全法規制度體系
全面提升治理監管能力楊建軍(中國電子技術标準化研究院副院長全國網絡安全标準化技術委員會秘書長)
習近平總書記強調,要堅持依法治網、依法辦網、依法上網,讓網際網路在法治軌道上健康運作。近年來,大陸加快網絡資料安全法律制度體系建設,《網絡安全法》《資料安全法》《個人資訊保護法》等法律相繼頒布實施,确立了網絡資料安全的基本制度架構和基本法律原則;制定出台《促進和規範資料跨境流動規定》《資料出境安全評估辦法》《個人資訊出境标準合同辦法》《汽車資料安全管理若幹規定(試行)》等部門規章,對網絡資料安全管理工作作出明确規定;研制釋出資料安全國家标準33項,在研标準18項,覆寫資料分類分級、資料安全風險評估、個人資訊保護等方面,網絡資料安全法規制度标準體系取得重大進展和顯著成效。
《網絡資料安全管理條例》(以下簡稱《條例》)作為網絡資料安全法規制度體系的重要組成部分,提供了更具操作性的法律制度依據,對于全面提升治理監管能力具有深刻意義。
一、深刻領會《條例》對網絡資料安全管理工作的重要意義
黨中央高度重視資料安全工作,習近平總書記多次就資料安全工作作出重要訓示,強調“要維護國家資料安全,保護個人資訊和商業秘密”。(一)《條例》是貫徹落實黨中央決策部署的重要舉措黨的二十屆三中全會提出“提升資料安全治理監管能力”“建立高效便利安全的資料跨境流動機制”等網絡資料安全領域重要任務。出台《條例》是建構大陸網絡資料安全治理體系的重要舉措,是實作網絡資料安全治理監管能力現代化的關鍵環節,是落實黨中央關于網絡資料安全工作重大部署的有效路徑。《條例》圍繞新時期、新形勢下網絡資料安全工作重點,對《網絡安全法》《資料安全法》《個人資訊保護法》作了進一步細化,為大陸深入開展網絡資料安全保護工作提供了重要保障。(二)《條例》是應對新形勢下網絡資料安全風險的迫切需求随着網絡化、數字化、智能化的迅猛發展,網絡資料高度彙聚、高頻流動、高度開放加劇網絡資料洩露風險。新型網絡欺詐、黑客攻擊等安全事件頻發,金融、生物、能源等重點領域敏感資料被竊取風險加劇。違法違規收集個人資訊、濫采濫用現象仍然存在,侵害人民群衆合法權益,危害社會安全。《條例》的出台,圍繞資料處理活動安全、個人資訊保護、重要資料保護、網絡平台服務提供者義務等方面提出明确要求,有力提升國家資料安全保障能力。(三)《條例》是開展網絡資料安全綜合治理工作的重要保障保障網絡資料安全是激活資料要素價值、推動數字經濟健康發展的重要基礎。大陸依法開展了資料跨境安全管理、App專項治理、汽車資料安全管理、重點領域資料安全風險評估等重點工作,有效規範網絡資料處理活動和處理行為,推進網絡資料安全高品質發展。《條例》的出台,圍繞資料安全、個人資訊保護的重點、難點問題進一步明确管理要求,劃定底線、紅線,為網絡資料安全治理工作提供重要法規保障。
二、《條例》對網絡資料安全管理工作提出了具體要求
貫徹總體國家安全觀,《條例》界定了适用範圍、保護對象、監管主體,提出了責任義務、安全要求,為網絡資料安全管理工作提供系統指引和工作遵循。(一)壓實網絡資料處理者責任義務。壓實網絡資料處理者的主體責任是做好網絡資料安全管理工作的關鍵。《條例》提出,一是網絡資料處理者對所處理網絡資料的安全承擔主體責任,并要求做好管理制度建設、技術措施使用、漏洞發現上報、事件應急處置等工作。二是針對為國家機關和關鍵資訊基礎設施營運者提供服務的網絡資料處理者、提供生成式人工智能服務的網絡資料處理者、面向社會提供産品服務的網絡資料處理者、網絡平台服務提供者等不同網絡資料主體提出了具體要求。(二)強化個人資訊、重要資料保護。個人資訊保護已成為廣大人民群衆最關心最直接最現實的利益問題之一,重要資料關系國家安全、經濟運作、社會穩定、公共健康和安全,做好個人資訊、重要資料保護工作是網絡資料安全管理工作的重點。《條例》在上位法的基礎上,針對網絡資料處理者提出,一是響應個人資訊轉移請求,提供通路、擷取其個人資訊的途徑。二是定期開展個人資訊保護合規審計。三是處理1000萬人以上個人資訊的,還應當履行明确網絡資料安全負責人和管理機構等義務。《條例》針對重要資料的處理者明确,一是應當按照國家有關規定識别、申報重要資料,落實網絡資料安全保護責任。二是明确網絡資料安全負責人和管理機構。三是定期開展風險評估。(三)做好網絡資料跨境安全管理。目前,網絡資料跨境交流共享需求旺盛,場景豐富,建構安全有序便捷的網絡資料跨境流動管理機制是網絡資料安全管理工作的重要探索。國家已明确資料出境安全評估、個人資訊出境标準合同、個人資訊保護認證等資料出境安全管理制度,今年釋出的《促進和規範資料跨境流動規定》對上述制度作出進一步優化調整。《條例》明确了重要資料出境需要評估,一般資料依法流動的管理原則,提出了個人資訊出境的條件,建立了與新發展格局相适宜的網絡資料跨境流動安全監管模式。(四)規範網絡平台服務提供者義務。黨的二十屆三中全會明确提出“促進平台經濟創新發展,健全平台經濟常态化監管制度”。網絡平台為處理個人資訊提供了基礎技術服務、設定基本處理規則,是個人資訊保護的關鍵。《條例》提出,一是網絡平台應加強對接入其平台的第三方産品和服務的網絡資料安全管理,對應用程式進行安全核驗,規範使用自動化決策方式進行資訊推送,鼓勵使用國家網絡身份認證公共服務。二是明确了大型網絡平台的定義,并要求其每年釋出年度個人資訊保護社會責任報告、報送風險評估報告等要求。
三、充分發揮好資料安全标準的規範引導作用,支撐《條例》落地實施
标準化工作是國家網絡資料安全治理體系的重要組成部分,也是落實《條例》的重要抓手。《條例》對标準化工作提出了要求。全國網絡安全标準化技術委員會作為網絡和資料安全國家标準的統一技術歸口組織,研制釋出了一批網絡資料安全重點标準,為《條例》的落地實施提供标準保障。(一)為網絡資料安全治理重點工作提供标準支撐已釋出的《資料分類分級規則》規定了資料分類分級的原則、架構、方法和流程,給出了重要資料識别指南;在研的《資料安全風險評估方法》給出了資料安全風險評估的實施流程、評估内容、分析評價方法;在研的《個人資訊跨境處理活動安全認證要求》等标準規定了跨境處理個人資訊時相關方應遵守的基本要求。(二)為重要資料、個人資訊保護提供标準方法正在研制的《資料安全保護要求》等标準,針對重要資料從資料處理安全、管理與運作安全、安全技術等方面提出保護要求,確定重要資料有效保護和合法利用。《個人資訊安全規範》《敏感個人資訊處理安全要求》等标準為個人資訊保護工作提出了基本要求,規範了開展收集、儲存、使用、對外提供等個人資訊處理活動應遵循的原則和安全要求。正在研制的《基于個人請求的個人資訊轉移要求》《個人資訊保護合規審計要求》等标準規定了個人資訊主體請求轉移其個人資訊的技術要求、個人資訊保護合規審計原則,促進個人資訊治理工作走向深入。(三)為規範網絡平台健康發展提供标準指引已釋出的網上購物、即時通信、網絡支付、網絡預約汽車、網絡音視訊、快遞物流等6項網絡服務資料安全标準,引導規範網絡服務平台營運者的資料安全活動。已釋出的《移動網際網路應用程式(App)收集個人資訊基本要求》《移動網際網路應用程式(App)個人資訊安全測評規範》等标準,規範了App等産品和服務收集和處理個人資訊的行為。在研的《基于個人資訊的自動化決策安全要求》《資料安全和個人資訊保護社會責任指南》等标準規定了自動化決策的透明度、社會責任評價名額。
下一步,将持續發揮标準在《條例》實施過程中的重要支撐作用,緊扣國家關于資料要素流通、人工智能等重大戰略部署,加強資料安全标準化工作總體研究和規劃布局,加快研制資料安全領域重點急需标準。
專家解讀四
健全資料安全法律制度 築牢網絡資料安全防線
蔣豔(國家工業資訊安全發展研究中心主任)為規範網絡資料處理活動,保護個人、組織在網絡空間的合法權益,維護國家安全、公共利益,國務院正式公布《網絡資料安全管理條例》(以下簡稱《條例》)。《條例》的出台,标志着大陸資料安全法規體系的進一步完善,對大陸強化資料安全和個人資訊保護、保障資料要素有序開發利用、促進數字經濟健康有序發展意義重大。
《條例》堅持科學立法、開門立法的原則,一方面,細化、落實《網絡安全法》《資料安全法》《個人資訊保護法》相關制度,明晰個人資訊“告知-同意”規則、重要資料風險評估、個人資訊跨境流動條件、網絡平台服務提供者第三方安全管理等要求,為後續立法、執法等實踐提供了重要依據。另一方面,《條例》針對網絡資料安全管理的突出問題,在科學總結過往治理經驗的同時,兼顧新技術新應用帶來的新的安全問題,提煉個人資訊保護、重要資料安全、網絡資料跨境安全管理、網絡平台服務提供者義務等網絡資料治理方案,覆寫了網絡資料治理重要領域,為開展網絡資料安全管理工作提供了堅實的制度保障。一、深刻認識《條例》出台的重要意義黨中央、國務院高度重視資料安全工作。習近平總書記多次作出重要訓示批示,強調“沒有網絡安全就沒有國家安全”“要切實保障國家資料安全”“強化國家關鍵資料資源保護能力”。《條例》貫徹落實黨中央、國務院關于資料安全的決策部署,統籌發展與安全,鼓勵網絡資料合理有效利用,促進以資料為關鍵要素的數字經濟發展,并劃定安全“底線”和“紅線”。(一)《條例》是落實法律重大制度設計的内在需要大陸《網絡安全法》《資料安全法》《個人資訊保護法》等法律的相繼出台,為網絡資料安全提供了基本的法律架構與制度設計。《條例》作為《網絡安全法》《資料安全法》《個人資訊保護法》的配套行政法規,對上位法中的制度設計和原則性規定進行細化與落實,為網絡資料安全保障工作提供了具體的制度保障和實施路徑,有助于進一步推動大陸建立健全資料安全法律法規體系、強化重大制度銜接。(二)《條例》是服務數字經濟有序發展的重要保障資料作為數字經濟的核心要素,其價值在于能夠在不同主體之間流動和整合。然而,随着資料的開發、流通與利用,資料價值日益凸顯,資料洩露、資料竊取等安全風險也與日俱增,嚴重影響數字經濟活動的穩定性。《條例》緊扣數字經濟發展需求,通過建構完善網絡資料安全責任義務體系,保障資料在安全的網絡環境下得到充分開發和利用,有助于進一步推動大陸數字經濟高品質、可持續發展。(三)《條例》是維護網絡空間安全秩序的關鍵舉措近年來,個人資訊、企業資料、政務資料等洩露、被非法利用事件時有發生,網絡資料安全關系廣大人民群衆切身利益,關系企業經營活動,關系到國家安全。社會各界十分關注網絡資料安全,《條例》的出台就是積極回應社會各界的關切,規範網絡資料處理行為,打擊網絡資料違法活動,保護個人、企業在網絡空間的合法權益,保障好經濟發展和國家安全。二、《條例》為開展網絡資料安全管理工作提供了基本遵循(一)建立網絡資料安全管理工作閉環,落實好總體國家安全觀《條例》貫徹總體國家安全觀,從網絡資料分類分級、安全防護、應急處置、事件報告、安全檢查、資訊共享,以及重要資料申報和告知、提供或者委托處理、風險評估、年度報告等角度,建構資料識别、處理、防護、評估、檢查、整改、應急響應等體系化、閉環式管理機制。一是網絡資料治理工作需要各方參與,《條例》通過對國家、有關部門和地方層面的網絡資料安全監管責任劃分,以及網絡資料處理者對所處理網絡資料的安全承擔主體責任的要求,統籌推進網絡資料安全管理工作。二是強調網絡資料安全管理的動态性。資料要素是流動的,網絡資料處理者的網絡資料處理情況也是變化的,《條例》強調網絡資料處理者主動識别、申報重要資料情況,重要資料的處理者主體發生變化需要報告重要資料處置方案,以及提供、委托處理個人資訊和重要資料的安全管理等要求,旨在指導網絡資料處理者及時掌握處理網絡資料最新情況,及時履行網絡資料安全保護責任。(二)明确個人資訊保護要求,加大個人權益保護力度個人資訊保護已成為廣大人民群衆最關心的利益問題之一,《個人資訊保護法》規定個人對其個人資訊的處理享有知情權、決定權、删除權等權益,但相關規定的實踐、落實,仍需進一步具體的操作指導。一是《條例》明确處理1000萬人以上個人資訊的網絡資料處理者,需按照《條例》第三十條規定,明确網絡資料安全負責人和管理機構。二是針對廣大人民群衆反映較多的隐私政策或者使用者協定隐藏過深、内容冗長晦澀等情況,以及個人資訊捆綁授權、強制授權等問題,《條例》規定個人資訊處理規則包括處理個人資訊的目的、方式、種類,處理敏感個人資訊的必要性及其對個人權益的影響等内容,要求個人資訊處理規則集中公開展示、易于通路并置于醒目位置;明确“單獨同意”的具體要求,強調不得通過誤導、欺詐、脅迫等方式取得個人同意,不得在個人明确表示不同意處理其個人資訊後,頻繁征求同意。三是針對自動化采集技術等無法避免采集到非必要個人資訊、個人登出賬号後個人資訊處理問題等新情況,要求網絡資料處理者删除個人資訊或者進行匿名化處理。(三)規範網絡資料跨境安全管理,促進資料高效便捷安全流動大陸《“十四五”數字經濟發展規劃》提出要“規範資料采集、傳輸、存儲、處理、共享、銷毀全生命周期管理,推動資料使用者落實資料安全保護責任”。規範化的資料處理活動是保障資料準确性、完整性與安全性的關鍵,也是促進資料高效便捷安全跨境流動、激發資料要素創新活力的關鍵。《條例》在前期資料出境安全管理工作基礎上,探索資料跨境流動便利化機制。一是國家網信部門統籌協調有關部門建立國家資料出境安全管理專項工作機制,研究制定國家網絡資料出境安全管理相關政策,協調處理網絡資料出境安全重大事項。二是《條例》在資料出境安全評估、安全認證、标準合同等三種向境外提供個人資訊方式的基礎上,結合資料出境安全實踐情況,針對為訂立、履行個人作為一方當事人的合同,按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,為履行法定職責或者法定義務,緊急情況下為保護自然人的生命健康和财産安全等确需向境外提供個人資訊的五種情形,明确其可以作為向境外提供個人資訊的條件,便利資料跨境流動,服務高水準對外開放。三是針對重要資料出境情形,《條例》強調網絡資料處理者在中華人民共和國境内營運中收集和産生的重要資料确需向境外提供的,應當通過國家網信部門組織的資料出境安全評估。網絡資料處理者按照國家有關規定識别、申報重要資料,但未被相關地區、部門告知或者公開釋出為重要資料的,不需要将其作為重要資料申報資料出境安全評估。回應了各方對于研判是否屬于重要資料出境、是否需要申報資料出境安全評估的關切。(四)明晰網絡平台服務提供者義務,壓實網絡資料安全管理責任随着數字經濟的快速發展,網絡平台服務提供者在網絡資料處理和管理中扮演着重要角色。目前網絡平台利用資料實施不正當競争、算法歧視等問題日益突出,影響使用者合法權益和平台的有序發展。為此,一是《條例》明确了網絡平台服務提供者、預裝應用程式的智能終端等裝置生産者第三方安全管理責任,要求其督促平台内第三方産品和服務提供者履行網絡資料安全保護責任。二是針對目前個性化推薦服務關閉難、收集個人資訊類型多、個人精準畫像資料存在濫用風險等問題,《條例》強調設定易于了解、便于通路和操作的個性化推薦關閉選項,為使用者提供拒絕接收推送資訊、删除針對其個人特征的使用者标簽等功能,以保障使用者合法權益。三是明确大型網絡平台服務提供者每年度釋出個人資訊保護社會責任報告,接受社會各界監督。同時要求平台不得利用資料實施不正當競争行為,以此維護市場的公平競争秩序。三、落實《條例》要求,推動網絡資料治理工作的幾點思考(一)彙聚各方力量,推動《條例》縱深落地一方面,持續做好《條例》等網絡資料安全法規政策宣貫工作,通過集中宣講教育訓練,深入地方和重點企業等方式,引導有關部門用好、用活、用足政策,指導企業及時掌握政策要求,建構網絡資料安全合規體系。另一方面,支援網絡資料分類分級、風險評估、監測預警等技術、産品研制,加快網絡資料安全人才培養,更好地支撐網絡資料安全綜合保障體系建設。(二)推動網絡資料安全規則指引、标準進一步完善目前,資料分類分級規則、個人資訊安全規範等國家标準已制定實施,重要資料安全管理、敏感個人資訊保護等領域多項标準正在研制,工業和資訊化、自然資源、金融、教育等領域已制定資料安全管理辦法或者資料分類分級規則,為資料安全和個人資訊保護工作提供指導。下一步應當鼓勵有關主管部門,結合行業實際情況,加快行業領域資料安全相關規則指引、标準的制定實施,以及相關制度的試點工作,推動網絡資料治理工作落地落實。(三)充分發揮風險評估、檢查檢測等制度作用風險評估、合規審計、年度報告等工作,既是網絡資料處理者應當履行網絡資料安全管理責任,也是提高自身網絡資料安全管理能力的重要途徑。《條例》規定各有關主管部門定期組織開展本行業、本領域網絡資料安全風險評估,對網絡資料處理者履行網絡資料安全保護義務情況進行監督檢查;國家網信部門統籌協調有關主管部門及時彙總、研判、共享、釋出網絡資料安全風險相關資訊。有關部門應加強資訊共享,統籌各類檢查評估工作,在切實發揮檢查評估工作效能的同時,減少網絡資料營運者合規成本。《條例》着眼于國内外網絡資料治理與安全發展形勢,明确網絡資料處理者應當履行的義務責任,是大陸《網絡安全法》《資料安全法》《個人資訊保護法》在網絡資料治理實踐中發揮作用的重要抓手,更是大陸建立健全資料安全法規體系、提高資料安全保障能力的關鍵環節。《條例》的出台與實施将進一步築牢大陸數字經濟發展基礎,以高水準安全護航網絡強國建設。
免責聲明:本文轉自資訊安全與通信保密雜志社。文章内容系原作者個人觀點,本公衆号編譯/轉載僅為分享、傳達不同觀點,如有任何異議,歡迎聯系我們!
轉自丨資訊安全與通信保密雜志社
研究所簡介
國際技術經濟研究所(IITE)成立于1985年11月,是隸屬于國務院發展研究中心的非營利性研究機構,主要職能是研究大陸經濟、科技社會發展中的重大政策性、戰略性、前瞻性問題,跟蹤和分析世界科技、經濟發展态勢,為中央和有關部委提供決策咨詢服務。“全球技術地圖”為國際技術經濟研究所官方微信賬号,緻力于向公衆傳遞前沿技術資訊和科技創新洞見。
位址:北京市海澱區小南莊20号樓A座
電話:010-82635522
微信:iite_er