1、完善數據安全法律體系 護航數字經濟高質量發展
余曉暉(第十四屆全國政協委員、中國信息通信研究院院長)
2、強化網絡數據安全治理體系和能力現代化的法治保障
時建中(中國政法大學副校長、教授,數據法治研究院院長)
3、加快構建網絡數據安全法規制度體系 全面提升治理監管能力
楊建軍(中國電子技術標準化研究院副院長、全國網絡安全標準化技術委員會秘書長)
4、健全數據安全法律制度 筑牢網絡數據安全防線
蔣艷(國家工業信息安全發展研究中心主任)
完善數據安全法律體系
《網絡數據安全管理條例》(以下簡稱《條例》)的出臺進一步完善了我國數據安全管理法律體系,對于明確網絡數據安全管理要求、提升治網管網水平具有重要意義,也為充分釋放數據要素價值、護航數字經濟高質量發展提供了有力法治保障。
一、《條例》完善數據安全管理法律體系意義重大
(一)貫徹落實總體國家安全觀的重要舉措。數據安全是總體國家安全觀的重要領域。黨中央、國務院高度重視數據安全工作,提出加快法規制度建設、切實保障國家數據安全等明確要求。習近平總書記強調,“要維護國家數據安全,保護個人信息和商業秘密,促進數據高效流通使用、賦能實體經濟”“加快構建數據基礎制度體系”。黨的二十屆三中全會指出,要“提升數據安全治理監管能力,建立高效便利安全的數據跨境流動機制”。數據安全牽一發而動全身,完善數據安全管理不僅關乎數據本身作為重要生產要素的開發利用與安全問題,而且與國家主權、國家安全、社會秩序、公共利益休戚相關。《條例》貫徹總體國家安全觀,統籌促進網絡數據開發利用與保障網絡數據安全,進一步夯實了維護數據安全的法治根基。(二)順應全球數據安全發展形勢的必然要求。網絡數據安全是全球各國面臨的共同挑戰,隨著人工智能、大數據等新技術新應用的快速發展,數據體量呈現爆發式增長,安全風險也與日俱增,強化網絡數據安全管理的重要性愈加突出。從國際社會來看,主要國家和地區高度重視數據資源的基礎性和戰略性價值,持續完善數據安全領域法律法規,如歐盟理事會2023年11月正式通過《數據法》,在《通用數據保護條例》的基礎上,提供了適用于所有數據的更廣泛的規則。我國積極應對數據安全新形勢,在已有數據安全法律基礎上制定出臺《條例》,進一步完善數據安全管理制度體系,切實保障國家數據安全。(三)推動數字經濟高質量發展的制度保障。數據作為新型生產要素,是數字化、網絡化、智能化的基礎,已快速融入生產、分配、流通、消費和社會服務管理等各環節。《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》提出,以維護國家數據安全、保護個人信息和商業秘密為前提,構建適應數據特征、符合數字經濟發展規律、保障國家數據安全、彰顯創新引領的數據基礎制度。為充分發揮我國海量數據規模和豐富應用場景優勢,激活數據要素潛能,做強做優做大數字經濟,國務院適時出臺《條例》,充分發揮法治固根本、穩預期、利長遠的作用,確保數據安全工作和數據要素市場建設在法治軌道上穩步推進,以高水平數據安全保障數據要素市場高質量發展。
二、《條例》筑牢數據安全管理制度底座特色鮮明
《條例》共計9章64條,不僅明確了網絡數據安全管理的一般規定,也進一步完善細化了個人信息保護、重要數據安全管理、網絡數據跨境安全管理、網絡平臺服務提供者義務等方面的具體要求,夯實了我國數據安全管理制度底座,具有鮮明的系統性、創新性、時代性和開放性。(一)堅持系統觀念,完善數據安全法律規范體系。經過多年的發展,我國已經初步搭建了以《網絡安全法》《數據安全法》《個人信息保護法》為核心的數據安全法律框架。《條例》的出臺,通過一部行政法規統籌落實了三部上位法律所規定的數據安全管理要求,細化了數據分類分級、數據跨境流動、個人信息處理等制度規定,進一步強化了不同法律之間的制度銜接,增強法律規范的系統性。與此同時,《條例》也進一步推動構建形成了“法律-行政法規-部門規章”的全位階法律規范體系。(二)堅持守正創新,充實數據安全管理基本要求。《條例》貫徹落實上位法相關制度,在繼承數據分類分級保護制度等原則性要求的基礎上,充分發揮行政法規的靈活性和創新空間,針對數據處理新情況作了相應制度設計。例如,針對網絡數據處理者使用自動化工具訪問、收集網絡數據的情況,《條例》規定應當評估對網絡服務帶來的影響,要求不得非法侵入他人網絡、不得干擾網絡服務正常運行。再如,針對人工智能發展帶來的訓練數據問題,《條例》要求提供生成式人工智能服務的網絡數據處理者應當加強對訓練數據和訓練數據處理活動的安全管理,采取有效措施防范和處置網絡數據安全風險。(三)堅持與時俱進,細化個人信息保護制度規則。《條例》立足當前數字經濟發展的需求,在《個人信息保護法》確立的基本原則和規則基礎上,根據具體場景進一步細化相關個人信息保護要求。例如,《條例》針對實踐中濫用“個人同意”的問題,明確規定了網絡數據處理者基于個人同意處理個人信息應當遵守的具體要求,包括收集個人信息為提供產品或者服務所必需,不得超范圍收集,不得通過誤導、欺詐、脅迫等方式取得個人同意。再如,《條例》針對個人信息主體需要轉移個人信息行使個人權利的問題,明確規定了實施個人信息轉移的條件,并且要求網絡數據處理者應當為個人信息主體行使相關權益提供可落地的具體路徑。(四)堅持開放發展,促進網絡數據跨境流動。《條例》細化數據出境中的安全管理要求,為促進數據依法有序自由流動提供具體指引。一方面,《條例》遵循我國現有數據跨境流動制度體系,明確了個人信息和重要數據跨境提供的具體條件,將《促進和規范數據跨境流動規定》等相關規章規定上升為行政法規,為網絡數據處理者向境外提供網絡數據提供了清晰指引。例如,《條例》明確列舉了網絡數據處理者可以向境外提供個人信息的八種情形,進一步便利相關主體的實踐操作,為促進數據跨境流動提供了更為有力的制度保障。另一方面,《條例》強化了數據跨境流動中的安全管理要求,規定國家采取措施防范、處置數據跨境風險和威脅,禁止提供專門用于破壞、避開技術措施的程序、工具等,為數據跨境流動提供安全保障。(五)堅持協同治理,壓實網絡平臺主體責任。隨著互聯網的快速發展,網絡平臺已經成為網絡空間治理的關鍵節點。尤其是大型網絡平臺,因其龐大的用戶基礎和復雜的數據處理活動,對個人隱私和數據安全具有重大影響。《條例》設立網絡平臺服務提供者專章,規定了其在網絡數據安全管理方面的義務,強化全鏈條數據安全保護。例如,《條例》不僅規定了網絡平臺服務提供者自身應當履行的網絡數據安全管理義務,還明確了網絡平臺服務提供者應當通過平臺規則或合同形式明確第三方網絡數據安全管理義務,未盡到相應督促落實義務、造成用戶損害的,網絡平臺服務提供者依法承擔相應責任。
三、《條例》開啟我國數據治理法治化新階段
當前,互聯網加速演進升級,數字經濟持續快速發展,數據作為數字時代的新型生產要素在推動經濟高質量發展和新質生產力形成中的作用更加凸顯。新時代新征程,要準確把握我國數據治理面臨的新形勢新任務,以《條例》出臺為契機,筑法治之基、行法治之力、積法治之勢,在法治軌道上持續推進數據發展和安全治理工作,以高水平數據法治建設護航數字經濟高質量發展。一是構建更加完備的數據治理法律規范體系,建立健全數據交易流通等基礎制度規則,及時應對人工智能、大數據、云計算等新技術發展帶來的數據安全風險挑戰,科學運用法律法規引導新興領域發展。二是構建更加高效的數據治理法律實施體系,持續深化《條例》各項制度施行,堅持促進發展和依法管理相統一,充分發揮《條例》在推動數據產業發展和規范安全管理中的作用,深入開展嚴格規范公正文明網絡執法。三是構建更加有力的數據治理保障體系,強化數據安全法規制度宣傳推廣,提升全社會數據安全法治意識和能力,深化數據領域法治研究,切實以數據治理法治化助力網絡強國和數字中國建設。
強化網絡數據安全治理體系和能力現代化
隨著數字技術的蓬勃發展和廣泛運用,社會經濟生活的每個領域都在深度網絡化、信息化和數據化。沒有數據安全就沒有國家安全。《網絡數據安全管理條例》(以下簡稱《條例》)以《網絡安全法》《數據安全法》《個人信息保護法》等法律為依據,聚焦網絡數據,細化相關規定,完善網絡數據安全規則,為提升網絡數據安全治理體系和能力現代化提供了更有可操作性的法治保障,標志著我國網絡數據安全治理進入了新階段。《條例》完善了網絡數據分類分級保護制度。分類分級保護是網絡數據安全制度的重要抓手。《數據安全法》第二十一條規定,國家建立數據分類分級保護制度。數據分類分級保護既是《數據安全法》確定的一項原則,也是《數據安全法》構建的一般制度。《條例》不僅在總則部分明確了數據分類分級的一般標準,而且專章構建了重要數據安全制度。例如,重要數據目錄、重要數據的處理者的特別義務和責任、處理前的風險評估的重點內容、風險評估的報告制度、省級以上有關主管部門的監管措施,等等。《條例》有關數據分類分級制度具有可操作性,對于保障數據安全具有指引作用。《條例》壓實了網絡數據處理者的主體責任。厘清網絡數據安全邊界,需要細化數據處理規則,明確各類主體責任。數據安全不是抽象的,而是具體的、全過程的。建立健全網絡數據安全管理制度,就意味著數據的收集、存儲、使用、加工、傳輸、提供、公開乃至刪除等每一項處理活動和數據處理的每一個環節,都需要落實數據安全管理制度,納入數據安全的法治軌道。為保障數據安全,基于《數據安全法》和《個人信息保護法》中“數據處理”“個人信息的處理”以及“重要數據的處理者”“個人信息處理者”等表述,《條例》提煉出“網絡數據處理者”這一重要概念,并且進一步健全了網絡數據處理者在不同場景處理不同數據的義務規則:履行法律、行政法規和國家標準強制性要求、建立健全網絡數據安全管理制度、采取必要安全技術措施和其他必要措施、建立健全網絡數據安全事件應急預案、處置網絡數據安全事件等義務,并對所處理的網絡數據的安全承擔主體責任。《條例》細化了網絡數據處理活動制度要求。對于個人信息和重要數據的提供、委托處理和共同處理,《條例》對于相關合同的主要條款予以規定,增強了行政法規的指引性。針對現實經濟生活中已經出現的網絡數據處理者因合并、分立、解散、破產等原因需要轉移網絡數據的情形,《條例》明確規定網絡數據接收方應當繼續履行網絡數據安全保護義務。同時,針對提供生成式人工智能服務,《條例》專門規定網絡數據處理者應當加強對訓練數據和訓練數據處理活動的安全管理,采取有效措施防范和處置網絡數據安全風險,提高了相關規定的效力層級。此外,在《個人信息保護法》的基礎上,《條例》專章規定了個人信息保護具體規則,個人信息安全得到更加有效的法治保障。《條例》優化了網絡數據跨境安全管理制度。黨的二十屆三中全會指出,“提升數據安全治理監管能力,建立高效便利安全的數據跨境流動機制。”為了規范網絡數據跨境,《條例》設置專章規定了網絡數據跨境安全管理,規定了網絡數據處理者可以向境外提供個人信息的條件、重要數據出境的程序。同時,國家采取措施,防范、處置網絡數據跨境安全風險和威脅。尤為值得關注的是,為健全網絡數據領域的反制裁、反干涉、反“長臂管轄”機制,完善我國參與全球數據安全治理的國內法基礎,《條例》以《個人信息保護法》和《數據安全法》的相關規定為依據,在總則部分明確規定了網絡數據安全的域外管轄制度。《條例》明確了網絡平臺服務提供者責任義務。作為現階段數字經濟的主要形態,平臺經濟主要是以數據為關鍵要素的經濟活動,因此,網絡平臺服務提供者對于保障網絡數據安全承擔著重要作用。《條例》專章規定網絡平臺服務提供者義務和責任,對于規范網絡平臺服務提供者的行為、強化平臺依法自律、維護用戶合法權益,推動平臺經濟向上向善高質量發展具有重要的規范作用和指導意義。《條例》健全了網絡數據監督管理體制機制。數據作為新型生產要素,是數字化、網絡化、智能化的基礎,已快速融入生產、分配、流通、消費和社會服務管理等各環節,深刻改變著生產方式、生活方式和社會治理方式。規范網絡數據處理活動,保障網絡數據安全,促進網絡數據依法合理有效利用,保護個人、組織的合法權益,維護國家安全和公共利益,是一項需要政府、企業、社會和個人等各方共同參與的系統工程,特別是建立健全科學高效的監管體制,更好發揮政府的作用。《條例》構建了分工與協同相結合的網絡數據監督管理體制機制,有助于形成網絡數據安全監管合力。堅持高質量發展和高水平安全良性互動是《條例》的立法導向。準確理解和正確適用《條例》,必須全面準確把握《條例》的立法目標,以實現綱舉目張,充分發揮其法律效應。規范網絡數據處理活動,既要保障網絡數據安全,又要促進網絡數據依法合理有效利用,還要保護個人、組織的合法權益,維護國家安全和公共利益。可見,《條例》堅持以高質量發展促進高水平安全,以高水平安全保障高質量發展,與《網絡安全法》《數據安全法》《個人信息保護法》一脈相承。《條例》設定了網絡數據安全的底線,劃清了網絡數據安全的紅線,明確網絡數據安全的責任,在法治軌道上明晰了網絡數據安全邊界,提升了網絡數據安全治理體系和能力的現代化的法治保障。我們期待,以高水平的數據安全法治建設,保障數據依法有序自由流動,助力充分發揮我國海量數據規模和豐富應用場景優勢,做強做優做大數字經濟,賦能高質量發展,為實現中國式現代化持續注入強勁動能。
加快構建網絡數據安全法規制度體系
習近平總書記強調,要堅持依法治網、依法辦網、依法上網,讓互聯網在法治軌道上健康運行。近年來,我國加快網絡數據安全法律制度體系建設,《網絡安全法》《數據安全法》《個人信息保護法》等法律相繼頒布實施,確立了網絡數據安全的基本制度框架和基本法律原則;制定出臺《促進和規范數據跨境流動規定》《數據出境安全評估辦法》《個人信息出境標準合同辦法》《汽車數據安全管理若干規定(試行)》等部門規章,對網絡數據安全管理工作作出明確規定;研制發布數據安全國家標準33項,在研標準18項,覆蓋數據分類分級、數據安全風險評估、個人信息保護等方面,網絡數據安全法規制度標準體系取得重大進展和顯著成效。
《網絡數據安全管理條例》(以下簡稱《條例》)作為網絡數據安全法規制度體系的重要組成部分,提供了更具操作性的法律制度依據,對于全面提升治理監管能力具有深刻意義。
一、深刻領會《條例》對網絡數據安全管理工作的重要意義
黨中央高度重視數據安全工作,習近平總書記多次就數據安全工作作出重要指示,強調“要維護國家數據安全,保護個人信息和商業秘密”。黨的二十屆三中全會提出“提升數據安全治理監管能力”“建立高效便利安全的數據跨境流動機制”等網絡數據安全領域重要任務。出臺《條例》是構建我國網絡數據安全治理體系的重要舉措,是實現網絡數據安全治理監管能力現代化的關鍵環節,是落實黨中央關于網絡數據安全工作重大部署的有效路徑。《條例》圍繞新時期、新形勢下網絡數據安全工作重點,對《網絡安全法》《數據安全法》《個人信息保護法》作了進一步細化,為我國深入開展網絡數據安全保護工作提供了重要保障。(二)《條例》是應對新形勢下網絡數據安全風險的迫切需求隨著網絡化、數字化、智能化的迅猛發展,網絡數據高度匯聚、高頻流動、高度開放加劇網絡數據泄露風險。新型網絡欺詐、黑客攻擊等安全事件頻發,金融、生物、能源等重點領域敏感數據被竊取風險加劇。違法違規收集個人信息、濫采濫用現象仍然存在,侵害人民群眾合法權益,危害社會安全。《條例》的出臺,圍繞數據處理活動安全、個人信息保護、重要數據保護、網絡平臺服務提供者義務等方面提出明確要求,有力提升國家數據安全保障能力。(三)《條例》是開展網絡數據安全綜合治理工作的重要保障保障網絡數據安全是激活數據要素價值、推動數字經濟健康發展的重要基礎。我國依法開展了數據跨境安全管理、App專項治理、汽車數據安全管理、重點領域數據安全風險評估等重點工作,有效規范網絡數據處理活動和處理行為,推進網絡數據安全高質量發展。《條例》的出臺,圍繞數據安全、個人信息保護的重點、難點問題進一步明確管理要求,劃定底線、紅線,為網絡數據安全治理工作提供重要法規保障。
二、《條例》對網絡數據安全管理工作提出了具體要求
貫徹總體國家安全觀,《條例》界定了適用范圍、保護對象、監管主體,提出了責任義務、安全要求,為網絡數據安全管理工作提供系統指引和工作遵循。(一)壓實網絡數據處理者責任義務。壓實網絡數據處理者的主體責任是做好網絡數據安全管理工作的關鍵。《條例》提出,一是網絡數據處理者對所處理網絡數據的安全承擔主體責任,并要求做好管理制度建設、技術措施使用、漏洞發現上報、事件應急處置等工作。二是針對為國家機關和關鍵信息基礎設施運營者提供服務的網絡數據處理者、提供生成式人工智能服務的網絡數據處理者、面向社會提供產品服務的網絡數據處理者、網絡平臺服務提供者等不同網絡數據主體提出了具體要求。(二)強化個人信息、重要數據保護。個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一,重要數據關系國家安全、經濟運行、社會穩定、公共健康和安全,做好個人信息、重要數據保護工作是網絡數據安全管理工作的重點。《條例》在上位法的基礎上,針對網絡數據處理者提出,一是響應個人信息轉移請求,提供訪問、獲取其個人信息的途徑。二是定期開展個人信息保護合規審計。三是處理1000萬人以上個人信息的,還應當履行明確網絡數據安全負責人和管理機構等義務。《條例》針對重要數據的處理者明確,一是應當按照國家有關規定識別、申報重要數據,落實網絡數據安全保護責任。二是明確網絡數據安全負責人和管理機構。三是定期開展風險評估。(三)做好網絡數據跨境安全管理。當前,網絡數據跨境交流共享需求旺盛,場景豐富,構建安全有序便捷的網絡數據跨境流動管理機制是網絡數據安全管理工作的重要探索。國家已明確數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境安全管理制度,今年發布的《促進和規范數據跨境流動規定》對上述制度作出進一步優化調整。《條例》明確了重要數據出境需要評估,一般數據依法流動的管理原則,提出了個人信息出境的條件,建立了與新發展格局相適宜的網絡數據跨境流動安全監管模式。(四)規范網絡平臺服務提供者義務。黨的二十屆三中全會明確提出“促進平臺經濟創新發展,健全平臺經濟常態化監管制度”。網絡平臺為處理個人信息提供了基礎技術服務、設定基本處理規則,是個人信息保護的關鍵。《條例》提出,一是網絡平臺應加強對接入其平臺的第三方產品和服務的網絡數據安全管理,對應用程序進行安全核驗,規范使用自動化決策方式進行信息推送,鼓勵使用國家網絡身份認證公共服務。二是明確了大型網絡平臺的定義,并要求其每年發布年度個人信息保護社會責任報告、報送風險評估報告等要求。
三、充分發揮好數據安全標準的規范引導作用,支撐《條例》落地實施
標準化工作是國家網絡數據安全治理體系的重要組成部分,也是落實《條例》的重要抓手。《條例》對標準化工作提出了要求。全國網絡安全標準化技術委員會作為網絡和數據安全國家標準的統一技術歸口組織,研制發布了一批網絡數據安全重點標準,為《條例》的落地實施提供標準保障。已發布的《數據分類分級規則》規定了數據分類分級的原則、框架、方法和流程,給出了重要數據識別指南;在研的《數據安全風險評估方法》給出了數據安全風險評估的實施流程、評估內容、分析評價方法;在研的《個人信息跨境處理活動安全認證要求》等標準規定了跨境處理個人信息時相關方應遵守的基本要求。正在研制的《數據安全保護要求》等標準,針對重要數據從數據處理安全、管理與運行安全、安全技術等方面提出保護要求,確保重要數據有效保護和合法利用。《個人信息安全規范》《敏感個人信息處理安全要求》等標準為個人信息保護工作提出了基本要求,規范了開展收集、保存、使用、對外提供等個人信息處理活動應遵循的原則和安全要求。正在研制的《基于個人請求的個人信息轉移要求》《個人信息保護合規審計要求》等標準規定了個人信息主體請求轉移其個人信息的技術要求、個人信息保護合規審計原則,促進個人信息治理工作走向深入。已發布的網上購物、即時通信、網絡支付、網絡預約汽車、網絡音視頻、快遞物流等6項網絡服務數據安全標準,引導規范網絡服務平臺運營者的數據安全活動。已發布的《移動互聯網應用程序(App)收集個人信息基本要求》《移動互聯網應用程序(App)個人信息安全測評規范》等標準,規范了App等產品和服務收集和處理個人信息的行為。在研的《基于個人信息的自動化決策安全要求》《數據安全和個人信息保護社會責任指南》等標準規定了自動化決策的透明度、社會責任評價指標。
下一步,將持續發揮標準在《條例》實施過程中的重要支撐作用,緊扣國家關于數據要素流通、人工智能等重大戰略部署,加強數據安全標準化工作總體研究和規劃布局,加快研制數據安全領域重點急需標準。
健全數據安全法律制度 筑牢網絡數據安全防線
為規范網絡數據處理活動,保護個人、組織在網絡空間的合法權益,維護國家安全、公共利益,國務院正式公布《網絡數據安全管理條例》(以下簡稱《條例》)。《條例》的出臺,標志著我國數據安全法規體系的進一步完善,對我國強化數據安全和個人信息保護、保障數據要素有序開發利用、促進數字經濟健康有序發展意義重大。
《條例》堅持科學立法、開門立法的原則,一方面,細化、落實《網絡安全法》《數據安全法》《個人信息保護法》相關制度,明晰個人信息“告知-同意”規則、重要數據風險評估、個人信息跨境流動條件、網絡平臺服務提供者第三方安全管理等要求,為后續立法、執法等實踐提供了重要依據。另一方面,《條例》針對網絡數據安全管理的突出問題,在科學總結過往治理經驗的同時,兼顧新技術新應用帶來的新的安全問題,提煉個人信息保護、重要數據安全、網絡數據跨境安全管理、網絡平臺服務提供者義務等網絡數據治理方案,覆蓋了網絡數據治理重要領域,為開展網絡數據安全管理工作提供了堅實的制度保障。黨中央、國務院高度重視數據安全工作。習近平總書記多次作出重要指示批示,強調“沒有網絡安全就沒有國家安全”“要切實保障國家數據安全”“強化國家關鍵數據資源保護能力”。《條例》貫徹落實黨中央、國務院關于數據安全的決策部署,統籌發展與安全,鼓勵網絡數據合理有效利用,促進以數據為關鍵要素的數字經濟發展,并劃定安全“底線”和“紅線”。我國《網絡安全法》《數據安全法》《個人信息保護法》等法律的相繼出臺,為網絡數據安全提供了基本的法律框架與制度設計。《條例》作為《網絡安全法》《數據安全法》《個人信息保護法》的配套行政法規,對上位法中的制度設計和原則性規定進行細化與落實,為網絡數據安全保障工作提供了具體的制度保障和實施路徑,有助于進一步推動我國建立健全數據安全法律法規體系、強化重大制度銜接。數據作為數字經濟的核心要素,其價值在于能夠在不同主體之間流動和整合。然而,隨著數據的開發、流通與利用,數據價值日益凸顯,數據泄露、數據竊取等安全風險也與日俱增,嚴重影響數字經濟活動的穩定性。《條例》緊扣數字經濟發展需求,通過構建完善網絡數據安全責任義務體系,保障數據在安全的網絡環境下得到充分開發和利用,有助于進一步推動我國數字經濟高質量、可持續發展。近年來,個人信息、企業數據、政務數據等泄露、被非法利用事件時有發生,網絡數據安全關系廣大人民群眾切身利益,關系企業經營活動,關系到國家安全。社會各界十分關注網絡數據安全,《條例》的出臺就是積極回應社會各界的關切,規范網絡數據處理行為,打擊網絡數據違法活動,保護個人、企業在網絡空間的合法權益,保障好經濟發展和國家安全。二、《條例》為開展網絡數據安全管理工作提供了基本遵循(一)建立網絡數據安全管理工作閉環,落實好總體國家安全觀《條例》貫徹總體國家安全觀,從網絡數據分類分級、安全防護、應急處置、事件報告、安全檢查、信息共享,以及重要數據申報和告知、提供或者委托處理、風險評估、年度報告等角度,構建數據識別、處理、防護、評估、檢查、整改、應急響應等體系化、閉環式管理機制。一是網絡數據治理工作需要各方參與,《條例》通過對國家、有關部門和地方層面的網絡數據安全監管責任劃分,以及網絡數據處理者對所處理網絡數據的安全承擔主體責任的要求,統籌推進網絡數據安全管理工作。二是強調網絡數據安全管理的動態性。數據要素是流動的,網絡數據處理者的網絡數據處理情況也是變化的,《條例》強調網絡數據處理者主動識別、申報重要數據情況,重要數據的處理者主體發生變化需要報告重要數據處置方案,以及提供、委托處理個人信息和重要數據的安全管理等要求,旨在指導網絡數據處理者及時掌握處理網絡數據最新情況,及時履行網絡數據安全保護責任。個人信息保護已成為廣大人民群眾最關心的利益問題之一,《個人信息保護法》規定個人對其個人信息的處理享有知情權、決定權、刪除權等權益,但相關規定的實踐、落實,仍需進一步具體的操作指導。一是《條例》明確處理1000萬人以上個人信息的網絡數據處理者,需按照《條例》第三十條規定,明確網絡數據安全負責人和管理機構。二是針對廣大人民群眾反映較多的隱私政策或者用戶協議隱藏過深、內容冗長晦澀等情況,以及個人信息捆綁授權、強制授權等問題,《條例》規定個人信息處理規則包括處理個人信息的目的、方式、種類,處理敏感個人信息的必要性及其對個人權益的影響等內容,要求個人信息處理規則集中公開展示、易于訪問并置于醒目位置;明確“單獨同意”的具體要求,強調不得通過誤導、欺詐、脅迫等方式取得個人同意,不得在個人明確表示不同意處理其個人信息后,頻繁征求同意。三是針對自動化采集技術等無法避免采集到非必要個人信息、個人注銷賬號后個人信息處理問題等新情況,要求網絡數據處理者刪除個人信息或者進行匿名化處理。(三)規范網絡數據跨境安全管理,促進數據高效便捷安全流動我國《“十四五”數字經濟發展規劃》提出要“規范數據采集、傳輸、存儲、處理、共享、銷毀全生命周期管理,推動數據使用者落實數據安全保護責任”。規范化的數據處理活動是保障數據準確性、完整性與安全性的關鍵,也是促進數據高效便捷安全跨境流動、激發數據要素創新活力的關鍵。《條例》在前期數據出境安全管理工作基礎上,探索數據跨境流動便利化機制。一是國家網信部門統籌協調有關部門建立國家數據出境安全管理專項工作機制,研究制定國家網絡數據出境安全管理相關政策,協調處理網絡數據出境安全重大事項。二是《條例》在數據出境安全評估、安全認證、標準合同等三種向境外提供個人信息方式的基礎上,結合數據出境安全實踐情況,針對為訂立、履行個人作為一方當事人的合同,按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,為履行法定職責或者法定義務,緊急情況下為保護自然人的生命健康和財產安全等確需向境外提供個人信息的五種情形,明確其可以作為向境外提供個人信息的條件,便利數據跨境流動,服務高水平對外開放。三是針對重要數據出境情形,《條例》強調網絡數據處理者在中華人民共和國境內運營中收集和產生的重要數據確需向境外提供的,應當通過國家網信部門組織的數據出境安全評估。網絡數據處理者按照國家有關規定識別、申報重要數據,但未被相關地區、部門告知或者公開發布為重要數據的,不需要將其作為重要數據申報數據出境安全評估。回應了各方對于研判是否屬于重要數據出境、是否需要申報數據出境安全評估的關切。(四)明晰網絡平臺服務提供者義務,壓實網絡數據安全管理責任隨著數字經濟的快速發展,網絡平臺服務提供者在網絡數據處理和管理中扮演著重要角色。當前網絡平臺利用數據實施不正當競爭、算法歧視等問題日益突出,影響用戶合法權益和平臺的有序發展。為此,一是《條例》明確了網絡平臺服務提供者、預裝應用程序的智能終端等設備生產者第三方安全管理責任,要求其督促平臺內第三方產品和服務提供者履行網絡數據安全保護責任。二是針對當前個性化推薦服務關閉難、收集個人信息類型多、個人精準畫像數據存在濫用風險等問題,《條例》強調設置易于理解、便于訪問和操作的個性化推薦關閉選項,為用戶提供拒絕接收推送信息、刪除針對其個人特征的用戶標簽等功能,以保障用戶合法權益。三是明確大型網絡平臺服務提供者每年度發布個人信息保護社會責任報告,接受社會各界監督。同時要求平臺不得利用數據實施不正當競爭行為,以此維護市場的公平競爭秩序。三、落實《條例》要求,推動網絡數據治理工作的幾點思考一方面,持續做好《條例》等網絡數據安全法規政策宣貫工作,通過集中宣講培訓,深入地方和重點企業等方式,引導有關部門用好、用活、用足政策,指導企業及時掌握政策要求,構建網絡數據安全合規體系。另一方面,支持網絡數據分類分級、風險評估、監測預警等技術、產品研制,加快網絡數據安全人才培養,更好地支撐網絡數據安全綜合保障體系建設。目前,數據分類分級規則、個人信息安全規范等國家標準已制定實施,重要數據安全管理、敏感個人信息保護等領域多項標準正在研制,工業和信息化、自然資源、金融、教育等領域已制定數據安全管理辦法或者數據分類分級規則,為數據安全和個人信息保護工作提供指導。下一步應當鼓勵有關主管部門,結合行業實際情況,加快行業領域數據安全相關規則指引、標準的制定實施,以及相關制度的試點工作,推動網絡數據治理工作落地落實。風險評估、合規審計、年度報告等工作,既是網絡數據處理者應當履行網絡數據安全管理責任,也是提高自身網絡數據安全管理能力的重要途徑。《條例》規定各有關主管部門定期組織開展本行業、本領域網絡數據安全風險評估,對網絡數據處理者履行網絡數據安全保護義務情況進行監督檢查;國家網信部門統籌協調有關主管部門及時匯總、研判、共享、發布網絡數據安全風險相關信息。有關部門應加強信息共享,統籌各類檢查評估工作,在切實發揮檢查評估工作效能的同時,減少網絡數據運營者合規成本。《條例》著眼于國內外網絡數據治理與安全發展形勢,明確網絡數據處理者應當履行的義務責任,是我國《網絡安全法》《數據安全法》《個人信息保護法》在網絡數據治理實踐中發揮作用的重要抓手,更是我國建立健全數據安全法規體系、提高數據安全保障能力的關鍵環節。《條例》的出臺與實施將進一步筑牢我國數字經濟發展基礎,以高水平安全護航網絡強國建設。
免責聲明:本文轉自信息安全與通信保密雜志社。文章內容系原作者個人觀點,本轉載僅為分享、傳達不同觀點,如有任何異議,歡迎聯系我們!
浙公網安備 33010502006954號 
