第八届云安全联盟大中华区大会将于11月15日北京举办,欢迎扫码报名
2024年9月30日,国务院总理李强日前签署国务院令,公布《网络数据安全管理条例》(以下简称《条例》),自2025年1月1日起施行。《条例》对《网络安全法》《数据安全法》《个人信息保护法》等法律的要求进行了细化,使抽象法律条款的要求更具体、更易于执行。《条例》对规范网络数据处理活动、保障网络数据安全,促进网络数据依法开发利用,保护个人、组织的合法权益,维护国家安全和公共利益都具有重要意义。同时也为促进数据要素的价值发挥、推动数字经济的有序健康发展提供了法律保障。
坚持党的领导、立足国家安全
《条例》要求网络数据安全管理工作要坚持中国共产党的领导,贯彻总体国家安全观,网络数据处理活动如果影响或者可能影响国家安全,应当进行国家安全审查。境外的组织、个人从事危害国家安全的网络数据处理活动的,国家网信部门可以依法采取相应的必要措施。没有网络安全就没有国家安全,没有数据安全就没有国家安全。网络数据安全保护需要立足于国家安全的大局。
保障数据安全、促进开发利用
《条例》要求统筹数据开发利用与数据安全保障。数据安全的目标是不只是安全本身,而是实现数据安全保障与数据开发利用的平衡。同时《条例》积极参与国际规则和标准的制度,促进国际合作与交流。此外鼓励网络数据的创新应用和行业自律发展。数据安全保护是动态的过程,对于数据而言,也只有动起来、用起来的数据才是有价值的数据。因此数据安全保护的价值在于给数据的处理、流通、交易提供安全保障和信心。
明确责任义务、细化具体要求
《条例》明确了数据处理者在网络数据安全保护中的主体责任和义务。数据处理者的责任与义务贯穿数据收集、存储、使用、加工、传输、提供、公开、删除全生命周期的各项数据处理活动。数据处理者要明确网络数据安全负责人和网络数据安全管理机制,而且数据安全负责人具有直接向主管部门报告数据安全情况的权限。《条例》要求数据处理者落实等级保护制度、建立并执行数据分类分级制度、应急管理机制、事件管理与报告机制、委托处理安全机制、风险管理机制、漏洞管理机制等,形成完善的网络数据安全管理体系。此外还要求数据处理者采用加密、备份、标签标识、访问控制、安全认证等技术措施保障网络数据安全。
同时《条例》还针对个人信息、重要数据、数据跨境、网络服务平台等领域或场景进一步明确和细化了数据处理者的责任和义务。
除了责任和义务以外,《条例》也有不少针对数据者的建议性要求,比如要求国家鼓励保险公司开发网络数据损害赔偿责任险种,也鼓励网络平台服务提供者投保。希望随着数据安全相关险种的发展与成熟,越来越多的数据处理者能主动投保。这样不仅可以在一定程度上帮数据处理者减少损失、分担网络数据安全事故的风险,也可以让数据安全保护体系更加完善、更加健全。
依据重要程度、分类分级保护
《条例》要求根据网络数据在经济社会发展中的重要程度,以及发生网络数据安全事件造成的危害程度对网络数据实行分类分级保护。数据分类分级保护可以实现风险、投入、收益的平衡,避免一刀切,使每种类型和等级的数据都能得到恰当的保护。
落实等级保护、加强数据安全
《条例》要求网络数据处理者在网络安全等级保护的基础上,加强网络数据安全防护,建立健全网络数据安全管理制度,采取技术措施和其他必要措施保护网络数据安全。虽然等级保护备案的目标是网络信息系统,但是信息系统是数据收集和处理的工具或载体,数据则是信息系统运行的产物。《条例》在等保基础上加强网络数据安全保护,既是对等级保护的完善和补充,又使得数据安全和个人信息保护有了更明确更具象的载体。
《条例》删除了征求意见稿中“数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理“的要求,即不再对保存期限届满的个人信息删除限定具体时间。另外针对技术手段难以实现数据删除或匿名化的场景,如果数据处理者停止除存储和必要安全保护以外的处理活动,也是符合要求的。整体来看张弛有度,具备一定的温度和灰度,在充分体现法律监管要求的同时,也具备了更好的可操作性,也更加“接地气“。
《条例》是《网安法》、《数安法》、《个保法》等法律法规落执行地最有力的抓手之一,是国家网络空间安全战略乃至国家安全战略的有力保障,更是数字经济发展的坚强后盾。以安全保发展、用安全促发展,《条例》将助力数据要素价值的充分发挥,为数字经济的发展保驾护航。
课程推荐
2019年云安全联盟CSA大中华区发布了数据安全认证专家CDSP1.0培训认证项目,成为全国首个数据安全认证项目;2024年10月更新发布数据安全认证专家CDSP2.0,以满足数字经济快速发展中对安全专业人才日益增长的需求。
CDSP 2.0课程将涵盖数据安全威胁、数据安全框架、数据安全最佳实践,以及数据安全风险识别、数据治理与架构设计等关键领域的关键知识和能力培养,帮助专业人员应对数据泄露、网络攻击和其他数据安全威胁,确保组织的数字资产安全。此外,CDSP 2.0课程将重点关注现代数字化安全威胁的应对策略,包括但不限于数据分类、加密、访问控制、事件响应、数据隐私法、风险评估、安全框架和安全软件开发等。
阅读推荐
点击阅读原文跳转《网络数据安全管理条例全文》