《网数条例》需关注的10个扩展问题

文摘   2024-10-28 12:36   上海  

寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

点击  "合规社"  > 点击右上角“···” > 设为星标⭐

作者 | Smart
编辑 | 郑烨


探索数据安全要塞,守护数字世界。

——《数据守望》专栏


No.037


《网络数据安全管理条例》,值得关注的十个扩展问题

 

01

简要回顾

上篇📖安全视角精读《网数条例》| 责任主体及监管结构),对涉及主体对象及他们的职责进行对比分析,包括个人和组织、数据处理者、服务者提供、监督管理者,描述了”国家数据管理部门“的职责内容。

图1:《网数条例》简要框架图

文中总结了个人层面学习法律、标准规范的方法和步骤,一共分解7步,如图2。

特别说明,为什么最后一步研究“出台背景”一个原因是我们对《网数条例》本身应该逐字逐句的学习,不宜过早了解各种细节故事,容易造成干扰。另外原因只有真正参与《网数条例》的编写、讨论、修改过程的“国家级专家”,他们清楚具体的“删减和调整”。我们只有在非常熟悉其中内容后,再去了解它背后的故事,更加具备趣味性和更容易理解。

图2:法律法规学习路径图

02

值得关注的十个扩展问题

Q1
《网络条例》与其他法律法规的关系?

《网络条例》主要聚焦网络数据范围,对网络和数据安全领域的三步上位法的衔接和具体化,与《关键信息基础设施安全保护条例》相互支撑,变成“3+2”模式。在数据跨境安全方面,引用了我国目前实际运行的要求,包括个人信息跨境的豁免情形及重要数据应开展风险评估等。相关关系见下图:

图3:《网数条例》与其他法律法规关系

Q2
“境内和境外”该如何理解?

“境内”主要指的是中国大陆地区,数据的跨境传输不仅涉及数据在物理上的跨国界流动,还涉及到数据从一个法律管辖区转移到另一个法律管辖区的过程。

这里的法律管辖区不仅包括拥有独立主权的国家,也包括拥有独立司法权的地区。数据从中国大陆流转至香港、澳门等也属于数据跨境行为。

Q3
行业与产业分别指什么?

《网络条例》第四条提到“行业和产业”的概念实际比较抽象,把它们扩展方便理解,如下:

行业是指一群相同或相似的公司或组织的集合,它们提供相同类型的商品或服务,或者在相同的市场环境中运作。行业通常根据生产同类产品或服务的公司性质来划分,如汽车行业、金融行业、教育行业、医疗行业等。我国行业分类主要依据《国民经济行业分类标准(GB/T 4754-2017)》文件,如下图4。

图4:国民经济行业分类
  • 产业是一系列相互关联的行业,它们在生产过程中提供中间产品或服务,共同构成一个完整的生产链或供应链。例如,汽车产业不仅包括汽车制造行业,还可能包括零部件制造、销售、维修服务等相关行业。

  • 常见的有三大产业的划分:第一产业包括农业、林业、牧业和渔业等;第二产业包括工业和建筑业等;第三产业则通常称为服务业,包括商业、金融、交通运输、通信、教育、医疗等多个领域。

  • 主要区别:产业更侧重于宏观经济和国民经济的构成,它强调的是不同行业之间的经济联系和相互作用,一个产业包含多个行业,一个行业通常只属于一个产业。

Q4
常见的安全管理和技术措施有哪些?

《网数条例》第九条明确网络数据处理者的必要责任与义务,特别指出数据安全需要在网络安全等级保护基础上加强安全防护,结合个人实践经验,整理相关安全措施,如下:

(1)常见的安全管理措施

图5:常见的安全管理措施

(2)常见的安全技术措施

图6:常见的安全技术措施

Smart扩展经验

目前很多安全技术通过云进行统一提供,技术变成了SAAS服务,实际工作不会完全区分网络安全措施和数据安全措施。
此外,在《网数条例》中提到“必要保护措施”,除了网络安全通用措施外,还应聚焦数据安全,如个人信息、敏感个人信息和重要数据的加密存储、加密传输,传输通道采用HTTPS,数据脱敏展示、脱敏访问,数据备份和日志留存,数据泄漏监测等,也包括数据对外的合规审核、签署保密协议、到期数据删除等容易被忽视的内容


Q5
常见的网络服务有哪些?
《网数条例》中提到的网络产品比较好理解,如防火墙、交换机、路由器等;网络服务在我们工作生活中也随处可见,进行“翻译”方便理解,如下:

图7:常见的网络服务
Q6
个人层面有哪些投诉举报途径?
《数据安全法》《个人信息保护法》都特别提出企业要建立投诉举报机制。企业作为网络数据运营者或服务提供者,需要在相关产品、页面等地方提供投诉举报方式,并对投诉情况进行处理,属于企业合规的标准动作。另外,个人层面如何维权,整理了相关的投诉举报方式,供参考:

图8:一般投诉举报途径
Q7
网络数据安全的关键岗位人员有哪些?
《网数条例》第三十条“掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者,需要进行关键岗位人员的安全背景审查。在信息系统的安全合规中也经常遇到“关键岗位”,结合监管要求进行整理,如下:
  • 领导层关键岗位:负责企业的安全统筹和管理,如企业安全第一负责人、企业安全分管领导、安全管理部门领导、数据保护官DPO、数据安全官DSO等等。

  • 执行层关键岗位:负责一线工作执行的岗位,如运维人员、数据分析人员、数据库管理员、安全管理员、处理数据的运营人员、合规人员等等。
除了特定场景的背景调查,关于关键岗位的合规要点还有两方面值得关注:

(1)与关键岗位人员签署保密协议。

(2)制定企业的关键岗位说明书。
Q8
大型网络平台服务提供者怎么理解?
《网数条例》第六章中定义“超过注册用户5000万以上或者月活跃用户1000万以上”作为大型网络平台的条件之一,相比征求意见稿(日活跃超1亿),其覆盖面增加很大。根据QuestMobile发布《2024中国移动互联网春季大报告》中,统计1季度MAU(月活跃用户),如下:

图9:QuestMobile《2024中国移动互联网春季大报告》

除图9的应用外,超过月活超过1000万应用还有很多,如饿了吗、墨迹天气、华为云空间、菜鸟、滴滴出行、携程旅行、58同城等等,跟我们生活关联度较高的APP基本都需要考虑纳入其中。

Q9
哪些行业可能是重要数据处理者?

根据《工业和信息化领域数据安全管理办法(试行)》以及相关国家标准,以下可能被视为重要数据处理者的行业:

图10:可能的重要数据处理者行业

Q10
《网数条例》提及了哪些新方向?
《网数条例》全文中提及多个新新方向,整理如下:

(1)生成式人工智能服务:第十七条要求提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。

(2)网络数据保险:第四十条提出国家鼓励保险公司开发网络数据损害赔偿责任险种,鼓励网络平台服务提供者、预装应用程序的智能终端等设备生产者投保。

(3)网络身份认证公共服务:第四十三条提出国家推进网络身份认证公共服务建设,按照政府引导、用户自愿原则进行推广应用。

03

《网数条例》中与“数字”相关的内容

《网数条例》中有很多“数字”相关的内容,一起看看这些需要记住的“数字”,如下:

(1)注册用户:5000万或月活1000万

明确了大型网络平台的定义,是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。

(2)特殊情形的处理记录至少保留:3年

《网络安全法》对日志留存时间明确要求6个月,此外根据不同行业有各自的特殊要求,需要企业参照执行。(具体可参考📖日志留存和数据保留的监管要求 | 附表格》

《网络条例》第十二条规定“向其他网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录,应当至少保存3年。”

从企业合规层面看,数据处理记录、日志留存是关键问题,企业应该主动识别。该留存的日志一定留存、不该留的日志坚决不留。
例如为了法律法规要求、溯源取证、安全审计等诉求,该留的数据必须留;对数据合同到期、各类敏感数据、业务下线后的数据、个人用户要求删除等情形,不该留的数据坚决不留。

(3)报告机制:24小时


《网数条例》第十条提出“涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告”

在实务工作中,企业背后需要建立“重要事件报告机制”,例如发现网络产品、服务存在安全缺陷或者安全漏洞,发生安全事件造成数据泄漏、篡改等情况,一是要向公司安全领导汇报、向行业主管部门报告、向当地网信主管部门报告,二是涉及用户相关时,也需要及时告知,设置单独通知。

(4)“年度”重要合规工作:1年1次、2年1次
  • 网络数据处理者《网数条例》第二十七条提出“网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计”。虽然没有明确提出时间要求,但参照《个人信息保护合规审计管理办法(征求意见稿)》,规范中要求100万以上的个人信息每年至少一次,其他个人信息处理者每两年至少一次

图11:个人信息保护合规审计管理办法(征求意见稿)
  • 重要数据处理者:《网数条例》第三十三条提出“重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告。”

  • 大型网络平台服务提供者:《网数条例》第四十四条提出“每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。”

(5)处罚金额的上限:1000万、100万

《网数条例》第八章法律责任对相关违反本条例的规定提出处罚措施,对于企业罚款最高达1000万,对直接负责的主管人员和其他直接责任人员处罚最高达100万。

(6)数据跨境中“隐形”的数字:100万/1万、10万-100万/不满1万,3年

《网数条例》中对于网络数据跨境没有给出具体的数字,基本沿用《促进和规范数据跨境流动规定》要求,相关数字要求如下:

对于非“关基”的个人信跨境有明确的数字要求,100万以上( 不含敏感个人信息)、年度内1万以上敏感个人信息均需要申报数据出境安全评估。

10万以上不足100万(不含敏感个人信息)、不满1万敏感个人信息的情形,可以订立个人信息出境标准合规并备案或者通过个人信息保护认证。

通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。

图12: 《促进和规范数据跨境流动规定》合规路径

简要总结:在学习法律法规时遇到新名词、新概念时,需要对进行补充学习,通过不断“自问自答”更加深入理解抽象内容。本文对其中个人遇到的十个问题进行扩充,并结合安全实践经验做一定补充和解释。
此外对《网数条例》涉及的“直接数字”和“隐形数字”进行提炼和整理,从“数字”视角发现一些有趣而不一样的合规要求,希望给到大家一定帮助。

注:相关内容来源于互联网公开整理而成,仅供参考。

  本文作者 

Smart,成长性思维践行者,从事IT技术17年,7年+数据安全经历,拥有大型集团数据安全管理和大型IT项目安全实践经验,曾牵头完成400余个系统的数据安全风险评估。对安全领域法律法规、行业标准有较深研究,擅长“转化”成平台安全落地实践。


「 一键加入数据安全及个人信息保护领域的知识宝库」
550+已加入
⬇️⬇️⬇️

「 数据合规知识星球 」是一个专注于数据安全和个人信息保护的资源和知识集散地。星球提供图解PPT、行业解决方案、数据安全合规管理制度模板、评估工具及评估报告模板、监管政策及标准汇编整理等,帮助组织或个人理解并遵守数据安全合规的法律法规,促进操作和业务流程的安全合规。

「 数据守望 」专栏合集  

从0到1,我的数据安全观察录  | No.001
深入剖析数据安全、网络安全、信息安全的区别  | No.002
数据安全六要素,CIA之外还有哪三个?| No.003
用“问题链”方法论,理解密码技术之间的联系 | No.004
IT领域各类应急预案的思考和实践,样例|No.005
数据安全应急预案的最佳实践,全套模版 |No.006
数据安全做到什么程度才算安全?如何平衡安全工作中的灰度?|No.007
API接口的6大安全风险、3个风险管控措施,附检查清单|No.008
你真的了解“数字”和“数据”吗?一文读懂数字化转型中的关键要素||No.009
数据库加密:防止数据泄露的第一道防线 | 6种关键技术|No.010
数据安全风险评估的新认识和4点不同见解No.011
数据安全检查评估与自评估:内容、区别及角色分工| No.012
数据安全风险评估和安全审计的区别|No.013
25项关键控制点 | 数据处理活动安全评估 | No.014
为什么要做数据安全风险评估?(附下载)| No.015
合作方数据安全管控及实践(附模板) No.016
再看《数据安全法》:合规要求、企业落地及未来重心 | No.017
传统安全运营是什么?到底该怎么做? | No.018
数据安全运营的难点与构建步骤 | No.019
如何正确构建应急预案体系?附模版 | No.020
数据要素背景下数据安全 | 安全人视角 | No.021
数据分类分级为什么难落地? | No.022
“安全+合规”:新时代的职场需求 | No.023 
软件供应链安全 | 基础解析 | No.024
数据安全的三个目标:合规、风险和业务 | No.025

日志留存和数据保留的监管要求 | 附表格 | No.026

数据删除和数据销毁的监管要求|详细步骤+案例 | No.027

重要领域数据安全管理办法汇编&框架要点|附下载 | No.028

网络和数据安全领域,8个重要的框架及思维方法 | No.029
数据安全风险评估案例学习:政务领域的大数据平台和政务应用方向 | No.030
数据安全风险评估案例学习:卫生健康领域的移动应用和数据使用 | No.031
《网络数据安全管理条例(草案)》要点解读 | No.032

数据要素流通下,数据安全的十个新特性 | No.033

数据安全业务流、数据流和网络流 | No.34

安全视角精读《网数条例》| 责任主体及监管结构 | No.35

从增值电信业务扩大对外试点,看企业安全合规的四类“备案”工作 | No.36

合规社
数据安全与隐私保护新知分享平台
 最新文章