寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。
探索数据安全要塞,守护数字世界。
——《数据守望》专栏
No.037
▽
01
简要回顾
上篇(📖安全视角精读《网数条例》| 责任主体及监管结构),对涉及主体对象及他们的职责进行对比分析,包括个人和组织、数据处理者、服务者提供、监督管理者,描述了”国家数据管理部门“的职责内容。
文中总结了个人层面学习法律、标准规范的方法和步骤,一共分解7步,如图2。
特别说明,为什么最后一步研究“出台背景”,一个原因是我们对《网数条例》本身应该逐字逐句的学习,不宜过早了解各种细节故事,容易造成干扰。另外原因是只有真正参与《网数条例》的编写、讨论、修改过程的“国家级专家”,他们清楚具体的“删减和调整”。我们只有在非常熟悉其中内容后,再去了解它背后的故事,更加具备趣味性和更容易理解。
图2:法律法规学习路径图
02
值得关注的十个扩展问题
《网络条例》主要聚焦网络数据范围,对网络和数据安全领域的三步上位法的衔接和具体化,与《关键信息基础设施安全保护条例》相互支撑,变成“3+2”模式。在数据跨境安全方面,引用了我国目前实际运行的要求,包括个人信息跨境的豁免情形及重要数据应开展风险评估等。相关关系见下图:
图3:《网数条例》与其他法律法规关系
“境内”主要指的是中国大陆地区,数据的跨境传输不仅涉及数据在物理上的跨国界流动,还涉及到数据从一个法律管辖区转移到另一个法律管辖区的过程。
这里的法律管辖区不仅包括拥有独立主权的国家,也包括拥有独立司法权的地区。数据从中国大陆流转至香港、澳门等也属于数据跨境行为。
《网络条例》第四条提到“行业和产业”的概念实际比较抽象,把它们扩展方便理解,如下:
行业是指一群相同或相似的公司或组织的集合,它们提供相同类型的商品或服务,或者在相同的市场环境中运作。行业通常根据生产同类产品或服务的公司性质来划分,如汽车行业、金融行业、教育行业、医疗行业等。我国行业分类主要依据《国民经济行业分类标准(GB/T 4754-2017)》文件,如下图4。
产业是一系列相互关联的行业,它们在生产过程中提供中间产品或服务,共同构成一个完整的生产链或供应链。例如,汽车产业不仅包括汽车制造行业,还可能包括零部件制造、销售、维修服务等相关行业。
常见的有三大产业的划分:第一产业包括农业、林业、牧业和渔业等;第二产业包括工业和建筑业等;第三产业则通常称为服务业,包括商业、金融、交通运输、通信、教育、医疗等多个领域。
主要区别:产业更侧重于宏观经济和国民经济的构成,它强调的是不同行业之间的经济联系和相互作用,一个产业包含多个行业,一个行业通常只属于一个产业。
《网数条例》第九条明确网络数据处理者的必要责任与义务,特别指出数据安全需要在网络安全等级保护基础上加强安全防护,结合个人实践经验,整理相关安全措施,如下:
图5:常见的安全管理措施
►Smart扩展经验:
领导层关键岗位:负责企业的安全统筹和管理,如企业安全第一负责人、企业安全分管领导、安全管理部门领导、数据保护官DPO、数据安全官DSO等等。 执行层关键岗位:负责一线工作执行的岗位,如运维人员、数据分析人员、数据库管理员、安全管理员、处理数据的运营人员、合规人员等等。
(1)与关键岗位人员签署保密协议。
图9:QuestMobile《2024中国移动互联网春季大报告》
根据《工业和信息化领域数据安全管理办法(试行)》以及相关国家标准,以下可能被视为重要数据处理者的行业:
图10:可能的重要数据处理者行业
(1)生成式人工智能服务:第十七条要求提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。
(2)网络数据保险:第四十条提出国家鼓励保险公司开发网络数据损害赔偿责任险种,鼓励网络平台服务提供者、预装应用程序的智能终端等设备生产者投保。
(3)网络身份认证公共服务:第四十三条提出国家推进网络身份认证公共服务建设,按照政府引导、用户自愿原则进行推广应用。
03
《网数条例》中与“数字”相关的内容
《网数条例》中有很多“数字”相关的内容,一起看看这些需要记住的“数字”,如下:
(1)注册用户:5000万或月活1000万
明确了大型网络平台的定义,是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。
《网络安全法》对日志留存时间明确要求6个月,此外根据不同行业有各自的特殊要求,需要企业参照执行。(具体可参考📖日志留存和数据保留的监管要求 | 附表格》)
《网络条例》第十二条规定“向其他网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录,应当至少保存3年。”
(3)报告机制:24小时
《网数条例》第十条提出“涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告”。
在实务工作中,企业背后需要建立“重要事件报告机制”,例如发现网络产品、服务存在安全缺陷或者安全漏洞,发生安全事件造成数据泄漏、篡改等情况,一是要向公司安全领导汇报、向行业主管部门报告、向当地网信主管部门报告,二是涉及用户相关时,也需要及时告知,设置单独通知。
网络数据处理者:《网数条例》第二十七条提出“网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计”。虽然没有明确提出时间要求,但参照《个人信息保护合规审计管理办法(征求意见稿)》,规范中要求100万以上的个人信息每年至少一次,其他个人信息处理者每两年至少一次。
重要数据处理者:《网数条例》第三十三条提出“重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告。”
大型网络平台服务提供者:《网数条例》第四十四条提出“每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。”
(5)处罚金额的上限:1000万、100万
《网数条例》第八章法律责任对相关违反本条例的规定提出处罚措施,对于企业罚款最高达1000万,对直接负责的主管人员和其他直接责任人员处罚最高达100万。
(6)数据跨境中“隐形”的数字:100万/1万、10万-100万/不满1万,3年
《网数条例》中对于网络数据跨境没有给出具体的数字,基本沿用《促进和规范数据跨境流动规定》要求,相关数字要求如下:
对于非“关基”的个人信跨境有明确的数字要求,100万以上( 不含敏感个人信息)、年度内1万以上敏感个人信息,均需要申报数据出境安全评估。
10万以上不足100万(不含敏感个人信息)、不满1万敏感个人信息的情形,可以订立个人信息出境标准合规并备案或者通过个人信息保护认证。
通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。
图12: 《促进和规范数据跨境流动规定》合规路径
注:相关内容来源于互联网公开整理而成,仅供参考。
本文作者 Smart,成长性思维践行者,从事IT技术17年,7年+数据安全经历,拥有大型集团数据安全管理和大型IT项目安全实践经验,曾牵头完成400余个系统的数据安全风险评估。对安全领域法律法规、行业标准有较深研究,擅长“转化”成平台安全落地实践。
Smart,成长性思维践行者,从事IT技术17年,7年+数据安全经历,拥有大型集团数据安全管理和大型IT项目安全实践经验,曾牵头完成400余个系统的数据安全风险评估。对安全领域法律法规、行业标准有较深研究,擅长“转化”成平台安全落地实践。
「 数据合规知识星球 」是一个专注于数据安全和个人信息保护的资源和知识集散地。星球提供图解PPT、行业解决方案、数据安全合规管理制度模板、评估工具及评估报告模板、监管政策及标准汇编整理等,帮助组织或个人理解并遵守数据安全合规的法律法规,促进操作和业务流程的安全合规。
「 数据守望 」专栏合集