首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

《网络数据安全管理条例》解读二:核心规则设计的变化与延续(上)

科技   2025-01-03 16:45   北京  

作为效力仅次于“法律”的行政法规,《网络数据安全管理条例》不是对上位法进行简单的重复,而是充分发挥“行政法规”在法律体系中的重要作用。一方面细化《网络安全法》《数据安全法》《个人信息保护法》,并落实三法中明确“行政法规”可以补充规定或另行规定的事项,进行补充性或创新性规定。另一方面,结合近年数据治理经验,聚焦信息技术创新及数字经济发展中的突出问题,衔接、协调上位法律及下位部门规章相关规定。总的来说,《网络数据安全管理条例》确立的规则呈现以下变化与延续:


一、明确界定“网络数据处理者”“重要数据”等核心概念

与《数据安全法》主要以行为即“开展数据处理活动”为中心构建数据安全规则不同,《网络数据安全管理条例》中的网络数据安全保护义务与责任主要围绕“网络数据处理者”这一主体身份展开。只有“网络数据处理者”需履行等级保护基础上全流程的数据安全保护,网络数据安全风险告知报告,网络数据安全应急处置,提供、委托、共同处理环节的风险评估义务等义务。至于何为“网络数据处理者”,基于《数据安全法》并未对数据处理者做出界定。《网络数据安全管理条例》借鉴了《个人信息保护法》中“个人信息处理者”定义,在附则的含义中明确“网络数据处理者是指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织”。由此,能否“自主决定”处理目的和处理方式判定是否属于“网络数据处理者”的核心标准。“自主决定”蕴含着控制力、影响力和决定性地位的实质性判断,并与是否承担数据安全责任直接关联。实践中证明某个主体是否具备自主决定数据处理目的和处理方式,往往需要结合场景进行判断,如数据合作或服务协议中的职责界定,在集团数据处理模式中还要考虑企业股权架构、决策机制等。

《网络数据安全管理条例》另一个核心概念是“重要数据”,《网络数据安全管理条例》吸纳了国家标准《数据安全技术 数据分类分级规则》对“重要数据”的界定,在附则的含义中明确“重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”。关于重要数据的认定,《网络数据安全管理条例》延续《数据安全法》确立的国家数据安全工作协调机制制定重要数据目录,各地区、各部门确定本地区、本部门以及行业、领域的重要数据具体目录的认定机制,同时吸收近年重要数据出境安全评估中的监管经验,明确网络数据处理者只需负责重要数据的识别、申报。是否属于重要数据的认定交由各地区、各部门,各地区、各部门负责审核后告知或公布。


二、新增网络数据安全风险、事件告知与报告规则

《网络数据安全管理条例》首先在《网络安全法》基础上强调“网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求”;其次,在延续《网络安全法》关于“网络产品、服务提供者”安全风险告知及补救义务规定的基础上,首次提出“涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告”。

关于网络数据安全事件的告知与报告,《网络数据安全管理条例》延续了《数据安全法》《网络安全法》中安全事件向主管部门的报告要求,未做进一步细化。但重点补充了是否需要向利害关系人告知以及如何告知的规则。《网络数据安全管理条例》在平衡企业合规负担与个体权益保障的基础上,仅规定网络数据安全事件对个人、组织合法权益“造成危害的”才需告知。告知方式包括电话、短信、即时通信工具、电子邮件或者公告。此前征求意见稿对于以公告方式告知的,设置了前置条件,仅无法通知的才可公告告知。正式稿删除了该限制,进一步降低合规要求。


三、补充数据流转中的安全保护要求

数据流转安全问题随着数据要素开发利用日益频繁,《数据安全法》定义了数据安全有效保护和合法利用的两种状态,但并未建立数据流转安全的具体规则。《个人信息保护法》针对个人信息对外提供、委托、共同处理确立了一定要求,例如应当开展个人信息保护影响评估。对外提供个人信息的,应当履行告知义务并取得单独同意。委托处理个人信息的,应当与受托人约定各自权利义务并进行监督等。《网络数据安全管理条例》紧抓数据流动和利用安全这一数据要素时代的数据安全核心问题,关注点从“数据安全”到“数据合法有效利用”,在《数据安全法》《个人信息保护法》基础上做了诸多规则补充。

一是要求提供、委托处理个人信息和重要数据的,应当通过合同等明确安全保护义务、监督义务履行情况、记录处理情况并至少保存3年。值得注意的是,《个人信息保护法》仅要求“委托”处理个人信息的需要约定权利义务并监督,《网络数据安全管理条例》则扩展至“提供”个人信息的场景。“提供、委托处理”重要数据的要求则吸收行业、领域的实践经验。二是要求重要数据的处理者提供、委托处理、共同处理重要数据前,除为履行法定职责或者法定义务外,应当进行风险评估。三是明确了针对自动化采集豁免知情同意规则。《网络数据安全管理条例》第二十四条吸收《个人信息保护法》第十三条、第十八条规定,利用行政法规层级,实现对自动化采集知情同意规则的豁免,即免除前端采集环节义务,在后续环节处理即可。


四、新增特殊主体的供应链安全要求

《网络数据安全管理条例》对网络数据安全的关注不再是节点安全而是整个产业链供应链的安全。《网络数据安全管理条例》不仅明确提出“供应链网络数据安全”概念,也构建了较为全面的数据供应链安全体系。在规则设计上,对国家机关、关键信息基础设施运营者、公共基础设施及公共服务系统运营者、处理重要数据的大型网络平台服务提供者的供应链安全提出新增要求。

一是《网络数据安全管理条例》不仅关注国家机关网络数据安全,还首次针对为“关键信息基础设施运营者、参与其他公共基础设施、公共服务系统建设、运行、维护的”供应商,提出其与“国家机关”相关服务供应商同等安全保护要求。二是不仅关注供应链上的服务安全还关注信息系统安全,要求为国家机关提供服务的信息系统参照电子政务系统的管理要求。三是对于处理重要数据的大型网络平台服务提供者,《网络数据安全管理条例》首次明确要求前者应当充分说明关键业务和供应链网络数据安全等情况。


五、补充重要数据安全保护规则

重要数据安全保护制度是国家数据安全管理的重要抓手,《数据安全法》在一般数据基础上对重要数据设置了增强要求,包括明确数据安全负责人和管理机构、定期开展风险评估以及出境安全管理。

近年来,行业、领域在重要数据安全保护工作探索中也提出一些细化、不同强度的保护要求。例如重要数据备案要求,《工业和信息化领域数据安全管理办法(试行)》规定,工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案;重要数据安全能力核验要求,《工业和信息化领域数据安全管理办法(试行)》规定,委托处理重要数据,应当对受托方的数据安全保护能力、资质进行核验;重要数据年度风险评估要求,《工业和信息化领域数据安全管理办法(试行)》规定,工业和信息化领域重要数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,并向本地区行业监管部门报送风险评估报告;重要数据的存储要求,《会计师事务所数据安全管理暂行办法》规定,存储重要数据的信息系统要落实三级及以上网络安全等级保护要求;重要数据日志留存要求,《会计师事务所数据安全管理暂行办法》规定,涉及重要数据的相关日志留存时间不少于一年。涉及向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于三年等。

《网络数据安全管理条例》一是补充了网络数据安全负责人资格要求。包括具备网络数据安全专业知识、具备相关管理经验,属于管理层成员。对于掌握有关主管部门特定种类、规模重要数据的处理者,还需对网络数据安全负责人和关键岗位人员进行安全背景审查。二是补充了网络数据安全管理机构职责。三是细化了风险评估制度。《网络数据安全管理条例》规定了提供、委托处理、共同处理重要数据前需要开展风险评估以及重要数据安全年度风险评估两类评估要求。后者评估报告需向省级以上主管部门报送。四是新增了特殊情形下重要数据处置方案报告要求。此前《自然资源部数据安全管理办法》规定,数据处理者因重组等原因需要转移数据的,应当明确数据转移方案。涉及重要数据的,应当事前向行业监管部门报告数据转移方案。《网络数据安全管理条例》则明确只要因合并、分立、解散、破产等可能影响重要数据安全的,均需报告。

来源:公安部第三研究所 黄道丽 胡文华
转自:国家网络安全通报中心
-END-
欢迎关注我们~
网络安全和信息化
《网络安全和信息化》杂志官方所属,网络安全人员与IT运维人员的专业管理类经验、知识、资料,帮助用户提高网络安全能力建设和IT基础设施运营水平,提升IT管理人员工作能力。
 最新文章
第二批汽车数据处理4项安全要求检测情况通报发布
四问+一图,读懂《关于开展万兆光网试点工作的通知》
安全跟我学|事关个人信息,这些你可以拒绝!
Gartner:目前仅8%的中国企业将生成式人工智能部署在生产环境中
重点防范境外恶意网址和恶意IP(续三)
三部门印发《国家数据基础设施建设指引》
国家网信办就《个人信息出境个人信息保护认证办法(征求意见稿)》公开征求意见
专家解读|构建个人信息出境个人信息保护认证制度 保障个人信息跨境安全有序流动
专家解读|推动个人信息出境个人信息保护认证制度落地 促进个人信息高效便利安全跨境流动
一图读懂|《网络数据安全管理条例》自2025年1月1日起施行
《网络数据安全管理条例》解读二:核心规则设计的变化与延续(上)
《网络数据安全管理条例》解读三:核心规则设计的变化与延续(下)
网信部门严厉打击整治网络水军问题
《网络安全和信息化》杂志2025年第1期 目录
收到这类短信,速删!
2024年1—11月我国软件业务收入122903亿元 同比增长10.7%
22款APP及SDK存在侵害用户权益行为被通报
赛迪科创Pre独角兽(2024)发布
19项密码行业标准发布,自2025年7月1日起实施
六部门印发《关于促进数据产业高质量发展的指导意见》
数据领域常用名词解释(第一批)
《网络数据安全管理条例》解读一:条例出台的必要性与重要性
小型语言模型:AI领域的新热点
国家金融监督管理总局发布《银行保险机构数据安全管理办法》
国家金融监督管理总局有关司局负责人就《银行保险机构数据安全管理办法》答记者问
“搬运”已公开的个人信息,构成侵权吗?
五部门印发《关于促进企业数据资源开发利用的意见》
2024“鼎信杯”信息技术发展论坛在京成功举行
数据安全保护不容忽视!浙江某软件科技公司被公安机关行政处罚
五问+一图,读懂《制造业企业数字化转型实施指南》
大数据环境下数据要素隐私保护研究
构建数据保护的知识产权规则
停个车,个人信息怎么就泄露了?
起底美国网攻窃密的不法行径
近期多发!多名“抖音”网民中招!
我国数字经济核心产业企业总量突破450万家
2025年我国网络安全发展形势展望
筑牢数字安全防线 Fortinet防火墙到SASE的安全网络变革
警惕|“银狐”木马病毒再次出现新变种并更新传播手法
微信紧急提醒:警惕社交平台传播木马病毒
《网络安全标准实践指南—— 一键停止收集车外数据指引》发布
《网络安全标准实践指南——生成式人工智能服务安全应急响应指南(征求意见稿)》公开征求意见
《网络安全标准实践指南——移动互联网未成年人模式技术要求(征求意见稿)》公开征求意见
网信部门从严打击网上侵害未成年人合法权益行为
数据要素跨境流动中的网络安全风险与应对策略
促进数据跨境有序流动
AI时代下,医疗领域数据安全问题不容忽视
2024年全球加快推进人工智能监管
全部封了!微信出手整治“AI明星”
@所有人 2024“鼎信杯”信息技术发展论坛报名正式开启!
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉