探索数据安全要塞,守护数字世界。
——《数据守望》专栏
01
写在开始
2024年9月30日,国务院正式发布《网络数据安全管理条例》(“《条例》”),自2025年1月1日起正式施行。司法部、国家网信办负责人就条例进行答记者问,属于官方的政策解读。此外,很多律师、法务同学国庆期间加班加点,陆续出了很多专业配套文章。个人期间没安排学习,一个原因是想“刻意”停下来,毕竟是偏IT和数据安全的从业者,对法条的理解存在偏差。也想换个思路,当成一次“纯条文”的学习,尽量保持一定的独立性。
02
学习《条例》的目标
在2021年《数据安全法》正式出来之前,从安全管理部门视角牵头做过一版工作解读,积累了一定的经验。比如从法条中识别出哪些是紧迫重要工作?哪些是对企业安全有促进工作?这些合规要求和当前企业实际情况进行差距分析,以此确定后续重点工作推进方向。
因为一直参与企业安全管理及项目安全实施,清楚地认识到两个问题:首先,将法律条文转化为企业合规的过程相当漫长。其次,将企业的安全管理条例落实到具体项目的执行中,尤其是在信息系统的日常运作与维护中,这之间的距离更是遥远。
深入理解《条例》内容:对照原文认认真真学习《条例》,把其中内容进行“拆解和扩充”。 总结学习法律法规的方法:参照相应步骤,对于我们广大非法律专业的同学,也能把条文“读明白”,并将其要求转化为企业实际需要执行的工作事项。 制定企业落地工作清单:依据《条例》中主要责任主体整理一份企业落地工作项清单。将结合企业实际,梳理出企业必须履行的合规工作,以及对企业安全长期有促进但是紧迫不高的工作,供大家参考。
03
安全视角学习《条例》的方法
作为数据安全从业者角度,当成一次“试验性学习”,记录学习过程并输出配套工作清单,大致思路如下:
1.纸质原文+一支笔:拿出笔和纸反复多遍的阅读和做笔记,把《条例》当成一个纯专业类的文章,用“语文阅读理解”方式,一章一节一句一词的方式阅读《条例》。
2.用框架性思维:把《条例》的所有主体对象找出来,看看这些主体之间关系,其中有些直接关系,有些间接关系。通俗讲就是把各个责任主体找出来,看看对他们各自要求。
3.延伸、扩展和补充:在阅读《条例》遇到不懂的名词时,停下来检索相关知识,把它们属于进行具像化。通过扩展查阅资料,把条文的每个内容逐步丰富起来,对《条例》的理解会变得立体化。
4.电子化整理:通知纸质学习后是为了更加熟悉,最后需要把这些内容进行电子化,比如用Excel逐条记录信息,然后画出整个《条例》的框架图。
5.切换视角、分类整理:接下来换一些视角重看,对内容进行重组和二次整理,比如梳理监管部门的职责和要求,分别数据处理者需要建立哪些制度、建设哪些能力等问题。
6.外部关联关系:之前第1-5步都是《条例》本身学习,接下来需要把《条例》和其他法律规范的衔接和区别找出来。比如《条例》与《网络安全法》、《数据安全法》区别等,比如某项专业工作上的关联,《条例》中网络数据出境管理和数据出境安全的不同。
04
《条例》的整体框架
图2:《网络数据安全管理条例》整体框架
《条例》全文九章64条,为了规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益。
05
《条例》中的主体对象有哪些?
(一)个人和组织层面
表2:个人和组织层面的主体对象
(二)处理者层面
表3:处理者层面的主体对象
(三)服务提供者层面
表4:服务提供者层面的主体对象
(四)国家监督管理层面
06
《条例》监管职责分析
该《条例》是在《网络安全法》、《数据安全法》、《个人信息保护法》等上位法的基础上制定的,对上位法中对相关制度规定予以细化、补充、完善,为网络数据处理者提供了更为明确的操作指引。
图3:条例监督职责参考示意图
相关职责描述见下图:
图4:《网数条例》监管体系
(二)三部上位法的监督管理职责
1.《网络安全法》
图5:《网络安全法》监管体系
2.《数据安全法》
图6:《数据安全法》监管体系
图7:《个人信息保护法》监管体系
(三)简要总结分析
(1)《条例》范围聚焦网络数据
《条例》聚焦“网络数据”,即“指通过网络处理和产生的各种电子数据”,这意味着《条例》主要针对电子形式的数据,而不包括纸质或非电子化的数据,分析如下:
在第一章总则、第二章一般规定、第五章网络数据跨境安全管理、第六章网络平台服务提供者义务、第七章监督管理中,基本所有范围都限定在网络数据层面。
在第三章个人信息保护和第五章的重要数据安全则分别对个人信息和重要数据提出安全要求,但也聚焦到网络数据处理者处理这些信息时,需要承担的安全责任。
(2)国家数据部门的理解
在监督管理方面引入一个新部门,即国家数据管理部门,应该就是国家数据局,统筹数据层面的管理。类比企业管理,数据管理部门像企业中的数据业务部门,管理业务的同时也需要关注安全的责任和义务,和国家网信部门进行协同操作。
此外,《条例》中“各地区、各部门”类似企业中的数据使用部门,对数据相关处理活动需要承担相关数据安全保护义务。
国家数据局是中国新成立的负责数据管理的国家级机构,于2023年10月25日正式揭牌成立,由国家发展和改革委员会管理。国家数据局的主要职责包括协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等。中央网络安全和信息化委员办公室部门职责划入。国家数据局下设五个司局,分别为综合司、政策规划司、数据资源司、数字经济司、数字科技和基础设施建设司。
国家数据安全工作协调机制在《条例》第二十九条、第三十二条有相关描述,主要聚焦重要数据方面(非重要网络数据),负责统筹协调有关部门制定重要数据目录,加强对重要数据的保护,接收重要数据处理者特殊情况处置方案等。
简要总结:本文作为《网络数据安全管理条例》学习的第一篇,主要目的是为大家提供一个关于如何学习该《条例》的总体思路。文章提炼了近40个主体对象,并对它们的责任义务、监管职责等进行了整理、分析和对比。随着数据要素的兴起和国家数据局的成立,数据安全从业人员需要不仅在安全领域有所了解,还需要更多地接触数据、业务和合规领域的知识,才能更好做好数据安全工作。后续文章将对主要主体对象梳理出对应的工作清单,并对条文中涉及的抽象概念进行具像化,以便于与实际工作相结合。
*声明:本文内容基于作者个人从IT和安全视角对《网数条例》的学习体会,不代表任何官方立场。文章内容仅供参考,具体《条例》的解释和实施应遵循官方规定。
日志留存和数据保留的监管要求 | 附表格 | No.026
数据删除和数据销毁的监管要求|详细步骤+案例 | No.027
重要领域数据安全管理办法汇编&框架要点|附下载 | No.028
数据要素流通下,数据安全的十个新特性 | No.033
数据安全业务流、数据流和网络流 | No.34
合规社知识星球已运营423天、520+成员
🌟快来加入合规社知识星球
🎁 一年仅需199元!
📚畅享丰富好内容,文件不限下载!
🔓获取嘉宾精心整理的数据安全与合规领域独家资料!
🎥 享受星球内丰富的视频资源,每月持续更新!
🤝还可加入合规社专业微信群,与行业精英建立联系!
⬇️⬇️⬇️
