——《数据守望》专栏
央视新闻联播报道,8月30日,李强主持召开国务院常务会议,审议通过《网络数据安全管理条例(草案)》(以下简称《条例》)。会议指出,要对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。
要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。
图1:新闻联播审议通过条例
2021年11月发布征求意见稿,快3年时间了,终于审议通过了,这几天朋友圈算刷屏了。今天对条例逐条学习,分析条例中可能涉及角色职责、重要内容进行整理分析,从中看到一些数据安全重要方向,让我们一起回顾。
(1)条例的框架
《条例》一共九章75条,核心内容提出通用一般规定、个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务、监督管理、法律责任和附则。框架示意图如下:
图2:条例总体框架图
国家《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律法规属于国家上位法,由全国人大及常委会颁布实施;本条例属于行政法规,由国务院进行审核通过,整体属于对《数据安全法》要求的进一步具体化。
(1)逐条解读
之前文章“《数据安全法》:合规要求、企业落地及未来重心”讲述了从安全部门视角下如何解读数据安全法,把其中的内容转化企业可落地的动作。这次采用类似方法,先对条例进行逐条批注。
► 解读思路提示:
图3:逐条批注示例1
图4:逐条批注示例2
(2)重点要点理解
► 不同的职责分工:
1. 国家网信部门负责统筹协调数据安全和相关监督管理职责。
2. 公安机关、国家安全机关在各自职责范围内承担数据安全监管职责。
其中主管部门的职责较多,如下:
“主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行 业、本领域的数据安全规划和数据安全事件应急预案。”
► 互联网平台运营者关注重点(垄断):
《条例》第六章的第四十三条-第五十四条共12条,对互联网平台运营者进行义务和要求规定。从分析的内容看,对其做了比较明确的规定。
► 关于罚则:
4. 依照有关法律、行政法规的规定予以处罚。
6. 构成犯罪的,依法追究刑事责任。
通过整理分析,从不同角色梳理出需要重点开展和跟进的工作项,清单如下:
图7:《网络数据安全管理条例-征求意见稿》工作清单
第四条 【鼓励社会协同】【鼓励数据安全人才及教育培训】 第五条 【国家建立分类分级制度】 第七条 【制定数据交易管理制度】【推动公共数据开发利用】 第四十一条 【建立数据跨境安全网关】 第五十条 【建立网络身份认证公共服务技术设施】 第五十六条 【建立数据安全应急处置机制】 第五十八条 【建立数据安全审查制度】
| 【鼓励社会协同】【鼓励数据安全人才及教育培训】 | |
| 第五条 | 【国家建立分类分级制度】 |
| 第七条 | 【制定数据交易管理制度】【推动公共数据开发利用】 |
| 第四十一条 | 【建立数据跨境安全网关】 |
| 第五十条 | 【建立网络身份认证公共服务技术设施】 |
| 第五十六条 | 【建立数据安全应急处置机制】 |
| 第五十八条 | 【建立数据安全审查制度】 |
(2)数据处理者工作项
第六条 【建立安全管理制度和技术保护机制】 第九条 【采取必要措施、满足等级保护要求】 第十条 【网络产品和服务注意事项】 第十一条 【建立数据安全应急处置机制】 第十二条 【规范数据的外部活动】 第十三条 【识别网络安全审查情形】 第十四条 【数据转移特殊情况】 第十七条 【自动化工具访问和收集要求】 第十八条 【建立数据安全投诉举报渠道】 第十九-二十六条 【建立个人信息保护体系】 第三十五条 【识别数据跨境的三个路径】 第三十六条 【境外提供个人信息的告知义务】 第三十七条 【识别数据出境的评估情形】 第三十九条 【满足向境外提供数据的义务】 第三十九条 【境外提供数据的额外要求】 第四十条 【编制数据出境安全报告】 第五十七条 【配合监督检查】 第五十八条 【委托开展数据安全审查】
(3)重要数据处理者工作项
| 第六条 | 【建立安全管理制度和技术保护机制】 |
| 第九条 | 【采取必要措施、满足等级保护要求】 |
| 第十条 | 【网络产品和服务注意事项】 |
| 第十一条 | 【建立数据安全应急处置机制】 |
| 第十二条 | 【规范数据的外部活动】 |
| 第十三条 | 【识别网络安全审查情形】 |
| 第十四条 | 【数据转移特殊情况】 |
| 第十七条 | 【自动化工具访问和收集要求】 |
| 第十八条 | 【建立数据安全投诉举报渠道】 |
| 第十九-二十六条 | 【建立个人信息保护体系】 |
| 第三十五条 | 【识别数据跨境的三个路径】 |
| 第三十六条 | 【境外提供个人信息的告知义务】 |
| 第三十七条 | 【识别数据出境的评估情形】 |
| 第三十九条 | 【满足向境外提供数据的义务】 |
| 第三十九条 | 【境外提供数据的额外要求】 |
| 第四十条 | 【编制数据出境安全报告】 |
| 第五十七条 | 【配合监督检查】 |
| 第五十八条 | 【委托开展数据安全审查】 |
第二十八条 【建立数据安全管理机构】 第二十九条 【重要数据的备案机制】 第三十条 【组织数据安全培训】 第三十一条 【采用安全可信的产品和服务】 第三十二条 【重要数据的风险评估】 第三十三条 【重要数据外部流转管控】 第三十四条 【采用云计算服务要求】
(4)互联网平台运营者工作项
| 第二十八条 | 【建立数据安全管理机构】 |
| 第二十九条 | 【重要数据的备案机制】 |
| 第三十条 | 【组织数据安全培训】 |
| 第三十一条 | 【采用安全可信的产品和服务】 |
| 第三十二条 | 【重要数据的风险评估】 |
| 第三十三条 | 【重要数据外部流转管控】 |
| 第三十四条 | 【采用云计算服务要求】 |
第十三条 【识别并参与网络安全审查情形】 第四十三条 【履行互联网平台运营者义务】 第四十四条 【关注第三方产品和服务】 第四十五条 【即时通信的互联网平台要求】 第四十六条 【互联网平台运营者不得从事的活动】 第四十七条 【应用商城的分发要求】 第四十九条 【涉及个性化推荐注意事项】 第五十一条 【为特定对象提供服务的安全要求】 第五十二条 【配合安全监管提供数据】 第五十三条 【开展大型互联网平台的年度审计】 第四十八条 【互联网平台关于不同通信商的要求】 第五十四条 【满足新技术的应用要求】
(5)行业主管工作项
| 第十三条 | 【识别并参与网络安全审查情形】 |
| 第四十三条 | 【履行互联网平台运营者义务】 |
| 第四十四条 | 【关注第三方产品和服务】 |
| 第四十五条 | 【即时通信的互联网平台要求】 |
| 第四十六条 | 【互联网平台运营者不得从事的活动】 |
| 第四十七条 | 【应用商城的分发要求】 |
| 第四十九条 | 【涉及个性化推荐注意事项】 |
| 第五十一条 | 【为特定对象提供服务的安全要求】 |
| 第五十二条 | 【配合安全监管提供数据】 |
| 第五十三条 | 【开展大型互联网平台的年度审计】 |
| 第四十八条 | 【互联网平台关于不同通信商的要求】 |
| 第五十四条 | 【满足新技术的应用要求】 |
(5)行业主管工作项
第十六条 【建立数据安全管理制度】 第五十二条 【国家履职获取数据要求】 第五十五条 【监督管理职责分工】 第五十六条 【监督检查内容要求】 第五十七条 【开展数据安全监督检查】 第五十八条 【建立数据安全审查制度】
(6)网信部门&国家安全机关工作项
| 第十六条 | 【建立数据安全管理制度】 |
| 第五十二条 | 【国家履职获取数据要求】 |
| 第五十五条 | 【监督管理职责分工】 |
| 第五十六条 | 【监督检查内容要求】 |
| 第五十七条 | 【开展数据安全监督检查】 |
| 第五十八条 | 【建立数据安全审查制度】 |
| 第五条 | 【分类分级管理】 |
| 第二十七条 | 【重要数据和核心数据目录】 |
| 第五十五条 | 【监督管理职责分工】 |
| 第五十九条 | 【鼓励行业组织】 |
| 第五十九条 | 【支持个人信息保护行业组织】 |
在学习条例中对其中不熟悉的概念及相关信息进行延伸搜索,整理成内容,作为通用基础知识供大家参考,如下:
问:日活过亿的大型互联网平台有哪些?
序号 | 行业分类 | APP名称 | Q1平均MAU |
1 | 即时通信 | 微信 | 10.4亿 |
2 | 综合电商 | 淘宝 | 9.2亿 |
3 | 地图导航 | 高德地图 | 8亿 |
4 | 支付结算 | 支付宝 | 8.9亿 |
5 | 短视频 | 抖音 | 7.6亿 |
6 | 搜索下载 | 百度 | 6.7亿 |
7 | 输入法 | 搜狗输入法 | 5.7亿 |
8 | 微博社交 | 微博 | 4.9亿 |
9 | 本地生活 | 美团 | 4.4亿 |
10 | 在线视频 | 爱奇艺 | 4.3亿 |
11 | 浏览器 | QQ浏览器 | 4.2亿 |
12 | 综合资讯 | 今日头条 | 3.9亿 |
13 | 电子文档 | WPS office | 2.5亿 |
14 | 在线音乐 | 酷狗音乐 | 2.3亿 |
15 | 在线阅读 | 番茄免费小说 | 2.1亿 |
问:哪些行业可能是重要数据处理者?
| 电信行业 | 负责数据传输和通信服务,处理大量用户数据和通信记录,是数据安全的关键领域。 |
| 金融行业 | 包括银行、保险、证券等,涉及客户的敏感财务信息,需要严格的数据保护措施。 |
| 医疗健康行业 | 处理病人的医疗记录和个人健康数据,数据的泄露可能对个人隐私造成严重影响。 |
| 能源行业 | 包括航空、铁路、公路运输等,处理大量乘客信息和物流数据,数据安全直接关系到运输安全和效率。 |
| 交通行业 | 包括航空、铁路、公路运输等,处理大量乘客信息和物流数据,数据安全直接关系到运输安全和效率。 |
| 政府机构 | 处理大量公民信息和国家敏感数据,数据安全直接关联国家安全和社会稳定。 |
| 互联网服务提供商 | 如搜索引擎、社交媒体、电子商务平台等,它们收集和分析用户数据,对数据保护有着高要求。 |
| 云计算服务提供商 | 提供数据存储和处理服务,需要确保客户数据的安全和隐私。 |
| 大数据和人工智能行业 | 涉及大量数据的收集、分析和应用,数据安全对于保护个人隐私和防止数据滥用至关重要。 |
| 工业控制系统 | 如智能制造、关键基础设施运营等,数据安全对于保障生产安全和防止工业间谍活动至关重要。 |
即时通信的公司:腾讯、阿里、字节、网易、新浪等。
| 腾讯 | 个人微信、企业微信、腾讯会议,提供语音和视频通信功能。 |
| 阿里 | 钉钉,移动办公平台,很多企业办公、学校集中使用钉钉群、语音和视频功能。 |
| 字节 | 飞书是一个企业写作和管理类平台,可以即时沟通、音视频会议。 |
| 华为 | 华为云Welink,全场景数字化协同办公平台。 |
| 网易 | 网易云信,提供IM即时通信、短信服务。 |
| 新浪 | 新浪UC,即时通讯的网络聊天工具。 |
法律法规总体偏宏观,配套的条例内容更加具体,对国家、数据处理者、国家安全机关、行业主管等进行相关职责说明及主要工作要求描述。通过一遍遍的学习,可从中识别出数据安全行业未来的一些重点方向和国家必然推动的事项,即观察到一些大方向,下面是从条例中总结出来一些核心内容,供参考:
| 培训教育类 | 数据安全的技术创新、人才培养、教育培训。 |
| 产品设施类 | 数据跨境安全网关、网络身份认证公共服务技术设施、采取安全可信的安全产品和服务。 |
| 安全机制类 | 数据安全应急处置机制、数据安全审查机制、数据安全投诉举报机制、重要数据备案机制。 |
| 安全评估类 | 数据出境安全评估、数据安全风险评估。 |
特别声明:本文内容是基于个人经验进行总结学习,仅为个人观点,不恰到、不完善之处见谅。基于条例的征求意见稿,后续正式发布进行进一步更新。
公
司
简
介
合肥高维数据技术有限公司是一家新型数据安全公司,由中国科学技术大学网络空间安全学院教授、校友创建,主要聚焦信息隐藏相关技术产业化。团队核心技术国际领先,倡导的“行为安全”等新理念得到国内专家、客户广泛认可。公司高度重视前沿技术与市场需求,发挥“教育技术产业融合发展”优势,分别与中国科大、合肥市公安局等共建有“中国科大-高维数据数字媒体安全与溯源取证联合实验室”、“合肥市公安局-高维数据新型数据安全应用研究联合实验室”。
公司坚持原始技术自主创新,连续多年保持研发费大幅度增长,初步形成了相对完善的知识产权布局,被评为首批安徽省新型研发机构、工信部网络安全试点示范项目、工信部数据安全典型案例等。
本着“储备一代、研发一代、产业一代”的思想,初步完成了核心技术和产业方向布局:新型数据安全系列、数据要素安全治理系列、AI认知安全系列(含“合成现实”虚拟数智人)等解决方案与服务等。
- END -
编辑 | 甘兴盼;校正 | 张玉婉;审核 | 罗丽凤
