安小圈

第520期

非官方不专业版

本文已完成《一般规定》第八条-第二十条的分析，后续内容将陆续发布。敬请关注

1.管理要求

《条例》从四个层面提出管理要求，分别是一般规定、个人信息保护、重要数据安全和网络数据跨境安全管理。其中个人信息保护可以看作针对《个人信息保护法》对应的《个人信息保护管理条例》的前奏。

1.1一般规定

一般规定主要由十三个条款构成，在一般规定中描述了《条例》的基本保护要求，作为数据处理者应履行如下基本责任和义务；《条例》第九条、第十二条、第十三条、十八条和十九条中网络数据处理者是指实际操作数据的实体；其中第十二条针对数据合作关系、第十八、十九条针对数据处理活动中产生的自动化决策以及生成式人工智能所产生的隐私及歧视性问题进行约束；第十条针对网络数据的服务者、产品提供商、软件开发商等实体在网络数据安全保护中应履行的责任和义务提供法律依据；第十一条、第十四条、第二十条是所有网络数据处理者应共同履行的责任和义务；第十五条至第十七条针对政务数据处理进一步明确其处理的法律责任；

《条例》首先明确指出“任何个人、组织不得利用网络数据从事非法活动，不得从事窃取或者以其他非法方式获取网络数据、非法出售或者非法向他人提供网络数据等非法网络数据处理活动。”在最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中明确指出，非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为“情节严重”：（1）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；（2）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；（3）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；（4）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；（5）违法所得五千元以上的；（6）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；（7）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；（8）其他情节严重的情形

任何个人、组织不得提供专门用于从事前款非法活动的程序、工具；明知他人从事前款非法活动的，不得为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助。《刑法》第二百八十七条之二明确指出“明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”同时，最高人民法院最高人民检察院在《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》中，对上述问题进行了详细说明。

1.1.1 网络数据安全保护一般规定基本原则

正如《网络安全法》第二十一条规定“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：……”《条例》第九条指出“网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求，在网络安全等级保护的基础上，加强网络数据安全防护……”也就意味着，未来网络数据安全保护以网络安全等级保护作为基础，在分等级保护的能力基础上构建网络数据的分类分级保护。从技术角度而言，可以理解为，承载组织重要、核心数据的业务系统应满足至少网络安全等级保护三级保护要求。在此基础上，网络数据处理者应满足建立以下基本工作

健全网络数据安全管理制度
采取加密、备份、访问控制、安全认证等技术措施和其他必要措施
处置网络数据安全事件

通过上述基本手段保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用，防范针对和利用网络数据实施的违法犯罪活动，并对所处理网络数据的安全承担主体责任。

1.1.2 网络数据处理者责任

网络数据处理者在条例中应包含如下组织和实体①网络数据的实际持有人，其具备对网络数据处理的实际主观动机和客观行为；基于合同或其他合法授权实际采集用户信息的组织或个人；②通过合法的数据交易获取数据的组织或实体；③为获取数据的组织或个人通过商业合同或其他合法权利实施数据分析和数据再利用的组织和个人；④为数据处理者提供相关技术、产品和服务的实体，如：厂商、服务商和软件开发商；⑤数据交易中间人；⑥其他可能持有数据某些权利的实体和个人；

1.1.2.1 合作方关系

第十二条为数据合作关系提供立法要求，其第一款针对数据提供方，第二款针对接收方，第三款为共同处理提供法律要求。首先，明确数据合作关系中的主体为数据资源持有权的实体，也就是我们通常所认为的实际数据持有者；数据合作的客体为其他网络数据处理者或数据托管服务、数据分析服务的数据服务商。标的物为个人信息和重要数据，核心数据是否可以进行委托处理，本条款未做进一步说明。

委托处理过程应符合如下约定：①双方签订合同；②数据接收方在合同中约定处理目的、方式、范围及安全保护义务；③提供网络数据的网络处理者有责任和义务通过第二方审计[1]的方式对数据接收者（服务商）针对接收数据后的安全保护能力实施审计，并监督其履行数据安全保护责任和义务；④对数据处理情况进行记录并至少保存3年；⑤作为数据接收方作为新的数据处理者应当与原数据处理者拥有等同的网络数据安全保护义务，其保护能力和水平不应低于原数据处理者的能力和水平；⑥按约定处理数据，不得违反数据处理的基本原则（具体可参阅《中华人民共和国个人信息保护法》第五条-第十条）[2]⑦两个以上的网络数据处理者应在数据处理过程中共同约定权利和义务；常见的场景主要体现在云数据的处理过程中，尤其是在多云环境下，云服务商、云厂商、云租户以及云用户应针对云数据的处理共同协商网络数据安全保护的责权义关系。《个人信息保护法》在第二十条针对该问题明确指出“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。”

由于在技术上存在的复杂性，多网络数据处理者在实际数据处理活动中很难清晰定义相关责任，尤其是在复杂的数据流动中产生的软件、硬件、通信、人为、业务逻辑等诸多因素难以通过立法形成约定；这需要广义的技术和法学领域的共同努力。

《条例》第十四条“网络数据处理者因合并、分立、解散、破产等原因需要转移网络数据的，网络数据接收方应当继续履行网络数据安全保护义务。”由于网络数据处理者及其合作方在实际运营过程中可能发生的企业形态变化不可避免，尤其是法人变更问题直接导致数据授权合同的有效性问题。组织的合并和分立容易导致数据在作为资产分割后产生的数据所有者重新授权问题；组织的解散和破产需要解决其持有的个人信息和重要、核心数据的销毁问题。同时，对继承数据资产的接收方应在获得数据所有者的重新授权后，继续履行网络数据安全保护义务和责任，其保护水平不能低于原有水平。

1.1.2.2 网络数据安全审查

2022年国家互联网信息办公室、中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局联合发布《网络安全审查办法》，在第二条中，明确提出“关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。”《条例》在第十三条中要求“网络数据处理者开展网络数据处理活动，影响或者可能影响国家安全的，应当按照国家有关规定进行国家安全审查。”根据《网络安全审查办法》规定，需要进行国家安全审查的条件包括第五条“关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。”与第七条“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”以及第十条“网络安全审查重点评估相关对象或者情形的以下国家安全风险因素：（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；（七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。”

有关个人信息出境审查，具体可参阅《数据出境评估管理办法》

1.1.2.3 数据伦理与自动化决策

条例在第十八条对自动决策问题做出约定“网络数据处理者使用自动化工具访问、收集网络数据，应当评估对网络服务带来的影响，不得非法侵入他人网络，不得干扰网络服务正常运行。”《个人信息保护法》在附则第七十三条第二款中定义“自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。”

1. 由于自动化决策通过算法和数据分析来自动做出决策。其决策行为往往取决于数据模型和获取的元数据的能力来决定其决策的能力和泛化程度，在在许多领域已经变得非常普遍，常见的自动化决策行为的例子①推荐系统：在线购物平台、音乐和视频流媒体服务（如亚马逊、Spotify、Netflix）使用用户行为数据来推荐商品、音乐或视频。②信用评分：金融机构使用自动化算法评估个人信用风险，决定贷款批准与否。③股票交易：高频交易算法在金融市场中自动执行买卖订单。④广告定位：在线广告平台（如谷歌AdWords、Facebook Ads）根据用户的兴趣和行为自动定位广告。⑤供应链管理：自动化系统可以预测需求，自动调整库存和物流。⑥客户服务：聊天机器人和自动回复系统可以处理客户的查询和问题。⑦网络安全：入侵检测系统自动监测和响应可疑活动。⑧医疗诊断：医疗影像分析软件可以帮助医生更快地诊断疾病。⑨交通管理：智能交通系统可以自动调整交通信号灯，优化交通流量。⑩能源管理：智能家居系统可以自动调节温度和照明，以节省能源。11.招聘：人力资源软件可以自动筛选简历，识别最佳候选人。12. 定价策略：一些公司使用算法根据市场需求和竞争对手的定价自动调整价格。13. 内容审核：社交媒体平台使用自动化工具来检测和删除不当内容。14. 农业：无人机和机器人可以自动监测作物健康，决定灌溉和施肥的时机。15. 制造业：自动化生产线可以根据需求自动调整生产速度和产量等多种形式。《个人信息保护法》第二十四条中针对违法适用自动化决策的形式给出明确约定，“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”也就是说，从法律上并不是禁止使用自动化决策机制，而是有限使用。

2. 使用自动化工具“不得非法侵入他人网络，不得干扰网络服务正常运行。”自动化数据采集技术多种多样，首先《条例》明确采集数据的手段应该是合法有效的；其次数据采集活动不能对网络服务运行产生影响。在常见的自动化采集中，爬虫技术的使用最为广泛。目前法学界对“爬虫技术”尚未形成统一认识，有一种比较容易获得共识的提法做出以下描述“数据的法律属性体现在其承载的信息内容上，也是判断法益侵害的有效指引，需结合爬取数据的类型展开分析。根据法律是否予以特别保护，可以将数据划分为普通数据与特殊数据。如果爬取互联网公开的普通数据，原则上不构成犯罪，因为公开数据忍受爬取也是互联网互联互通本质的体现；如果爬取非公开的普通数据，则需要结合具体案情，判断是否构成非法获取计算机信息系统数据罪。如果仅爬取个人信息、商业秘密、著作权等特殊数据而无后续利用、披露、信息网络传播等行为，则仍需判断是否构成非法获取计算机信息系统数据罪，一旦行为人有提供、出售、披露、信息网络传播等后续行为，则需全面评价前后两个行为。当然，尽管存在爬取特殊数据和后续侵犯特殊数据两个行为，但二者具有手段与目的的牵连关系，以从一重罪论处即可，无需数罪并罚。需注意，刑法第153条之一第三款规定，窃取或者以其他方法非法获取公民个人信息的，构成侵犯公民个人信息罪，因此仅大量爬取公民个人信息就可能构成侵犯公民个人信息罪。”[3]

大数据推动的隐私与伦理问题不仅在自动化决策下形成影响，同样对于生成式人工智能服务而言也带来广泛的影响，《条例》在第十九条中提出“提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理，采取有效措施防范和处置网络数据安全风险。”本条重点关注训练数据和训练数据处理活动的所产生的数据泄露，比如：训练数据中导致的敏感信息泄露，大量训练数据产生的数据聚合形成的情报化数据推论等问题，都是训练数据导致的不可接收数据安全风险。同样，训练数据所产生的歧视、隐私泄露以及利用训练数据所形成的AI深度伪造等问题，也是目前数据安全风险中难以有效通过技术解决的问题。

2023年7月，国家互联网信息办公室、中华人民共和国国家发展和改革委员会、中华人民共和国教育部、中华人民共和国科学技术部、中华人民共和国工业和信息化部、中华人民共和国公安部、国家广播电视总局联合发布《生成式人工智能服务管理暂行办法》，对生成式人工智能做出定义“生成式人工智能技术，是指具有文本、图片、音频、视频等内容生成能力的模型及相关技术。”该办法将“利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务（以下称生成式人工智能服务）”作为管理对象。本《条例》在第十九条中所定义的生成式人工智能服务的网络数据处理者可以定义为生成式人工智能服务提供者，即利用生成式人工智能技术提供生成式人工智能服务（包括通过提供可编程接口等方式提供生成式人工智能服务）的组织、个人。在《生成式人工智能服务管理暂行办法》第四条中要求“提供和使用生成式人工智能服务，应当遵守法律、行政法规，尊重社会公德和伦理道德，遵守以下规定……”[4]在第七条中对训练数据和训练数据处理活动提出要求“生成式人工智能服务提供者（以下称提供者）应当依法开展预训练、优化训练等训练数据处理活动，遵守以下规定：……”[5]

随着数字化产业的发展，数据引发的伦理道德问题将越来越普遍，技术本身无罪，但对技术的过度使用可能触发的法律问题在不断挑战法学界。更多的时候，伦理道德只是作为一种行为准则约束，没有强有力的法律的支撑，很难形成真正的技术伦理。

1.1.2.4 数据服务提供商

《网络安全法》第十条规定“建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。”《条例》在第十条中针对该问题给出明确要求“网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求；发现网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告；涉及危害国家安全、公共利益的，网络数据处理者还应当在24小时内向有关主管部门报告。”

网络数据处理者提供的网络产品和服务包括但不限于由代码构成的各类软件开发活动生成的产品、商业现货[6]、ICT/OT硬件设备、设施以及各种服务（如：大数据分析、模型开发、IT/OT运维、安全服务、咨询设计等）。提供商应对其所提供产品履行强制检测义务，强制检测工作近年来发生了一些变化，依据《中华人民共和国保守国家秘密法》规定的涉密产品强制检测销售和《中华人民共和国密码法》规定的商用密码产品强制检测销售许可；原有的网络安全强制检测销售许可在2023年国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测”。为落实《网络安全法》有关规定，国家网信办会同工业和信息化部、公安部、国家认监委等部门相继发布网络关键设备和网络安全专用产品目录，确定承担安全认证和安全检测任务的机构，明确认证检测结果统一发布流程，制定《信息安全技术网络安全专用产品安全技术要求》强制性国家标准。2023年7月1日起，列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应至少符合以下条件之一，方可销售或者提供：一是依据《公告》要求，按照《信息安全技术网络安全专用产品安全技术要求》等相关国家标准强制性要求，由具备资格的机构安全认证合格或安全检测符合要求的；二是此前已经获得《计算机信息系统安全专用产品销售许可证》，且在有效期内的。[7]随着软件供应链问题日趋严重，信创工作的推进急待加强，在此背景下，信创产品的强制性要求会不会快速形成立法，也将是一种期待。

漏洞管理是全球各国的焦点问题，漏洞国有化成为一种现实问题。《网络安全法》第六十条第二款中明确规定“违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：……（二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；……”2021年《网络产品安全漏洞管理办法》中规定“第一条为了规范网络产品安全漏洞发现、报告、修补和发布等行为，防范网络安全风险，根据《中华人民共和国网络安全法》，制定本规定。第二条中华人民共和国境内的网络产品（含硬件、软件）提供者和网络运营者，以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人，应当遵守本规定。”本规定明确了网络产品的范围、责任主体及相关活动要求；同时在第七条指出“网络产品提供者应当履行下列网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施：（一）发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。（二）应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。（三）应当及时组织对网络产品安全漏洞进行修补，对于需要产品用户（含下游厂商）采取软件、固件升级等措施的，应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户，并提供必要的技术支持。”本《条例》在此基础上进一步明确如果对于发生漏洞后的两个原则，第一告知上报义务“按照规定及时告知用户并向有关主管部门报告-工业和信息化部网络安全威胁和漏洞信息共享平台”，第二上报时间问题“涉及危害国家安全、公共利益的，网络数据处理者还应当在24小时内向有关主管部门报告。”

1.1.2.5 数据安全事件管理

在基于时间的网络安全模型PPDR中提出，组织在动态安全体系中，任何防御都是可以被突破的，当防御被突破后，意味着防御时间（Pt）从一个变量变成了常量，或者说防御时间为0；这时候组织网络安全风险的高低取决于暴露时间Et，暴露时间越小，组织面临的风险越低；因此，组织要通过提高检测效率（Dt），降低响应时间（Rt）来弥补时间间隙，从而缩短暴露时间，提高组织的整体安全水平和能力。

在现代数字化时代，基于数据的安全事件已经不局限于传统的网络安全，数据自身质量问题导致的异常、业务逻辑问题、软件代码执行问题、断电、自然灾害等多种因素都会影响到数据驱动的数字化产业的活动，这使得数据安全事件管理工作日显突出和重要。《网络安全法》在第五章中将网络安全事件管理定义在检测、预警和处置三大环节之上；在《数据安全法》第二十三条提出“国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。”第二十九条对于开展数据处理活动时“……应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。”《个人信息保护法》第五十一条第五款提出“（五）制定并组织实施个人信息安全事件应急预案；”并在第五十七条中对发生个人信息安全事件后的要求，规定“发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；（三）个人信息处理者的联系方式。”其中，特别强调在发生个人信息安全事件后，如果“个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；”但是，“履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。”那么在实际执行过程中，个人信息处理者应事先约定通知个人的有效手段，比如：通过组织公众号发布（但必须对发布内容进行严格审核，避免产生社会性恐慌或者恶意夸大事件影响，同时也必须避免有意的降低事件影响的描述，内容应通过专业的技术部门、业务部门、法务部门综合审核之后，方可发布）、短信平台或者能够直接通知到自然人的途径。

本《条例》明确了针对数据安全事件管理活动及要求，对于网络数据处理者而言①制定网络数据安全事件应急预案；预案是建立在组织网络数据安全风险评估基础之上，针对组织所面临的风险及合规性要求制定预案；通常预案根据各行业主管部门要求，可以参考工信部《公共互联网网络安全突发事件应急预案》或网信部门《国家网络安全事件应急预案》编制，具体可依据本行业本领域具体要求；②为确保预案可以正常执行，应针对预案实施演练（每年至少一次），并在演练过程中，对预案进行修订和完善，确保发生事件后能够基于预案执行处理活动。③在实际执行数据安全应急响应管理前，除风险评估之外，网络数据处理者应组建应急响应团队、配置和学习应急响应工具和技术，为实际响应提供技术保障；④网络数据处理者在构建应急响应工作时，应建立网络数据安全检测预警机制，实时监测组织网络数据安全状态；⑤建立网络数据上报、通报和披露机制，当“网络数据安全事件对个人、组织合法权益造成危害的，网络数据处理者应当及时将安全事件和风险情况、危害后果、已经采取的补救措施等，以电话、短信、即时通信工具、电子邮件或者公告等方式通知利害关系人；法律、行政法规规定可以不通知的，从其规定。”⑥网络数据安全事件发生后，“应当立即启动预案，采取措施防止危害扩大，消除安全隐患，并按照规定向有关主管部门报告。”⑦网络数据处理者在实施网络数据安全事件时应具备电子数据取证的基础能力，在事件初期研判事件是否涉嫌违法犯罪，并对涉嫌违法犯罪行为实施证据固定，并在明确“网络数据处理者在处置网络数据安全事件过程中发现涉嫌违法犯罪线索的，应当按照规定向公安机关、国家安全机关报案，并配合开展侦查、调查和处置工作。”同时，将证据交由司法机关，补充证据链，以便进一步的司法追溯。

1.1.2.6 政务数据处理要求

政务系统逐渐成为公民数据最大的集散地，由于其地位的特殊性，对于公民信息的采集和生产往往超越传统的商业组织的能力和数量。政务系统与各行各业所形成的业务交互，导致政务数据急速膨胀，政务数据的处理活动面临着严峻的挑战。政务数据处理者一方面要面对复杂业务链带来的业务可持续性运行；另一方面要面对来自于境内外的恶意人员，尤其是具有特定意图的APT组织带来的数据攻击；政务数据成为整个网络数据安全保护的重中之重。

《数据安全法》第三十七条提出“国家大力推进电子政务建设，提高政务数据的科学性、准确性、时效性，提升运用数据服务经济社会发展的能力。”为政府数字化提供了强大的政策依据和支撑；与此同时，在第三十八条指出“国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。”《条例》对政务数据处理活动从①委托他人处理政务数据；②为政务数据提供服务；③国家机关基本要求；三个层面做出规定。

1.委托他人处理政务数据的情形

《条例》第十五条规定“国家机关委托他人建设、运行、维护电子政务系统，存储、加工政务数据，应当按照国家有关规定经过严格的批准程序，明确受托方的网络数据处理权限、保护责任等，监督受托方履行网络数据安全保护义务。”

从信息系统生命周期分析，委托他人建设、运行、维护三个阶段中，应符合《网络安全法》“同步规划、同步建设和同步使用”的三同步原则，首先对于供应商应建立严格的评审程序，评审包括但不限于企业资质、背景、能力（含管理能力、技术能力、实施能力等）；同时，对于供应商实施人员应开展背景调查，明确“被治安管理处罚法处罚过的五年不得从事本行业，被刑事处罚过的终身不得从事本行业”的基本原则，应根据《中华人民共和国招标法》相关要求合理选择供应商；

其次，根据2024年2月由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定《互联网政务应用安全管理规定》要求“①机关事业单位委托外包单位开展互联网政务应用开发和运维时，应当以合同等手段明确外包单位网络和数据安全责任，并加强日常监督管理和考核问责；督促外包单位严格按照约定使用、存储、处理数据。未经委托的机关事业单位同意，外包单位不得转包、分包合同任务，不得访问、修改、披露、利用、转让、销毁数据。②机关事业单位应当建立严格的授权访问机制，操作系统、数据库、机房等最高管理员权限必须由本单位在编人员专人负责，不得擅自委托外包单位人员管理使用；应当按照最小必要原则对外包单位人员进行精细化授权，在授权期满后及时收回权限。

2.为政务数据提供服务的组织

条例在第十六条第一款提出“网络数据处理者为国家机关、关键信息基础设施运营者提供服务，或者参与其他公共基础设施、公共服务系统建设、运行、维护的，应当依照法律、法规的规定和合同约定履行网络数据安全保护义务，提供安全、稳定、持续的服务。”

由于政务数据涉及的网络数据处理者众多，如：运维服务商、云服务商、软件开发商、数据载体厂商（如：服务器、操作系统、网络设备等硬件厂商）、安全厂商等实体，在实际的网络数据处理活动中，需要参与政务网络数据处理活动的每一个实体都能在合同明确约定对网络数据安全的责权义，并签署保密协议，明确提供者的技术支持和安全保密义务与责任，并对义务与责任履行情况进行监督；能够与供应商建立威胁情报共享机制，并实施获取网络威胁情报，为网络数据安全态势感知提供重要支撑；能够建立在为政务系统提供服务期间的《网络数据安全应急响应预案》，在发生相关事件时，能够和采购商积极协作，共同完成事件的处理。

第二款提出“前款规定的网络数据处理者未经委托方同意，不得访问、获取、留存、使用、泄露或者向他人提供网络数据，不得对网络数据进行关联分析。”采购方应在采购活动中，对供应商是否获取数据以及获取哪些数据进行严格约定。由于数据在软件的调度下的流动是抽象化、非可视化的特征，很多时候，由于开发者主观意图建立的功能、第三方组件产生的客观数据异常获取以及通过持有的特权在服务期间非法获取数据的行为在物理上很难识别，因此，不仅需要在合同中形成有效约定，同时还应通过技术手段，如：数据审计、数据库审计、API检测、全流量分析、业务穿行等多种手段实施检测，发现异常及时处置，构成犯罪的应提交公安机关依法追究其相关法律责任。

3. 国家机关针对政务数据保护的基本要求

网络数据安全工作是建立在网络安全等级保护制度基础之上，因此《条例》第十七条中提出“为国家机关提供服务的信息系统应当参照电子政务系统的管理要求加强网络数据安全管理，保障网络数据安全。”的基础是履行网络安全等级保护义务，完成对相关业务的定级、备案、建设整改和测评工作，并在此基础商建立网络数据安全保护能力。同时，应依据《互联网政务应用安全管理规定》具体实施相关保护要求与工作。

1.1.3 社会监督

网络数据安全工作需要接受社会监督，针对个人信息滥用、非法使用等问题的发现更多的源于用户或被侵权人，《条例》在第二十条要求①面向社会提供产品、服务的网络数据处理者应当接受社会监督。②被监督组织应建立便捷的网络数据安全投诉、举报渠道；作为危机管理的重要手段之一，被监督组织应通过明确的方式提供投诉举报渠道，比如：网站、邮箱、投诉电话，组织内部应指定专门人员负责投诉工作的受理及提交投诉内容至相关部门，③在显式的位置或途径公布投诉、举报方式等信息，④及时受理并处理网络数据安全投诉、举报；工信部在工业及电信领域要求，数据处理者应在15天内答复投诉、举报信息。

[1] 第二方审计，也称为买方审计，是指由客户或采购方对供应商或卖方进行的审计。这种审计通常是为了评估供应商的产品质量、生产能力、管理体系、财务状况、合规性等方面是否符合客户的要求。通过第二方审计，客户可以更好地了解供应商的运营状况，确保供应链的稳定性和产品质量的可靠性。

[2] 《中华人民共和国个人信息保护法》第五条处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。第六条处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。第七条处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。第八条处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。第九条个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。第十条任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

[3] https://www.spp.gov.cn/spp/llyj/202202/t20220215_544538.shtml

[4] （一）坚持社会主义核心价值观，不得生成煽动颠覆国家政权、推翻社会主义制度，危害国家安全和利益、损害国家形象，煽动分裂国家、破坏国家统一和社会稳定，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，暴力、淫秽色情，以及虚假有害信息等法律、行政法规禁止的内容；（二）在算法设计、训练数据选择、模型生成和优化、提供服务等过程中，采取有效措施防止产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视；（三）尊重知识产权、商业道德，保守商业秘密，不得利用算法、数据、平台等优势，实施垄断和不正当竞争行为；（四）尊重他人合法权益，不得危害他人身心健康，不得侵害他人肖像权、名誉权、荣誉权、隐私权和个人信息权益；（五）基于服务类型特点，采取有效措施，提升生成式人工智能服务的透明度，提高生成内容的准确性和可靠性。

[5] （一）使用具有合法来源的数据和基础模型；（二）涉及知识产权的，不得侵害他人依法享有的知识产权；（三）涉及个人信息的，应当取得个人同意或者符合法律、行政法规规定的其他情形；（四）采取有效措施提高训练数据质量，增强训练数据的真实性、准确性、客观性、多样性；

（五）《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律、行政法规的其他有关规定和有关主管部门的相关监管要求。

[6] 商业现货（Commercial Off-The-Shelf，简称COTS）通常指的是现成的、可购买的商业产品，这些产品可以直接用于商业或军事用途，而不需要特别的定制或开发。COTS产品因其低成本、易于获取和快速部署的特点而被广泛采用。

[7] https://www.cac.gov.cn/2023-05/08/c_1685191060504925.htm

专题回顾

风险评估实施方法浅析 | GB20984-2022《信息安全技术信息安全风险评估方法》

【原文来源：老烦的草根安全观】

本文内容所包含内容仅限于学习和研究目的。这些内容源自公开的渠道搜集而来，目的是为帮助安全研究人员用于更好地理解和分析潜在的安全问题。

郑重提示：未经授权地利用可能涉及非法活动并导致法律责任和道德问题。请遵循适用的法律法规和道德准则。任何未经授权使用这些内容而导致的后果将由使用者自行承担。本文作者及安小圈不承担因使用本文内容而导致的任何法律问题、损害或责任。请详细阅读并理解这份免责声明。您将被视为已接受并同意遵守本免责声明所有条款和条件。

‍