【新政】专题解读：《网络数据安全管理条例》_5

非官方不专业版

版权所有，转发请注明出处

1.1 3.3   重要数据安全

《条例》在第六十二条对重要数据进行定义“是指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。”在《工业和信息化领域数据安全管理办法（试行）》第十条中中对重要数据做出说明“（一）对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁，影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域；（二）对工业和信息化领域发展、生产、运行和经济利益等造成严重影响；（三）造成重大数据安全事件或生产安全事故，对公共利益或者个人、组织合法权益造 成严重影响，社会负面影响大；（四）引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或者影响持续时间长，对行业发展、技术进步和产业生态等造成严重影响；（五）经工业和信息化部评估确定的其他重要数据。”国家标准GB/T 43697-2024 《数据安全技术数据分类分级规则》对重要数据识别提供相关指南，参阅附录1

3.3.1 基本要求

⑤网络数据处理者应当履行网络数据安全保护责任。对拥有重要数据的网络数据处理者应当在网络安全等级保护制度基础上建立数据安全保护责任；由于业务是动态的，数据基于业务在流动过程中，可能会使原有的非重要数据变成重要数据；也可能随着业务的废弃或终止，使得原有的重要数据在经过要求的保存期并删除后，不再持有重要数据，因此，组织应定期对重要数据进行识别和分类分级。避免在实际保护工作中产生保护不足或保护过度。

⑥国家鼓励网络数据处理者使用数据标签标识等技术和产品，提高重要数据安全管理水平。数据安全技术和产品是建立网络数据安全保护的重要手段之一；无论是信创考虑还是应对新的网络数据安全保护环境的变化，市场需要更多、更丰富、更具有行业特色的数据安全产品和技术产生。

3.3.2 重要数据处理者责任

3.3.2.1 基本责任和义务

3.3.2.2 重要数据风险评估

针对处理重要数据的大型网络平台服务提供者报送的风险评估报告，除包括前款规定的内容外，还应当充分说明关键业务和供应链网络数据安全等情况。供应链网络数据目前国内尚无明确定义，供应链本身是一个复杂的过程，传统意义上而言，供应链网络数据是指在供应链管理过程中生成和使用的各类数据的集合，这些数据涵盖了供应链的各个环节，包括供应商管理、物料需求规划、生产计划、库存管理、订单处理、运输管理、客户服务等。从数据活动而言，笔者将供应链网络数据定义在建立数据合作关系中所产生的数据，比如：数据采购方采购数据后，将数据进行生产后产生的衍生数据实施销售的活动；在很多组织中，数据供应链活动是一个庞杂且混乱的过程，很多数据的跨域交互导致产生很多数据供应活动，尤其是在政务体系中，各个系统之间所形成的数据API纷繁复杂。

（一）提供、委托处理、共同处理网络数据，以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要；双方应根据实际需要的数据形态、数据结构（库、表、字段）进行约定，根据使用数据的目的、方式、范围选择数据。选择数据的基本原则是“不应反映用户实体身份特征”，对包含个人身份信息的数据应进行脱敏或去标识化后方可委托处理。

（五）采取或者拟采取的技术和管理措施等能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险；网络数据接收方的网络安全水平和能力应该①具备防范网络数据攻击的能力，包括但不限于来自于内部或外部的网络攻击以及对持有的数据滥用等情形；②能够在发生网络数据安全事件后，启动应急响应机制，降低事件导致的影响；③评估团队应能够识别并发现是否存在非法获取、非法利用数据的情形

3.3.2.3 重要数据处理者变更

《条例》在第三十二条对重要数据的处理者产生合并、分立、解散、破产等可能影响重要数据安全的情况进行约定，①应当采取措施保障网络数据安全：在重要数据处理者组织发生变更后，对于其持有的重要数据应进行保全操作，未经许可情况下，不得对数据进行额外处置；②向省级以上有关主管部门报告重要数据处置方案、接收方的名称或者姓名和联系方式等：由省级行业主管部门制定重要数据处理者组织发生变更后的重要数据处置方案及具体操作要求；③主管部门不明确的，应当向省级以上数据安全工作协调机制报告：本项内容未作出明确约定，数据安全工作协调根据管理主体职能应由国家安全管理部门协调，由省级网信部门、数据管理部门、公安部门、行业主管部门共同组成，如涉及国家安全，还应由国家安全部门参与协调工作。

附录1 重要数据识别指南

1. a)直接影响领土安全和国家统一,或反映国家自然资源基础情况,如未公开的领陆、领水、领空数据;
2. b)可被其他国家或组织利用发起对我国的军事打击,或反映我国战略储备、应急动员、作战等能力,如满足一定精度指标的地理数据或与战略物资产能、储备量有关的数据;
3. c)直接影响市场经济秩序,如支撑关键信息基础设施所在行业、领域核心业务运行或重要经济领域生产的数据;
4. d)反映我国语言文字、历史、风俗习惯、民族价值观念等特质,如记录历史文化遗产的数据;
5. e)反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可被恐怖分子、犯罪分子利用实施破坏,如描述重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防情况的数据:
6. f)f)关系我国科技实力、影响我国国际竞争力,或关系出口管制物项,如反映国家科技创新重大成果,或描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法的数据,以及涉及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告的数据;
7. g)反映关键信息基础设施总体运行、发展和安全保护情况及其核心软硬件资产信息和供应链管理情况,可被利用实施对关键信息基础设施的网络攻击,如涉及关键信息基础设施系统配置信息、系统拓扑、应急预案、测评、运行维护、审计日志的数据;

8. h)涉及未公开的攻击方法、攻击工具制作方法或攻击辅助信息,可被用来对重点目标发起供应链攻击、社会工程学攻击等网络攻击,如政府、军工单位等敏感客户清单,以及涉及未公开的产品和服务采购情况、未公开重大漏洞情况的数据;

9. i)反映自然环境、生产生活环境基础情况,或可被利用造成环境安全事件,如未公开的与土壤、气象观测、环保监测有关的数据;
10. j)反映水资源、能源资源、土地资源、矿产资源等资源储备和开发、供给情况,如未公开的描述水文观测结果、耕地面积或质量变化情况的数据;
11. k)反映核材料、核设施、核活动情况,或可被利用造成核破坏或其他核安全事件,如涉及核电站设计图、核电站运行情况的数据;
12. l)关系海外能源资源安全、海上战略通道安全、海外公民和法人安全,或可被利用实施对我国参与国际经贸、文化交流活动的破坏或对我国实施歧视性禁止、限制或其他类似措施,如描述国际贸易中特殊物项生产交易以及特殊装备配备、使用和维修情况的数据;
13. m)关系我国在太空、深海、极地等战略新疆域的现实或潜在利益,如未公开的涉及对太空、深海极地进行科学考察、开发利用的数据,以及影响人员在上述领域安全进出的数据;
14. n)反映生物技术研究、开发和应用情况,反映族群特征、遗传信息,关系重大突发传染病、动植物疫情,关系生物实验室安全,或可能被利用制造生物武器、实施生物恐怖袭击,关系外来物种人侵和生物多样性,如重要生物资源数据、微生物耐药基础研究数据；
15. o)反映全局性或重点领域经济运行、金融活动状况,关系产业竞争力,可造成公共安全事故或影响公民生命安全,可引发群体性活动或影响群体情感与认知,如未公开的统计数据、重点企业商业秘密;
16. p)反映国家或地区群体健康生理状况,关系疾病传播与防治,关系食品药品安全,如涉及健康医疗资源、批量人口诊疗与健康管理、疾控防疫、健康救援保障、特定药品实验、食品安全溯源的数据;
17. q)其他可能影响国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等安全的数据;
18. r)其他可能对经济运行、社会秩序或公共利益造成严重危害的数据