作为效力仅次于“法律”的行政法规,《网络数据安全管理条例》不是对上位法进行简单的重复,而是充分发挥“行政法规”在法律体系中的重要作用。一方面细化《网络安全法》《数据安全法》《个人信息保护法》,并落实三法中明确“行政法规”可以补充规定或另行规定的事项,进行补充性或创新性规定。另一方面,结合近年数据治理经验,聚焦信息技术创新及数字经济发展中的突出问题,衔接、协调上位法律及下位部门规章相关规定。总的来说,《网络数据安全管理条例》确立的规则呈现以下变化与延续:
一、明确界定“网络数据处理者”“重要数据”等核心概念
与《数据安全法》主要以行为即“开展数据处理活动”为中心构建数据安全规则不同,《网络数据安全管理条例》中的网络数据安全保护义务与责任主要围绕“网络数据处理者”这一主体身份展开。只有“网络数据处理者”需履行等级保护基础上全流程的数据安全保护,网络数据安全风险告知报告,网络数据安全应急处置,提供、委托、共同处理环节的风险评估义务等义务。至于何为“网络数据处理者”,基于《数据安全法》并未对数据处理者做出界定。
二、新增网络数据安全风险、事件告知与报告规则
《网络数据安全管理条例》首先在《网络安全法》基础上强调“网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求”;其次,在延续《网络安全法》关于“网络产品、服务提供者”安全风险告知及补救义务规定的基础上,首次提出“涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告”。
关于网络数据安全事件的告知与报告,《网络数据安全管理条例》延续了《数据安全法》《网络安全法》中安全事件向主管部门的报告要求,未做进一步细化。但重点补充了是否需要向利害关系人告知以及如何告知的规则。《网络数据安全管理条例》在平衡企业合规负担与个体权益保障的基础上,仅规定网络数据安全事件对个人、组织合法权益“造成危害的”才需告知。告知方式包括电话、短信、即时通信工具、电子邮件或者公告。此前征求意见稿对于以公告方式告知的,设置了前置条件,仅无法通知的才可公告告知。正式稿删除了该限制,进一步降低合规要求。
三、补充数据流转中的安全保护要求
数据流转安全问题随着数据要素开发利用日益频繁,《数据安全法》定义了数据安全有效保护和合法利用的两种状态,但并未建立数据流转安全的具体规则。《个人信息保护法》针对个人信息对外提供、委托、共同处理确立了一定要求,例如应当开展个人信息保护影响评估。对外提供个人信息的,应当履行告知义务并取得单独同意。委托处理个人信息的,应当与受托人约定各自权利义务并进行监督等。《网络数据安全管理条例》紧抓数据流动和利用安全这一数据要素时代的数据安全核心问题,关注点从“数据安全”到“数据合法有效利用”,在《数据安全法》《个人信息保护法》基础上做了诸多规则补充。
一是要求提供、委托处理个人信息和重要数据的,应当通过合同等明确安全保护义务、监督义务履行情况、记录处理情况并至少保存3年。值得注意的是,《个人信息保护法》仅要求“委托”处理个人信息的需要约定权利义务并监督,《网络数据安全管理条例》则扩展至“提供”个人信息的场景。“提供、委托处理”重要数据的要求则吸收行业、领域的实践经验。二是要求重要数据的处理者提供、委托处理、共同处理重要数据前,除为履行法定职责或者法定义务外,应当进行风险评估。三是明确了针对自动化采集豁免知情同意规则。《网络数据安全管理条例》第二十四条吸收《个人信息保护法》第十三条、第十八条规定,利用行政法规层级,实现对自动化采集知情同意规则的豁免,即免除前端采集环节义务,在后续环节处理即可。
(来源:公安部第三研究所)
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...