作为效力仅次于“法律”的行政法规,《网络数据安全管理条例》不是对上位法进行简单的重复,而是充分发挥“行政法规”在法律体系中的重要作用。一方面细化《网络安全法》《数据安全法》《个人信息保护法》,并落实三法中明确“行政法规”可以补充规定或另行规定的事项,进行补充性或创新性规定。另一方面,结合近年数据治理经验,聚焦信息技术创新及数字经济发展中的突出问题,衔接、协调上位法律及下位部门规章相关规定。总的来说,《网络数据安全管理条例》确立的规则呈现以下变化与延续。
一、新增特殊主体的供应链安全要求
《网络数据安全管理条例》对网络数据安全的关注不再是节点安全而是整个产业链供应链的安全。《网络数据安全管理条例》不仅明确提出“供应链网络数据安全”概念,也构建了较为全面的数据供应链安全体系。在规则设计上,对国家机关、关键信息基础设施运营者、公共基础设施及公共服务系统运营者、处理重要数据的大型网络平台服务提供者的供应链安全提出新增要求。一是《网络数据安全管理条例》不仅关注国家机关网络数据安全,还首次针对为“关键信息基础设施运营者、参与其他公共基础设施、公共服务系统建设、运行、维护的”供应商,提出其与“国家机关”相关服务供应商同等安全保护要求。二是不仅关注供应链上的服务安全还关注信息系统安全,要求为国家机关提供服务的信息系统参照电子政务系统的管理要求。三是对于处理重要数据的大型网络平台服务提供者,《网络数据安全管理条例》首次明确要求前者应当充分说明关键业务和供应链网络数据安全等情况。
二、补充重要数据安全保护规则
重要数据安全保护制度是国家数据安全管理的重要抓手,《数据安全法》在一般数据基础上对重要数据设置了增强要求,包括明确数据安全负责人和管理机构、定期开展风险评估以及出境安全管理。近年来,行业、领域在重要数据安全保护工作探索中也提出一些细化、不同强度的保护要求。例如重要数据备案要求,《工业和信息化领域数据安全管理办法(试行)》规定,工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案;重要数据安全能力核验要求,《工业和信息化领域数据安全管理办法(试行)》规定,委托处理重要数据,应当对受托方的数据安全保护能力、资质进行核验;重要数据年度风险评估要求,《工业和信息化领域数据安全管理办法(试行)》规定,工业和信息化领域重要数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,并向本地区行业监管部门报送风险评估报告;重要数据的存储要求,《会计师事务所数据安全管理暂行办法》规定,存储重要数据的信息系统要落实三级及以上网络安全等级保护要求;重要数据日志留存要求,《会计师事务所数据安全管理暂行办法》规定,涉及重要数据的相关日志留存时间不少于一年。涉及向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于三年等。
《网络数据安全管理条例》一是补充了网络数据安全负责人资格要求。包括具备网络数据安全专业知识、具备相关管理经验,属于管理层成员。对于掌握有关主管部门特定种类、规模重要数据的处理者,还需对网络数据安全负责人和关键岗位人员进行安全背景审查。二是补充了网络数据安全管理机构职责。三是细化了风险评估制度。《网络数据安全管理条例》规定了提供、委托处理、共同处理重要数据前需要开展风险评估以及重要数据安全年度风险评估两类评估要求。后者评估报告需向省级以上主管部门报送。四是新增了特殊情形下重要数据处置方案报告要求。此前《自然资源部数据安全管理办法》规定,数据处理者因重组等原因需要转移数据的,应当明确数据转移方案。涉及重要数据的,应当事前向行业监管部门报告数据转移方案。《网络数据安全管理条例》则明确只要因合并、分立、解散、破产等可能影响重要数据安全的,均需报告。
(来源:公安部第三研究所)
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...