作為效力僅次于“法律”的行政法規,《網絡數據安全管理條例》不是對上位法進行簡單的重復,而是充分發揮“行政法規”在法律體系中的重要作用。一方面細化《網絡安全法》《數據安全法》《個人信息保護法》,并落實三法中明確“行政法規”可以補充規定或另行規定的事項,進行補充性或創新性規定。另一方面,結合近年數據治理經驗,聚焦信息技術創新及數字經濟發展中的突出問題,銜接、協調上位法律及下位部門規章相關規定。總的來說,《網絡數據安全管理條例》確立的規則呈現以下變化與延續:
一、明確界定“網絡數據處理者”“重要數據”等核心概念
與《數據安全法》主要以行為即“開展數據處理活動”為中心構建數據安全規則不同,《網絡數據安全管理條例》中的網絡數據安全保護義務與責任主要圍繞“網絡數據處理者”這一主體身份展開。只有“網絡數據處理者”需履行等級保護基礎上全流程的數據安全保護,網絡數據安全風險告知報告,網絡數據安全應急處置,提供、委托、共同處理環節的風險評估義務等義務。至于何為“網絡數據處理者”,基于《數據安全法》并未對數據處理者做出界定。《網絡數據安全管理條例》借鑒了《個人信息保護法》中“個人信息處理者”定義,在附則的含義中明確“網絡數據處理者是指在網絡數據處理活動中自主決定處理目的和處理方式的個人、組織”。由此,能否“自主決定”處理目的和處理方式判定是否屬于“網絡數據處理者”的核心標準。“自主決定”蘊含著控制力、影響力和決定性地位的實質性判斷,并與是否承擔數據安全責任直接關聯。實踐中證明某個主體是否具備自主決定數據處理目的和處理方式,往往需要結合場景進行判斷,如數據合作或服務協議中的職責界定,在集團數據處理模式中還要考慮企業股權架構、決策機制等。
《網絡數據安全管理條例》另一個核心概念是“重要數據”,《網絡數據安全管理條例》吸納了國家標準《數據安全技術 數據分類分級規則》對“重要數據”的界定,在附則的含義中明確“重要數據是指特定領域、特定群體、特定區域或者達到一定精度和規模,一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據”。關于重要數據的認定,《網絡數據安全管理條例》延續《數據安全法》確立的國家數據安全工作協調機制制定重要數據目錄,各地區、各部門確定本地區、本部門以及行業、領域的重要數據具體目錄的認定機制,同時吸收近年重要數據出境安全評估中的監管經驗,明確網絡數據處理者只需負責重要數據的識別、申報。是否屬于重要數據的認定交由各地區、各部門,各地區、各部門負責審核后告知或公布。
二、新增網絡數據安全風險、事件告知與報告規則
《網絡數據安全管理條例》首先在《網絡安全法》基礎上強調“網絡數據處理者提供的網絡產品、服務應當符合相關國家標準的強制性要求”;其次,在延續《網絡安全法》關于“網絡產品、服務提供者”安全風險告知及補救義務規定的基礎上,首次提出“涉及危害國家安全、公共利益的,網絡數據處理者還應當在24小時內向有關主管部門報告”。
關于網絡數據安全事件的告知與報告,《網絡數據安全管理條例》延續了《數據安全法》《網絡安全法》中安全事件向主管部門的報告要求,未做進一步細化。但重點補充了是否需要向利害關系人告知以及如何告知的規則。《網絡數據安全管理條例》在平衡企業合規負擔與個體權益保障的基礎上,僅規定網絡數據安全事件對個人、組織合法權益“造成危害的”才需告知。告知方式包括電話、短信、即時通信工具、電子郵件或者公告。此前征求意見稿對于以公告方式告知的,設置了前置條件,僅無法通知的才可公告告知。正式稿刪除了該限制,進一步降低合規要求。
三、補充數據流轉中的安全保護要求
數據流轉安全問題隨著數據要素開發利用日益頻繁,《數據安全法》定義了數據安全有效保護和合法利用的兩種狀態,但并未建立數據流轉安全的具體規則。《個人信息保護法》針對個人信息對外提供、委托、共同處理確立了一定要求,例如應當開展個人信息保護影響評估。對外提供個人信息的,應當履行告知義務并取得單獨同意。委托處理個人信息的,應當與受托人約定各自權利義務并進行監督等。《網絡數據安全管理條例》緊抓數據流動和利用安全這一數據要素時代的數據安全核心問題,關注點從“數據安全”到“數據合法有效利用”,在《數據安全法》《個人信息保護法》基礎上做了諸多規則補充。一是要求提供、委托處理個人信息和重要數據的,應當通過合同等明確安全保護義務、監督義務履行情況、記錄處理情況并至少保存3年。值得注意的是,《個人信息保護法》僅要求“委托”處理個人信息的需要約定權利義務并監督,《網絡數據安全管理條例》則擴展至“提供”個人信息的場景。“提供、委托處理”重要數據的要求則吸收行業、領域的實踐經驗。二是要求重要數據的處理者提供、委托處理、共同處理重要數據前,除為履行法定職責或者法定義務外,應當進行風險評估。三是明確了針對自動化采集豁免知情同意規則。《網絡數據安全管理條例》第二十四條吸收《個人信息保護法》第十三條、第十八條規定,利用行政法規層級,實現對自動化采集知情同意規則的豁免,即免除前端采集環節義務,在后續環節處理即可。
四、新增特殊主體的供應鏈安全要求
《網絡數據安全管理條例》對網絡數據安全的關注不再是節點安全而是整個產業鏈供應鏈的安全。《網絡數據安全管理條例》不僅明確提出“供應鏈網絡數據安全”概念,也構建了較為全面的數據供應鏈安全體系。在規則設計上,對國家機關、關鍵信息基礎設施運營者、公共基礎設施及公共服務系統運營者、處理重要數據的大型網絡平臺服務提供者的供應鏈安全提出新增要求。
一是《網絡數據安全管理條例》不僅關注國家機關網絡數據安全,還首次針對為“關鍵信息基礎設施運營者、參與其他公共基礎設施、公共服務系統建設、運行、維護的”供應商,提出其與“國家機關”相關服務供應商同等安全保護要求。二是不僅關注供應鏈上的服務安全還關注信息系統安全,要求為國家機關提供服務的信息系統參照電子政務系統的管理要求。三是對于處理重要數據的大型網絡平臺服務提供者,《網絡數據安全管理條例》首次明確要求前者應當充分說明關鍵業務和供應鏈網絡數據安全等情況。
五、補充重要數據安全保護規則
重要數據安全保護制度是國家數據安全管理的重要抓手,《數據安全法》在一般數據基礎上對重要數據設置了增強要求,包括明確數據安全負責人和管理機構、定期開展風險評估以及出境安全管理。近年來,行業、領域在重要數據安全保護工作探索中也提出一些細化、不同強度的保護要求。例如重要數據備案要求,《工業和信息化領域數據安全管理辦法(試行)》規定,工業和信息化領域數據處理者應當將本單位重要數據和核心數據目錄向本地區行業監管部門備案;重要數據安全能力核驗要求,《工業和信息化領域數據安全管理辦法(試行)》規定,委托處理重要數據,應當對受托方的數據安全保護能力、資質進行核驗;重要數據年度風險評估要求,《工業和信息化領域數據安全管理辦法(試行)》規定,工業和信息化領域重要數據處理者應當自行或委托第三方評估機構,每年對其數據處理活動至少開展一次風險評估,并向本地區行業監管部門報送風險評估報告;重要數據的存儲要求,《會計師事務所數據安全管理暫行辦法》規定,存儲重要數據的信息系統要落實三級及以上網絡安全等級保護要求;重要數據日志留存要求,《會計師事務所數據安全管理暫行辦法》規定,涉及重要數據的相關日志留存時間不少于一年。涉及向他人提供、委托處理、共同處理重要數據的相關日志留存時間不少于三年等。《網絡數據安全管理條例》一是補充了網絡數據安全負責人資格要求。包括具備網絡數據安全專業知識、具備相關管理經驗,屬于管理層成員。對于掌握有關主管部門特定種類、規模重要數據的處理者,還需對網絡數據安全負責人和關鍵崗位人員進行安全背景審查。二是充了網絡數據安全管理機構職責。三是化了風險評估制度。《網絡數據安全管理條例》規定了提供、委托處理、共同處理重要數據前需要開展風險評估以及重要數據安全年度風險評估兩類評估要求。后者評估報告需向省級以上主管部門報送。四是增了特殊情形下重要數據處置方案報告要求。此前《自然資源部數據安全管理辦法》規定,數據處理者因重組等原因需要轉移數據的,應當明確數據轉移方案。涉及重要數據的,應當事前向行業監管部門報告數據轉移方案。《網絡數據安全管理條例》則明確只要因合并、分立、解散、破產等可能影響重要數據安全的,均需報告。
來源:國家網絡安全通報中心
浙公網安備 33010502006954號 
