网络数据安全管理条例拟出台 “大型互联网平台”将迎更强监管
现行网安法与数安法中爱游体育app下载官网,已分别提出数据分级要求,以及重要数据保护清单和核心数据分类等核心内容。征求意见稿则是在这两部上位法框架下,进一步强调国家需对个人信息权益给予优先保障。
《数据安全法》实施才两个多月,《个人信息保护法》也刚刚开始实施的时候,为了满足网络数据法治化管理和执法方面的要求,一部更加完善、操作性更强的法律实施办法即将出台。
十一月十四日,国家网信办公布了《网络数据安全管理条例(征求意见稿)》(简称为征求意见稿),这份征求意见稿包含九章七十五条内容爱游戏app入口官网首页,它以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律为基础,清楚界定了数据分类分级保护制度,还特别规定了以大型互联网平台运营者为主的数据处理者对关键数据和核心数据的保护义务,以及必须进行的网络安全审查事项,公众提交意见的最终期限是二零二一年十二月十三日。
今年六月之前,这部如今正公开征求意见的《网络数据安全管理条例》就已纳入国务院2021年的立法安排,彼时暂定名为《数据安全管理条例》。京师律师事务所的杜广普律师在第一财经的采访中谈到,这次名称变更反映了立法时的策略性取舍,先把互联网平台这类数据控制方作为立法对象,这凸显了监管机构的当前工作重心,同时也有助于新规迅速实施。
北京师范大学网络法治国际中心执行主任吴沈括补充说明,向第一财经透露,这份征求意见稿里涉及个人资料维护、关键数据保障、跨国数据流通监管、网络平台责任主体职责等具体条款,给网络平台的风险管控活动带来普遍的参考价值。等它安顿下来,就能够对网络行业和数字环境、数字财富进行根本性的、系统性的重塑和变革。
建立数据分类分级保护制度
建议方案指出,国家设立数据分级管控机制。依据数据对国家安全、公共利益及个人或组织正当权益的关联性和关键性,划分为常规信息、关键信息、核心信息,各类信息实施差异化管控策略。
国家特别注重对个人资料和关键信息的守护,对核心资料执行严密看管。
中国信息通信研究院云计算与大数据研究所人工智能部的工程师呼娜英告诉第一财经,现行的两个高级别法律中,网络安全等级保护制度包含了数据分级的内容,数据安全法则明确了重要数据保护清单和核心数据这两个关键概念,意见征询稿是在这两个法律的基础上,进一步强调国家需着重保护个人隐私权益。
数据安全法第三章第二十一条明确指出,划分数据类别和等级的标准是考量其在社会经济发展中的关键性以及遭遇修改、泄露等情况时可能造成的损害程度。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据被视为国家核心数据,而征求意见稿中关于“核心数据”的阐释与此规定相符。
但对于“重要数据”的范畴,数据安全法并未做出具体界定。
征求意见稿在上述法律的基础上进行细化。具体来说,关键信息是指一旦出现修改、损毁、外泄或者被违规使用,可能危及国家安全、公共利益的资料,总共涵盖七个类别,例如以密码学、生命科学、数字技术、智能技术等领域能直接作用于国家安全、经济竞争能力的科技成就信息为代表的管控信息;通讯、能源、金融等核心行业和范畴的安全生产、运行情况信息;国家基础构造、核心信息基础的建设运作及其安全状况信息等。
中国人民大学数字经济跨学科交叉平台首席专家李三希向第一财经透露,这类数据具备一个显著特点,那就是同产业数字化升级与经济高质量发展联系紧密,对于我国产业链供应链实现自主安全建设具有重要推动作用。
不同行业和地区在数据分类分级方面,具体规则和考量因素差别很大,因此重要数据目录和分类分级保护制度的制定权被下放到地方。根据国家数据分类分级标准,各地区和各部门要对自己辖区以及相关行业领域的数据实施分类分级管理。
大型互联网平台面临
更严“数据出境”监管
鉴于香港证券交易场所的蓬勃生机及内地对于跨国信息安全的管控日趋严格,与网信部门在七月十日公布的《关于网络安全审查办法修订的公开征询意见稿》相比,该征询稿对网络安全审查的适用范围作出了更详尽的阐释,同时增加了大型网络服务机构的特定责任
依照征询意见文本第十三条,数据处理者在港进行上市活动,若波及或或可波及国家安全,须遵循国家相关准则,执行网络安全申报审查程序。
在之前公布的《网络安全审查办法(修订草案征求意见稿)》里,只提到处理超过百万人个人信息的公司若要去海外上市,就需要接受安全审查,但并没有提及去香港上市的情况
方燕是网络安全方面的专家,她拥有中国社会科学院经济学博士学位,向第一财经透露了相关信息;当前国际局势动荡不安,许多在中国内地准备首次公开募股的公司选择在香港进行上市;新的征求意见文件完善了之前《网络安全审查办法(修订草案征求意见稿)》的不足,其中数据安全审查的指导理念不仅涉及到“数据流出境外”,还包括了“数据进入境外”的情况。
实际上,10月29日发布的《数据出境安全评估办法(征求意见稿)》明确,需要申报安全评估的范围,不仅涵盖了实施数据输出行为的数据处理方,也包括了执行数据跨境流动的数据处理方,这种情况与该征求意见稿中界定的主体完全相符。
对于数据跨国流动的监管工作爱游戏最新官网登录入口,草案第十三条对主要网络服务提供商施加了安全评估义务,具体来说,主要网络服务提供商在海外建立总部或业务中心、技术研究中心时,需要向国家互联网信息办公室及相关部门进行通报。
李三希强调,与公司及平台管理者不同,国家网络信息部门或主管单位对于国内外数据安全防护的指导方针更为明确,企业通过向相关监管机构提交材料,能够有效预防可能遇到的问题。此外,提前完成登记备案,也能让公司更好地适应国际环境的发展。
不过对于这项内容的监管负责人——那些规模庞大的网络服务提供商,许多被访者认为,或许值得深入探讨一下。
方燕提出,所谓“其他可能危及国家安全的资料处理情形”,假如仅仅把目光投向网络公司,那么它的范围就太局限了。比如说,一些体量不小的通信服务商、智能设备生产商等,它们在海外也设有研究机构或者业务中心,并且同样掌控着极为庞大的信息,这些机构也理应接受安全评估。
杜广普提出看法,称征求意见稿所划定的“大型互联网平台运营者”这一定义,存在若干欠妥当的方面。
依据征询意见的第七十三条款,所谓大型网络服务提供商,就是指拥有超过五千万注册用户,经手海量个人资料与关键信息,具备显著社会号召力及市场主导地位的在线平台运营主体。
根据那个解释可知,大型网络服务提供商必须符合四个方面的标准。前三个标准,涉及用户规模、信息传播和社会组织能力,相对来说比较容易确认。但第四个标准,即是否掌握市场主导权,则可能比较难认定。这是杜广普的观点。
他接着说明,依照现行法规和实际操作,“市场主导地位”基本上是《反垄断法》里的一个概念。判定企业是否拥有市场主导地位,一般由反垄断监管机构或审判机关在具体案件里,依据相关证明材料,在精确划定相关领域之后,全面评估诸多条件来确认或者推断,这个过程相当专业,难度也比较大。另外,即便某企业在某个诉讼中被判定拥有市场主导权,这种判定也可能因为时光流转以及企业内外条件变动而发生改变。
这表明,作为关键的市场主体,这类网络服务提供者的身份界定并非易事,执行层面或将遭遇诸多困难,杜广普这样认为。
呼娜英指出,除了“大型互联网平台运营者”这一术语,对于个人信息保护,征求意见稿中存在一些表述需要调整或说明,例如,涉及数据处理者运用生物特征进行身份核验的情况,需要对必要性与安全性开展评估,这种评估应与个保法中处理敏感信息所要求的事前影响评估保持一致,建议相关文字进行规范。
从整体角度观察,这份草案针对网络服务提供方,特别是规模较大的网络服务提供方,制定了诸多管理规范,有助于具体执行并完善三个根本性法规。然而,部分条款的表述或与先前的法律条文存在出入,草案中新提出的说法需要进一步加以阐释和界定。呼娜英这样认为。
