近日,國家網際網路資訊辦公室(“國家網信辦”)釋出《網路資料安全管理條例 (徵求意見稿)》(“《條例》”)。《條例》以《中華人民共和國網路安全法》、《中華人民共和國資料安全法》和《中華人民共和國個人資訊保護法》等法律法規作為上位法依據,對於2021年《網路安全審查辦法(修訂草案徵求意見稿)》中規定的申報網路安全審查的條件,在行政法規層面進行了調整與細化。《條例》從一般規定、個人資訊保護、重要資料安全、資料跨境安全管理、網際網路平臺運營者義務等方面對網路資料安全參與者進行規範。
《條例》的五大重點
擬建立資料分類分級保護制度
國家建立資料分類分級保護制度,按照資料對國家安全、公共利益或者個人、組織合法權益的影響和重要程度,將資料分為一般資料、重要資料、核心資料,不同級別的資料採取不同的保護措施。國家對個人資訊和重要資料進行重點保護,對核心資料實行嚴格保護。
《條例》相比《資料安全法》,將資料進一步細分、更有層次,這就要求企業對資料資產進行規劃盤點,釐清資料資產和個人資訊資料分佈比例,進而制定重要資料和核心資料目錄,從而為資料分類分級後更好地制定精細化資料安全策略打下基礎。
資料“出海”、跨境資料監管即將落地
《條例》提出,資料處理者向境外提供在中華人民共和國境內收集和產生的資料,屬於以下情形的,應當透過國家網信部門組織的資料出境安全評估:出境資料中包含重要資料;關鍵資訊基礎設施運營者和處理一百萬人以上個人資訊的資料處理者向境外提供個人資訊;國家網信部門規定的其他情形。
經濟全球化大背景下,資料“出海”是許多企業的現實需求。中國社會科學院大學教授李勇堅指出,條例為企業資料“出海”劃定了紅線。此外,《條例》對“國外上市”和“香港上市”制定了更嚴格的網路安全審查。7月以來,近十家中國網際網路公司取消了赴美上市計劃。網際網路平臺企業要想在海量資料未經審查的情況下,赴外國上市,將成為天方夜譚。
十萬人以上資訊洩露需在八小時內報備
一般規定的第十一條顯示,資料處理者應當建立資料安全應急處置機制,發生資料安全事件時及時啟動應急響應機制,採取措施防止危害擴大,消除安全隱患。在發生重要資料或者十萬人以上個人資訊洩露、毀損、丟失等資料安全事件時,資料處理者還應當在八小時內向設區的市級網信部門和有關主管部門報告事件基本資訊。
中國政法大學網際網路金融法律研究院院長李愛君表示,八小時報備能夠有效地防範重要資料安全風險發生,並在發生時有效控制風險的擴大化。
大資料殺熟、資料過度使用、生物特徵身份認證等問題將有解
《徵求意見稿》強調,網際網路平臺運營者不得利用資料以及平臺規則等從事服務差異化等損害使用者合法利益的行為,以及利用資料誤導、欺詐、脅迫使用者,損害使用者對其資料被處理的決定權,違背使用者意願處理使用者資料等,同時《徵求意見稿》還對強制個人同意收集其個人生物特徵資訊作出了嚴格限定,提出不得將人臉、步態、指紋、虹膜、聲紋等生物特徵作為唯一的個人身份認證方式。
中國網際網路協會法工委副秘書長鬍鋼指出:“此舉將敦促大型網際網路平臺企業更加主動積極合規合法。”
明確重要資料處理者責任、成立資料安全管理機構
《條例》適用範圍涵蓋境內和境外,適用主體共分為三類,分別為資料處理者、網際網路平臺運營者、大型網際網路平臺運營者。第二十八條提到,資料安全負責人應當具備資料安全專業知識和相關管理工作經歷,資料安全管理機構具體應履行以下職責:制定實施資料安全保護計劃和資料安全事件應急預案;開展資料安全風險監測,及時處置資料安全風險和事件;定期組織開展資料安全宣傳教育培訓、風險評估、應急演練等活動;受理、處置資料安全投訴、舉報;按照要求及時向網信部門和主管、監管部門報告資料安全情況。
隨著越來越多的生產、生活場景資料化,資料將承擔更多重任,展現出更加廣闊的發展前景。在資料法治時代,安全與發展的失衡,後果將不堪設想。《條例》在加強資料安全防護能力建設、保障資料依法有序自由流動,促進資料依法合理有效利用方面具有重要意義。
對網路安全產業而言,從行業層面來看,資料安全將成為網路行業景氣度最高的賽道。從國家對資料安全的重視程度和政策出臺的頻率來看,網路安全產業提速將成為大機率事件。無論是資料安全整體解決方案,還是資料防洩漏、APP隱私合規、大資料交易沙箱、資料信託等細分賽道均存在較大的機會。
海雲安能為資料管理新風向提供什麼?
海雲安個人隱私安全檢測系統 為APP客戶提供隱私合規檢測服務,所依據的標準包括APP專項治理工作組以及工信部、網信辦、公安部等部委自2019年以來,釋出的一系列技術規範和標準文字。本服務提供最權威的政策和標準解讀,輸出APP評估報告,為企業給出可執行的具體整改意見,幫助企業未雨綢繆,避免相關合規問題
該服務包含人工+工具方式,針對應用APP、微信公眾號、小程式等,依據資訊系統安全標準要求、法律法規,使用最先進的安全測試度量技術進行其安全性評估。安全評估從應用自身安全、業務操作安全、通訊資料安全、服務端安全等方面360度全面無死角發現APP安全漏洞、違規收集、使用許可權等敏感行為問題,共計110+檢測項。幫助企業技術人員解決移動應用安全問題;從而滿足監管合規要求。