編者按
近日,國家網信辦《網路資料安全管理條例(徵求意見稿)》釋出,對資料儲存、資料流通、資料使用等資料合規問題進行約束。《徵求意見稿》緊密貼合當下網路資料安全管理熱點,在資料分級、資料“出海”、大資料殺熟、身份認證、資訊洩露報備等方面給予了詳細的指導意見,同時為大型網際網路平臺和安全廠商提供了新的思考。
本期,產業安全TALK聚焦《網路資料安全管理條例(徵求意見稿)》,與大家一同探討意見稿中提及的首創性規定,以及網路資料安全問題該如何應對?
作者:金珉錫
11月14日,國家網際網路資訊辦公室就《網路資料安全管理條例(徵求意見稿)》向社會公開徵求意見。資料成為基礎性、戰略性生產要素的數字經濟時代,網路資料安全該如何管理成為政府、媒體、企業及個人關注的焦點。
UIBE數字經濟與法律創新研究中心主任許可認為,隨著《網路安全法》、《資料安全法》、《個人資訊保護法》的出臺,我國網路空間法制的“四梁八柱”已經形成,《徵求意見稿》則是落實其規則、充實其內容的關鍵構件。
中國網際網路協會研究中心副主任吳沈括表示,《徵求意見稿》的制度思路已不是網路安全合規、資料安全合規或者個人資訊保護合規的單維方案,其可以廣泛重塑數字經濟下的資料處理與流轉利用規則,在技術基礎、組織管理、價值生態等諸多層面深度改造產業發展模式和企業治理架構,全面催生企業資料大合規的嶄新需求。
《徵求意見稿》從一般規定、個人資訊保護、重要資料安全、資料跨境安全管理、網際網路平臺運營者義務等方面對網路資料安全參與者進行規範。中南財經政法大學數字經濟研究院執行院長盤和林認為,《徵求意見稿》將推動網際網路平臺資料治理模式變革,是推動數字經濟和網際網路平臺實現可持續發展的標線。
網路資料安全管理迎新規《徵求意見稿》有何亮點和創新點?
總體而言,《徵求意見稿》具有五大亮點:
亮點一:擬建立資料分類分級保護制度
國家建立資料分類分級保護制度,按照資料對國家安全、公共利益或者個人、組織合法權益的影響和重要程度,將資料分為一般資料、重要資料、核心資料,不同級別的資料採取不同的保護措施。國家對個人資訊和重要資料進行重點保護,對核心資料實行嚴格保護。
《徵求意見稿》相比《資料安全法》,將資料進一步細分、更有層次,這就要求企業對資料資產進行規劃盤點,釐清資料資產和個人資訊資料分佈比例,進而制定重要資料和核心資料目錄,從而為資料分類分級後更好地制定精細化資料安全策略打下基礎。
亮點二:資料“出海”、跨境資料監管即將落地
《徵求意見稿》提出,資料處理者向境外提供在中華人民共和國境內收集和產生的資料,屬於以下情形的,應當透過國家網信部門組織的資料出境安全評估:出境資料中包含重要資料;關鍵資訊基礎設施運營者和處理一百萬人以上個人資訊的資料處理者向境外提供個人資訊;國家網信部門規定的其他情形。
經濟全球化大背景下,資料“出海”是許多企業的現實需求。中國社會科學院大學教授李勇堅指出,條例為企業資料“出海”劃定了紅線。此外,《徵求意見稿》對“國外上市”和“香港上市”制定了更嚴格的網路安全審查。7月以來,近十家中國網際網路公司取消了赴美上市計劃。網際網路平臺企業要想在海量資料未經審查的情況下,赴外國上市,將成為天方夜譚。
亮點三:十萬人以上資訊洩露需在八小時內報備
一般規定的第十一條顯示,資料處理者應當建立資料安全應急處置機制,發生資料安全事件時及時啟動應急響應機制,採取措施防止危害擴大,消除安全隱患。在發生重要資料或者十萬人以上個人資訊洩露、毀損、丟失等資料安全事件時,資料處理者還應當在八小時內向設區的市級網信部門和有關主管部門報告事件基本資訊。
中國政法大學網際網路金融法律研究院院長李愛君表示,八小時報備能夠有效地防範重要資料安全風險發生,並在發生時有效控制風險的擴大化。
亮點四:大資料殺熟、資料過度使用、生物特徵身份認證等問題將有解
《徵求意見稿》強調,網際網路平臺運營者不得利用資料以及平臺規則等從事服務差異化等損害使用者合法利益的行為,以及利用資料誤導、欺詐、脅迫使用者,損害使用者對其資料被處理的決定權,違背使用者意願處理使用者資料等,同時《徵求意見稿》還對強制個人同意收集其個人生物特徵資訊作出了嚴格限定,提出不得將人臉、步態、指紋、虹膜、聲紋等生物特徵作為唯一的個人身份認證方式。
中國網際網路協會法工委副秘書長鬍鋼指出:“此舉將敦促大型網際網路平臺企業更加主動積極合規合法。”
亮點五:明確重要資料處理者責任、成立資料安全管理機構
《徵求意見稿》適用範圍涵蓋境內和境外,適用主體共分為三類,分別為資料處理者、網際網路平臺運營者、大型網際網路平臺運營者。第二十八條提到,資料安全負責人應當具備資料安全專業知識和相關管理工作經歷,資料安全管理機構具體應履行以下職責:制定實施資料安全保護計劃和資料安全事件應急預案;開展資料安全風險監測,及時處置資料安全風險和事件;定期組織開展資料安全宣傳教育培訓、風險評估、應急演練等活動;受理、處置資料安全投訴、舉報;按照要求及時向網信部門和主管、監管部門報告資料安全情況。
隨著越來越多的生產、生活場景資料化,資料將承擔更多重任,展現出更加廣闊的發展前景。在資料法治時代,安全與發展的失衡,後果將不堪設想。《徵求意見稿》在加強資料安全防護能力建設、保障資料依法有序自由流動,促進資料依法合理有效利用方面具有重要意義。
面臨資料管理新風向,大型網際網路平臺、安全廠商及企業該如何做?
工信部發布的《關於促進網路安全產業發展的指導意見(徵求意見稿)》顯示,到2025年,我國網路安全產業規模將超過2000億元。而隨著《網路資料安全管理條例(徵求意見稿)》的釋出,安全廠商和網際網路企業都將在網路資料的合規利用上深受影響。
盤和林認為,此時的網際網路平臺需明確三條合規路徑:首先,平臺要制定簡化明晰的隱私保護規則,增強內部透明度,並負責任地向社會披露平臺規則、隱私規則和演算法策略;其次,平臺需對資料進行匿名化和假名化處理,在資料與個人隱私脫鉤的基礎上持續推進資料應用;最後,平臺應該尋求更專業的第三方資料風控企業,這將促使打造一個繁盛的資料風控行業。如果網際網路企業以此為契機,實現資料安全、資訊保護技術的提升,將會迎來發展新機遇。
從安全廠商的角度來講,由於資料安全涉及的內容更加體系化,因此相較此前等保2.0等政策推動了許多使用者於對單點技術、單點產品的採購,《徵求意見稿》一旦透過,將更加利好具備較強的資料安全頂層設計能力,以及能交付資料安全完整解決方案的頭部廠商。
對網路安全產業而言,從行業層面來看,資料安全將成為網路行業景氣度最高的賽道。從國家對資料安全的重視程度和政策出臺的頻率來看,網路安全產業提速將成為大機率事件。無論是資料安全整體解決方案,還是資料防洩漏、APP隱私合規、大資料交易沙箱、資料信託等細分賽道均存在較大的機會。
此外,IBM Security基於2021資料洩露成本的調查顯示,採用人工智慧、安全分析和加密是降低資料洩露成本的三大因素。IBM Security建議,可從透過投資安全編排、自動化和響應(SOAR),改進檢測和響應時間;同時在技術上可採用零信任安全模型來防止對敏感資料的未授權訪問;另外在架構上採用開放式安全架構,可最大限度地降低IT和安全環境的複雜性;最後透過使用有助於保護、監控端點和遠端員工的工具及相應策略,對事件響應計劃進行壓力測試,加密保護雲環境中的敏感資料,從而提高網路韌性。上述措施對安全廠商而言,也有著指導意義。
數字經濟崛起與新工業革命正處在歷史的交匯期,資料資源如同“新石油”一般,正成為各國經濟發展和產業革新的動力源泉。《網路資料安全管理條例(徵求意見稿)》公開徵集意見,對於推動資料安全產業快速發展有著非常重要的意義。可以預見的是,未來幾年,政企使用者在資料分級、資料治理,以及資料全流程管理、資料保護體系的建設將成為網路安全支出和預算的重點。
參考資料:
[1] 捍衛網路資料安全,就是在守護美好未來。
[2] 國家網信辦擬出臺《網路資料安全管理條例》,有何創新亮點?
[3] 吳沈括|企業資料大合規的號角:讀《網路資料安全管理條例(徵求意見稿)》。
[4]解讀《網路資料安全管理條例(徵求意見稿)》 國家擬建立資料分類分級保護制度。
[5]資料安全條例意見稿出臺 網際網路企業境外上市規則再度細化。
[6]網路資料安全管理將迎新規,網際網路平臺急需補上隱私保護和資料安全短板。
[7]《網路資料安全管理條例》釋出,產業邏輯加速落地。
[8]IBM 報告:資料洩露成本在新冠病毒疫情期間創歷史新高。