近日,國家網際網路資訊辦公室釋出了《網路資料安全管理條例(徵求意見稿)》(以下簡稱《條例》),這是繼《資料安全法》生效實施之後,我國正在起草的又一項重要資料安全法規。《條例》作為行政法規,是銜接《資料安全法》和資料安全管理實踐的橋樑,其透過對資料安全基本管理制度的一系列發展,強化落實,旨在鞏固和提升我國資料安全保護成效。
本文將立足《條例》與《資料安全法》所設立重要制度的比較進行分析:上篇重點分析《條例》對資料安全六項重要制度的發展,下篇重點分析《條例》對資料安全兩項重要制度的創新。
一、《條例》對資料安全制度發展的兩個特點
對於資料安全保護,《資料安全法》搭建了初步的基本制度框架。這一框架主要涵蓋資料分類分級保護制度、資料安全審查制度、資料安全風險管理制度、資料安全應急處置機制、資料出口管制和對等反制機制等6項資料安全保護制度和機制。
總體來看,《條例》作為《資料安全法》的下位行政法規,對於資料安全保護制度的發展主要體現了兩個特點:一是對已有制度加以沿襲、細化和完善,如資料分級分類制度、資料安全審查制度等;二是從資料保護需求出發,進行制度探索創新,如資料安全審計制度等。
二、《條例》對資料安全制度的發展延伸
《條例》對《資料安全法》所設立重要制度的發展延伸主要包括六項,逐項分析如下。
(一)資料分類分級保護制度
《條例》對於資料分級分類制度的發展,主要體現在明確資料分級、細化保護型別和要求、明確保護方式三個方面。
一是明文規定了資料的三個分級。即:“將資料分為一般資料、重要資料、核心資料”(《條例》第五條);而《資料安全法》對於資料的分級,並未集中明確界定,只是在相關的條文中提及“重要資料”、“核心資料”,且也沒有“一般資料”的表述(涉及到的條文主要是《資料安全法》第二十一條)。《條例》用明文規定的方式確定了資料級別,有助於統一認識,為後續資料分級保護工作的開展奠定理論共識基礎。
二是細化了資料分級分類保護的型別和要求。首先,明確了保護型別——重點保護、嚴格保護,即“國家對個人資訊和重要資料進行重點保護,對核心資料實行嚴格保護”(第五條第二款)。其次,細化了保護要求,《條例》透過設立專章(第四章 重要資料安全)對“重點保護”的要求進行了細化分解,對重要資料處理者規定了目錄報備要求、專職機構要求、備案要求、培訓要求、安全評估要求、轉移審批要求、採購要求等7大類15小項(第二十七條至第三十四條)具體義務規定。
三是明確保護方式。即制定重要資料和核心資料目錄,並進一步明確了目錄制定單位和工作機制。“各地區、各部門...組織制定本地區、本部門以及相關行業、領域重要資料和核心資料目錄,並報國家網信部門”(第二十七條)。與《資料安全法》相比,《條例》對資料目錄的制定主體、報備部門都做出了進一步明確。
制度 | 《資料安全法》 | 《網路資料安全管理條例(徵求意見稿)》 |
資料分類分級保護制度 | 第二十一條 國家建立資料分類分級保護制度,根據資料在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、洩露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對資料實行分類分級保護。國家資料安全工作協調機制統籌協調有關部門制定重要資料目錄,加強對重要資料的保護。 關係國家安全、國民經濟命脈、重要民生、重大公共利益等資料屬於國家核心資料,實行更加嚴格的管理制度。 各地區、各部門應當按照資料分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要資料具體目錄,對列入目錄的資料進行重點保護。 | 第五條 國家建立資料分類分級保護制度。按照資料對國家安全、公共利益或者個人、組織合法權益的影響和重要程度,將資料分為一般資料、重要資料、核心資料,不同級別的資料採取不同的保護措施。 國家對個人資訊和重要資料進行重點保護,對核心資料實行嚴格保護。 各地區、各部門應當按照國家資料分類分級要求,對本地區、本部門以及相關行業、領域的資料進行分類分級管理。 第二十七條 各地區、各部門按照國家有關要求和標準,組織本地區、本部門以及相關行業、領域的資料處理者識別重要資料和核心資料,組織制定本地區、本部門以及相關行業、領域重要資料和核心資料目錄,並報國家網信部門。 |
(二)資料安全風險管理制度
《條例》對資料安全風險管理制度的發展,主要體現在強化評估報告、明確行業評估監管、加強個人資訊保護風險監測義務三個方面。
一是擴充了《風險評估報告》的相關要求。首先,擴充了《資料安全法》規定的風險評估報告主體,在原有的“重要資料處理者”之外,增加了“赴境外上市的資料處理者”一類主體。其次,明確了報告的時間頻次和報告機制要求,規定資料安全風險評估報告每年開展一次,評估模式可自行開展也可委託第三方機構開展,報告接收部門為“設區的市級網信部門”。再次,細化了風險評估報告內容要求,具體要求分為一般評估和重點評估兩類:《條例》第三十二條第一款提出了一般評估報告的8項內容要求;該條第四款明確了對於“資料處理者開展共享、交易、委託處理、向境外提供重要資料的安全評估”還要完成的5項重點評估內容。
二是進一步細化了行業評估監管要求。《條例》第五十五條第五款規定“主管部門應當定期組織開展本行業、本領域的資料安全風險評估”,主管部門主要是指第三款的“工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門”;明確了行業資料安全風險評估的物件和目的是“對資料處理者履行資料安全保護義務情況進行監督檢查,指導督促資料處理者及時對存在的風險隱患進行整改”。
三是強化了個人資訊保護風險監測義務。除了對《資料安全法》風險評估報告、監管要求的細化,《條例》還從加強個人資訊保護的角度,對個人資訊處理者規定了資料風險監測的義務。主要包括:在個人資訊保護規則中加入個人資訊保安風險防護措施(第二十條)、個人資訊轉移處理時的風險提示義務(第二十四條)等。
制度 | 《資料安全法》 | 《網路資料安全管理條例(徵求意見稿)》 |
資料安全風險管理制度 | 第二十二條 國家建立集中統一、高效權威的資料安全風險評估、報告、資訊共享、監測預警機制。國家資料安全工作協調機制統籌協調有關部門加強資料安全風險資訊的獲取、分析、研判、預警工作。 | 第三十二條 處理重要資料或者赴境外上市的資料處理者,應當自行或者委託資料安全服務機構每年開展一次資料安全評估,並在每年1月31日前將上一年度資料安全評估報告報設區的市級網信部門,年度資料安全評估報告的內容包括: (一)處理重要資料的情況; (二)發現的資料安全風險及處置措施; (三)資料安全管理制度,資料備份、加密、訪問控制等安全防護措施,以及管理制度實施情況和防護措施的有效性; (四)落實國家資料安全法律、行政法規和標準情況; (五)發生的資料安全事件及其處置情況; (六)共享、交易、委託處理、向境外提供重要資料的安全評估情況; (七)資料安全相關的投訴及處理情況; (八)國家網信部門和主管、監管部門明確的其他資料安全情況。 資料處理者應當保留風險評估報告至少三年。 依據部門職責分工,網信部門與有關部門共享報告資訊。 第五十五條 主管部門應當定期組織開展本行業、本領域的資料安全風險評估,對資料處理者履行資料安全保護義務情況進行監督檢查,指導督促資料處理者及時對存在的風險隱患進行整改。 |
(三)資料安全應急處置機制
對於資料安全應急,《資料安全法》提出了“國家建立資料安全應急處置機制”的總體要求;《條例》對其的發展延伸,主要體現在對主管部門、行業管理者、資料處理者三方主體,分別明確了資料應急機制、資料應急預案、資料應急處置三個方面的內容完善。
一是建立資料安全應急機制。從主管部門角度,《條例》規定“國家建立健全資料安全應急處置機制”(第五十六條),明確“將資料安全事件納入國家網路安全事件應急響應機制”中,包括納入到“網路安全事件應急預案和網路安全資訊共享平臺”、“國家網路安全事件應急響應機制”。
二是建立健全行業資料安全應急預案。從行業管理部門角度,《條例》規定“主管部門應當明確本行業、本領域資料安全保護工作機構和人員,編制並組織實施本行業、本領域的資料安全規劃和資料安全事件應急預案(五十五條第四款)。此規定亦可認為是一種管理授權,即授權行業管理部門組織制定本行業領域的資料安全事件應急預案。
三是完善資料應急義務體系。從資料處理者角度,《條例》對資料安全主體責任義務進行了補充完善,主要包括“資料處理者應當建立資料安全應急處置機制”(第十一條)、重要資料處理者應“定期組織開展資料安全應急演練等活動”(第二十八條)。
制度 | 《資料安全法》 | 《網路資料安全管理條例(徵求意見稿)》 |
資料安全應急處置機制 | 第二十三條 國家建立資料安全應急處置機制。發生資料安全事件,有關主管部門應當依法啟動應急預案,採取相應的應急處置措施,防止危害擴大,消除安全隱患,並及時向社會發布與公眾有關的警示資訊。 | 第五十五條 (第四款)主管部門應當明確本行業、本領域資料安全保護工作機構和人員,編制並組織實施本行業、本領域的資料安全規劃和資料安全事件應急預案。 第五十六條 國家建立健全資料安全應急處置機制,完善網路安全事件應急預案和網路安全資訊共享平臺,將資料安全事件納入國家網路安全事件應急響應機制,加強資料安全資訊共享、資料安全風險和威脅監測預警以及資料安全事件應急處置工作。 |
(四)資料安全審查制度
與《資料安全法》相比,《條例》對於資料安全審查制度的發展,主要體現在明確了適用條件和發起流程,不僅細化了法規要求,也在法律適用上保持了同正在修訂的《網路安全審查辦法》的銜接一致。
一是明確了資料安全審查的適用條件。《條例》第十三條規定了適用資料安全審查的4種情形,可歸納為“影響或可能影響國家安全的”和“境外國外相關的”兩類。前者包括“特定平臺運營者實施的合併重組或分立”、“資料處理者赴香港上市”;後者包括“處理一百萬人以上個人資訊的資料處理者赴國外上市”。相比而言,後者要求更為嚴格,只要有該行為發生就應進行資料安全審查申報,而不論其是否對國家安全造成影響或威脅。
二是明確了資料安全審查的流程。這是對資料安全審查在程式方面要求的完善和延伸,《條例》第十三條規定資料處理者在滿足審查適用條件時“應當按照國家有關規定,申報網路安全審查”。可見,資料安全審查的發起是由資料處理者進行“申報”。同時,此條所指的“國家有關規定”,應當包括《網路安全審查辦法》在內,且從其內容看,《條例》與《網路安全審查辦法(修訂草案徵求意見稿)》也保持了一致。
制度 | 《資料安全法》 | 《網路資料安全管理條例(徵求意見稿)》 |
資料安全審查制度 | 第二十四條 國家建立資料安全審查制度,對影響或者可能影響國家安全的資料處理活動進行國家安全審查。 依法作出的安全審查決定為最終決定。 | 第十三條 資料處理者開展以下活動,應當按照國家有關規定,申報網路安全審查: (一)匯聚掌握大量關係國家安全、經濟發展、公共利益的資料資源的網際網路平臺運營者實施合併、重組、分立,影響或者可能影響國家安全的; (二)處理一百萬人以上個人資訊的資料處理者赴國外上市的; (三)資料處理者赴香港上市,影響或者可能影響國家安全的; (四)其他影響或者可能影響國家安全的資料處理活動。 大型網際網路平臺運營者在境外設立總部或者運營中心、研發中心,應當向國家網信部門和主管部門報告。 |
(五)資料出口管制和反制機制
《條例》界定了“出口管制資料”的內涵。在出口管制和投資貿易歧視措施的反制相關制度方面,《條例》未對《資料安全法》相關規定做過多發展,僅是《條例》在第七十三條中,給出了“出口管制資料”的具體涵義。即“出口管制資料,出口管制物項涉及的核心技術、設計方案、生產工藝等相關的資料,密碼、生物、電子資訊、人工智慧等領域對國家安全、經濟競爭實力有直接影響的科學技術成果資料”。
該條款主要對應了《資料安全法》第二十五條“國家對與維護國家安全和利益、履行國際義務相關的屬於管制物項的資料依法實施出口管制”之規定。且從該條款所在位置來看,《條例》將“出口管制資料”明確列為7類“重要資料”其中之一。同時,此處所指“出口管制物項”,應遵循了《中華人民共和國出口管制法》的有關界定,即:“出口管制物項主要是指(軍民)兩用物項、軍品、核以及其他與維護國家安全和利益、履行防擴散等國際義務相關的貨物、技術、服務等物項”。
制度 | 《資料安全法》 | 《網路資料安全管理條例(徵求意見稿)》 |
資料出口管制和反制機制 | 第二十五條 國家對與維護國家安全和利益、履行國際義務相關的屬於管制物項的資料依法實施出口管制。 第二十六條 任何國家或者地區在與資料和資料開發利用技術等有關的投資、貿易等方面對中華人民共和國採取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區對等採取措施。 | 第七十三條 本條例下列用語的含義: (三)重要資料是指一旦遭到篡改、破壞、洩露或者非法獲取、非法利用,可能危害國家安全、公共利益的資料。包括以下資料: 2.出口管制資料,出口管制物項涉及的核心技術、設計方案、生產工藝等相關的資料,密碼、生物、電子資訊、人工智慧等領域對國家安全、經濟競爭實力有直接影響的科學技術成果資料; |
(六)資料交易管理制度
《條例》對資料交易管理制度的發展完善,主要體現在進一步明確強調了資料交易機構的准入管理。
《條例》第七條第二款指出,“國家建立健全資料交易管理制度,明確資料交易機構設立、執行標準”。而《資料安全法》對於資料交易管理制度,主要是明確了該制度的立法目的“規範資料交易行為,培育資料交易市場”,並對資料交易中介機構的行為提出了初步規範要求“資料交易中介服務機構應當要求資料提供方說明資料來源,稽核交易雙方的身份,並留存稽核、交易記錄”。可見,《條例》對該制度的發展,重在提出了主體准入要求。相信後續國家相關部門會發布專門的管理規定或規範,對資料交易機構的設立條件、流程和管理機制等提出更加詳細的要求。
制度 | 《資料安全法》 | 《網路資料安全管理條例(徵求意見稿)》 |
資料交易管理制度 | 第十九條 國家建立健全資料交易管理制度,規範資料交易行為,培育資料交易市場。 | 第七條 國家建立健全資料交易管理制度,明確資料交易機構設立、執行標準,規範資料流通交易行為,確保資料依法有序流通。 |