如本文上篇所述,《條例》不僅重視發展,還注重在資料安全重要管理制度上的創新和擴充。本篇將對其創新制度加以簡析,並嘗試歸納《條例》有待深入討論的內容。
三、《條例》對資料安全制度的創新
《條例》對《資料安全法》所設立重要制度的創新擴充主要體現在資料安全審計制度和網路身份認證基礎設施兩個方面,分析如下。
(一)資料安全審計制度
《條例》首次提出“國家建立資料安全審計制度”(第五十八條)。從法規內容來看,條例規定了資料安全審計的兩種方式。
一是自主審計。即資料處理者委託資料安全審計專業機構開展,“定期對其處理個人資訊遵守法律、行政法規的情況進行合規審計”(第五十八條第一款)。
二是檢查審計。即“主管、監管部門組織開展對重要資料處理活動的審計,重點審計資料處理者履行法律、行政法規規定的義務等情況”(第五十八條第二款)。
另外與此相對應,《條例》還規定了大型網際網路平臺運營者應當承擔的資料安全審計義務和責任(第五十三條)。
制度 | 《資料安全法》 | 《網路資料安全管理條例(徵求意見稿)》 |
資料安全審計制度 |
| 第五十八條 國家建立資料安全審計制度。資料處理者應當委託資料安全審計專業機構定期對其處理個人資訊遵守法律、行政法規的情況進行合規審計。
主管、監管部門組織開展對重要資料處理活動的審計,重點審計資料處理者履行法律、行政法規規定的義務等情況。 第五十三條 大型網際網路平臺運營者應當透過委託第三方審計方式,每年對平臺資料安全情況、平臺規則和自身承諾的執行情況、個人資訊保護情況、資料開發利用情況等進行年度審計,並披露審計結果。 |
(二)網路身份認證基礎設施
“網路身份認證公共服務基礎設施”是《條例》明確提出的重要機制創新之一,從條文內容看至少包含三層含義。
一是明確了保護物件為個人資訊權利。該制度的出處為《個人資訊保護法》第六十二條第三款“(三)支援研究開發和推廣應用安全、方便的電子身份認證技術,推進網路身份認證公共服務建設”。《條例》將“網路身份認證公共服務基礎設施”作為開展“網路身份認證公共服務”的重要載體和形式加以明確。從立法目的看,是透過建立該機制減少乃至避免運營者對使用者個人資訊的直接收集,鼓勵運營者以向服務平臺確認的方式,最大限度減少個人資訊被濫用的風險。
二是強化了其作為網路安全保障體系重要制度的地位。從法律用語來看,“網路身份認證”在《網路安全法》中已經提出,“國家實施網路可信身份戰略,...,推動不同電子身份認證之間的互認”。可見,“網路身份認證公共服務基礎設施”是法律確立的國家網路可信身份戰略的具體表現,是國家網路安全制度的重要組成部分。
三是確立了優先使用的原則。對於“網路身份認證公共服務基礎設施”的推廣利用,《條例》第五十條第二款明確了優先使用的原則:“網際網路平臺運營者應當支援並優先使用”。且從發展的角度來看,隨著資料法治環境的持續向好、以及該項制度和配套機制的不斷完善,運營者對其採納應用也大機率會是必然趨勢。
制度 | 《資料安全法》 | 《網路資料安全管理條例(徵求意見稿)》 |
網路身份認證基礎設施 |
| 第五十條 國家建設網路身份認證公共服務基礎設施,按照政府引導、網民自願原則,提供個人身份認證公共服務。
網際網路平臺運營者應當支援並優先使用國家網路身份認證公共服務基礎設施提供的個人身份認證服務。 |
四、對完善《條例》的思考
《條例》目前正在公開徵求社會意見,其內容體系、制度涵蓋的完善將會是一個持續上升的過程。筆者認為,在《條例》的完善發展過程中,某些內容規定或值得展開更加深入的探討和關注。如:個人資訊保護的相關規定如何更好地與個人資訊保護法律體系融合銜接?資料分類問題是否需要加強規範引導?是否需要出臺有關資料安全審計、網路身份認證基礎設施等專項管理制度?行業資料應急預案、行業評估如何加強規範依據?等等。
相信隨著徵求意見工作的深入推進,《條例》內容將更加完善,其對加強國家資料安全保障體系和能力建設、築牢國家資料安全屏障將發揮更加重要的作用。