探索数据安全要塞,守护数字世界。
——《数据守望》专栏
No.032《网络数据安全管理条例(草案)》要点解读▽
央视新闻联播报道,8月30日,李强主持召开国务院常务会议,审议通过《网络数据安全管理条例(草案)》(以下简称《条例》)。会议指出,要对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。
要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。
图1:新闻联播审议通过条例
2021年11月发布征求意见稿,快3年时间了,终于审议通过了,这几天朋友圈算刷屏了。今天对条例逐条学习,分析条例中可能涉及角色职责、重要内容进行整理分析,从中看到一些数据安全重要方向,让我们一起回顾。
(1)条例的框架
《条例》一共九章75条,核心内容提出通用一般规定、个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务、监督管理、法律责任和附则。框架示意图如下:
图2:条例总体框架图
(2)条例的定位
国家《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律法规属于国家上位法,由全国人大及常委会颁布实施;本条例属于行政法规,由国务院进行审核通过,整体属于对《数据安全法》要求的进一步具体化。
(1)逐条解读
之前文章“《数据安全法》:合规要求、企业落地及未来重心”讲述了从安全部门视角家如何解读数据安全法,把其中的内容转化企业可落地的动作。这次采用类似方法,先对条例进行逐条批注。
►解读思路提示:
1.逐条学习➡️2.寻找每条背后的核心思想➡️3.寻找每条的核心主体和关键事项➡️4.从不同角色转化整理成重点工作内容➡️5.转化成不同角色的工作清单➡️6.期间对需要确认和查找的扩展内容进行补充➡️7.整体理解条例的要点内容和未来动向。
图3:逐条批注示例1
图4:逐条批注示例2
图5:Eexcel版本简要解读
(2)重点要点理解
►不同的职责分工:
《条例》第七章明确了监督管理职责:
1.国家网信部门负责统筹协调数据安全和相关监督管理职责。
2.公安机关、国家安全机关在各自职责范围内承担数据安全监管职责。
3.工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
其中主管部门的职责较多,如下:
“主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。”
“主管部门应当定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。”
►互联网平台运营者关注重点(垄断):
《条例》第六章的第四十三条-第五十四条共12条,对互联网平台运营者进行义务和要求规定。从分析的内容看,对其做了比较明确的规定。
例如关于互联网平台需要重点关注的三点,如下:1.数据相关的平台规则;2.隐私政策;3.算法策略;特别提出对日活超过一亿的大型互联网平台进行上述三个内容修订时,需要经过国家网信部门认定的第三方机构评估。此外对“提供即时通信服务”“应用程序分发服务”等单独提出了要求,对利用个性化推荐的提出明确要求。加强第三方的机构的评估和监督管理,对中小企业要求进行保护。
►关于罚则:
《条例》规定了很多具体情形的法律责任,作为非法律专业,我们进行简要整理,方便理解如下:1)企业层面包括:1.由有关主管部门责令改正,给予警告,公司罚款。2.责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。.3.没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
4.依照有关法律、行政法规的规定予以处罚。
2)个人层面包括:1.对直接负责的主管人员和其他直接责任人员罚款。2.可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。3.构成犯罪的,依照相关法律、行政法规的规定处罚。4.给他人造成损害的,依法承担民事责任。5.构成违反治安管理行为的,依法给予治安管理处罚。
6.构成犯罪的,依法追究刑事责任。
图6:主要法律责任点
通过整理分析,从不同角色梳理出需要重点开展和跟进的工作项,清单如下:
图7:《网络数据安全管理条例-征求意见稿》工作清单
(1)国家层面工作项
|
第四条 |
【鼓励社会协同】【鼓励数据安全人才及教育培训】 |
|
第五条 |
【国家建立分类分级制度】 |
|
第七条 |
【制定数据交易管理制度】【推动公共数据开发利用】 |
|
第四十一条 |
【建立数据跨境安全网关】 |
|
第五十条 |
【建立网络身份认证公共服务技术设施】 |
|
第五十六条 |
【建立数据安全应急处置机制】 |
|
第五十八条 |
【建立数据安全审查制度】 |
(2)数据处理者工作项
|
第六条 |
【建立安全管理制度和技术保护机制】 |
|
第九条 |
【采取必要措施、满足等级保护要求】 |
|
第十条 |
【网络产品和服务注意事项】 |
|
第十一条 |
【建立数据安全应急处置机制】 |
|
第十二条 |
【规范数据的外部活动】 |
|
第十三条 |
【识别网络安全审查情形】 |
|
第十四条 |
【数据转移特殊情况】 |
|
第十七条 |
【自动化工具访问和收集要求】 |
|
第十八条 |
【建立数据安全投诉举报渠道】 |
|
第十九-二十六条 |
【建立个人信息保护体系】 |
|
第三十五条 |
【识别数据跨境的三个路径】 |
|
第三十六条 |
【境外提供个人信息的告知义务】 |
|
第三十七条 |
【识别数据出境的评估情形】 |
|
第三十九条 |
【满足向境外提供数据的义务】 |
|
第三十九条 |
【境外提供数据的额外要求】 |
|
第四十条 |
【编制数据出境安全报告】 |
|
第五十七条 |
【配合监督检查】 |
|
第五十八条 |
【委托开展数据安全审查】 |
(3)重要数据处理者工作项
|
第二十八条 |
【建立数据安全管理机构】 |
|
第二十九条 |
【重要数据的备案机制】 |
|
第三十条 |
【组织数据安全培训】 |
|
第三十一条 |
【采用安全可信的产品和服务】 |
|
第三十二条 |
【重要数据的风险评估】 |
|
第三十三条 |
【重要数据外部流转管控】 |
|
第三十四条 |
【采用云计算服务要求】 |
(4)互联网平台运营者工作项
|
第十三条 |
【识别并参与网络安全审查情形】 |
|
第四十三条 |
【履行互联网平台运营者义务】 |
|
第四十四条 |
【关注第三方产品和服务】 |
|
第四十五条 |
【即时通信的互联网平台要求】 |
|
第四十六条 |
【互联网平台运营者不得从事的活动】 |
|
第四十七条 |
【应用商城的分发要求】 |
|
第四十九条 |
【涉及个性化推荐注意事项】 |
|
第五十一条 |
【为特定对象提供服务的安全要求】 |
|
第五十二条 |
【配合安全监管提供数据】 |
|
第五十三条 |
【开展大型互联网平台的年度审计】 |
|
第四十八条 |
【互联网平台关于不同通信商的要求】 |
|
第五十四条 |
【满足新技术的应用要求】 |
(5)行业主管工作项
|
第十六条 |
【建立数据安全管理制度】 |
|
第五十二条 |
【国家履职获取数据要求】 |
|
第五十五条 |
【监督管理职责分工】 |
|
第五十六条 |
【监督检查内容要求】 |
|
第五十七条 |
【开展数据安全监督检查】 |
|
第五十八条 |
【建立数据安全审查制度】 |
(6)网信部门&国家安全机关工作项
|
第五条 |
【分类分级管理】 |
|
第二十七条 |
【重要数据和核心数据目录】 |
|
第五十五条 |
【监督管理职责分工】 |
|
第五十九条 |
【鼓励行业组织】 |
|
第五十九条 |
【支持个人信息保护行业组织】 |
在学习条例中对其中不熟悉的概念及相关信息进行延伸搜索,整理成内容,作为通用基础知识供大家参考,如下:
问:日活过亿的大型互联网平台有哪些?
根据QuestMobile QuestMobile发布《2024中国移动互联网春季大报告》中,统计1季度MAU(月活跃用户),相关数据如下:
|
序号 |
行业分类 |
APP名称 |
Q1平均MAU |
|
1 |
即时通信 |
微信 |
10.4亿 |
|
2 |
综合电商 |
淘宝 |
9.2亿 |
|
3 |
地图导航 |
高德地图 |
8亿 |
|
4 |
支付结算 |
支付宝 |
8.9亿 |
|
5 |
短视频 |
抖音 |
7.6亿 |
|
6 |
搜索下载 |
百度 |
6.7亿 |
|
7 |
输入法 |
搜狗输入法 |
5.7亿 |
|
8 |
微博社交 |
微博 |
4.9亿 |
|
9 |
本地生活 |
美团 |
4.4亿 |
|
10 |
在线视频 |
爱奇艺 |
4.3亿 |
|
11 |
浏览器 |
QQ浏览器 |
4.2亿 |
|
12 |
综合资讯 |
今日头条 |
3.9亿 |
|
13 |
电子文档 |
WPS office |
2.5亿 |
|
14 |
在线音乐 |
酷狗音乐 |
2.3亿 |
|
15 |
在线阅读 |
番茄免费小说 |
2.1亿 |
根据上述月活TOP 超过2亿的用户估算,日活可能超过的平台有:微信、淘宝、高德地图、支付宝、抖音、搜狗输入法、微博、美团、爱奇艺、QQ浏览器、今日头条等。
问:哪些行业可能是重要数据处理者?
根据《工业和信息化领域数据安全管理办法(试行)》以及相关国家标准,以下是可能被视为重要数据处理者的行业:
|
电信行业 |
负责数据传输和通信服务,处理大量用户数据和通信记录,是数据安全的关键领域。 |
|
金融行业 |
包括银行、保险、证券等,涉及客户的敏感财务信息,需要严格的数据保护措施。 |
|
医疗健康行业 |
处理病人的医疗记录和个人健康数据,数据的泄露可能对个人隐私造成严重影响。 |
|
能源行业 |
包括航空、铁路、公路运输等,处理大量乘客信息和物流数据,数据安全直接关系到运输安全和效率。 |
|
交通行业 |
包括航空、铁路、公路运输等,处理大量乘客信息和物流数据,数据安全直接关系到运输安全和效率。 |
|
政府机构 |
处理大量公民信息和国家敏感数据,数据安全直接关联国家安全和社会稳定。 |
|
互联网服务提供商 |
如搜索引擎、社交媒体、电子商务平台等,它们收集和分析用户数据,对数据保护有着高要求。 |
|
云计算服务提供商 |
提供数据存储和处理服务,需要确保客户数据的安全和隐私。 |
|
大数据和人工智能行业 |
涉及大量数据的收集、分析和应用,数据安全对于保护个人隐私和防止数据滥用至关重要。 |
|
工业控制系统 |
如智能制造、关键基础设施运营等,数据安全对于保障生产安全和防止工业间谍活动至关重要。 |
即时通信的公司:腾讯、阿里、字节、网易、新浪等。
|
腾讯 |
个人微信、企业微信、腾讯会议,提供语音和视频通信功能。 |
|
阿里 |
钉钉,移动办公平台,很多企业办公、学校集中使用钉钉群、语音和视频功能。 |
|
字节 |
飞书是一个企业写作和管理类平台,可以即时沟通、音视频会议。 |
|
华为 |
华为云Welink,全场景数字化协同办公平台。 |
|
网易 |
网易云信,提供IM即时通信、短信服务。 |
|
新浪 |
新浪UC,即时通讯的网络聊天工具。 |
法律法规总体偏宏观,配套的条例内容更加具体,对国家、数据处理者、国家安全机关、行业主管等进行相关职责说明及主要工作要求描述。通过一遍遍的学习,可从中识别出数据安全行业未来的一些重点方向和国家必然推动的事项,即观察到一些大方向,下面是从条例中总结出来一些核心内容,供参考:
|
培训教育类 |
数据安全的技术创新、人才培养、教育培训。 |
|
产品设施类 |
数据跨境安全网关、网络身份认证公共服务技术设施、采取安全可信的安全产品和服务。 |
|
安全机制类 |
数据安全应急处置机制、数据安全审查机制、数据安全投诉举报机制、重要数据备案机制。 |
|
安全评估类 |
数据出境安全评估、数据安全风险评估。 |
特别声明:本文内容是基于个人经验进行总结学习,仅为个人观点,不恰到、不完善之处见谅。基于条例的征求意见稿,后续正式发布进行进一步更新。
黑公网安备23060302000214号