【律师点评】:2024年8月30日,国务院常务会议审议通过《网络数据安全管理条例(草案)》,会议指出,要对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。2024年9月30日下午,《网络数据安全管理条例》(以下简称《条例》)正式发布并自2025年1月1日起施行,这意味在我国网络安全、个人信息保护和数据安全领域一份相对综合的指导落地实践的配套规章终于落地,也可以预见在3个月左右的“过渡期”之后,《条例》的正式公布生效将在业内开启新一轮的合规整改和监督执法行动。本文试通过比对《条例》与《条例(草案)》、相关上位法及规章、办法的条款,系统梳理《条例》的细化、落地和新增内容,并就若干重点部分进行分析和讨论,以期为理解《条例》的深远影响及未来实施效果提供有价值的参考。
回溯至2021年11月14日,国家互联网信息办公室发布关于《网络数据安全管理条例(征求意见稿)》(以下简称《征求意见稿》)公开征求意见的通知,距今已接近3年时间。《条例》在效力层级上属于行政法规,其是衔接《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等上位法和数据安全管理相关规章、办法的桥梁,重要性不言而喻。《条例》共九章六十四条,从个人信息保护、重要数据安全、数据跨境安全管理、网络平台服务提供者义务、法律责任等多方面做了详细规定。
一、沿袭数据分类分级保护制度
相较于《征求意见稿》,《条例》并未对数据分级分类制度做进一步细化,而是主要沿袭了《数据安全法》的规定。具体而言,《征求意见稿》明确规定了数据的三个分级,细化了数据分级分类保护的类型和要求以及细化了《数据安全法》中关于根据不同行业和地区的具体差异来制定数据分类分级规则的思路。而《条例》基本沿用了《数据安全法》关于数据分类分级的规定,主要对重要数据的定义做了进一步的明确。
二、进一步细化与强化数据保护措施
《条例》在确保数据安全的实践层面,通过一系列具体且操作性强的措施,促进了数据安全建设的全面性和可操作性,主要包括以下几个方面:
1. 细化技术保护机制
《条例》第九条对《数据安全法》第二十七条提到的相应的技术措施做了进一步细化,比如要求数据处理者应当采取加密、备份、访问控制、安全控制等必要措施,但删除了《征求意见稿》中重要数据的处理系统三级以上等保、使用密码等详细措施。
2. 细化数据安全负责人的专业能力及数据安全管理机构职责
《条例》在《数据安全法》的基础上,细化了数据安全负责人的专业能力要求及特定情形下的安全背景审查要求,同时明确界定了数据安全管理机构的具体职责,确保数据保护工作有专业团队负责,职责清晰,执行力强。
相较于《征求意见稿》,《条例》删除了数据安全机构履行职责需在数据安全负责人的领导下的表述,并将其职责从六项合并成三项。
3. 删除安全培训时间要求
《征求意见稿》第三十条具体规定了数据安全教育培训的时间要求,但《条例》删除了该时间要求,仅在第三十条提到数据安全管理机构应当定期开展宣传教育培训,更具有灵活性。
4. 细化数据安全应急处置机制
《条例》第十一条进一步明确了网络安全事件与数据安全事件中的报告流程,但删除了《征求意见稿》中的具体时间要求。
5. 未细化网络安全审查范围
在网络安全审查方面,《条例》并未沿袭《征求意见稿》对网络安全审查范围的扩大,而是援引按照国家有关规定进行国家安全审查。反观《征求意见稿》,其在《网络安全审查办法》对《数据安全法》细化的基础上进一步做了修订,将汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立和赴香港上市的情形也纳入审查范围。
本文下篇将从《条例》对个人信息保护的细化和补充、数据跨境安全管理的强化和法律责任三部分等内容继续对比展开分析,敬请期待。
产品介绍
团队介绍