出台背景
随着数字化进程加快,网络安全问题日益突出,尤其是数据泄露和滥用现象频发,对国家安全和个人隐私构成了严重威胁。《网络数据安全管理条例》(以下简称《条例》)在2021年发布《网络数据安全管理条例(征求意见稿)》后,于2024年9月30日正式公布,并将于2025年1月1日起实施。
《条例》以《中华人民共和国网络安全法》、《中华人民共和国数据安全法》及《中华人民共和国个人信息保护法》为基础,标志着我国在网络数据安全管理领域迈出了坚实的一步。
条例概览
《条例》共9章64条,内容包括:总则、一般规定、个人信息保护、重要数据安全、网络数据跨境安全管理、网络平台服务提供者义务、监督管理、法律责任和附则共九个部分,涵盖了从网络数据安全保护的基本原则到具体实施细节的全面规定。
值得注意的是,《条例》重点针对的是能够通过信息网络进行处理的数据类型,非电子数据不在本条例的管辖范围之内。
要点解读
1、提出网络数据安全的总体要求与一般规定
《条例》第一章和第二章明确网络数据安全管理总体要求和一般规定。鼓励网络数据在各行业、各领域的创新应用,对网络数据实行分类分级保护,积极参与网络数据安全相关国际规则和标准的制定,加强行业自律,禁止非法网络数据处理活动。同时,要求网络数据处理者建立健全网络数据安全管理制度、安全风险报告、安全事件处置等。
《条例》指出网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求;发现网络产品、服务存在安全缺陷漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告。
2、强化个人信息保护,明确信息量级界定
《条例》第三章细化了个人信息保护相关规定,明确了处理个人信息的规则和应当遵守的具体规定。重点细化了《个人信息保护法》关于告知、同意、个人行使权利等方面的规定,其中,关于处理不满十四周岁未成年人的信息时,必须获得监护人同意。另外,要求网络数据处理者提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求。
此外,《条例》将个人信息类重要数据的认定数量门槛从100万提高到1000万,明确规定处理1000万条以上个人信息的网络数据处理者需履行相应的安全保障义务。这一调整有效解决了当前对于个人信息量级界定不清的问题。
3、完善数据分类保护,建立重要数据目录
《条例》第四章进一步完善了重要数据的安全保障措施。它要求依据网络数据在经济社会发展中的重要性,以及一旦这些数据遭到篡改、破坏、泄露或非法获取、利用时可能对国家安全、公共利益或个人、组织合法权益造成的损害程度,对网络数据实施分类分级保护。
本章明确了制定重要数据目录的要求,规定网络数据处理者需识别并申报重要数据,且重要数据的处理者应当指定数据安全负责人和设立数据安全管理机构。此外,规定重要数据处理者须每年及在处理重要数据之前进行风险评估,以确保数据的安全管理。各地区、各部门应按照数据分类分级保护制度,确定其辖内及相关行业、领域的重要数据具体目录,并对列入目录的数据实施重点保护。
4、做好网络数据跨境安全管理
《条例》第五章深入阐述了网络数据跨境安全管理的具体规范。明确网络数据处理者在满足特定条件下,可向境外合法提供个人信息的准则,并依据国际条约与协定,规范了个人信息的跨境传输流程。同时,对于非官方认定或未被公开标识为重要数据的信息,免除了出境安全评估的申报要求,从而减轻企业的合规负担。
本《条例》既确保了关键信息资产的安全,又坚持了一般数据依法自由流动的原则,促进了数据的合理流通,建立了适应新发展格局的网络数据跨境流动安全监管模式。
5、规范互联网平台运营者义务
《条例》第六章明确了网络平台服务提供者的义务,规定了网络平台服务提供者及第三方产品和服务提供者在网络数据安全方面的保护要求。
《条例》指出,首先,网络平台需要加强对接入其平台的第三方产品和服务的网络数据安全管理,包括对应用程序的安全核验,并规范使用自动化决策系统进行信息推送。在提供个性化信息推送服务时,必须提供易于理解和操作的关闭选项,确保用户能够拒绝接收推送信息,并鼓励使用国家网络身份认证公共服务。其次,明确了大型网络平台的定义,并要求这类平台每年发布个人信息保护社会责任报告,并提交风险评估报告。
6、建立监管体系与明确法律责任
《条例》第七章明确了国家网信部门在统筹协调网络数据安全及监督工作中的核心作用,并规定了公安机关、国家安全机关以及其他主管部门在网络数据安全管理方面的职责。 各地区、各部门需对其工作中收集和产生的网络数据及数据安全负责。 各有关主管部门需制定本行业、本领域网络数据安全事件应急预案,定期组织风险评估,监督检查数据处理者履行保护义务情况。 监督检查措施包括要求数据处理者说明、查阅相关文件记录、检查安全措施运行情况等。
最后,《条例》第八章则规定了违反本条例及其他相关法律法规所需承担的法律责任,并明确了从轻、减轻或免除行政处罚的情形。对于网络数据安全违规行为,主管部门将依据情节轻重采取警告、罚款(最高可达1000万元,适用于个人和单位)、暂停业务、停业整顿、吊销许可证等措施。同时,国家机关如未能履行其保护义务,也将受到相应的处罚。
相关影响
总体而言,《条例》作为我国网络数据安全领域的首部专门行政法规,通过详细的法规层面规定,为网络数据安全提供了坚实的法律基础,并为网络数据安全行为的规范化和制度化确立了明确框架。这不仅有助于提升全社会的网络数据安全意识,还将推动网络数据安全产业的健康发展。
为此,建议各方深入了解《条例》的修订内容及其监管导向,并制定相应的合规措施。鉴于《条例》即将在三个月内生效,企业尤其需要快速理解和适应新法规的要求,及时进行必要的调整,以顺利过渡至新的监管环境。
END
作为国内领先的安全运营商,聚铭网络一直致力于为客户提供全面的网络和数据安全解决方案及服务。公司拥有完备的“云+端”产品服务体系,覆盖安全托管、安全管理、安全审计等多个方面,能够在资产运营维护、漏洞识别治理、合规性监管等关键环节提供高效的服务,确保客户资产的安全得到全方位管理和持续优化。截至目前,聚铭网络已服务超过10000家政府、教育、医疗、电信、能源、金融等行业的政企客户,其中云端托管客户超过6500家。