近日,中国信息通信研究院(简称“中国信通院”)互联网法律研究中心联合北京市金杜律师事务所发布《数据治理研究报告(2024年)——网络数据安全管理法律制度体系研究》。本研报详细分析了我国网络数据安全管理法律制度的现状和发展趋势,提出了完善我国数据安全法律制度的建议。
通过优化完善网络数据安全制度规范、探索推进数据基础法律制度建设、全面落地网络数据安全管理工作,进一步提升我国数据安全治理法治化水平,为促进数字经济高质量发展、推动数据依法有序自由流动提供制度规则保障。
01 核心观点
报告以我国数据安全管理制度框架为基础,重点结合《网络数据安全管理条例》(以下简称《条例》)相关规定,深入分析研究国内外网络数据安全管理法律制度体系,包含数据安全管理一般规定、个人信息保护、重要数据安全、网络数据跨境安全管理、网络平台服务提供者义务五方面内容。
一是覆盖全类型网络数据明确安全管理要求。《条例》建立健全数据处理全流程的安全管理制度,为网络数据安全管理工作的日常开展明确具体路径,对国家机关、关键信息基础设施等的网络数据安全管理作出要求,针对使用自动化工具收集、使用数据以及生成式人工智能等新技术场景设置数据安全管理专门条款。
二是针对个人信息进一步细化重点规则。《个人信息保护法》《民法典》《网络安全法》和《数据安全法》共同构建个人信息保护的法治堤坝,《条例》结合实践中的新情况、新问题,持续完善“告知—同意”、个人信息权益实现等重点规则。
三是围绕重要数据系统强化数据安全管理。完善重要数据目录制定要求,将《促进和规范数据跨境流动规定》相关规定上升为行政法规;要求重要数据处理者设立网络数据安全责任人和网络数据管理机构,明确相关审查和任职要求;明确重要数据处理者相关安全保护义务,为企业判断是否需履行相关义务要求方面提供稳定预期。
四是优化完善数据跨境安全管理制度。在我国有关数据跨境流动现有法律体系基础上,与《促进和规范数据跨境流动规定》《数据出境安全评估办法》《个人信息出境标准合同办法》等部门规章形成有机衔接,对当前的数据出境路径进行了系统梳理,明确国家对于网络数据跨境的网络防护要求。
五是明确网络平台服务提供者数据安全义务。网络平台的网络数据安全管理责任进一步压实,区分不同类型网络平台明确网络数据安全管理义务。如针对一般网络平台服务提供者提出监督第三方产品和服务、保障应用程序分发服务中的数据安全等要求,针对大型网络平台服务提供者提出一系列禁止性义务。
02 全文详解
本研报通过对我国数据安全管理制度框架的深入分析,提出了多项具体措施和建议,旨在全面提升数据安全管理水平,保障数据安全,促进数字经济高质量发展。重要数据目录的制定、网络平台服务提供者的义务明确、以及数据跨境安全管理路径的优化,均为数据安全治理提供了有力的法治保障。
1. 数据安全管理一般规定
- 禁止性规定:《条例》第八条明确禁止利用网络数据从事非法活动、窃取或非法获取网络数据、非法出售或提供网络数据,以及为上述非法活动提供技术支持或帮助行为。
- 全流程制度设计:《条例》明确了网络数据处理事前、事中、事后的安全管理要求,包括数据安全管理措施、产品和服务安全、应急处置及国家安全审查等内容。
- 第三方数据安全义务:《条例》第十二条和第十四条明确了在发生主体变更情形时网络数据处理者的数据安全保护义务。
- 国家机关数据安全:《条例》第十五条至十七条明确了国家机关相关数据处理活动的特殊要求,强调委托情形需经过事前批准程序。
- 新技术数据安全要求:《条例》第十八、十九条对涉及自动化工具、生成式人工智能等新兴技术的数据处理活动作出特殊规定。
2. 个人信息保护
- 细化“告知-同意”规则:《条例》细化了网络数据处理者处理个人信息前的告知要求,明确告知方式、展示方式、告知内容等。
- 实现个人信息权益:《条例》明确了网络数据处理者实现个人信息权益的义务,要求提供便捷的支持个人行使权利的方法和途径。
- 补全个人信息保护要求:《条例》补全了《个人信息保护法》对网络数据处理者的具体要求,明确专门机构、指定代表进行信息报送的部门。
- 强化敏感个人信息保护:《条例》重申了《个人信息保护法》对于敏感个人信息保护的相关要求,明确处理敏感个人信息的特殊要求。
3. 重要数据安全
- 重要数据目录制定要求:《条例》明确了重要数据的概念,并要求网络数据处理者识别、申报重要数据。
- 组织和人员保障要求:《条例》要求重要数据处理者设立网络数据安全负责人和网络数据安全管理机构。
- 数据安全管理要求:重要数据处理者需履行比一般网络数据处理者更加严格的安全保护义务,包括风险评估、年度报告等。
4. 网络数据跨境安全管理
- 数据出境路径:《条例》确立了“三主三辅”六大数据出境路径,包括数据出境安全评估、个人信息出境标准合同、个人信息保护认证制度等。
- 域外管理模式:国际社会对数据跨境流动监管未形成统一框架,美国、欧盟、新兴经济体形成三种类型管理模式。
5. 网络平台服务提供者义务
- 一般网络平台管理要求:《条例》要求网络平台服务提供者在涉及第三方平台或提供应用程序分发时,履行对网络数据的安全保护义务。
- 大型网络平台管理要求:《条例》明确了大型网络平台服务提供者的定义,并要求其每年发布个人信息保护社会责任报告,履行国家数据跨境安全管理要求。
03 热点关注问题
问1:《网络数据安全管理条例》在数据安全管理一般规定中,如何具体落实网络数据处理的全流程制度设计?
答:在数据安全管理一般规定中,《网络数据安全管理条例》通过全流程制度设计,明确了网络数据处理的事前、事中、事后的安全管理要求。具体措施包括:
- 事前:要求网络数据处理者建立健全数据安全管理制度和技术措施,确保数据处理活动符合法律法规和国家标准的要求。
- 事中:强调网络产品和服务的风险处置,要求在发现安全缺陷或漏洞时立即采取补救措施,并及时告知用户和主管部门。
- 事后:建立数据安全事件应急预案,明确应急处置流程,包括通知利害关系人、建立违法犯罪线索举报机制等。
问2:《条例》在个人信息保护方面,如何细化“告知-同意”规则?
答:《条例》在个人信息保护方面细化了“告知-同意”规则,具体包括:
- 告知方式:要求网络数据处理者通过制定个人信息处理规则的方式进行告知。
- 展示方式:个人信息处理规则应集中公开展示,易于访问并置于醒目位置。
- 告知内容:包括网络数据处理者的信息、处理目的、方式、种类、保存期限及到期后的处理方式等。
- 同意要求:强调收集个人信息的必要性原则,不得超范围收集,不得通过误导、欺诈、胁迫等方式取得同意。
问3:在重要数据安全管理方面,《条例》对重要数据处理者的风险评估有何具体要求?
答:在重要数据安全管理方面,《条例》对重要数据处理者的风险评估提出了具体要求:
- 事前评估:重要数据处理者在提供、委托处理、共同处理重要数据前,必须进行风险评估,评估内容包括处理目的、方式、范围的合法性、正当性、必要性,以及数据可能被篡改、破坏、泄露的风险。
- 年度报告:重要数据处理者需每年度对其网络数据处理活动开展风险评估,并向有关主管部门报送评估报告。对于处理重要数据的大型网络平台服务提供者,还需额外说明关键业务和供应链网络数据安全等情况。
在《2024 数治全貌大公开:超热门政策与实务建议一网打尽》一篇给出本研报所涉及法规的解读和梳理,同时揭开2024年以来数治领域的超热门政策与实务建议,我们可以看到数据要素在企业和组织中的实际应用,有关数据资产化、人工智能+与可持续等进程分拆,也提供了宝贵的参考。
为帮助更好地理解和执行,数治网小编特别生成数治脑图:《数据治理研究报告(2024年)》,请扫码添加 @老邪 企业微信领取,注明姓名-行业-城市。升级成数治Pro个人、企业版助手和学习卡,更多治理、安全与合规体系课程可随到随学。
来源:《数据治理研究报告(2024年)》,中国信息通信研究院,获取文档请在数治网微信公众号对话框内发送“250126”。本篇针对全文由生成式 AI 做出的核心摘要和解答,仅作为参考,请以原文为准。图片:Jeshoots-com,Unsplash
-228x171.jpg)
