《网络数据安全管理条例(征求意见稿)》重要规定及合规要点评析(一)

来源:策略律师

文章摘要
2021年11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》(简称“《数安条例》”),面向社会公开征求意见。

2021年11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》(简称“《数安条例》”),面向社会公开征求意见。《数安条例》明确以《网络安全法》《数据安全法》和《个人信息保护法》作为上位法,既有对上位法重要条款的细化和补充,更增设了重要的制度体系,以辅助上位法更好地实现“规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益”。
作为上位法的重要配套规定,《数安条例》需要系统研读和整理,本文先从《数安条例》的第一章总则入手,后续分专题进行。
一.明确立法依据和规范目的
《数安条例》第一条明确了上位法依据和规范目的,突出强调了“规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益”。
值得注意的是,2021年5月27日国务院办公厅发布的《国务院2021年度立法工作计划》里,由“网信办组织起草数据安全管理条例”被列明在国务院拟制定的行政法规中。因此,《数安条例》应是国务院拟制定发布的行政法规。
二.明确适用范围
《数安条例》第二条明确了适用范围,既强调“属地原则”,即“在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理”,适用本条例;又参照《个人信息保护法》的域外适用规定和保护数据安全的规范目的,规定符合“以向境内提供产品或者服务为目的、分析评估境内个人/组织的行为、涉及境内重要数据处理或法律、行政法规规定的其他情形”之一的,适用本条例。同时,明确将“自然人因个人或者家庭事务开展数据处理活动”排除在适用范围内。
《数安条例》第二条弥补了《网络安全法》第二条仅规定属地适用原则的缺陷,参照《个人信息保护法》的域外适用规定补充和细化了《数据安全法》的适用范围,同时以“法律、行政法规规定的其他情形”作为兜底规定,对上位法的适用范围作了很好的补充和完善。
三.强调数据开发利用和数据安全并重
《数安条例》的第三条,是在《数据安全法》第十三条坚持“国家统筹发展和安全”的基础上,进一步明确了数据开发利用和数据安全二者的关系,即应是“坚持促进数据开发利用与保障数据安全并重,加强数据安全防护能力建设”,从而“保障数据依法有序自由流动,促进数据依法合理有效利用”。前述规定调整了《数据安全法》第十三条所述的“以数据开发利用和产业发展促进数据安全”,将原先前者促进后者的关系修改为二者并重的关系,强调数据安全的重要性,值得关注。
《数安条例》第四条明确了国家对于数据开发利用与数据安全保护的支持路径,是对《数据安全法》第二章的重要补充。
四.细化数据分级,明确个人信息的数据定级
在《数据安全法》第二十一条的基础上,《数安条例》第五条首先明确数据分级的依据是“数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度”,将数据分为“一般数据、重要数据、核心数据”,规定“国家对不同级别的数据采取不同的保护措施,对个人信息和重要数据进行重点保护,对核心数据实行严格保护”。《数安条例》通过规定个人信息保护措施的要求,实现了个人信息的数据定级,即数据处理者应该将个人信息列入重要数据,结合《个人信息保护法》《数安条例》第三章“个人信息保护”及其相关法律法规的规定,采取对应的保护措施。
值得注意的是,《数安条例》第七十三条第三项明确规定“重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
重要数据包括以下:1.未公开的政务数据、工作秘密、情报数据和执法司法数据;2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据”,前述规定在相关行业、领域的重要数据具体目录出台之前,对于数据处理者判断数据分级和执行数据的保护措施,具有重要的指导价值。
五.强调数据处理者的安全保护义务
与《数安条例》的规范目的相对应,《数安条例》第六条第一款明确规定数据处理者的数据安全保护义务,将数据安全保护义务作为数据处理者承担的社会责任之一。
并且,《数安条例》进一步落实了前述安全保护义务的实践要求,即数据处理者要通过建立数据安全管理制度和技术保护机制,来完成“有关法律、行政法规的规定和国家标准的强制性要求”。此处的“国家标准的强制性要求”甚为关键,既考虑到我国目前有关数据安全的法律、行政法规的立法实际,同时也很好地回应了《网络安全法》第十五条和《数据安全法》第十七条。
[ 《网络安全法》第十五条国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根 据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准 、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。]
[ 《数据安全法》第十七条国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务 院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标 准。国家支持企业、社会团体和教育、科研机构等参与标准制定。]。
六.区分数据类型指导数据的开发利用
数据作为重要的生产要素,其开发利用的价值毋庸置疑。《数安条例》第七条明确了国家后续对数据开发利用的两条重要路径。在区分公共数据和其他数据的基础上,对于公共数据以积极推动开放、共享的模式,促进公共数据的开发利用及数据的再创造,最大限度发挥公共数据所承载的社会服务职能。
对于非公共数据的其他数据,国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。即对于非公共数据的其他数据的开发利用,国家积极引导合法、有序、规范的数据交易行为,以此确保数据的有序流通。
综上,《数安条例》的总则篇虽然只有七则条文,却在适用范围、关键概念、数据定级、数据安全和数据开发利用二者的关系以及数据开发利用的指导机制等方面,做出了明确的规定。理解总则篇对于理解《数安条例》和上位法的相关规定来说,至关重要。

技术驱动法律,专业成就未来