研究成果
蒋艳:健全数据安全法律制度 筑牢网络数据安全防线
发布时间:2024-10-12 15:36:00      来源:

健全数据安全法律制度 筑牢网络数据安全防线
国家工业信息安全发展研究中心主任 蒋艳
为规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益,国务院正式公布《网络数据安全管理条例》(以下简称《条例》)。《条例》的出台,标志着我国数据安全法规体系的进一步完善,对我国强化数据安全和个人信息保护、保障数据要素有序开发利用、促进数字经济健康有序发展意义重大。

《条例》坚持科学立法、开门立法的原则,一方面,细化、落实《网络安全法》《数据安全法》《个人信息保护法》相关制度,明晰个人信息“告知-同意”规则、重要数据风险评估、个人信息跨境流动条件、网络平台服务提供者第三方安全管理等要求,为后续立法、执法等实践提供了重要依据。另一方面,《条例》针对网络数据安全管理的突出问题,在科学总结过往治理经验的同时,兼顾新技术新应用带来的新的安全问题,提炼个人信息保护、重要数据安全、网络数据跨境安全管理、网络平台服务提供者义务等网络数据治理方案,覆盖了网络数据治理重要领域,为开展网络数据安全管理工作提供了坚实的制度保障。

一、深刻认识《条例》出台的重要意义
党中央、国务院高度重视数据安全工作。习近平总书记多次作出重要指示批示,强调“没有网络安全就没有国家安全”“要切实保障国家数据安全”“强化国家关键数据资源保护能力”。《条例》贯彻落实党中央、国务院关于数据安全的决策部署,统筹发展与安全,鼓励网络数据合理有效利用,促进以数据为关键要素的数字经济发展,并划定安全“底线”和“红线”。

(一)《条例》是落实法律重大制度设计的内在需要

我国《网络安全法》《数据安全法》《个人信息保护法》等法律的相继出台,为网络数据安全提供了基本的法律框架与制度设计。《条例》作为《网络安全法》《数据安全法》《个人信息保护法》的配套行政法规,对上位法中的制度设计和原则性规定进行细化与落实,为网络数据安全保障工作提供了具体的制度保障和实施路径,有助于进一步推动我国建立健全数据安全法律法规体系、强化重大制度衔接。

(二)《条例》是服务数字经济有序发展的重要保障

数据作为数字经济的核心要素,其价值在于能够在不同主体之间流动和整合。然而,随着数据的开发、流通与利用,数据价值日益凸显,数据泄露、数据窃取等安全风险也与日俱增,严重影响数字经济活动的稳定性。《条例》紧扣数字经济发展需求,通过构建完善网络数据安全责任义务体系,保障数据在安全的网络环境下得到充分开发和利用,有助于进一步推动我国数字经济高质量、可持续发展。

(三)《条例》是维护网络空间安全秩序的关键举措

近年来,个人信息、企业数据、政务数据等泄露、被非法利用事件时有发生,网络数据安全关系广大人民群众切身利益,关系企业经营活动,关系到国家安全。社会各界十分关注网络数据安全,《条例》的出台就是积极回应社会各界的关切,规范网络数据处理行为,打击网络数据违法活动,保护个人、企业在网络空间的合法权益,保障好经济发展和国家安全。

二、《条例》为开展网络数据安全管理工作提供了基本遵循

(一)建立网络数据安全管理工作闭环,落实好总体国家安全观

《条例》贯彻总体国家安全观,从网络数据分类分级、安全防护、应急处置、事件报告、安全检查、信息共享,以及重要数据申报和告知、提供或者委托处理、风险评估、年度报告等角度,构建数据识别、处理、防护、评估、检查、整改、应急响应等体系化、闭环式管理机制。一是网络数据治理工作需要各方参与,《条例》通过对国家、有关部门和地方层面的网络数据安全监管责任划分,以及网络数据处理者对所处理网络数据的安全承担主体责任的要求,统筹推进网络数据安全管理工作。二是强调网络数据安全管理的动态性。数据要素是流动的,网络数据处理者的网络数据处理情况也是变化的,《条例》强调网络数据处理者主动识别、申报重要数据情况,重要数据的处理者主体发生变化需要报告重要数据处置方案,以及提供、委托处理个人信息和重要数据的安全管理等要求,旨在指导网络数据处理者及时掌握处理网络数据最新情况,及时履行网络数据安全保护责任。

(二)明确个人信息保护要求,加大个人权益保护力度

个人信息保护已成为广大人民群众最关心的利益问题之一,《个人信息保护法》规定个人对其个人信息的处理享有知情权、决定权、删除权等权益,但相关规定的实践、落实,仍需进一步具体的操作指导。一是《条例》明确处理1000万人以上个人信息的网络数据处理者,需按照《条例》第三十条规定,明确网络数据安全负责人和管理机构。二是针对广大人民群众反映较多的隐私政策或者用户协议隐藏过深、内容冗长晦涩等情况,以及个人信息捆绑授权、强制授权等问题,《条例》规定个人信息处理规则包括处理个人信息的目的、方式、种类,处理敏感个人信息的必要性及其对个人权益的影响等内容,要求个人信息处理规则集中公开展示、易于访问并置于醒目位置;明确“单独同意”的具体要求,强调不得通过误导、欺诈、胁迫等方式取得个人同意,不得在个人明确表示不同意处理其个人信息后,频繁征求同意。三是针对自动化采集技术等无法避免采集到非必要个人信息、个人注销账号后个人信息处理问题等新情况,要求网络数据处理者删除个人信息或者进行匿名化处理。

(三)规范网络数据跨境安全管理,促进数据高效便捷安全流动

我国《“十四五”数字经济发展规划》提出要“规范数据采集、传输、存储、处理、共享、销毁全生命周期管理,推动数据使用者落实数据安全保护责任”。规范化的数据处理活动是保障数据准确性、完整性与安全性的关键,也是促进数据高效便捷安全跨境流动、激发数据要素创新活力的关键。《条例》在前期数据出境安全管理工作基础上,探索数据跨境流动便利化机制。一是国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制,研究制定国家网络数据出境安全管理相关政策,协调处理网络数据出境安全重大事项。二是《条例》在数据出境安全评估、安全认证、标准合同等三种向境外提供个人信息方式的基础上,结合数据出境安全实践情况,针对为订立、履行个人作为一方当事人的合同,按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,为履行法定职责或者法定义务,紧急情况下为保护自然人的生命健康和财产安全等确需向境外提供个人信息的五种情形,明确其可以作为向境外提供个人信息的条件,便利数据跨境流动,服务高水平对外开放。三是针对重要数据出境情形,《条例》强调网络数据处理者在中华人民共和国境内运营中收集和产生的重要数据确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。网络数据处理者按照国家有关规定识别、申报重要数据,但未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。回应了各方对于研判是否属于重要数据出境、是否需要申报数据出境安全评估的关切。

(四)明晰网络平台服务提供者义务,压实网络数据安全管理责任

随着数字经济的快速发展,网络平台服务提供者在网络数据处理和管理中扮演着重要角色。当前网络平台利用数据实施不正当竞争、算法歧视等问题日益突出,影响用户合法权益和平台的有序发展。为此,一是《条例》明确了网络平台服务提供者、预装应用程序的智能终端等设备生产者第三方安全管理责任,要求其督促平台内第三方产品和服务提供者履行网络数据安全保护责任。二是针对当前个性化推荐服务关闭难、收集个人信息类型多、个人精准画像数据存在滥用风险等问题,《条例》强调设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能,以保障用户合法权益。三是明确大型网络平台服务提供者每年度发布个人信息保护社会责任报告,接受社会各界监督。同时要求平台不得利用数据实施不正当竞争行为,以此维护市场的公平竞争秩序。

三、落实《条例》要求,推动网络数据治理工作的几点思考

(一)汇聚各方力量,推动《条例》纵深落地

一方面,持续做好《条例》等网络数据安全法规政策宣贯工作,通过集中宣讲培训,深入地方和重点企业等方式,引导有关部门用好、用活、用足政策,指导企业及时掌握政策要求,构建网络数据安全合规体系。另一方面,支持网络数据分类分级、风险评估、监测预警等技术、产品研制,加快网络数据安全人才培养,更好地支撑网络数据安全综合保障体系建设。

(二)推动网络数据安全规则指引、标准进一步完善

目前,数据分类分级规则、个人信息安全规范等国家标准已制定实施,重要数据安全管理、敏感个人信息保护等领域多项标准正在研制,工业和信息化、自然资源、金融、教育等领域已制定数据安全管理办法或者数据分类分级规则,为数据安全和个人信息保护工作提供指导。下一步应当鼓励有关主管部门,结合行业实际情况,加快行业领域数据安全相关规则指引、标准的制定实施,以及相关制度的试点工作,推动网络数据治理工作落地落实。

(三)充分发挥风险评估、检查检测等制度作用

风险评估、合规审计、年度报告等工作,既是网络数据处理者应当履行网络数据安全管理责任,也是提高自身网络数据安全管理能力的重要途径。《条例》规定各有关主管部门定期组织开展本行业、本领域网络数据安全风险评估,对网络数据处理者履行网络数据安全保护义务情况进行监督检查;国家网信部门统筹协调有关主管部门及时汇总、研判、共享、发布网络数据安全风险相关信息。有关部门应加强信息共享,统筹各类检查评估工作,在切实发挥检查评估工作效能的同时,减少网络数据运营者合规成本。

《条例》着眼于国内外网络数据治理与安全发展形势,明确网络数据处理者应当履行的义务责任,是我国《网络安全法》《数据安全法》《个人信息保护法》在网络数据治理实践中发挥作用的重要抓手,更是我国建立健全数据安全法规体系、提高数据安全保障能力的关键环节。《条例》的出台与实施将进一步筑牢我国数字经济发展基础,以高水平安全护航网络强国建设。

国家工业信息安全发展研究中心长期支撑网络和数据安全领域法规标准、产业规划等顶层制度设计工作,深度支撑起草《网络数据安全管理条例》《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》《关于促进数据安全产业发展的指导意见》等法规政策,在数据合规、个人信息保护、数据跨境流动、数据产业促进等方面,具有较强地方赋能、企业服务能力。如有问题咨询,欢迎致电张老师,010-68663280或010-88687959。


(来源:司法部官网)

你知道你的Internet Explorer是过时了吗?

为了得到我们网站最好的体验效果,我们建议您升级到最新版本的Internet Explorer或选择另一个web浏览器.一个列表最流行的web浏览器在下面可以找到.