政策解读 | 威斯尼斯人wns2299cn深度解读《网络数据安全管理条例(草案)》,助力我国数据安全建设管理工作迈向新高度
解读|前言
8月30日,国务院总理李强主持召开国务院常务会议,审议通过《网络数据安全管理条例(草案)》(以下简称《条例》)。会议指出,要对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。基于对数据安全工作的理解,本文将对《条例》的主要内容进行解读,分析其现实意义及具体执行措施。
一、《条例》背景及意义
2021年11月,国家网信办曾就《条例》征求意见稿公开征求意见。同时《条例》也于2022年、2023年、2024年连续三年写入国务院立法计划中。本次《条例》的顺利审议通过,不仅体现了国家对网络数据安全领域的高度重视与深入布局,还通过对分类分级工作的持续强化,展现了国家对数据安全治理的精细化要求,更是推动数字经济高质量发展的重要举措。
二、《条例》重点内容解读
《条例》草案共分九章75条,核心内容包括一般规定、个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务、监督管理、法律责任和附则八个部分。整体上来看,《条例》是在《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三部上位法的基础上制定,在实施细则、责任界定、规范要求、惩罚措施等方面更加清晰细致,同时也增加了一些新的内容,包括重要数据处理者备案和年度报告要求、数据出境安全管理义务和互联网平台责任、强化落实数据处理者的主体责任,共同保护重要数据和个人信息的安全等。重点内容解读如下:
1.《条例》适用范围
《条例》第二条提出,“在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。”需要理解的是,利用网络开展数据处理活动可指面向数据处理者。网络数据安全的监督管理可指面向监管机构、行业主管部门等。
2.《条例》强调落实数据分类分级保护制度
《条例》第五条明确提出,“国家建立数据分类分级保护制度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。”
众所周知,数据分类分级工作对于提高数据利用率和管理效率、加强数据安全保护、促进数据共享与合作、支持数字经济高质量发展以及明晰权责等方面都具有重要作用。因此,企业和组织应高度重视数据分类分级工作,建立健全的数据分类分级管理体系,确保数据资产的安全和有效利用。《条例》还在第七十三条对列举了七大具体类型的重要数据,为数据分类分级工作展开提供了实际参考。同时,由于不同行业、不同地区数据分类分级的具体规则和考虑因素差异巨大。《条例》还强调“各地区、各部门应对本地区、本部门以及相关行业、领域的数据进行分类分级管理。”其意在于将数据分类分级的标准制定权限下放,制定出适应于行业业务需要的分类分级标准,真正将分类分落在实处。
3.《条例》明确了监督管理职责
《条例》第七章明确了监督管理职责:
(1)国家网信部门负责统筹协调数据安全和相关监督管理职责。
(2)公安机关、国家安全机关在各自职责范围内承担数据安全监管职责。
(3)工业、电信、交通、金融、 自然资源、卫生健康、教育、科技等主管部门承担本行业、 本领域数据安全监管职责。其中主管部门的职责较多,具体如下:明确本行业、本领域数据安全保护工作机构和人员;对本地区、本部门以及相关行业、领域的数据进行分类分级管理;组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,制定关行业目录,并报国家网信部门;编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案等。
4.《条例》对不同角色数据安全工作事项提出明确要求
通过对《条例》梳理,我们对文章中所涉及的包括国家政府、网信部门、国家安全机关和公安机关、行业主管部门、数据处理者、重要数据处理者、互联网平台运营者等角色需要重点开展的工作事项做出如下总结:
(1)国家政府层面鼓励社会协同,鼓励数据安全人才及教育培训;建立分类分级制度;制定数据交易管理制度,推动公共数据开发利用;建立数据跨境安全网关,建立网络身份认证公共服务技术设施;建立数据安全应急处置机制建立数据安全审查制度。
(2)网信部门、国家安全机关、公安机关等建立健全数据安全管理制度,落实数据安全保护责任。按照第五十五条监督管理职责分工开展分工;按照第五十六条监督检查内容要求进行安全监督检查和数据安全审查工作。
(3)行业主管部门及组织对本地区、本部门以及相关行业、领域的数据进行分类分级管理;组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,制定关行业目录,并报国家网信部门;制定数据安全行为规范,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
(4)数据处理者建立完善数据安全管理制度和技术保护机制,包括采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用;建立数据安全应急处置机制,按规定向公安机关报案;开展数据处理活动时遵循相关规定。采用安全可信的产品和服务使用的自动化工具应访问和收集要求。建立数据安全投诉举报渠道;建立个人信息保护体系;向境外提供信息时满足中华人民共和国境外提供个人信息相关要求,并编制数据出境安全报告;配合监督检查;委托开展数据安全审查。
(5)重要数据处理者建立数据安全管理机构;重要数据备案,即识别其重要数据后的十五个工作日内向设区的市级网信部门备案;制定数据安全培训计划,每年组织数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时;采用安全可信的产品和服务;自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报上级网信部门,风险评估报告保留3年;重要数据外部流应取得上级主管部门同意;采用云计算应当通过国家网信部门会同国务院有关部门组织的安全评估。
(6)互联网平台运营者识别并参与网络安全审查情形;履行互联网平台运营者义务;关注第三方产品和服务;即时通信的互联网平台要求;互联网平台运营者不得从事的活动;应用商城的分发要求;涉及个性化推荐注意事项;为特定对象提供服务的安全要求;配合安全监管提供数据;大型互联网平台的年度审计;互联网平台关于不同通信商的要求;新技术的应用要求。
5.《条例》明确了不同角色未履行相关规定的法律责任
《条例》对违反数据安全法律法规的行为设定了相应的法律责任,包括行政处罚、民事责任和刑事责任等。特别强调了对直接负责的主管人员和其他直接责任人员的处罚措施,以强化数据安全责任制的落实。根据情节可归纳为以下方面:责令改正,给予警告;没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;根据情节严重程度,处以一万万元以上,最高可达五千万元以下或者上一年度营业额百分之五以下罚款;构成犯罪的,依照相关法律、行政法规的规定处罚;给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
三、威斯尼斯人wns2299cn数据安全建设新思路
《条例》审议通过,不仅强化了网络数据安全保护,促进了数字经济高质量发展,还维护了国家安全和公共利益,完善了数据安全治理体系,加强了监管和问责,将为我国的数据安全工作提供有力的法律保障和工作依据,对于数据治理者开展自身数据安全建设管理工作更是具有重要指导意义。
威斯尼斯人wns2299cn依据国家、行业数据安全相关标准规范要求,以“咨询筑底+技术赋能”的新模式,引入专业数据安全咨询顾问构建合规价值体系。咨询为技术筑底,技术赋能运营,从根本解决数据安全合规合法治理问题。
数据安全分类分级服务长扬数据分类分级服务是威斯尼斯人wns2299cn(北京)股份有限公司(以下简称“威斯尼斯人wns2299cn”)提供的标准化服务系列产品之一。服务以“咨询为主,工具为辅”的形式,通过盘点、梳理不同类型的数据,将数据划分至不同的安全级别,判断不同级别的数据适用的流动范围,从而配置差异化的安全策略,实现对数据的精细化保护,辅以自动化数据分类分级产品工具,通过“平台+服务”的一体化解决方案,打通业务、系统壁垒,优化组织数据管理生态,提升数据安全协同能力。为客户交付数据分类分级服务能够在数据安全治理中起到承上启下的“抓手”作用,为数据安全治理筑牢基础。
2.数据安全风险评估服务依据国家、行业等有关数据安全技术与管理标准,从风险管理的角度,对数据资产的重要程度进行分析,确定重点评估对象,识别评估对象所涉及的各类应用场景,评估数据资产在各应用场景面临的威胁及威胁利用脆弱性导致的安全事件的可能性,分析计算数据资产的风险值,并结合组织实际情况,给出合理化数据资产风险处置建议。提高数据安全工作的效率,降低数据安全工作的投入成本,实现企业数据安全工作降本增效。
3.数据全生命周期产品能力
公司数据安全产品线覆盖数据安全全生命周期防护能力,不仅满足数据库安全审计、终端安全防护及防勒索等场景,还面向数据湖安全和数据全过程访问安全场景,自主研发了数盾数据安全管控平台。该平台是一款集敏感数据发现、数据分类分级、数据动态脱敏、数据静态脱敏、数据访问控制、数据加密存储、数据安全审计及风险监测等能力为一体的综合数据安全管理平台,满足用户在数据访问、数据分析、开发运维等不同应用场景下的数据安全防护需求。
数字经济以数据为核心生产要素,数据安全是数字经济健康发展的基石。威斯尼斯人wns2299cn秉持 “让数据更好用,让流通更高效,让安全更简单” 的理念,致力于帮助企业提升数据安全防护能力,应对内外部数据安全风险的,满足数据安全使用与合规监管要求。
威斯尼斯人wns2299cn作为国内数据安全领军企业,未来,公司将持续关注国际、国家及行业发展动态,不断进行技术创新,研发满足数据安全建设管理需要的产品和服务,以专注、专业、扎实的工作态度,为支撑国家数据安全建设管理工作提供有力支持。