云安全
态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商用密码
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
万字长文解读丨国务院常务会议审议通过《网络数据安全管理条例(草案)》
《网络数据安全管理条例(草案)》
据央视新闻联播报道,8月30日,国务院常务会议召开,审议通过《网络数据安全管理条例(草案)》。
会议指出,要对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。
该条例由国家网信办组织起草。2021年11月,国家网信办曾就《网络数据安全管理条例》(征求意见稿)(以下简称《条例》)公开征求意见,共九章七十五条,从个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等多方面,作了详细规定。
文末扫描二维码即可下载高清版思维导图
概括来说,《条例》是在《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三部上位法的基础上制定,在实施细则、责任界定、规范要求、惩罚措施等方面更加清晰细致,同时也增加了一些新的内容,进一步强化和落实数据处理者的主体责任,共同保护重要数据和个人信息的安全。
制定目的
规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益。
条例适用范围
在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。
在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例:
(一)以向境内提供产品或者服务为目的;
(二)分析、评估境内个人、组织的行为;
(三)涉及境内重要数据处理;
(四)法律、行政法规规定的其他情形。
自然人因个人或者家庭事务开展数据处理活动,不适用本条例。
法律依据
《条例》的制定是以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三部上位法为依据。
数据定义
网络数据:
(简称数据)是指任何以电子方式对信息的记录。
重要数据:
一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
核心数据:
关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。
公共数据:
国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据,以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。
主体定义
数据处理者:
在数据处理活动中自主决定处理目的和方式的个人和组织。
互联网平台运营者:
为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。
大型互联网平台运营者:
用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
部门职责
国家网信部门:统筹协调数据安全和监督管理工作
1、负责统筹协调数据安全和相关监督管理工作。
2、大型互联网平台运营者在境外设立总部或者运营中心、研发中心,需向国家网信部门和主管部门报告。
3、各地区、各部门需将重要数据和核心数据目录报送国家网信部门。
4、国家机关和关基运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估。
5、国家网信部门认定进行个人信息保护认证的专业机构。
6、国家网信部门制定数据出境标准合同。
7、国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围。
8、国家网信部门组织数据出境安全评估。
省级以上网信部门:
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
设区的市级网信部门:
1、数据处理者发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件,需向设区的市级网信部门和有关主管部门报告。
2、在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告。
3、涉及重要数据和一百万人以上个人信息的数据处理者的合并、分立、解散,应当向设区的市级主管部门报告,主管部门不明确的,应当向设区的市级网信部门报告。
4、数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,主管部门不明确的,应当向设区的市级网信部门报告。
5、重要数据的处理者需向设区的市级网信部门备案重要数据。
6、处理重要数据或者赴境外上市的数据处理者,需在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。
7、共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。
8、向境外提供个人信息和重要数据的数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告。
公安机关、国家安全机关:承担数据安全监管职责
1、公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。
2、安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。
行业主管部门:承担本行业领域数据安全监管职责
1、主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。
2、主管部门应当定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。
3、大型互联网平台运营者在境外设立总部或者运营中心、研发中心,向国家网信部门和主管部门报告的义务。
4、国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围。
5、日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
6、数据处理者发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件,向设区的市级网信部门和有关主管部门报告的义务。
7、涉及重要数据和一百万人以上个人信息的数据处理者发生合并、重组、分立等情况的,向设区的市级主管部门报告的义务;数据处理者发生解散、被宣告破产等情况,向设区的市级主管部门报告的义务。
8、数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意。
有关主管、监管部门可采取的监督检查措施
(一)、要求数据处理者相关人员就监督检查事项作出说明;
(二)、查阅、调取与数据安全有关的文档、记录;
(三)、按照规定程序,利用检测工具或者委托专业机构对数据安全措施运行情况进行技术检测;
(四)、核验数据出境类型、范围等;
(五)、法律、行政法规、规章规定的其他必要方式。
统筹发展和安全,用好数据,保护数据
“数据开发利用和保障数据安全并重”是《条例》的基调,即我们不仅要促进数据的使用,更要保护数据的安全。保障数据依法有序自由流动,促进数据依法合理有效利用。
明确数据分类分级保护制度
《条例》第五条明确提出,“国家建立数据分类分级保护制度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。”
众所周知,数据分类分级是数据使用、管理和安全防护的基础,也是数据安全治理中的难点和重点。
《条例》进一步界定了一般数据、重要数据和核心数据的区别,同时增加了个人信息保护的范畴。例如,为了进一步明确重要数据的定义,《条例》在第七十三条列举了七大具体类型数据,可为数据合规提供指引,企业可参考相关规定执行。
重要数据,包括以下数据:
1、未公开的政务数据、工作秘密、情报数据和执法司法数据;
2、出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;
3、国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;
4、工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;
5、达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;
6、国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;
7、其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
在今年3月发布的GB/T 43697-2024《数据安全技术 数据分类分级规则》6.5 b)中,也给出了重要数据的级别确定规则;
满足以下任一条件的数据,识别为重要数据:
1) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成一般危害;
2) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成严重危害;
3) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序造成严重危害(如影响社会稳定);
4) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益造成严重危害(如危害公共健康和安全);
5) 数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域;
6) 数据达到一定精度、规模、深度或重要性,直接影响国家安全、经济运行、社会稳定、公共健康和安全;
7) 经行业领域主管(监管)部门评估确定的重要数据。
同时,由于不同行业、不同地区数据分类分级的具体规则和考虑因素差异巨大,《条例》还强调“各地区、各部门应对本地区、本部门以及相关行业、领域的数据进行分类分级管理。”其意在于将数据分类分级的标准制定权限下放,制定出针对性的分类分级标准,真正将分类分级落在细处。
数据保护措施进一步明确
建立健全数据安全治理体系
明确数据安全负责人:
1、具备数据安全专业知识和相关管理工作经历;
2、由数据处理者决策层成员承担;
3、有权直接向网信部门和主管、监管部门反映数据安全情况。
成立数据安全管理机构:
数据安全管理机构在数据安全负责人的领导下,履行以下职责:
1、研究提出数据安全相关重大决策建议;
2、制定实施数据安全保护计划和数据安全事件应急预案;
3、开展数据安全风险监测,及时处置数据安全风险和事件;
4、定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;
5、受理、处置数据安全投诉、举报;
6、按照要求及时向网信部门和主管、监管部门报告数据安全情况。
(本条例首次细化数据安全负责人的专业能力及数据安全管理机构职责。)
建立技术保护机制保障数据安全
1、采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,维护数据的完整性、保密性、可用性;
2、应当使用密码对重要数据和核心数据进行保护;
3、网络产品和服务存在安全缺陷、漏洞,或者威胁国家安全、危害公共利益等风险时,应当立即采取补救措施;
4、重要数据的处理者,应当优先采购安全可信的网络产品和服务。
组织开展安全培训
重要数据的处理者,应当:
1、制定数据安全培训计划,每年组织开展全员数据安全教育培训;
2、数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。
建立数据安全应急处置机制
发生安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内通知利害关系人:
1、告知方式:电话、短信、即时通信工具、电子邮件,或公告等方式;
2、告知事项:安全事件和风险情况、危害后果、已经采取的补救措施;
3、事件报警:涉嫌犯罪的,数据处理者应当按规定向公安机关报案;
4、发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时:
5、事件发生八小时内:向设区的市级网信部门和有关主管部门报告事件 基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;
6、事件处置完毕五个工作日内:向设区的市级网信部门和有关主管部门 报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。
网络安全审查范畴进一步扩大
和2020年4月印发的《网络安全审查办法》相比,《条例》进一步扩大了需要接受网络安全审查的范畴。除“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”以外,“大型互联网平台运营者实施合并、重组、分立”;“数据处理者赴香港上市,影响或者可能影响国家安全的”;都需要申报进行网络安全审查。
同时,“大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。”
大型互联网平台迎更强监管
在数据保护上,《条例》体现出“抓大放小”的原则。无论是“数据处理者合并、重组、分立”还是“发生解散、被宣告破产等情况”,只要涉及重要数据和一百万人以上的个人信息,都应该向设区的市级主管部门或网信部门报告。
《条例》还强调,“日活用户超过1亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。”
这意味着,掌握着大量个人信息的大型互联网平台将迎来更强的监管,尤其是国内头部互联网平台企业更是如此。其平台规则和隐私政策将是制度性的,涉及群体利益和公众利益时必定是牵一发而动全身,平台自主性将受到明显限制,企业必须提前做好相应的准备。
值得一提的是,《条例》第十八条要求数据处理者“当建立便捷的数据安全投诉举报渠道,及时受理、处置数据安全投诉举报。数据处理者应当公布接受投诉、举报的联系方式、责任人信息,每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况,接受社会监督。”
毫无疑问,《条例》第十八条规定进一步将数据安全放在了明处,彻底改变了以往“普通民众无法了解数据保护的现状”,同时也进一步促进企业规范使用数据,保护数据,减少数据黑箱操作的可能性。
个人信息保护
在个人信息保护方面,《条例》主要来源于《个人信息保护法》,但对其中的内容进行了细化,从用户的角度出发,维护了用户应有的权利,让他们可以对企业的不合理要求说“不”。同时也对企业提出了具体的要求,促进他们做好安全合规工作。
1、知情同意权
《条例》的三部上位法都在一定程度上明确了用户的“知情同意权”,在此基础上,《条例》进一步提出了细则,对企业提出了更加具体的要求,进一步明确了用户的知情同意权。
《条例》第二十条规定,“数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗。”
此举将有效改变当下信息收集“服务协议”和“隐私政策”又长又难懂的情况,要“以清单形式列明”每项功能收集信息的目的、用途等等,用户可以一目了然,不再需要去阅读密密麻麻的文字,对于用户来说无疑是一件幸事。
同时,集中展示的内容还包括“个人查阅、复制、更正、删除”等敏感操作的途径;向第三方提供个人信息情形及其目的等;个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式等;以及产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称和信息收集的规则。
《条例》第二十一条规定,“处理个人信息应当取得个人同意”,同时明确“不得使用概括性条款取得同意”;“敏感个人信息应当取得个人单独同意”;“处理不满十四周岁未成年人的个人信息,应当取得其监护人同意”;“不得以胁迫、误导、欺诈、捆绑、批量处理、频繁征求等方式获取个人同意处理器个人信息等。”
此外,当“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得个人同意,并同步修改个人信息处理规则。”
总的来说,《条例》在个人信息保护上花费了大量的篇幅,详细地叙述了用户享有的知情同意权,将三部上位法个人信息保护的内容更加浅显、直白地进行告知。
2、信息处理权
《条例》赋予用户自由处理自己信息的权利,包括查阅、复制、更正、补充、限制处理、删除其个人信息、个人信息转移等权利。
《条例》第二十三条规定,对于以上的操作,企业应执行对应的规定,保障用户拥有信息处理权,包括“不得以时间、位置等因素对个人的合理请求进行限制;不得设置不合理条件;应当在十五个工作日内处理并反馈等。”
在转移个人信息时,企业应确定这些个人信息的范畴,包括确定是本人信息,或已获得且不违背他人意愿的他人信息,在信息转移时还需要确认请求人的合法身份,给予相应的风险提示,避免因此造成个人信息泄露事件。
3、不得将人脸、指纹作为唯一认证方式
《条例》第二十五条规定,“不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。”这意味着日后所有互联网产品及线下产品都应提供人脸等生物特征认证以外的其他认证方法。
重要数据安全
数据分类分级的目的就是为了区分一般数据、重要数据和核心数据,以便采取不同的数据安全保护措施。其中,重要数据作为大多数企业占比最大的数据种类,常成为企业重点保护对象,也是《条例》中需要重点关注的内容。
1、数据安全负责人的地位提升
《条例》第二十八条提出,“重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构,数据安全管理机构在数据安全负责人的领导下履行职责。”这意味着重要数据的识别与保护再次得到加强,从文件上规定了企业内部设立数据安全负责人和管理结构的义务。
同时,“数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况”,积极做好事情的决策建议、应急预案、风险监测、宣传培训、处置投诉等安全工作。
该规定大大提升了数据安全负责人在企业内部的地位和权利,也体现出数据安全的重要性。
2、重要数据安全合规要求进一步明确
在提升数据安全负责人的地位后,《条例》对于企业的重要数据也提出了一系列的合规要求,督促数据处理者完成备案、培训、上报等关键操作。
其中,第二十九条提出,“重要数据的处理者,也要在识别其重要数据后的十五个工作日内向设区的市级网信部门备案。备案内容包括数据处理者基本信息,处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,以及其他规定的备案内容。”
第三十条提出,“重要数据的处理者,应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。”
第三十二条提出,“每年一度自行或委托数据安全服务机构开展数据安全评估,在1月31日前将上一年评估报告上报至设区的市级网信部门并保存至少三年。”
从上面的规定中不难发现国家对于重要数据安全的重视,对于企业的合规要求直接细化到了最低的颗粒度,其中包括详细的备案内容,以及不少于20小时一年的安全培训工作等。此外,这样也给企业满足重要数据安全合规指出了具体的方向,企业只需要按照规定完成即可。
3、多项工作需网信部门或主管部门同意
除此之外,政府部门还对企业重要数据处理提出了其他的合规要求。比如开展共享、交易、委托处理、向境外提供重要数据的安全评估,一旦评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供数据。
第三十三条提出,“数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。”
第三十四条提出,“国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估。”
这意味着,当某些操作涉及重要数据时,企业已经不能再完全按照自身意愿处理,而是要在国家政策的同意之下方能进行。
数据跨境安全管理
针对数据跨境安全管理,《条例》作出了十分完善的规定,对于数据出境增加了许多限制条件,体现出我国对数据跨境的高度重视。
例如《条例》第三十五条明确提出,数据可以跨境流通,但是首先要通过网信部门组织的数据出境安全评估和满足《网络安全审查办法》的要求,以及其他审查需求,包括数据接收方、合同订立、权利与义务等都需要进行审查和满足规定的条件。
《条例》第三十六条提出,“数据处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项,并取得个人的单独同意。”
单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。
《条例》还要求展开数据出境活动的数据处理者应每年编制数据出境安全报告,并在1月31日前向市级网信部门报告上一年度的数据出境情况,报告应包括接收方的名称与联系方式、数据出境后再转移的情况、数据在境外的存放地点、存储期限等。
这将给企业数据跨境增加了不少限制条件,尤其是涉及国计民生的信息,充分凸显出我国坚守数据安全大前提的战略构想。
此外,《条例》第四十一条提出,“国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。”
数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。
互联网平台运营者义务
1、互联网平台合规要求更加明确
《条例》花费了大量的篇幅来说明互联网平台应该满足的合规要求,除了将其可能影响国家安全的数据处理行为纳入网络安全审查范畴外,还对平台规则、隐私政策修订等提出要求。
《条例》第四十三条提出,互联网平台的平台规则、隐私政策发生重大更新时需要公示三十日,并广泛听取用户的建议;日活超过一亿的大型平台还应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
同时互联网平台运营者还需要承担第三方数据安全管理责任,且“第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿”,这点对于移动通信终端和预装APP同样适用。
近年来,因第三方而导致的数据泄露事件层出不穷,很多第三方平台缺乏必要的数据安全防护措施。《条例》的出现将会有效改变这一现状,能否保证数据安全将会成为互联网平台运营者选择第三方合作商的衡量指标之一,并且会体现在合同中,倒逼第三方提高数据安全保护能力。
2、大数据杀熟将被禁止
互联网平台运营者通过已掌握的数据杀熟,定制化推荐广告已经不是什么秘密,针对这些热议的问题,《条例》做出了明确的规定。
第四十六条提出,禁止向用户提供产品和服务差异化定价等损害用户合法利益的行为;禁止利用数据诱导用户的行为;禁止最低价销售等损害公平竞争的行为;禁止限制中小企业获取资源等。
同时,对于人们关心的定制化推荐广告的行为,第四十九条提出,互联网平台运营者要“对推送信息的真实性、准确性以及来源合法性负责”,且“应取得个人单独同意”,还应该“设置便捷易懂的一键化关闭选项,允许用户重置、修改或调整针对其个人的定向推送参数”,和“允许个人删除定向推送信息服务收集产生的个人信息”。
《条例》第五十三条提出,大型互联网平台运营者应每年对平台数据安全进行审计,并将审计结果进行披露。这意味着,大型互联网平台数据安不安全以及数据使用情况,已经不仅仅是企业自己的事情,而是需要接受第三方监督,避免企业出现阳奉阴违的情况,这也是企业需要完成的合规义务之一。
执法职责清晰,处罚日渐严格
《条例》第五十五条提出,“国家网信部门负责统筹协调数据安全和相关监督管理工作;公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责;工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。”
同时还明确了各监督、执法部门的工作范畴,包括“对数据安全进行监督检查”,“对重要数据处理活动的审计”,以及“制定数据安全行为规范,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。”
针对互联网平台运营者的违法行为,《条例》也列举出详细的处罚措施,包括不履行《条例》处以金额不等的罚金;对违法处理个人信息的应用程序,责令暂停或者终止提供服务,最高可以处以上一年营业额百分之五的罚金,吊销营业执照,追究直接负责人和直接主管人员的责任,并处罚金。
第七十条更是明确指出,“数据处理者违反本《条例》规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任”,值得企业和个人警醒。
随着大数据、物联网、人工智能等新兴技术的发展和应用,数据的价值正在不断上升,不仅是驱动企业发展的核心要素,也直接关系到我国的经济发展、公共利益和国家安全。
《条例》的出台,不仅是对《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三部上位法的补充和说明,也进一步明确了网络数据安全管理的具体细则,进一步增加企业和社会对于数据安全的认知,进一步巩固了国家数据主权,体现出我国对于数据安全这个大前提不动摇的战略决心。
对于个人来说,《条例》的出台让用户进一步了解了对自己的数据拥有哪些权利,强化了个人信息的重要性,使得用户不会再像以前一样放任个人信息滥用而没有任何办法,这将大大缓解当下日渐严峻的个人隐私信息泄露、数据泄露事件的发生。
对于企业来说,《条例》详细列举了企业的合规要求,有的甚至已经精确到了小时,也明确了该向哪些部门进行报告等,使得企业能够在合规建设中有的放矢,某种程度上也会强化企业的数据安全防护能力。同时也对当下大数据野蛮发展的乱象进行约束,杜绝大数据杀熟、平台二选一,中小企业获取资源受限等问题,打造一个公平公开的数据市场,促进行业健康、有序地发展。
