政策解读丨一口气厘清“数据安全”相关法规


 

今年11月14日,国家互联网信息办公室发布了《网络数据安全管理条例(征求意见稿)》(以下简称《网络数据安全管理条例(征)》),结合近年来我国先后出台实施的《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,对实现我国数字经济健康发展、依法保障数据安全等方面具有重要意义。

那么这些法规都讲了什么,彼此间又有何关联与差异?小编将通过以下的解读帮大家快速地厘清这些法律法规:

 

一、规制对象

 

二、管辖原则

采用属地管辖+保护性管辖原则,坚决维护数据主权

  • 属地管辖:无论是否本国公民或组织,在领土范围内的行为都受该国法律约束;
  • 保护性管辖:以保护本国利益为目的确定法的适用范围。

《数据安全法》

第二条第一款:在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。(属地管辖)

第二条第二款:在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。(保护性管辖)

《网络数据安全管理条例(征)》

第二条:在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。(对在境外处理我国境内个人和组织数据的活动,也有清晰解释)

《网络安全法》

第二条:在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。(属地管辖)

第七十五条:境外的机构、组织、个人从事攻击、侵.入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任。(保护性管辖)

 

三、五大制度 

1.数据分类分级保护制度

统分结合,各地区、各部门落地

 

《网络数据安全管理条例(征)》

第五条 :国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、 核心数据,不同级别的数据采取不同的保护措施。

国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护

各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。

《数据安全法》

第二十一条:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护

国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。

《个人信息保护法》

第五十一条:个人信息处理者应当根据个人信息的处理目的、处理方式、 个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:

(一)制定内部管理制度和操作规程;

(二)对个人信息实行分类管理;

(三)采取相应的加密、去标识化等安全技术措施。

2.数据安全保护制度

从上而下,权责清晰

 

《数据安全法》

第二十七条:重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。

《网络数据安全管理条例(征)》

第六条:数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任。数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制

第二十八条:重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。

《个人信息保护法》

第九条:个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

第五十二条:处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。

第六十条:国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。

3.数据跨境安全管理制度

  • 通过出口管制制度强化对关键敏感数据的出境管控

《数据安全法》

第二十五条:国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制

《出口管制法》

第二条:国家对两用物项、军品、核以及其他与维护国家安全和利益、履行防扩散等国际义务相关的货物、技术、服务等物项(以下统称管制物项)的出口管制,适用本法。前款所称管制物项包括物项相关的技术资料等数据

  • 将所有重要数据纳入数据出境安全管理范畴

《数据安全法》

第三十一条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

《网络安全法》

第三十七条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

  • 持续细化数据跨境安全管理,拉通数据安全管理制度

《网络数据安全管理条例(征)》

第三十五条 :数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:

(一)通过国家网信部门组织的数据出境安全评估;

(二)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;

(三)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;

(四)法律、行政法规或者国家网信部门规定的其他条件。

《数据出境安全评估办法(征求意见稿)》

第四条:数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;

(二)出境数据中包含重要数据;

(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;

(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;

(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。

第九条:数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务,应当包括但不限于以下内容:

(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;

(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;

(三)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;

(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;

(五)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;

(六)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。

4.数据安全应急处置制度

愈发具体的应急响应要求

《数据安全法》

第二十三条:国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。

《网络数据安全管理条例(征)》

第十条:数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞,或者威胁国家安全、危害公共利益等风险时,应当立即采取补救措施。

第十一条:数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向**机关报案。

发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务

(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;

(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

《个人信息保护法》

第五十一条 :个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:

(一)制定内部管理制度和操作规程;

(二)对个人信息实行分类管理;

(三)采取相应的加密、去标识化等安全技术措施;

(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

(五)制定并组织实施个人信息安全事件应急预案;

(六)法律、行政法规规定的其他措施。

5.数据安全审查制度

相关配套规定和组织机制正不断完善

《国家安全法》

第五十九条:国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。

《数据安全法》

第二十四条:国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。

《网络安全审查办法》 

(2020年4月) :对关键信息基础设施的运营者采购网络产品和服务的网络安全审查进行专门规定。

《网络安全审查办法(修订草案征求意见稿)》 

(2021年7月) :将《数据安全法》作为立法依据,将数据处理活动纳入网络安全审查范围。

《网络数据安全管理条例(征)》

第十三条:数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查

(一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;

(二)处理一百万人以上个人信息的数据处理者赴国外上市的;

(三)数据处理者赴香港上市,影响或者可能影响国家安全的;

(四)其他影响或者可能影响国家安全的数据处理活动。

大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。

 

四、数据安全监督审计要求

统分结合,多方监督

作为数字世界的安全领航者,山石网科深刻理解合规要求以及紧贴客户业务场景,通过完整的五大体系构建组织的数据安全治理能力。其中以数据安全制度规范体系、数据安全运营管理体系、数据安全技术防护体系三大体系构建牢固的核心能力,同时通过数据安全应急响应体系、数据安全监督审计体系对整体框架进行支撑,为企业构筑以数据为中心的可持续安全治理解决方案