习近平总书记强调,要坚持依法治网、依法办网、依法上网,让互联网在法治轨道上健康运行。近年来,我国加快网络数据安全法律制度体系建设,《网络安全法》《数据安全法》《个人信息保护法》等法律相继颁布实施,确立了网络数据安全的基本制度框架和基本法律原则;制定出台《促进和规范数据跨境流动规定》《数据出境安全评估办法》《个人信息出境标准合同办法》《汽车数据安全管理若干规定(试行)》等部门规章,对网络数据安全管理工作作出明确规定;研制发布数据安全国家标准33项,在研标准18项,覆盖数据分类分级、数据安全风险评估、个人信息保护等方面,网络数据安全法规制度标准体系取得重大进展和显著成效。
《网络数据安全管理条例》(以下简称《条例》)作为网络数据安全法规制度体系的重要组成部分,提供了更具操作性的法律制度依据,对于全面提升治理监管能力具有深刻意义。
一、深刻领会《条例》对网络数据安全管理工作的重要意义
党中央高度重视数据安全工作,习近平总书记多次就数据安全工作作出重要指示,强调“要维护国家数据安全,保护个人信息和商业秘密”。
(一)《条例》是贯彻落实党中央决策部署的重要举措
党的二十届三中全会提出“提升数据安全治理监管能力”“建立高效便利安全的数据跨境流动机制”等网络数据安全领域重要任务。出台《条例》是构建我国网络数据安全治理体系的重要举措,是实现网络数据安全治理监管能力现代化的关键环节,是落实党中央关于网络数据安全工作重大部署的有效路径。《条例》围绕新时期、新形势下网络数据安全工作重点,对《网络安全法》《数据安全法》《个人信息保护法》作了进一步细化,为我国深入开展网络数据安全保护工作提供了重要保障。
(二)《条例》是应对新形势下网络数据安全风险的迫切需求
随着网络化、数字化、智能化的迅猛发展,网络数据高度汇聚、高频流动、高度开放加剧网络数据泄露风险。新型网络欺诈、黑客攻击等安全事件频发,金融、生物、能源等重点领域敏感数据被窃取风险加剧。违法违规收集个人信息、滥采滥用现象仍然存在,侵害人民群众合法权益,危害社会安全。《条例》的出台,围绕数据处理活动安全、个人信息保护、重要数据保护、网络平台服务提供者义务等方面提出明确要求,有力提升国家数据安全保障能力。
(三)《条例》是开展网络数据安全综合治理工作的重要保障
保障网络数据安全是激活数据要素价值、推动数字经济健康发展的重要基础。我国依法开展了数据跨境安全管理、App专项治理、汽车数据安全管理、重点领域数据安全风险评估等重点工作,有效规范网络数据处理活动和处理行为,推进网络数据安全高质量发展。《条例》的出台,围绕数据安全、个人信息保护的重点、难点问题进一步明确管理要求,划定底线、红线,为网络数据安全治理工作提供重要法规保障。
二、《条例》对网络数据安全管理工作提出了具体要求
贯彻总体国家安全观,《条例》界定了适用范围、保护对象、监管主体,提出了责任义务、安全要求,为网络数据安全管理工作提供系统指引和工作遵循。
(一)压实网络数据处理者责任义务。压实网络数据处理者的主体责任是做好网络数据安全管理工作的关键。《条例》提出,一是网络数据处理者对所处理网络数据的安全承担主体责任,并要求做好管理制度建设、技术措施使用、漏洞发现上报、事件应急处置等工作。二是针对为国家机关和关键信息基础设施运营者提供服务的网络数据处理者、提供生成式人工智能服务的网络数据处理者、面向社会提供产品服务的网络数据处理者、网络平台服务提供者等不同网络数据主体提出了具体要求。
(二)强化个人信息、重要数据保护。个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一,重要数据关系国家安全、经济运行、社会稳定、公共健康和安全,做好个人信息、重要数据保护工作是网络数据安全管理工作的重点。《条例》在上位法的基础上,针对网络数据处理者提出,一是响应个人信息转移请求,提供访问、获取其个人信息的途径。二是定期开展个人信息保护合规审计。三是处理1000万人以上个人信息的,还应当履行明确网络数据安全负责人和管理机构等义务。《条例》针对重要数据的处理者明确,一是应当按照国家有关规定识别、申报重要数据,落实网络数据安全保护责任。二是明确网络数据安全负责人和管理机构。三是定期开展风险评估。
(三)做好网络数据跨境安全管理。当前,网络数据跨境交流共享需求旺盛,场景丰富,构建安全有序便捷的网络数据跨境流动管理机制是网络数据安全管理工作的重要探索。国家已明确数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境安全管理制度,今年发布的《促进和规范数据跨境流动规定》对上述制度作出进一步优化调整。《条例》明确了重要数据出境需要评估,一般数据依法流动的管理原则,提出了个人信息出境的条件,建立了与新发展格局相适宜的网络数据跨境流动安全监管模式。
(四)规范网络平台服务提供者义务。党的二十届三中全会明确提出“促进平台经济创新发展,健全平台经济常态化监管制度”。网络平台为处理个人信息提供了基础技术服务、设定基本处理规则,是个人信息保护的关键。《条例》提出,一是网络平台应加强对接入其平台的第三方产品和服务的网络数据安全管理,对应用程序进行安全核验,规范使用自动化决策方式进行信息推送,鼓励使用国家网络身份认证公共服务。二是明确了大型网络平台的定义,并要求其每年发布年度个人信息保护社会责任报告、报送风险评估报告等要求。
三、充分发挥好数据安全标准的规范引导作用,支撑《条例》落地实施
标准化工作是国家网络数据安全治理体系的重要组成部分,也是落实《条例》的重要抓手。《条例》对标准化工作提出了要求。全国网络安全标准化技术委员会作为网络和数据安全国家标准的统一技术归口组织,研制发布了一批网络数据安全重点标准,为《条例》的落地实施提供标准保障。
(一)为网络数据安全治理重点工作提供标准支撑
已发布的《数据分类分级规则》规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南;在研的《数据安全风险评估方法》给出了数据安全风险评估的实施流程、评估内容、分析评价方法;在研的《个人信息跨境处理活动安全认证要求》等标准规定了跨境处理个人信息时相关方应遵守的基本要求。
(二)为重要数据、个人信息保护提供标准方法
正在研制的《数据安全保护要求》等标准,针对重要数据从数据处理安全、管理与运行安全、安全技术等方面提出保护要求,确保重要数据有效保护和合法利用。《个人信息安全规范》《敏感个人信息处理安全要求》等标准为个人信息保护工作提出了基本要求,规范了开展收集、保存、使用、对外提供等个人信息处理活动应遵循的原则和安全要求。正在研制的《基于个人请求的个人信息转移要求》《个人信息保护合规审计要求》等标准规定了个人信息主体请求转移其个人信息的技术要求、个人信息保护合规审计原则,促进个人信息治理工作走向深入。
(三)为规范网络平台健康发展提供标准指引
已发布的网上购物、即时通信、网络支付、网络预约汽车、网络音视频、快递物流等6项网络服务数据安全标准,引导规范网络服务平台运营者的数据安全活动。已发布的《移动互联网应用程序(App)收集个人信息基本要求》《移动互联网应用程序(App)个人信息安全测评规范》等标准,规范了App等产品和服务收集和处理个人信息的行为。在研的《基于个人信息的自动化决策安全要求》《数据安全和个人信息保护社会责任指南》等标准规定了自动化决策的透明度、社会责任评价指标。
下一步,将持续发挥标准在《条例》实施过程中的重要支撑作用,紧扣国家关于数据要素流通、人工智能等重大战略部署,加强数据安全标准化工作总体研究和规划布局,加快研制数据安全领域重点急需标准。
审核:陈舞阳 杨 曦
编辑:米江晅
校对:吕燕芳