新闻动态
密码技术与客户业务场景高度融合,为Fintech、IoT保驾护航
政策解读丨《网络数据安全管理条例》(征求意见稿)
发布时间:
2022-03-31 09:44
自2021年11月14日,国家互联网信息办公室发布《网络数据安全管理条例》(征求意见稿)(以下简称《条例》)。该《条例》依据《网络安全法》、《数据安全法》、《个人信息保护法》制定,作为行政法规,执行、细化、补充前述三部法律的规定,进一步增强了数据安全法律体系的完备性和可操作性。对一般数据、个人信息、重要数据、跨境数据等如何保护给出了具体要求,对网络数据安全建设有着重要指导意义。
《条例》的定位
《条例》属于国务院制定的行政法规。
《条例》适用范围
在境内利用网络开展数据处理活动,以及网络数据安全的监督管理。
在境外处理境内个人和组织数据的活动(如涉及境内重要数据,或向境内提供产品或服务等)。
《条例》中的基本概念
网络数据:以下简称“数据”,指任何以电子方式对信息的记录。
数据处理者:指在数据处理活动中自主决定处理目的和处理方式的个人和组织。
数据处理活动:指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。
重要数据:指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。(包括未公开的政务、情报数据,出口管制数据,国家经济运行数据,重点行业领域的生产、运行数据,国家基础数据,国家基础设施、关键信息基础设施数据。)
本文关于政策的解读主要对个人信息、重要数据、跨境数据和互联网运营平台的章节进行总结和归纳。
《条例》中个人信息的相关规定
个人信息处理基本原则和要求
- 数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。
- 数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。
- 数据处理者处理个人信息应当取得个人同意。
- 数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理应该符合的四种情形(已实现个人信息处理目的、达到存储期限的、终止服务或者个人注销账号、未经个人同意的个人信息)
数据处理者应当履行的义务
基本前提:
个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的。
数据处理者的义务:
当个人的要求满足以上合理请求的情况下,数据处理者有义务满足个人的相关要求,不得对合理请求进行限制、设置不合理条件并且在十五个工作日内处理反馈
数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将生物特征作为唯一的身份认证方式。
数据处理者处理一百万人以上个人信息的,还应当遵守对重要数据的处理者作出的规定。
《条例》对重要数据的相关规定
按照国家要求和标准,识别重要数据和核心数据,制定重要数据目录,报备国家网信部门
重要数据的处理者应当在十五个工作日内备案,备案内容如下:
- 数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等;
- 处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身;
- 国家网信部门和主管、监管部门规定的其他备案内容。
重要数据处理者安全培训计划
重要数据处理者每年组织对全员进行数据安全培训,针对技术和管理人员每年教育培训时间不少于20小时。
重要数据的处理者,应当优先采购安全可信的网络产品和服务。
重要数据安全评估及年度报告内容
处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。
年度数据安全评估报告内容:
- 重要数据处理情况;
- 发现数据风险及处置措施;
- 管理制度及实施情况、防护措施(数据备份、加密、访问控制等)及有效性;
- 国家法律、行政法规和标准落实情况;
- 安全事件及处置情况;
- 共享、交易、委托处理、向境外提供重要数据的安全评估情况;
- 投诉及处理情况;
- 国家网信部门和主管、监管部门明确的其他数据安全情况。
-
保留期限:数据处理者应当保留风险评估报告至少3年
数据处理者重点评估的内容:
- 数据接收方处理数据的目的、方式、范围,能否有效保障数据安全;
- 数据被泄露、毁损、篡改、滥用的风险;
- 数据接收方能否履行数据安全保护义务;
- 数据处理过程中泄露和损毁风险
-
《条例》对数据跨境安全的相关规定
数据出境应当具备的条件
- 国家网信部门组织的数据出境安全评估;
- 通过国家网信部门认定的专业机构进行的个人信息保护认证;
- 国家网信部门规定的其他条件。
-
数据出境的安全评估
1、出境数据中包含重要数据;
2、关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息;
- 国家网信部门规定的其他情形;
- 依法不进行安全评估的从其规定。
-
数据出境的处理者应当在每年1月31日前编制数据出境安全报告
国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。
《条例》对互联网平台运营者的相关规定
互联网平台运营者遵守的规则和义务
建立与数据相关的平台规则、隐私政策和算法策略披露制度;
收集个人信息用于个性化推荐时,应当取得个人单独同意;
允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数;
对接入其平台的第三方产品和服务承担数据安全管理责任,第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿;
平台运营者从功能设计上为用户提供个人通信和非个人通信选择;
互联网平台运营者禁止的行为
不得对用户实施产品和服务差异化定价;
不得在产品推广中实行最低价销售等损害公平竞争的行为;
不得违背用户意愿处理用户数据
不得限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。
大型互联网平台运营者应当通过委托第三方公开审计与安全评估
