宽严相济,张弛有道:《网络数据安全管理条例》主要亮点与合规参考

654 455

2024年9月30日,国务院正式发布《网络数据安全管理条例》(“《网数条例》”),自2025年1月1日起正式施行。

《网数条例》适用于网络数据处理活动及其安全监督管理,其上位法依据包括《网络安全法》《数据安全法》和《个人信息保护法》(“三法”),内容重心主要是在上述三法的基础上衔接、完善了网络数据安全与个人信息保护的细则。可以看出,由于《网数条例》适用于“网络数据处理活动”这一特定客体,其在以《网络安全法》《数据安全法》《个人信息保护法》为基石所建立的中国数据安全保护法规体系中的定位也非常明确——其是网络数据安全保护领域的重要配套性法规,在网络数据安全保护领域起到纲领性作用。

总体而言,《网数条例》在目前已生效法律法规的基础上重申了若干网络数据安全管理的总体性要求和一般性规定,并提出了对数据安全(特别是重要数据保护)与个人信息保护合规义务的细化规定。我们将主要新增要点梳理如下。

(一)网络/信息安全方面

1、安全事件报告:《网数条例》重申了网络数据处理者对其提供的网络产品、服务的安全保护义务及发现安全风险时的补救措施和报告义务,并首次提出对于涉及危害国家安全、公共利益的安全问题,应当在24小时内向有关主管部门报告。

(二)数据保护方面

1、提供、委托处理数据的合规义务:《网数条例》重申了对于提供、委托处理个人信息和重要数据的合同监督和安全保护义务,并首度提出应将提供、委托处理个人信息和重要数据的处理情况记录保存至少3年。

2、网络数据安全处理要求:《网数条例》要求,企业使用自动化工具访问、收集网络数据,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行;生成式人工智能服务提供者应加强对训练数据和训练数据处理活动的安全管理。

*重要数据的处理者提供、委托处理、共同处理重要数据前,应当进行风险评估。

*重要数据的处理者因合并、分立、解散、破产等可能影响重要数据安全的,应向省级以上有关主管部门报告重要数据处置方案、接收方的名称、联系方式等。

*重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送评估报告;处理重要数据的大型网络平台服务提供者(注:指的是注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台)报送的风险评估报告中,还应当充分说明关键业务和供应链网络数据安全的情况。

(三)个人信息保护方面

1、“双清单”告知:通过法规形式明确了个人信息处理规则(即通常所见的“隐私政策”)中对于收集和提供个人信息的“双清单”告知制度。

2、自动化采集合规:明确对于通过自动化采集技术等无法避免采集到非必要个人信息、或者未依法取得个人同意的个人信息的情形,应当及时删除个人信息或者进行匿名化处理,如技术上难以实现,应停止除存储和采取必要的安全保护措施之外的处理。

3、“可携带权”的部分实现:对于如何具体响应个人提出的“可携带权”请求(即个人信息转移),明确了实现的路径和要求。

(四)平台监管方面

1、大规模个人信息处理者的特殊要求:首次明确处理1000万人以上个人信息的网络数据处理者,还应当同时遵守《网数条例》对重要数据处理者所作出的规定,包括履行特定的网络数据安全保护责任,在合并、分立、解散、破产等情形下向主管部门报告的义务等。

二、相较于征求意见稿,《网数条例》放松/缓释了哪些合规要求?

如前所述,在《网数条例》从发布征求意见稿到正式出台的三年期间,我国监管机关在探索数据合规监管道路的过程中,整体的监管趋势有所变化。《网数条例》相较于其征求意见稿实质上放松和缓释了不少合规要求。

1、网络安全审查:

2、适度降低平台合规水位:

《网数条例》相较于征求意见稿放松了不少平台监管方面的合规义务,例如,删除了平台运营者制定隐私政策/平台规则需要向社会公开征求意见、日活用户超过一亿的平台的隐私政策/平台规则需要经第三方机构评估并征得主管部门同意等程序性要求,不同平台之间的数据互联互通要求,以及大型互联网平台运营者需要开展年度审计并披露审计结果的要求等。

此外,征求意见稿中曾将处理100万以上个人信息的数据处理者比照重要数据处理者,赋予其更严格的合规义务,而《网数条例》正式稿中首度明确将处理1000万以上个人信息的网络数据处理者比照重要数据处理者的合规义务,实质上降低了处理百万量级个人信息的网络数据处理者的合规负担。总体上,《网数条例》对平台监管提出了更加务实、具有可操作性的监管路径和方式。

3、优化主管部门监督管理规则:

从上述要点梳理可见,当前我国的数据监管趋势相比三年前发布征求意见稿之时已有所变化,整体趋向于更为合理、有的放矢的方向,旨在在合理范围内为企业(包括中大型平台企业)降低合规成本和负担,并采取更加务实的监管思路和方式,在把握安全红线不放松的前提下,为企业的数据安全合规工作提供更加具有可操作性的路径。

三、《网数条例》沿袭和规范了哪些合规制度?

《网数条例》也沿袭了近年来数据合规监管实践中探索出的基础性合规制度,使其更加规范化。

THE END

互联网政务应用安全管理规定

国家发布《加强数字政府建设的指导意见》:坚持安全可控提高自主可控水平构建开放共享的数据资源体系等云平台智能化

宽严相济,张弛有道:《网络数据安全管理条例》主要亮点与合规参考

互联网金融政策范文

《网络安全法》相关法规及标准总结杜红涛律师律师文集

美团外卖

中国网络与信息安全九大法律法规介绍(附下载)

2019年一建通信与广电工程杨鹏精讲班考点:法律法规一级建造师

1.四部门制定《互联网政务应用安全管理规定》新华社北京5月22日电 由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定的《互联网政务应用安全管理规定》近日印发。规定要求,建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求,采取技术措施和其他必要措施,防范内容篡改、攻击致瘫、数据窃取等http://legalinfo.moj.gov.cn/pub/sfbzhfx/zhfxfzzx/fzzxyw/202405/t20240523_499252.html
2.互联网政务应用安全管理规定202405本规定所称互联网政务应用,是指机关事业单位在互联网上设立的门户网站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号等,以及互联网电子邮件系统。 第三条 建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求,落实网络安全与互联网政务应用“同步规划、同步建设http://lawdb.cncourt.org/show.php?fid=157299
3.关于《关于加强行业网络安全管理建设合法合规网站及数据资源系统除非中国法律法规有明确规定,云服务商不得依据其他国家的法律和司法要求将客户数据及相关信息提供给他国政府及组织 。d)安全管理水平不变 。承载客户数据和业务的云计算平台应按照政府信息系统安全管理要求进行管理,为客户提供云计算服务的云服务商应遵守政府信息系统安全管理政策及标准。e)坚持先审后用原则。云服务商https://www.hebicpa.org.cn/113/26949.html
4.互联网政务应用安全管理规定要闻本规定所称互联网政务应用,是指机关事业单位在互联网上设立的门户网站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号等,以及互联网电子邮件系统。 第三条建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求,落实网络安全与互联网政务应用“同步规划、同步建设、同步使用”原则https://www.kf.cn/c/2024-05-23/886531.shtml
5.互联网政务应用安全管理规定本规定所称互联网政务应用,是指机关事业单位在互联网上设立的门户网站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号等,以及互联网电子邮件系统。 第三条 建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求,落实网络安全与互联网政务应用“同步规划、同步建设、同步使用”原https://nic.hrbust.edu.cn/2024/0910/c3994a94639/page.htm
6.《网络数据安全管理条例》专家解读澎湃号·政务澎湃新闻《网络数据安全管理条例》(以下简称《条例》)的出台进一步完善了我国数据安全管理法律体系,对于明确网络数据安全管理要求、提升治网管网水平具有重要意义,也为充分释放数据要素价值、护航数字经济高质量发展提供了有力法治保障。 一、《条例》完善数据安全管理法律体系意义重大 https://www.thepaper.cn/newsDetail_forward_28910829
7.2023年重大网络安全政策法规盘点2月6日,国家邮政局召开局长办公会,审议并原则通过国家邮政局2023年重点工作和2023年邮政快递业更贴近民生七件实事(送审稿)、《寄递服务用户个人信息安全管理规定(送审稿)》等。 《视听产品安全应用倡议》正式发布 倡议旨在号召产业各方加强自律,自觉遵守相关法律法规和标准规范,做好视听产业发展和产品安全应用管理工作。https://www.eet-china.com/mp/a273064.html
8.关于电子政务的论文4.完善相关的法律法规,引导公民正确的参与政策制定。互联网为民众提供了一个自由发言的平台,但是毫无节制的自由必将导致这种权利被滥用,进而对社会稳定造成不良的影响。因此,国家应尽快出台配套的规范网络公众参与行为的法律制度,将政府、社会公众和媒体等网络主体的权利、义务和责任以法规形式加以明确规定,从法律上保证公https://www.yjbys.com/biyelunwen/fanwen/dianzixinxigongcheng/734062.html
9.网络数据安全管理条例任何个人、组织不得提供专门用于从事前款非法活动的程序、工具;明知他人从事前款非法活动的,不得为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助。 第九条?网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求,在网络安全等级保护的基础http://www.sxhhy.com/28/11888.html
10.网络安全合规监管规范要求标准多,多规管理融合大势所趋随着《网络安全法》、《密码法》、《数据安全法》等国家法规的颁布,从法律、制度、条例、标准等多个层面对运营单位网络安全提出了更高要求,国内安全领域合规环境的规范性更进一步,为产业高质量发展提供了良好环境,为筑牢数据安全防线、构建网络强国提供了根本遵循。基于各监管要求,等保、密码、关保等多规管理融合大势https://sdstc.net/newsdt/538.jhtml
11.2020年《网络安全法》配套规定和标准综述相比GB/T35273—2017,此标准除了授权同意、账户注销、实现个人信息主体自主意愿的方法等内容的修改外,还新增了多项业务功能的自主选择、用户画像、个性化展示、个人信息汇聚融合、个人信息安全工程、第三方接入管理等相关要求。新标准的主要变化如下: 1. 删除了原有的“不得收集法律法规明令禁止收集的个人信息”的要求https://www.secrss.com/articles/29312
12.信息安全自查报告(推荐8篇)二、按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况: 遵照有关法律法规,对翼城政府网遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,对翼城政府网信息安全保护等级进行了自主定级。 三、信息系统定级备案情况,信息系统变化及定级备案变动情况: https://www.liuxue86.com/a/4966643.html