《网络数据安全管理条例》系列解读之重要数据篇

2020年3月30日发布的《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据定性为“生产要素”。在数据成为生产要素的大背景下,如何在数据的自由流动与利用、保障数据安全之间保持平衡,是数据合规立法方面最重要的焦点之一。与此同时,随着信息技术和人类生产生活交汇融合,互联网快速普及,全球数据呈现爆发增长、海量集聚的特点,对经济发展、社会治理、国家管理、人民生活都产生了重大影响,[1]数据安全问题逐渐上升为多国国家战略。重要数据这一概念的提出进一步完善了我国对于数据安全的管理制度规定。

除了考虑到国家安全、公众利益两个宏观因素,单独保护还兼顾到重要数据保护的成本问题。成本一词可以理解为两个子概念,一方面是主管机关进行监督监管的行政成本,另一方面是企业自身对于重要数据的识别、保护和风险自评估成本。三是仅依赖数据经营者从自身利益角度进行对于重要数据的保护存在滞后性、安全性等不足,因此我们有必要建立强制性的重要数据保护制度,用以弥补商业秘密以外的非秘的重要数据保护空白。

1.重要数据的立法沿革

(图1-重要数据的立法沿革)

2.重要数据是我国独创吗?

1.重要数据概念的历史发展

重要数据定义的具体历史发展线整理如下:

2.重要数据的范围

《条例》以数据可能造成的影响程度作为标准决定重要数据的界限,并通过列举的方式描述了部分典型的重要数据场景,包括出口管制数据、重点行业数据、未公开的政务数据、达到高精度或规模的国家基础数据等,并通过“其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据”这一兜底条款来扩大重要数据可能适用的范围。重要数据的具体范围如下:

总之,数据处理者在识别其处理的数据是否属于重要数据时,应当同时满足行业要求、重要程度以及处理数量三个条件,避免实践中的重要数据被不当扩大化,对企业合规造成过大的压力。在实践中,数据处理者也要认识到“重要数据”并不等同于“重要的数据”。重要数据往往从国家安全、社会稳定、公共利益等宏观角度进行判断,如果只是对数据处理者自身而言重要或敏感的数据,并不意味着一定就是重要数据。此外,企业对重要数据范围的认定也不能孤立的去考虑,也要看与一些特殊主体是否存在关联或者服务关系,比如如果服务对象是关键信息基础设施,那么它提供的也可能被视为和关键信息基础设施运营者有关的延伸信息,在《识别指南》里也提到了很多与关键信息基础设施运营者有关的信息,运营数据在少数情况下也有被认定为重要数据的可能性。

3.重要数据与核心数据的关系

《数安法》提出国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。《条例》延续了《数安法》的数据分级分类保护制度,并在此基础上依照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据三类。《条例》根据《数安法》的要求,明确不同级别的数据采取不同标准的保护措施,对个人信息和重要数据进行重点保护,对核心数据实行严格保护。根据《条例》第七十四条,“涉及国家秘密信息、核心数据、密码使用的数据处理活动,按照国家有关规定执行。”因此,我们理解核心数据应当适用与重要数据不同且更为严格的保护措施。

4.重要数据包含个人信息吗?

(一)重要数据处理者的安全保障义务

《条例》在《数安法》第三章“数据安全制度”的基础上,对重要数据处理者的数据安全管理义务提出了具体明确的要求,涵盖技术手段、管理制度、报批义务等多个方面,可执行性强的细化规则为企业内部构建数据安全管理制度指引了方向。

重要数据处理者的数据安全管理义务详见图2,下文将针对重要的安全管理义务进行具体分析。

1.三级等保要求与密码保护要求

此外,《关键信息基础设施安全保护条例》第十八条还规定了发生重大事故时的报告义务,“发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。”由于重要数据的系统原则应当满足关键信息基础设施安全保护要求,因此无论重要数据是否涉及关键信息基础设施,都应当满足《网安法》在中国境内运营中收集和产生的重要数据应本地化存储的管理规定。

除此以外,面对数据带来的机遇和挑战,应当树立全面、科学的安全管理理念,在核心技术底层架构的设计上就应当做到数据的安全可控。因此《条例》进一步提出要求,数据处理者应当使用密码对重要数据和核心数据进行保护。密码是国家安全法律体系的重要组成部分,是国家重要战略资源。我国《密码法》也规定密码应当应用于大数据战略,维护国家安全、促进经济社会发展,保护公民、法人和其他组织合法权益。数据加密、数据脱敏等措施,不仅有利于构建包括采集、存储、使用、传输为一体的数据安全体系,满足数据共享和防护安全需求,还可以利用密码技术与数据标识的结合实现大数据追踪溯源,为监管取证提供有力武器。

2.数据安全负责人及管理机构

数据领域责任制的确定最早是经济合作与发展组织(OrganisationforEconomicCooperationandDevelopment,“OECD”)提出的概念,OECD在1980年颁布了《隐私保护和个人数据跨境流通指南》(GuidelinesontheProtectionofPrivacyandTransborderFlowsofPersonalData),在第十四条中确立了责任原则(AccountabilityPrinciple)。该项原则要求,数据控制者应根据国内法的规定遵守隐私保护规则和决定。“责任”一次既包括法律制裁下的“问责”,也包括行为准则下的“问责”。责任一词也是指严格责任制,就算不是控制者自己实施而是委托或者指示他人实施,也可能承担连带责任。

除此以外,《条例》第二十八条规定重要数据的处理者应当成立数据安全管理机构,由数据安全负责人带领。在此基础上,《条例》进一步具体规定了数据安全机构在数据安全负责人的领导下应当履行的职责,包括:

(3)开展数据安全风险监测,及时处置数据安全风险和事件;

(4)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;

(5)受理、处置数据安全投诉、举报;

(6)按照要求及时向网信部门和主管、监管部门报告数据安全情况。

3.安全教育培训时长要求

4.重要数据的应急处理机制

我国《网安法》第二十一条、第三十四条要求对重要数据进行备份或容灾备份,第三十七条要求关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据应当在境内存储。这一条补充了重要数据处理者对于突发的非管理疏漏造成安全事件的管理义务,也是对企业业务连续性的又一有力保障。

《条例》规定如果发生重要数据或者十万人以上个人信息的泄露、损毁、丢失等数据安全事件时,数据处理者需要履行以下义务:

(1)数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。

(3)安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。

(4)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等。

(5)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

5.数据安全风险评估制度

6.重要数据处理者合并、重组、分立的报告义务

重要数据涉及国家安全和公共利益,涉及范围涵盖国家和人民生活的方方面面,一旦遭到破坏后果不堪设想。当持有、控制重要数据的主体发生破产、兼并、重组等重大变化时,容易形成内部管理制度的不稳定因素,从而产生重要数据泄漏、破坏的风险。《条例》在延续数据接收方应当继续履行数据安全保障义务之规定以外,增设重要数据处理者及涉及一百万以上个人信息的数据处理者报告义务,除告知个人信息主体以外,还应当向设区的市级主管部门报告,使得主管部门可以及时监管。

7.重要数据处理识别备案义务

2019年,《天津市数据安全管理办法(暂行)》首次提出建立重要数据和个人信息的备案制度。《条例》第二十九条在此基础上将重要数据处理者的备案义务适用主体范围扩大至全国,要求重要数据的处理者应当在识别其重要数据后的15个工作日内向设区的市级网信部门备案,但是如何判断数据处理者明确的识别日期仍有待进一步讨论。《条例》规定备案内容仅限于数据处理规则,包括数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式,处理数据的目的、规模、方式、范围、类型、存储期限、存储地点,但是不包括数据内容本身。并且重要数据处理者应当注意,若发生处理数据的目的、范围、类型及数据安全防护措施等发生重大变化,应当重新备案。备案制度的建设,有利于监管部门全面了解和动态监管重要数据处理者的数据安全保障情况,也有利于企业对重要数据的全生命周期处理活动进行安全保护。

目前,一些具体行业或领域的主管部门也出台了有关重要数据的管理规定。工信部发布《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》,提出建设工业、电信行业重要数据和核心数据全生命周期备案管理制度。重要数据的备案制度可以作为政府监管抓手,加强企业完善重要数据的合规义务,并且落实企业发生数据安全实践的追责管理,因此应当得到企业重视。

8.共享、交易、委托处理重要数据的义务

除审批义务之外,《条例》第十二条规定重要数据处理者也应当遵守共享、交易、委托处理数据时的合同义务规定,应当与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督。此外,《条例》第十二条还规定了审批记录的存储要求,“数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。”为监管部门审计数据安全管理、对可能发生的数据安全事故追踪定责提供证据基础。

9.重要数据的跨境管理规定

《条例》在《网安法》《数安法》等上位法基础上,对数据跨境流动规则进行了完善,完整地建立了数据出境安全管理制度,包括个人信息出境前单独同意、数据出境安全评估、数据出境安全管理义务、数据出境情况报告等。此外,《条例》对于重要数据的出境提出了更为严格的要求,包括通过国家部门组织的数据出境安全评估、向设区的市级网信部门报告上一年度数据出境情况义务等。详情可参考我们之后即将发布的“《网络数据安全管理条例(征求意见稿)》系列解读之数据跨境篇”内容。

10.其他义务

(二)重要数据的保护与监管

1.数据分类分级保护制度

数据分级分类保障的立法思路已在多项法规中有所体现。《网安法》第二十一条规定“采取数据分类、重要数据备份和加密等措施”,《数安法》第二十一条规定国家建立数据分级分类制度,并提出建立重要数据保护目录并定义国家核心数据,《数安办法》第十九条要求“网络运营者应当参照国家有关标准,采用数据分类、备份、加密等措施加强对个人信息和重要数据保护”。部分行业在出台行业标准时也将分级分类作为数据安全保护的指导思想。例如,《工业数据分类分级指南(试行)》第五条规定“工业企业结合生产制造模式、平台企业结合服务运营模式,分析梳理业务流程和系统设备,考虑行业要求、业务规模、数据复杂程度等实际情况,对工业数据进行分类梳理和标识,形成企业工业数据分类清单。”《证券期货业数据分类分级指引》《金融数据安全数据安全分级指南》对数据分级分类的原则、范围、规则方法、具体流程进行了具体描述。目前国内尚未出台重要数据目录,对于大多数企业而言如何识别其业务开展过程中涉及的数据是否属于重要数据、核心数据仍待解决。

2.数据交易管理制度进一步推进

注释(上下滑动阅览)

编辑:梵高先生

关于我们

知产前沿(IPForeFront)是上海益鹏商务咨询有限公司(YIPEvents)旗下聚焦知识产权领域全媒体资讯平台,追求深度、高质量、原创性知识产权政策解读、案列解析、国内外知识产权领域前沿动态等。

上海益鹏商务咨询有限公司(YIPEvents)成立于2014年8月,一家专注于知识产权领域国际性会议策划主办机构,致力于推动国内外知识产权政策发展、挖掘行业细分领域的知识产权挑战与机遇、赋能行业创新升级,为知识产权从业人员搭建高质量、高行业参与度、高时效性的行业沟通、学习、交流、合作、共享平台。

THE END
1.“新火试新茶,诗酒趁年华”——新形势下的《网络数据安全管理条例《网数条例》共包含9章64条,以一般规定(第二章)为基础,以个人信息保护(第三章)和重要数据安全(第四章)两个方面为切入点,对网络数据处理活动提出要求。此外,《网数条例》还对网络数据跨境安全管理(第五章)和网络平台服务提供者(第六章)提出了额外的管理义务。https://www.kwm.com/cn/zh/insights/latest-thinking/interpretation-on-china-s-regulations-on-network-data-security-management.html
2.《网络数据安全管理条例(征求意见稿)》解读新闻动态2021年11月14日,国家互联网信息办公室公布了《网络数据安全管理条例(征求意见稿)》。作为行政法规,《网络数据安全管理条例》对法律予以补充和完善,更加清晰、明确地压实了数据处理者的职责和义务。 《网络数据安全管理条例(征求意见稿)》(以下简称“条例”)依据《中华人民共和国网络安全法》《中华人民共和国数据安全法https://www.yuandiansec.com/?list_18/523.html
3.《网络数据安全管理条例》式向个人进行信息推送的规则,规定大型网络平台服务提供者发布个人信息 保护社会责任年度报告、防范网络数据跨境安全风险等要求。 " 中华人民共和国国务院令第790号 《网络数据安全管理条例》已经2024年8月30日国务院第40次常务会议 通过,现予公布,自2025年1月1日起施行。 http://www.360doc.com/document/24/1015/17/74173934_1136639731.shtml
4.网络数据安全管理条例202409网络数据安全管理条例 第一章?总则 第一条?为了规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律,制定本条例。http://www.dyzxw.org/lawdb/show.php?fid=157909
5.《网络数据安全管理条例》若干问题解读专业文章上海该条列示的风险评估报告内容中有一款是针对大型网络平台的——处理重要数据的大型网络平台服务提供者报送的风险评估报告,除包括前款规定的内容外,还应当充分说明关键业务和供应链网络数据安全等情况。其中供应链安全和关键信息基础设施运营者所涉的网络安全审查义务有着相似的目的,也可以作为网络安全审查的有益补充,在“https://www.allbrightlaw.com/SH/CN/10475/d2fa4e6c1f3f80fd.aspx
6.全文国家网信办发布《网络数据安全管理条例(征求意见稿)》(附11月14日,国家网信办发布关于《网络数据安全管理条例(征求意见稿)》(以下简称意见稿)公开征求意见的通知。 通知说明,为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安http://easyctid.cn/newsView?id=196
7.一文读懂《网络安全数据管理条例》(征求意见稿)重点内容在《网络安全法》《数据安全法》和《个人信息保护法》三驾马车的基础上,《条例》个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等方面进一步细化,将对企业合规风控工作产生广泛的指导意义,也将会对互联网产业和数字生态、数字经济带来深度的、生态性的重组和改造。 https://blog.csdn.net/dzqxwzoe/article/details/132503952
8.民主与法制杂志电子版2021年,网信监管部门和有关主管部门深入贯彻习近平法治思想和关于网络强国、数字中国的重要论述精神,在平台治理、网络数据安全、个人信息保护、新技术新业态新应用监管等网络信息领域取得重大进展和显著成效,为数字经济高质量发展提供了有力法治保障。 如何加强网络信息法治建设,习近平总书记作出重要部署 http://e.mzyfz.org.cn/mag/paper_47872_24709.html
9.国家网信办《网络数据安全管理条例(征求意见稿)》为企业带来哪些《征求意见稿》从一般规定、个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等方面对网络数据安全参与者进行规范。中南财经政法大学数字经济研究院执行院长盘和林认为,《征求意见稿》将推动互联网平台数据治理模式变革,是推动数字经济和互联网平台实现可持续发展的标线。 https://cloud.tencent.com/developer/article/1905583
10.邦信阳律师事务所5.《消费者权益保护法实施条例》正式公布 6.国家网信办正式出台《促进和规范数据跨境流动规定》 7.第二版数据出境安全评估申报和个人信息出境标准合同备案指南公布 8.国家金融监管总局拟出台《银行保险机构数据安全管理办法》 9.网络安全国家标准《数据分类分级规则》发布 https://www.boss-young.com/newsDetail?id=c2db63f9-3a3d-465f-a978-08dc6381a22c
11.2024网络安全宣传周知识竞赛题库快搜搜题官网3.网络运营者不得()、()、()其收集的个人信息。 A. 泄露、篡改、出售 B. 泄露、篡改、毁损 C. 泄露、删除、毁损 D. 泄露、删除、出售 正确答案:点击去下载APP免费查看本题答案,还可以搜题、刷题、练习哦>> 4.国家()负责统筹协调网络安全工作和相关监督管理工作。国务院()、()和其他有关机关依照本法和https://ti.iksdt.com/a002/1725863372/paper.html
12.中华人民共和国《个人信息保护法》欧洲联盟《通用数据保护条例》该法第5条到第10条规定了个人信息处理者在处理个人信息过程中应当遵循的原则,并规定了个人信息处理者义务。这些原则包括:合法、正当、必要、诚实信用、目的明确合理、权益影响最小、禁止过度收集、公开透明、信息质量优良。另外,从义务方面规定了个人信息处理者信息安全保障义务、非法处理、买卖、提供个人信息禁止义务、信https://www.meipian.cn/5151mpsd
13.中伦律师事务所官方网站数据跨境。《网数条例》整合了《促进和规范数据跨境流动规定》在内的既有规定,新增“为履行法定职责或者法定义务,确需向境外提供个人信息”的个人信息跨境合法机制。 网络平台监管。《网数条例》要求网络平台服务提供者通过平台规则或合同明确平台内产品和主体的数据安全保护义务,明确了利用自动化决策开展信息推送的相关义https://www.zhonglun.com/research/articles/53920.html
14.《网络数据安全管理条例》生效在即,8大合规要点简评《网络数据安全管理条例》[1]即将于2025年1月1日起生效,其立足于过往立法,在《中华人民共和国网络安全法》[2]《中华人民共和国数据安全法》[3]与《中华人民共和国个人信息保护法》[4]的框架下,将散见于不同法规细则的合规义务进行了总结与澄清。作为一部承上启下而非引入重大变革的立法,其有助于减少监管的不https://m.yicai.com/news/102347284.html
15.网络安全网络安全 1.()是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。(3.0分) A.网络 B.互联网 C.局域网 D.数据 我的答案:A 答对 2.《网络安全法》第五十九条规定,网络运营者不履行网络安全保护义务的,最多处以()罚款。(3.0分) https://www.360wenmi.com/f/filer2yp9moy.html
16.数据安全:105个必备词汇!71.大型互联网平台运营者:是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。(《网络数据安全管理条例(征求意见稿)》第七十三条) 72.大型平台:指同时具备较大用户规模、较广业务种类、较多业务范围、较高经济体量和较强限制能力的平台。其中,较大用户规模,即平https://www.zzydjt.cn/article/detail/9b1850d0b1b2e6bf9977e29e58ea4bc7
17.2024南京继续教育答案数字经济工程(3)28、从地域分布来看,下列不属于我国数据安全企业主要分布地区的是()。 A、东南沿海地区 B、广东、山东 C、福建、海南 D、港台地区 29、《提升全民数字素养与技能行动纲要》是()年提出的。 A、2019 B、2020 C、2021 D、2022 30、《互联网信息服务深度合成管理规定》是落实《关于加强互联网信息服务算法综合http://www.wanshapx.com/51kz/vip_doc/27856572.html
18.企业中高层时事解读课2020第14期(总期14期)在线培训课程据报道,住房城乡建设部4月13日印发"关于提升房屋网签备案服务效能的意见",提出全面采集楼盘信息,提供自动核验服务,优化网签备案服务,推进全国一张网建设。 意见提出,楼盘表是房屋信息基础数据库,是实施房屋交易合同网签备案,开展房屋交易、使用和安全管理的基础。市、县住房和城乡建设部门应当按照规定建立健全覆盖所辖行政https://www.zzqyj.net/?list_89/1218.html