企业数据安全领航者
8月30日,李强主持召开国务院常务会议,审议通过《网络数据安全管理条例(草案)》,以下简称《条例》。
会议指出,要对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。
01
《条例》适用范围涵盖境内和境外
境内包括:利用网络开展数据处理活动;网络数据安全监督管理。
境外包括:目的在于为境内提供产品或服务的活动;行动在于分析、评估境内行为的活动;数据范围在于涉及境内重要数据的活动。
除外责任:个人、家庭等私人目的处理数据不适用。
02
《条例》中对适用主体一共分为三类
数据处理者
指在数据处理活动中自主决定处理目的和处理方式的个人和组织。
互联网平台运营者
指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。
大型互联网平台运营者
指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
03
《条例》的核心与目的
从总体的角度来看,《网络数据安全管理条例(草案)》是依据《网络安全法》、《数据安全法》、《个人信息保护法》制定的,是为了规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。
从管理条例不同章节的角度来看,每一章节则具有不同的核心目的: “总则”中明确此管理条例的立法目的、立法依据及适用范围,确立网络数据安全工作方针。
“一般规定”中对网络数据处理活动提出基本要求,起到承上启下作用。
“个人信息保护”中映射《个人信息保护法》,约束数据处理者对个人信息处理条件,保障权力主体对自身数据的唯一所有权。
“重要数据安全”中明确数据安全管理机构和数据安全负责人的具体要求,量化重要数据处理者备案内容,制定数据安全培训计划,明确数据安全评估细则等。
“数据跨境安全管理”中明确数据出境要求,量化数据出境条件,明确数据处理者向境外提供数据应履行的义务等。
“互联网平台运营者义务”中明确互联网平台运营者平台规则、隐私政策、第三方数据安全责任,量化鼓励内容和禁止行为等。
“监督管理”中规定网络数据监管机制及各部门职责分工,明确监管部门监督检查措施,强调义务主体配合的义务等。
“法律责任”中明确义务主体违法处理网络数据及不履行此管理条例规定的法律责任,规定国家机关不履行此管理条例保护义务的罚则。
“附则”中对此管理条例涉及到的术语进行定义,并予以解释说明。
04
《条例》关键要点需知
数据分类分级保护
条例明确,国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
针对数据分类分级,企业可以部署「太极·简」S3 BackUp数据资产安全管理平台,通过数据分类分级功能,把数据划分为核心数据、重要数据、一般数据,帮助企业快速构建数据分类分级保护制度,保障数据在各个业务场景流转过程中的安全性。
网络安全审查规范
作为数据处理者,互联网平台运营者,如果是汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的,在实施合并、重组、分立,影响或者可能影响国家安全的,就要申报网络安全审查;如果是处理一百万人以上个人信息的数据处理者赴国外上市的,也需要申报网络安全审查。
数据“出海”规范
经济全球化的大背景下,数据“出海”是很多企业的现实需求,对此条例设置专门章节进行了规范。例如,数据处理者如果因业务等需要,确实需要向境外提供数据的,需要通过国家网信部门组织的数据出境安全评估,进行个人信息保护认证,并且与境外数据接收方订立合同,约定双方权利和义务等。
互联网平台运营者义务规范
个人信息泄露导致垃圾短信满天飞,“大数据杀熟”同物不同价损害消费者权益,隐私政策变“霸王条款”,不同意收集个人敏感信息就不让用……互联网服务全方位介入现实生活的同时,数据安全风险的威胁也伴随其中,而互联网平台运营者就是数据安全管理的关键一环。
条例设置专门章节,明确互联网平台运营者的义务。例如,平台规则、隐私政策制定或者对用户权益有重大影响的修订时,需要向社会公开征求意见,如果是日活用户超过一亿的大型互联网平台运营者,还应当经过评估并报相关主管部门同意。此外,互联网平台运营者不得利用数据以及平台规则等损害公平竞争、损害消费者的合法权益。
对于条例第三、四、五、六章节内容的关键词进行概括与简要说明:
个人信息保护
1、处理规则:个人信息处理者应该制定并执行处理规则,包括信息清单(含第三方)、限定期限、安全风险、保护措施、投诉渠道、解决途径等内容。
2、个人同意:收集信息前获得个人同意、敏感信息需单独同意、儿童信息需监护人同意。
3、信息删除:目的达成、合同到期、终止服务、注销账号,需在十五个工作日内删除数据。
4、请求响应:个人提出数据查阅、复制、更正、补充、限制处理、删除、转移等请求时,需在十五个工作日内处理并反馈。
5、生物特征:数据处理者不能只提供生物识别一种认证方式。
重要数据安全
1、建立目录:重要数据和核心数据都需要建立数据目录并报国家网信部门。
2、管理机构:重要数据处理者应该成立数据安全管理机构。
3、识别备案:重要数据识别以后十五个工作日内向设区的市(通常是地级市)级网信部门报告。
4、安全培训:制定并执行全员数据安全培训计划,每年培训时长不得少于二十小时。
5、安全评估:处理重要数据或者赴境外上市的数据处理者应每年开展一次数据安全风险评估,并于1月31日前上报设区的市(通常是地级市),评估报告至少保留三年。
6、采购评估:国家机关和关基运营者采购云服务,要通过国家网信部门会同国务院有关部门开展的安全评估。
在员工安全意识提升培训方面,太极风控独创的TH1B数据安全管控理念,为企业制定安全培训规范提供了指引方向,对提高企业员工数据的安全保护意识有重要的指导意义。
数据跨境安全管理
1、出境条件:国家网信部门安全评估、国家认定专业机构的个人信息保护认证、履行合同或法定义务。
2、告知同意:个人信息出境前应向个人告知数据接收方信息。
3、保护义务:数据处理者向境外提供数据应当履行保护义务。
4、出境报告:向境外提供个人信息和重要数据的数据处理者,每年1月31日前编制数据出境安全报告并向设区的市(通常是地级市)级网信部门报告。
5、跨境网关: 通过网关阻止境外非法信息入境,禁止绕过、穿透网关或者提供类似软件或工具,翻墙或者提供翻墙软件都是违法的。
互联网平台运营者义务
1、规则披露:平台应建立与数据相关的平台规则、隐私政策、算法策略的披露和裁决机制。内容修订需公示时间不少于三十个工作日,日活超一亿的平台规则修订需经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
2、连带责任:平台需要对接入的第三方产品和服务的安全负责。
3、限制行为:禁止差异定价(大数据杀熟)、低价恶意竞争、违背用户意愿、设置障碍等行为。
4、应用审核:比如应用商店应对APP进行审核,不符合要求的拒绝上架或者下架。
5、个性推送:保证推送信息的真实、准确和来源合法,且需获得个人单独同意,需支持一键关闭推荐或删除信息。
6、认证服务:国家建立个人身份认证的公共服务基础设施。
7、年度审计:每年进行一次第三方安全审计并上报审计结果。
附:《网络数据安全管理条例(草案)》结构图
地址:天津滨海高新区华苑产业园区开华道22号普天创新园西塔4层
邮箱: office@yeetrc.com
服务热线: 4008-088-622
传真: 022-23778788