近来,国家互联网信息办公室发布了《网络数据安全办理法令(征求意见稿)》(以下简称《法令》),这是继《数据安全法》收效施行之后,我国正在起草的又一项重要数据安全法规。《法令》作为行政法规,是联接《数据安全法》和数据安全办理实践的桥梁,其经过对数据安全根本办理准则的一系列展开,强化执行,旨在稳固和提高我国数据安全保护成效。
本文将安身《法令》与《数据安全法》所树立重要准则的比较进行剖析:上篇要点剖析《法令》对数据安全六项重要准则的展开,下篇要点剖析《法令》对数据安全两项重要准则的立异。
关于数据安全保护,《数据安全法》搭建了开始的根本准则结构。这一结构首要包含数据分类分级保护准则、数据安全查看准则、数据安全危险办理准则、数据安全应急处置机制、数据出口控制和对等反制机制等6项数据安全保护准则和机制。
整体来看,《法令》作为《数据安全法》的下位行政法规,关于数据安全保护准则的展开首要表现了两个特色:一是对已有准则加以沿用、细化和完善,如数据分级分类准则、数据安全查看准则等;二是从数据保护需求动身,进行准则探究立异,如数据安全审计准则等。
《法令》对《数据安全法》所树立重要准则的展开延伸首要包含六项,逐项剖析如下。
《法令》关于数据分级分类准则的展开,首要表现在清晰数据分级、细化保护类型和要求、清晰保护方法三个方面。
一是明文规矩了数据的三个分级。即:“将数据分为一般数据、重要数据、中心数据”(《法令》第五条);而《数据安全法》关于数据的分级,并未会集清晰界定,只是在相关的条文中提及“重要数据”、“中心数据”,且也没有“一般数据”的表述(触及到的条文首要是《数据安全法》第二十一条)。《法令》用明文规矩的方法确认了数据等级,有助于统一认识,为后续数据分级保护作业的展开奠定理论共同根底。
二是细化了数据分级分类保护的类型和要求。首要,清晰了保护类型——要点保护、严厉保护,即“国家对个人信息和重要数据进行要点保护,对中心数据施行严厉保护”(第五条第二款)。其次,细化了保护要求,《法令》经过树立专章(第四章 重要数据安全)对“要点保护”的要求进行了细化分化,对重要数据处理者规矩了目录报备要求、专职安排要求、存案要求、训练要求、安全评价要求、搬运批阅要求、收购要求等7大类15小项(第二十七条至第三十四条)具体职责规矩。
三是清晰保护方法。即拟定重要数据和中心数据目录,并进一步清晰了目录拟定单位和作业机制。“各地区、各部分...安排拟定本地区、本部分以及相关职业、范畴重要数据和中心数据目录,并报国家网信部分”(第二十七条)。与《数据安全法》比较,《法令》对数据目录的拟定主体、报备部分都做出了进一步清晰。
《法令》对数据安全危险办理准则的展开,首要表现在强化评价陈述、清晰职业评价监管、加强个人信息保护危险监测职责三个方面。
一是拓宽了《危险评价陈述》的相关要求。首要,扩大了《数据安全法》规矩的危险评价陈述主体,在原有的“重要数据处理者”之外,增加了“赴境外上市的数据处理者”一类主体。其次,清晰了陈述的时刻频次和陈述机制要求,规矩数据安全危险评价陈述每年展开一次,评价形式可自行展开也可托付第三方安排展开,陈述接纳部分为“设区的市级网信部分”。再次,细化了危险评价陈述内容要求,具体要求分为一般评价和要点评价两类:《法令》第三十二条第一款提出了一般评价陈述的8项内容要求;该条第四款清晰了关于“数据处理者展开同享、买卖、托付处理、向境外供给重要数据的安全评价”还要完结的5项要点评价内容。
二是进一步细化了职业评价监管要求。《法令》第五十五条第五款规矩“主管部分应当定时安排展开本职业、本范畴的数据安全危险评价”,主管部分首要是指第三款的“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部分”;清晰了职业数据安全危险评价的目标和意图是“对数据处理者实行数据安全保护职责状况进行监督查看,辅导催促数据处理者及时对存在的危险危险进行整改”。
三是强化了个人信息保护危险监测职责。除了对《数据安全法》危险评价陈述、监管要求的细化,《法令》还从加强个人信息保护的视点,对个人信息处理者规矩了数据危险监测的职责。首要包含:在个人信息保护规矩中参加个人信息安全危险防护方法(第二十条)、个人信息搬运处理时的危险提示职责(第二十四条)等。
关于数据安全应急,《数据安全法》提出了“国家树立数据安全应急处置机制”的整体要求;《法令》对其的展开延伸,首要表现在对主管部分、职业办理者、数据处理者三方主体,别离清晰了数据应急机制、数据应急预案、数据应急处置三个方面的内容完善。
一是树立数据安全应急机制。从主管部分视点,《法令》规矩“国家树立健全数据安全应急处置机制”(第五十六条),清晰“将数据安全事情归入国家网络安全事情应急呼应机制”中,包含归入到“网络安全事情应急预案和网络安全信息同享渠道”、“国家网络安全事情应急呼应机制”。
二是树立健全职业数据安全应急预案。从职业办理部分视点,《法令》规矩“主管部分应当清晰本职业、本范畴数据安全保护作业安排和人员,编制并安排施行本职业、本范畴的数据安全规划和数据安全事情应急预案(五十五条第四款)。此规矩亦可认为是一种办理授权,即授权职业办理部分安排拟定本职业范畴的数据安全事情应急预案。
三是完善数据应急职责系统。从数据处理者视点,《法令》对数据安全主体职责职责进行了弥补完善,首要包含“数据处理者应当树立数据安全应急处置机制”(第十一条)、重要数据处理者应“定时安排展开数据安全应急演练等活动”(第二十八条)。
与《数据安全法》比较,《法令》关于数据安全查看准则的展开,首要表现在清晰了适用条件和建议流程,不只细化了法规要求,也在法令适用上坚持了同正在修订的《网络安全查看方法》的联接共同。
一是清晰了数据安全查看的适用条件。《法令》第十三条规矩了适用数据安全查看的4种景象,可概括为“影响或或许影响国家安全的”和“境外国外相关的”两类。前者包含“特定渠道运营者施行的兼并重组或分立”、“数据处理者赴香港上市”;后者包含“处理一百万人以上个人信息的数据处理者赴国外上市”。比较而言,后者要求更为严厉,只需有该行为产生就应进行数据安全查看申报,而不管其是否对国家安全形成影响或要挟。
二是清晰了数据安全查看的流程。这是对数据安全查看在程序方面要求的完善和延伸,《法令》第十三条规矩数据处理者在满意查看适用条件时“应当依照国家有关规矩,申报网络安全查看”。可见,数据安全查看的建议是由数据处理者进行“申报”。一起,此条所指的“国家有关规矩”,应当包含《网络安全查看方法》在内,且从其内容看,《法令》与《网络安全查看方法(修订草案征求意见稿)》也坚持了共同。
《法令》界定了“出口控制数据”的内在。在出口控制和出资买卖轻视方法的反制相关准则方面,《法令》未对《数据安全法》相关规矩做过多展开,仅是《法令》在第七十三条中,给出了“出口控制数据”的具体寓意。即“出口控制数据,出口控制物项触及的中心技能、设计方案、生产工艺等相关的数据,暗码、生物、电子信息、人工智能等范畴对国家安全、经济竞争实力有直接影响的科学技能成果数据”。
该条款首要对应了《数据安全法》第二十五条“国家对与保护国家安全和利益、实行世界职责相关的归于控制物项的数据依法施行出口控制”之规矩。且从该条款所在位置来看,《法令》将“出口控制数据”清晰列为7类“重要数据”其中之一。一起,此处所指“出口控制物项”,应遵从了《中华人民共和国出口控制法》的有关界定,即:“出口控制物项首要是指(军民)两用物项、军品、核以及其他与保护国家安全和利益、实行防扩散等世界职责相关的货品、技能、服务等物项”。
《法令》对数据买卖办理准则的展开完善,首要表现在进一步清晰强调了数据买卖安排的准入办理。
《法令》第七条第二款指出,“国家树立健全数据买卖办理准则,清晰数据买卖安排树立、运转标准”。而《数据安全法》关于数据买卖办理准则,首要是清晰了该准则的立法意图“标准数据买卖行为,培养数据买卖市场”,并对数据买卖中介安排的行为提出了开始标准要求“数据买卖中介服务安排应当要求数据供给方阐明数据来历,审阅买卖两边的身份,并留存审阅、买卖记载”。可见,《法令》对该准则的展开,重在提出了主体准入要求。信任后续国家相关部分会发布专门的办理规矩或标准,对数据买卖安排的树立条件、流程和办理机制等提出愈加具体的要求。