為規(guī)范網絡數據處理活動,保護個人、組織在網絡空間的合法權益,維護國家安全、公共利益,國務院正式公布《網絡數據安全管理條例》(以下簡稱《條例》)。《條例》的出臺,標志著我國數據安全法規(guī)體系的進一步完善,對我國強化數據安全和個人信息保護、保障數據要素有序開發(fā)利用、促進數字經濟健康有序發(fā)展意義重大。
《條例》堅持科學立法、開門立法的原則,一方面,細化、落實《網絡安全法》《數據安全法》《個人信息保護法》相關制度,明晰個人信息“告知-同意”規(guī)則、重要數據風險評估、個人信息跨境流動條件、網絡平臺服務提供者第三方安全管理等要求,為后續(xù)立法、執(zhí)法等實踐提供了重要依據。另一方面,《條例》針對網絡數據安全管理的突出問題,在科學總結過往治理經驗的同時,兼顧新技術新應用帶來的新的安全問題,提煉個人信息保護、重要數據安全、網絡數據跨境安全管理、網絡平臺服務提供者義務等網絡數據治理方案,覆蓋了網絡數據治理重要領域,為開展網絡數據安全管理工作提供了堅實的制度保障。
一、深刻認識《條例》出臺的重要意義
黨中央、國務院高度重視數據安全工作。習近平總書記多次作出重要指示批示,強調“沒有網絡安全就沒有國家安全”“要切實保障國家數據安全”“強化國家關鍵數據資源保護能力”?!稐l例》貫徹落實黨中央、國務院關于數據安全的決策部署,統(tǒng)籌發(fā)展與安全,鼓勵網絡數據合理有效利用,促進以數據為關鍵要素的數字經濟發(fā)展,并劃定安全“底線”和“紅線”。
(一)《條例》是落實法律重大制度設計的內在需要
我國《網絡安全法》《數據安全法》《個人信息保護法》等法律的相繼出臺,為網絡數據安全提供了基本的法律框架與制度設計。《條例》作為《網絡安全法》《數據安全法》《個人信息保護法》的配套行政法規(guī),對上位法中的制度設計和原則性規(guī)定進行細化與落實,為網絡數據安全保障工作提供了具體的制度保障和實施路徑,有助于進一步推動我國建立健全數據安全法律法規(guī)體系、強化重大制度銜接。
(二)《條例》是服務數字經濟有序發(fā)展的重要保障
數據作為數字經濟的核心要素,其價值在于能夠在不同主體之間流動和整合。然而,隨著數據的開發(fā)、流通與利用,數據價值日益凸顯,數據泄露、數據竊取等安全風險也與日俱增,嚴重影響數字經濟活動的穩(wěn)定性?!稐l例》緊扣數字經濟發(fā)展需求,通過構建完善網絡數據安全責任義務體系,保障數據在安全的網絡環(huán)境下得到充分開發(fā)和利用,有助于進一步推動我國數字經濟高質量、可持續(xù)發(fā)展。
(三)《條例》是維護網絡空間安全秩序的關鍵舉措
近年來,個人信息、企業(yè)數據、政務數據等泄露、被非法利用事件時有發(fā)生,網絡數據安全關系廣大人民群眾切身利益,關系企業(yè)經營活動,關系到國家安全。社會各界十分關注網絡數據安全,《條例》的出臺就是積極回應社會各界的關切,規(guī)范網絡數據處理行為,打擊網絡數據違法活動,保護個人、企業(yè)在網絡空間的合法權益,保障好經濟發(fā)展和國家安全。
二、《條例》為開展網絡數據安全管理工作提供了基本遵循
(一)建立網絡數據安全管理工作閉環(huán),落實好總體國家安全觀
《條例》貫徹總體國家安全觀,從網絡數據分類分級、安全防護、應急處置、事件報告、安全檢查、信息共享,以及重要數據申報和告知、提供或者委托處理、風險評估、年度報告等角度,構建數據識別、處理、防護、評估、檢查、整改、應急響應等體系化、閉環(huán)式管理機制。一是網絡數據治理工作需要各方參與,《條例》通過對國家、有關部門和地方層面的網絡數據安全監(jiān)管責任劃分,以及網絡數據處理者對所處理網絡數據的安全承擔主體責任的要求,統(tǒng)籌推進網絡數據安全管理工作。二是強調網絡數據安全管理的動態(tài)性。數據要素是流動的,網絡數據處理者的網絡數據處理情況也是變化的,《條例》強調網絡數據處理者主動識別、申報重要數據情況,重要數據的處理者主體發(fā)生變化需要報告重要數據處置方案,以及提供、委托處理個人信息和重要數據的安全管理等要求,旨在指導網絡數據處理者及時掌握處理網絡數據最新情況,及時履行網絡數據安全保護責任。
(二)明確個人信息保護要求,加大個人權益保護力度
個人信息保護已成為廣大人民群眾最關心的利益問題之一,《個人信息保護法》規(guī)定個人對其個人信息的處理享有知情權、決定權、刪除權等權益,但相關規(guī)定的實踐、落實,仍需進一步具體的操作指導。一是《條例》明確處理1000萬人以上個人信息的網絡數據處理者,需按照《條例》第三十條規(guī)定,明確網絡數據安全負責人和管理機構。二是針對廣大人民群眾反映較多的隱私政策或者用戶協議隱藏過深、內容冗長晦澀等情況,以及個人信息捆綁授權、強制授權等問題,《條例》規(guī)定個人信息處理規(guī)則包括處理個人信息的目的、方式、種類,處理敏感個人信息的必要性及其對個人權益的影響等內容,要求個人信息處理規(guī)則集中公開展示、易于訪問并置于醒目位置;明確“單獨同意”的具體要求,強調不得通過誤導、欺詐、脅迫等方式取得個人同意,不得在個人明確表示不同意處理其個人信息后,頻繁征求同意。三是針對自動化采集技術等無法避免采集到非必要個人信息、個人注銷賬號后個人信息處理問題等新情況,要求網絡數據處理者刪除個人信息或者進行匿名化處理。
(三)規(guī)范網絡數據跨境安全管理,促進數據高效便捷安全流動
我國《“十四五”數字經濟發(fā)展規(guī)劃》提出要“規(guī)范數據采集、傳輸、存儲、處理、共享、銷毀全生命周期管理,推動數據使用者落實數據安全保護責任”。規(guī)范化的數據處理活動是保障數據準確性、完整性與安全性的關鍵,也是促進數據高效便捷安全跨境流動、激發(fā)數據要素創(chuàng)新活力的關鍵?!稐l例》在前期數據出境安全管理工作基礎上,探索數據跨境流動便利化機制。一是國家網信部門統(tǒng)籌協調有關部門建立國家數據出境安全管理專項工作機制,研究制定國家網絡數據出境安全管理相關政策,協調處理網絡數據出境安全重大事項。二是《條例》在數據出境安全評估、安全認證、標準合同等三種向境外提供個人信息方式的基礎上,結合數據出境安全實踐情況,針對為訂立、履行個人作為一方當事人的合同,按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施跨境人力資源管理,為履行法定職責或者法定義務,緊急情況下為保護自然人的生命健康和財產安全等確需向境外提供個人信息的五種情形,明確其可以作為向境外提供個人信息的條件,便利數據跨境流動,服務高水平對外開放。三是針對重要數據出境情形,《條例》強調網絡數據處理者在中華人民共和國境內運營中收集和產生的重要數據確需向境外提供的,應當通過國家網信部門組織的數據出境安全評估。網絡數據處理者按照國家有關規(guī)定識別、申報重要數據,但未被相關地區(qū)、部門告知或者公開發(fā)布為重要數據的,不需要將其作為重要數據申報數據出境安全評估?;貞烁鞣綄τ谘信惺欠駥儆谥匾獢祿鼍场⑹欠裥枰陥髷祿鼍嘲踩u估的關切。
(四)明晰網絡平臺服務提供者義務,壓實網絡數據安全管理責任
隨著數字經濟的快速發(fā)展,網絡平臺服務提供者在網絡數據處理和管理中扮演著重要角色。當前網絡平臺利用數據實施不正當競爭、算法歧視等問題日益突出,影響用戶合法權益和平臺的有序發(fā)展。為此,一是《條例》明確了網絡平臺服務提供者、預裝應用程序的智能終端等設備生產者第三方安全管理責任,要求其督促平臺內第三方產品和服務提供者履行網絡數據安全保護責任。二是針對當前個性化推薦服務關閉難、收集個人信息類型多、個人精準畫像數據存在濫用風險等問題,《條例》強調設置易于理解、便于訪問和操作的個性化推薦關閉選項,為用戶提供拒絕接收推送信息、刪除針對其個人特征的用戶標簽等功能,以保障用戶合法權益。三是明確大型網絡平臺服務提供者每年度發(fā)布個人信息保護社會責任報告,接受社會各界監(jiān)督。同時要求平臺不得利用數據實施不正當競爭行為,以此維護市場的公平競爭秩序。
三、落實《條例》要求,推動網絡數據治理工作的幾點思考
(一)匯聚各方力量,推動《條例》縱深落地
一方面,持續(xù)做好《條例》等網絡數據安全法規(guī)政策宣貫工作,通過集中宣講培訓,深入地方和重點企業(yè)等方式,引導有關部門用好、用活、用足政策,指導企業(yè)及時掌握政策要求,構建網絡數據安全合規(guī)體系。另一方面,支持網絡數據分類分級、風險評估、監(jiān)測預警等技術、產品研制,加快網絡數據安全人才培養(yǎng),更好地支撐網絡數據安全綜合保障體系建設。
(二)推動網絡數據安全規(guī)則指引、標準進一步完善
目前,數據分類分級規(guī)則、個人信息安全規(guī)范等國家標準已制定實施,重要數據安全管理、敏感個人信息保護等領域多項標準正在研制,工業(yè)和信息化、自然資源、金融、教育等領域已制定數據安全管理辦法或者數據分類分級規(guī)則,為數據安全和個人信息保護工作提供指導。下一步應當鼓勵有關主管部門,結合行業(yè)實際情況,加快行業(yè)領域數據安全相關規(guī)則指引、標準的制定實施,以及相關制度的試點工作,推動網絡數據治理工作落地落實。
(三)充分發(fā)揮風險評估、檢查檢測等制度作用
風險評估、合規(guī)審計、年度報告等工作,既是網絡數據處理者應當履行網絡數據安全管理責任,也是提高自身網絡數據安全管理能力的重要途徑?!稐l例》規(guī)定各有關主管部門定期組織開展本行業(yè)、本領域網絡數據安全風險評估,對網絡數據處理者履行網絡數據安全保護義務情況進行監(jiān)督檢查;國家網信部門統(tǒng)籌協調有關主管部門及時匯總、研判、共享、發(fā)布網絡數據安全風險相關信息。有關部門應加強信息共享,統(tǒng)籌各類檢查評估工作,在切實發(fā)揮檢查評估工作效能的同時,減少網絡數據運營者合規(guī)成本。
《條例》著眼于國內外網絡數據治理與安全發(fā)展形勢,明確網絡數據處理者應當履行的義務責任,是我國《網絡安全法》《數據安全法》《個人信息保護法》在網絡數據治理實踐中發(fā)揮作用的重要抓手,更是我國建立健全數據安全法規(guī)體系、提高數據安全保障能力的關鍵環(huán)節(jié)。《條例》的出臺與實施將進一步筑牢我國數字經濟發(fā)展基礎,以高水平安全護航網絡強國建設。
(作者:蔣艷,國家工業(yè)信息安全發(fā)展研究中心主任)