2021年11月14日,国家互联网信息办公布《网络数据安全管理条例》(征求意见稿)(以下简称《条例》)。该《条例》依据《网络安全法》、《数据安全法》、《个人信息保护法》制定,作为行政法规,执行、细化、补充前述三部上位法的规定,进一步增强了数据安全法律体系的完备性和可操作性。
在一定程度上,《条例》可以看作《数据安全法》和《个人信息保护法》的实施细则,是由国家网信部门统筹,公安机关、国家安全机关、行业主管部门监管,建立健全数据安全应急处置机制及数据安全审计制度。针对不履行《条例》的数据处理者,将由有关主管部门责令改正、给予警告、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等处罚;针对损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的数据处理者,依法追究法律责任,并对直接负责的主管人员和其他直接责任人员进行相关的处罚。《条例》主要针对如下方面开展监管工作:
个人信息保护方面
1、处理规则:个人信息处理者应该制定并执行处理规则,包括信息清单(含第三方)、限定期限、安全风险、保护措施、投诉渠道、解决途径等内容;
2、个人同意:收集信息前获得个人同意、敏感信息需单独同意、儿童信息需监护人同意;
3、信息删除:目的达成、合同到期、终止服务、注销账号,需在十五个工作日内删除数据;
4、请求响应:个人提出数据查阅、复制、更正、补充、限制处理、删除、转移等请求时,需在十五个工作日内处理并反馈;
5、生物特征:数据处理者不能只提供生物识别一种认证方式。
示例:
执行前:处理完针对个人信息的服务后,可存储到服务器中作为历史数据;认证时,通过人脸即可完成登录。
执行后:在完成服务后,需在15天内删除个人信息部分;认证时,不仅需提供人脸,还需要指纹、密码等多个认证才可以使用。
重要数据安全方面
1、建立目录:重要数据和核心数据都需要建立数据目录并报国家网信部门;
2、管理机构:重要数据处理者应该成立数据安全管理机构;
3、识别备案:重要数据识别以后十五个工作日内向设区的市(通常是地级市)级网信部门报告;
4、安全培训:制定并执行全员数据安全培训计划,每年培训时长不得少于二十小时;
5、安全评估:处理重要数据或者赴境外上市的数据处理者应每年开展一次数据安全风险评估,并于1月31日前上报设区的市(通常是地级市),评估报告至少保留三年;
6、采购评估:国家机关和关基运营者采购云服务,要通过国家网信部门会同国务院有关部门开展的安全评估。
示例:
执行前:针对重要数据的处理者按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告即可。
执行后:处理重要数据或者赴境外上市的数据处理者应每年开展一次数据安全风险评估,并于1月31日前上报设区的市(通常是地级市),评估报告至少保留三年。
数据跨境安全管理方面
1、出境条件:国家网信部门安全评估、国家认定专业机构的个人信息保护认证、履行合同或法定义务;
2、告知同意:个人信息出境前应向个人告知数据接收方信息;
3、保护义务:数据处理者向境外提供数据应当履行保护义务;
4、出境报告:向境外提供个人信息和重要数据的数据处理者,每年1月31日前编制数据出境安全报告并向设区的市(通常是地级市)级网信部门报告。
5、跨境网关: 通过网关阻止境外非法信息入境,禁止绕过、穿透网关或者提供类似软件或工具,翻墙或者提供翻墙软件皆被视为违法。
示例:
执行前:针对数据出境,应当通过国家网信部门组织的安全评估。
执行后:向境外提供个人信息和重要数据的数据处理者,每年1月31日前编制数据出境安全报告并向设区的市(通常是地级市)级网信部门报告。
互联网平台运营者义务方面
1、规则披露:平台应建立与数据相关的平台规则、隐私政策、算法策略的披露和裁决机制。内容修订需公示时间不少于三十个工作日,日活超一亿的平台规则修订需经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意;
2、连带责任:平台需要对接入的第三方产品和服务的安全负责;
3、限制行为:禁止差异定价(大数据杀熟)、低价恶意竞争、违背用户意愿、设置障碍等行为;
4、应用审核:比如应用商店应对app进行审核,不符合要求的拒绝上架或者下架;
5、个性推送:保证推送信息的真实、准确和来源合法,且需获得个人单独同意,需支持一键关闭推荐或删除信息;
6、认证服务:国家建立个人身份认证的公共服务基础设施;
7、年度审计:每年进行一次第三方安全审计并上报审计结果。
示例:
执行前:针对互联网平台运营者推送信息无需争取个人单独同意。
执行后:需获得个人单独同意,需支持一键关闭推荐或删除信息。
基于在数据安全领域的持续深耕,天融信提出数据安全治理评估、数据安全组织结构建设、数据安全管理制度建设、数据安全技术保护体系建设、数据安全运营管控建设及数据安全监管建设的“六步走”数据安全保障体系建设思路。该建设思路从监督管理层、保护执行层、能力支撑层三个维度,全方位为客户提供数据安全技术框架参考,针对境内外数据进行处理,对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
1、数据安全治理评估:从业务视角出发,结合对基础安全管控措施的分析,开展业务的管理、技术、运营风险以及系统共性问题的评估工作,形成《数据资产清单》。
2、数据安全组织结构建设:在开展组织架构建设时,根据部门职责建立不同的数据安全角色以满足数据安全建设的需求。
3、数据安全管理制度建设:从业务数据安全需求、数据安全风险控制需要及法律法规合规性要求等几个方面进行梳理,最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。
4、数据安全技术保护体系建设:针对不同安全级别的数据,参照数据生命周期的原则进行数据安全应用执行。具体保护要求及措施参照国家相关法律、法规、标准及自身的数据安全相关管理制度、规范、标准执行。
5、数据安全运营管控建设:需保持数据安全保障体系因其业务的连续性运行,建立完善的数据安全运营团队针对数据安全运维、应急预案与演练、监测预警、应急处置及灾难恢复进行数据安全运营。
6、数据安全监管建设:监管部门出台相关法律法规,将依法履职尽责对数据处理者履行数据风险监测与风险评估等数据安全保护义务、向境外提供重要数据等行为依法开展监督管理。
作为国内数据安全领域的先导者,未来天融信将始终致力于以全方位的数据安全治理能力,持续赋能数据安全体系建设,全力保障客户数据安全,为各行业数据安全的发展及实践提供可靠保障、为维护国家数据安全贡献力量。
- 关键词标签:
- 天融信 网络安全 网络数据安全管理条例