国家网信办《网络数据安全管理条例(征求意见稿)》为企业带来哪些新思考?
编者按
近日,国家网信办《网络数据安全管理条例(征求意见稿)》发布,对数据存储、数据流通、数据使用等数据合规问题进行约束。《征求意见稿》紧密贴合当下网络数据安全管理热点,在数据分级、数据“出海”、大数据杀熟、身份认证、信息泄露报备等方面给予了详细的指导意见,同时为大型互联网平台和安全厂商提供了新的思考。
本期,产业安全TALK聚焦《网络数据安全管理条例(征求意见稿)》,与大家一同探讨意见稿中提及的首创性规定,以及网络数据安全问题该如何应对?
作者:金珉锡
11月14日,国家互联网信息办公室就《网络数据安全管理条例(征求意见稿)》向社会公开征求意见。数据成为基础性、战略性生产要素的数字经济时代,网络数据安全该如何管理成为政府、媒体、企业及个人关注的焦点。
UIBE数字经济与法律创新研究中心主任许可认为,随着《网络安全法》、《数据安全法》、《个人信息保护法》的出台,我国网络空间法制的“四梁八柱”已经形成,《征求意见稿》则是落实其规则、充实其内容的关键构件。
中国互联网协会研究中心副主任吴沈括表示,《征求意见稿》的制度思路已不是网络安全合规、数据安全合规或者个人信息保护合规的单维方案,其可以广泛重塑数字经济下的数据处理与流转利用规则,在技术基础、组织管理、价值生态等诸多层面深度改造产业发展模式和企业治理架构,全面催生企业数据大合规的崭新需求。
《征求意见稿》从一般规定、个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等方面对网络数据安全参与者进行规范。中南财经政法大学数字经济研究院执行院长盘和林认为,《征求意见稿》将推动互联网平台数据治理模式变革,是推动数字经济和互联网平台实现可持续发展的标线。
网络数据安全管理迎新规《征求意见稿》有何亮点和创新点?
总体而言,《征求意见稿》具有五大亮点:
亮点一:拟建立数据分类分级保护制度
国家建立数据分类分级保护制度,按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
《征求意见稿》相比《数据安全法》,将数据进一步细分、更有层次,这就要求企业对数据资产进行规划盘点,厘清数据资产和个人信息数据分布比例,进而制定重要数据和核心数据目录,从而为数据分类分级后更好地制定精细化数据安全策略打下基础。
亮点二:数据“出海”、跨境数据监管即将落地
《征求意见稿》提出,数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估:出境数据中包含重要数据;关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息;国家网信部门规定的其他情形。
经济全球化大背景下,数据“出海”是许多企业的现实需求。中国社会科学院大学教授李勇坚指出,条例为企业数据“出海”划定了红线。此外,《征求意见稿》对“国外上市”和“香港上市”制定了更严格的网络安全审查。7月以来,近十家中国互联网公司取消了赴美上市计划。互联网平台企业要想在海量数据未经审查的情况下,赴外国上市,将成为天方夜谭。
亮点三:十万人以上信息泄露需在八小时内报备
一般规定的第十一条显示,数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。在发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当在八小时内向设区的市级网信部门和有关主管部门报告事件基本信息。
中国政法大学互联网金融法律研究院院长李爱君表示,八小时报备能够有效地防范重要数据安全风险发生,并在发生时有效控制风险的扩大化。
亮点四:大数据杀熟、数据过度使用、生物特征身份认证等问题将有解
《征求意见稿》强调,互联网平台运营者不得利用数据以及平台规则等从事服务差异化等损害用户合法利益的行为,以及利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据等,同时《征求意见稿》还对强制个人同意收集其个人生物特征信息作出了严格限定,提出不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式。
中国互联网协会法工委副秘书长胡钢指出:“此举将敦促大型互联网平台企业更加主动积极合规合法。”
亮点五:明确重要数据处理者责任、成立数据安全管理机构
《征求意见稿》适用范围涵盖境内和境外,适用主体共分为三类,分别为数据处理者、互联网平台运营者、大型互联网平台运营者。第二十八条提到,数据安全负责人应当具备数据安全专业知识和相关管理工作经历,数据安全管理机构具体应履行以下职责:制定实施数据安全保护计划和数据安全事件应急预案;开展数据安全风险监测,及时处置数据安全风险和事件;定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;受理、处置数据安全投诉、举报;按照要求及时向网信部门和主管、监管部门报告数据安全情况。
随着越来越多的生产、生活场景数据化,数据将承担更多重任,展现出更加广阔的发展前景。在数据法治时代,安全与发展的失衡,后果将不堪设想。《征求意见稿》在加强数据安全防护能力建设、保障数据依法有序自由流动,促进数据依法合理有效利用方面具有重要意义。
面临数据管理新风向,大型互联网平台、安全厂商及企业该如何做?
工信部发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》显示,到2025年,我国网络安全产业规模将超过2000亿元。而随着《网络数据安全管理条例(征求意见稿)》的发布,安全厂商和互联网企业都将在网络数据的合规利用上深受影响。
盘和林认为,此时的互联网平台需明确三条合规路径:首先,平台要制定简化明晰的隐私保护规则,增强内部透明度,并负责任地向社会披露平台规则、隐私规则和算法策略;其次,平台需对数据进行匿名化和假名化处理,在数据与个人隐私脱钩的基础上持续推进数据应用;最后,平台应该寻求更专业的第三方数据风控企业,这将促使打造一个繁盛的数据风控行业。如果互联网企业以此为契机,实现数据安全、信息保护技术的提升,将会迎来发展新机遇。
从安全厂商的角度来讲,由于数据安全涉及的内容更加体系化,因此相较此前等保2.0等政策推动了许多用户于对单点技术、单点产品的采购,《征求意见稿》一旦通过,将更加利好具备较强的数据安全顶层设计能力,以及能交付数据安全完整解决方案的头部厂商。
对网络安全产业而言,从行业层面来看,数据安全将成为网络行业景气度最高的赛道。从国家对数据安全的重视程度和政策出台的频率来看,网络安全产业提速将成为大概率事件。无论是数据安全整体解决方案,还是数据防泄漏、APP隐私合规、大数据交易沙箱、数据信托等细分赛道均存在较大的机会。
此外,IBM Security基于2021数据泄露成本的调查显示,采用人工智能、安全分析和加密是降低数据泄露成本的三大因素。IBM Security建议,可从通过投资安全编排、自动化和响应(SOAR),改进检测和响应时间;同时在技术上可采用零信任安全模型来防止对敏感数据的未授权访问;另外在架构上采用开放式安全架构,可最大限度地降低IT和安全环境的复杂性;最后通过使用有助于保护、监控端点和远程员工的工具及相应策略,对事件响应计划进行压力测试,加密保护云环境中的敏感数据,从而提高网络韧性。上述措施对安全厂商而言,也有着指导意义。
数字经济崛起与新工业革命正处在历史的交汇期,数据资源如同“新石油”一般,正成为各国经济发展和产业革新的动力源泉。《网络数据安全管理条例(征求意见稿)》公开征集意见,对于推动数据安全产业快速发展有着非常重要的意义。可以预见的是,未来几年,政企用户在数据分级、数据治理,以及数据全流程管理、数据保护体系的建设将成为网络安全支出和预算的重点。
参考资料:
[2] 国家网信办拟出台《网络数据安全管理条例》,有何创新亮点?
[3] 吴沈括|企业数据大合规的号角:读《网络数据安全管理条例(征求意见稿)》。
[4]解读《网络数据安全管理条例(征求意见稿)》 国家拟建立数据分类分级保护制度。
[5]数据安全条例意见稿出台 互联网企业境外上市规则再度细化。
[6]网络数据安全管理将迎新规,互联网平台急需补上隐私保护和数据安全短板。
[8]IBM 报告:数据泄露成本在新冠病毒疫情期间创历史新高。