数据安全管理制度的两项创新|浅议《网络数据安全管理条例(征求意见稿)》与《数据安全法》之比较(下篇)

发布者:绿盟科技
发布于:2021-12-06 11:56

如本文上篇所述,《条例》不仅重视发展,还注重在数据安全重要管理制度上的创新和拓展。本篇将对其创新制度加以简析,并尝试归纳《条例》有待深入讨论的内容。

三、《条例》对数据安全制度的创新

《条例》对《数据安全法》所设立重要制度的创新拓展主要体现在数据安全审计制度和网络身份认证基础设施两个方面,分析如下。

(一)数据安全审计制度

《条例》首次提出“国家建立数据安全审计制度”(第五十八条)。从法规内容来看,条例规定了数据安全审计的两种方式。

一是自主审计。即数据处理者委托数据安全审计专业机构开展,“定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”(第五十八条第一款)。

二是检查审计。即“主管、监管部门组织开展对重要数据处理活动的审计,重点审计数据处理者履行法律、行政法规规定的义务等情况”(第五十八条第二款)。

另外与此相对应,《条例》还规定了大型互联网平台运营者应当承担的数据安全审计义务和责任(第五十三条)。

制度

《数据安全法》

《网络数据安全管理条例(征求意见稿)》

数据安全审计制度


第五十八条 国家建立数据安全审计制度。数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
  主管、监管部门组织开展对重要数据处理活动的审计,重点审计数据处理者履行法律、行政法规规定的义务等情况。

第五十三条 大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。


(二)网络身份认证基础设施

“网络身份认证公共服务基础设施”是《条例》明确提出的重要机制创新之一,从条文内容看至少包含三层含义。

一是明确了保护对象为个人信息权利。该制度的出处为《个人信息保护法》第六十二条第三款“(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设”。《条例》将“网络身份认证公共服务基础设施”作为开展“网络身份认证公共服务”的重要载体和形式加以明确。从立法目的看,是通过建立该机制减少乃至避免运营者对用户个人信息的直接收集,鼓励运营者以向服务平台确认的方式,最大限度减少个人信息被滥用的风险。

二是强化了其作为网络安全保障体系重要制度的地位。从法律用语来看,“网络身份认证”在《网络安全法》中已经提出,“国家实施网络可信身份战略,...,推动不同电子身份认证之间的互认”。可见,“网络身份认证公共服务基础设施”是法律确立的国家网络可信身份战略的具体表现,是国家网络安全制度的重要组成部分。

三是确立了优先使用的原则。对于“网络身份认证公共服务基础设施”的推广利用,《条例》第五十条第二款明确了优先使用的原则:“互联网平台运营者应当支持并优先使用”。且从发展的角度来看,随着数据法治环境的持续向好、以及该项制度和配套机制的不断完善,运营者对其采纳应用也大概率会是必然趋势。

制度

《数据安全法》

《网络数据安全管理条例(征求意见稿)》

网络身份认证基础设施


第五十条 国家建设网络身份认证公共服务基础设施,按照政府引导、网民自愿原则,提供个人身份认证公共服务。
  互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。



四、对完善《条例》的思考

《条例》目前正在公开征求社会意见,其内容体系、制度涵盖的完善将会是一个持续上升的过程。笔者认为,在《条例》的完善发展过程中,某些内容规定或值得展开更加深入的探讨和关注。如:个人信息保护的相关规定如何更好地与个人信息保护法律体系融合衔接?数据分类问题是否需要加强规范引导?是否需要出台有关数据安全审计、网络身份认证基础设施等专项管理制度?行业数据应急预案、行业评估如何加强规范依据?等等。

相信随着征求意见工作的深入推进,《条例》内容将更加完善,其对加强国家数据安全保障体系和能力建设、筑牢国家数据安全屏障将发挥更加重要的作用。



声明:该文观点仅代表作者本人,转载请注明来自看雪