作为《网络数据安全管理条例(征求意见稿)》(“《数安条例》”)的系列解读文章第三篇,本文将重点分析《数安条例》对重要数据安全的规定,结合国家互联网信息办公室( “网信办”)与工业和信息化部( “工信部”)等主管部门此前发布的相关指南、规定及要求等,厘清《数安条例》重要数据安全的新要求、新标准、新举措。
一、《数安条例》明确了重要数据的定义
重要数据的概念,最早出现在2016年11月发布的《中华人民共和国网络安全法》(“《网安法》”)中,《网安法》第二十一条要求对重要数据采取“备份和加密等措施”,但《网安法》并没有明确重要数据的具体内涵。此后,有多部其他规定(大多为征求意见稿)试图对重要数据进行定义,我们初略梳理如下:
2017年4月发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(“2017《出境评估办法》”)将重要数据定义为“指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。”这一定义虽然将重要数据与国家安全、经济发展以及社会公共利益关联,但是具体的内涵仍不明晰。
2017年8月发布的《信息安全技术 数据出境安全评估指南》(“《出境评估指南》”),在附录A中详细列举了重要数据的识别标准,以及包括石油天然气、煤炭、石化、电子商务等28个行业的重要数据类别。
2021年9月1日生效的《中华人民共和国数据安全法》(“《数安法》”)对重要数据的安全、保护措施和重要数据处理者的义务等做出了较为明确的规定,也提出“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录”,但并没有对重要数据做出明确的定义。
2021年10月1日生效的《汽车数据安全管理若干规定(试行)》(“《汽车数据规定》”)以不完全列举的形式对汽车行业的重要数据做出了规定,但《汽车数据规定》作为汽车行业的专门规定,对于非汽车行业的企业的合规指引作用有限。
2021年11月,《数安条例》吸纳了《2017出境评估指南》对于重要数据的定义,但在此基础上还进一步以不完全列举的形式规定了政务数据、出口管制数据、重点行业数据等多种重要数据的类型,具体规定如下:
《数安条例》第七十三条
(三)重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:
1.未公开的政务数据、工作秘密、情报数据和执法司法数据;
2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;
3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;
4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;
5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;
6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;
7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
当然,《数安条例》的以上定义虽然已经尽量列举了一些相关行业的数据,但是对于活跃在各行各业的具体企业而言,识别重要数据仍然会有较大的不确定性。对此,《数安条例》第二十七条承接了《数安法》第二十一条的规定,要求“各地区、各部门按照国家有关要求和标准……组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门”。因此,我们理解各地区和各行业的重要数据目录很可能在较短时间内陆续制定和颁布。
二、关于个人信息和重要数据的关系
《数安条例》第二十六条规定,数据处理者处理一百万人以上个人信息时应当参照《数安条例》第四章关于重要数据处理者的规定。换言之,《数安条例》要求一百万人以上的个人信息将被视为重要数据进行相应的保护。事实上,这种做法并非《数安条例》首创。《汽车数据规定》第三条规定,涉及个人信息主体超过10万人的个人信息属于重要数据。
因此,处理大量个人信息的企业对其所持有的个人信息的保护除了关注个人信息保护相关的规定,还需要关注特定两级以上个人信息构成重要数据时的额外义务。
三、《数安条例》对重要数据的保护措施要求
(1) 重要数据的安全保护措施
《数安条例》第九条规定数据处理者处理一般数据的要求,即“采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性”也应当同样适用于重要数据的保护。此外,数据处理者在处理重要数据时,还应当采取下列数据保障措施:
使用密码对重要数据进行保护;
重要数据的处理系统原则上应满足三级以上网络安全等级保护和关键信息基础设施安全保护要求。
(2) 共享、交易、委托处理重要数据的要求
《数安条例》第十二条规定进一步明确了重要数据的共享、交易、委托处理,所涉及的各方主体应当履行如下义务:
(3) 对核心数据的保护要求
首先,与重要数据相比,核心数据是影响更为重大的一类数据。对于核心数据的定义,《数安条例》沿用了《数安法》的规定,即核心数据是指关系国家安全、国民经济命脉、重要民生、重大公共利益等数据。
其次,除核心数据的定义之外,《数安条例》同样要求各地区、各部门制定本地区或者本行业的核心数据目录,并报国家网信部门。因此,企业要精准识别其处理的核心数据并对其进行相应的保护,还需要等待相关部门制定的核心数据目录提供更多的指引。
最后,在识别核心数据之后,《数安条例》第九条规定对于核心数据的保护要求,包括使用密码对核心数据进行保护,以及依照其他有关核心数据保护的相关规定从严保护。
四、《数安条例》对企业人员和组织结构提出具体要求
(1) 人员要求
对于企业数据合规的人员要求,《数安法》第二十七条[1]明确规定重要数据的处理者应当明确数据安全负责人和管理机构,以落实数据安全保护责任。然而,对于企业数据安全负责人这一角色的具体要求,《数安法》并没有明确。对此,《数据安全管理办法(征求意见稿)》(“《数安办法》”)和《数安条例》均有所涉及,具体规定如下:
(2) 对企业组织机构的要求
《数安条例》第二十八条规定,重要数据的处理者应成立数据安全管理机构。数据安全管理机构由数据安全负责人带领,履行如下职责:
研究提出数据安全相关重大决策建议;
制定实施数据安全保护计划和数据安全事件应急预案;
开展数据安全风险监测,及时处置数据安全风险和事件;
定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;
受理、处置数据安全投诉、举报;
按照要求及时向网信部门和主管、监管部门报告数据安全情况。
实践中,企业的数据安全负责人以及数据安全管理机构是否应当是单独设立的职位和部门,还是可以由其他职能部门兼任目前并没有明确的规定。我们倾向于认为,在满足相关任职要求和履行相关职责的前提下,从企业运营成本等角度考虑,该等职位和管理机构可以不是单独设立的职位或机构。
五、《数安条例》明确了重要数据处理者的义务以及法律责任
《数安条例》明确了重要数据处理者的法定义务:
结语
关于重要数据的保护,是一个非常庞杂的话题。有很多内容没有办法在本篇文章一一讨论,例如,《数安条例》细化重要数据处理者的安全评估义务和要求,包括每年1月31日之前必须完成的年度定期评估,以及在共享、交易、委托处理、向境外提供重要数据等特殊场景的评估,这些都是值得进一步讨论的问题,我们将在以后的文章中再详细论述。
注释
[1] 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
特别声明
本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。
专业领域
