公司新聞

新規(guī)解析!《網絡數據安全管理條例》正式出臺

來源:聚銘網絡    發(fā)布時間:2024-10-18    瀏覽次數:
 
出臺背景

隨著數字化進程加快,網絡安全問題日益突出,尤其是數據泄露和濫用現象頻發(fā),對國家安全和個人隱私構成了嚴重威脅?!毒W絡數據安全管理條例》(以下簡稱《條例》)在2021年發(fā)布《網絡數據安全管理條例(征求意見稿)》后,于2024年9月30日正式公布,并將于2025年1月1日起實施。

《條例》以《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》及《中華人民共和國個人信息保護法》為基礎,標志著我國在網絡數據安全管理領域邁出了堅實的一步。


條例概覽

《條例》共9章64條,內容包括:總則、一般規(guī)定、個人信息保護、重要數據安全、網絡數據跨境安全管理、網絡平臺服務提供者義務、監(jiān)督管理、法律責任和附則共九個部分,涵蓋了從網絡數據安全保護的基本原則到具體實施細節(jié)的全面規(guī)定。

值得注意的是,《條例》重點針對的是能夠通過信息網絡進行處理的數據類型,非電子數據不在本條例的管轄范圍之內。


要點解讀

1、提出網絡數據安全的總體要求與一般規(guī)定

《條例》第一章和第二章明確網絡數據安全管理總體要求和一般規(guī)定。鼓勵網絡數據在各行業(yè)、各領域的創(chuàng)新應用,對網絡數據實行分類分級保護,積極參與網絡數據安全相關國際規(guī)則和標準的制定,加強行業(yè)自律,禁止非法網絡數據處理活動。同時,要求網絡數據處理者建立健全網絡數據安全管理制度、安全風險報告、安全事件處置等。

《條例》指出網絡數據處理者提供的網絡產品、服務應當符合相關國家標準的強制性要求;發(fā)現網絡產品、服務存在安全缺陷漏洞等風險時,應當立即采取補救措施,按照規(guī)定及時告知用戶并向有關主管部門報告;涉及危害國家安全、公共利益的,網絡數據處理者還應當在24小時內向有關主管部門報告。


2、強化個人信息保護,明確信息量級界定

《條例》第三章細化了個人信息保護相關規(guī)定,明確了處理個人信息的規(guī)則和應當遵守的具體規(guī)定。重點細化了《個人信息保護法》關于告知、同意、個人行使權利等方面的規(guī)定,其中,關于處理不滿十四周歲未成年人的信息時,必須獲得監(jiān)護人同意。另外,要求網絡數據處理者提供便捷的支持個人行使權利的方法和途徑,不得設置不合理條件限制個人的合理請求。

此外,《條例》將個人信息類重要數據的認定數量門檻從100萬提高到1000萬,明確規(guī)定處理1000萬條以上個人信息的網絡數據處理者需履行相應的安全保障義務。這一調整有效解決了當前對于個人信息量級界定不清的問題。


3、完善數據分類保護,建立重要數據目錄

《條例》第四章進一步完善了重要數據的安全保障措施。它要求依據網絡數據在經濟社會發(fā)展中的重要性,以及一旦這些數據遭到篡改、破壞、泄露或非法獲取、利用時可能對國家安全、公共利益或個人、組織合法權益造成的損害程度,對網絡數據實施分類分級保護。

本章明確了制定重要數據目錄的要求,規(guī)定網絡數據處理者需識別并申報重要數據,且重要數據的處理者應當指定數據安全負責人和設立數據安全管理機構。此外,規(guī)定重要數據處理者須每年及在處理重要數據之前進行風險評估,以確保數據的安全管理。各地區(qū)、各部門應按照數據分類分級保護制度,確定其轄內及相關行業(yè)、領域的重要數據具體目錄,并對列入目錄的數據實施重點保護。


4、做好網絡數據跨境安全管理

《條例》第五章深入闡述了網絡數據跨境安全管理的具體規(guī)范。明確網絡數據處理者在滿足特定條件下,可向境外合法提供個人信息的準則,并依據國際條約與協(xié)定,規(guī)范了個人信息的跨境傳輸流程。同時,對于非官方認定或未被公開標識為重要數據的信息,免除了出境安全評估的申報要求,從而減輕企業(yè)的合規(guī)負擔。

本《條例》既確保了關鍵信息資產的安全,又堅持了一般數據依法自由流動的原則,促進了數據的合理流通,建立了適應新發(fā)展格局的網絡數據跨境流動安全監(jiān)管模式。


5、規(guī)范互聯網平臺運營者義務

《條例》第六章明確了網絡平臺服務提供者的義務,規(guī)定了網絡平臺服務提供者及第三方產品和服務提供者在網絡數據安全方面的保護要求。

《條例》指出,首先,網絡平臺需要加強對接入其平臺的第三方產品和服務的網絡數據安全管理,包括對應用程序的安全核驗,并規(guī)范使用自動化決策系統(tǒng)進行信息推送。在提供個性化信息推送服務時,必須提供易于理解和操作的關閉選項,確保用戶能夠拒絕接收推送信息,并鼓勵使用國家網絡身份認證公共服務。其次,明確了大型網絡平臺的定義,并要求這類平臺每年發(fā)布個人信息保護社會責任報告,并提交風險評估報告。


6、建立監(jiān)管體系與明確法律責任

《條例》第七章明確了國家網信部門在統(tǒng)籌協(xié)調網絡數據安全及監(jiān)督工作中的核心作用,并規(guī)定了公安機關、國家安全機關以及其他主管部門在網絡數據安全管理方面的職責。各地區(qū)、各部門需對其工作中收集和產生的網絡數據及數據安全負責。各有關主管部門需制定本行業(yè)、本領域網絡數據安全事件應急預案,定期組織風險評估,監(jiān)督檢查數據處理者履行保護義務情況。監(jiān)督檢查措施包括要求數據處理者說明、查閱相關文件記錄、檢查安全措施運行情況等。

最后,《條例》第八章則規(guī)定了違反本條例及其他相關法律法規(guī)所需承擔的法律責任,并明確了從輕、減輕或免除行政處罰的情形。對于網絡數據安全違規(guī)行為,主管部門將依據情節(jié)輕重采取警告、罰款(最高可達1000萬元,適用于個人和單位)、暫停業(yè)務、停業(yè)整頓、吊銷許可證等措施。同時,國家機關如未能履行其保護義務,也將受到相應的處罰。


相關影響

總體而言,《條例》作為我國網絡數據安全領域的首部專門行政法規(guī),通過詳細的法規(guī)層面規(guī)定,為網絡數據安全提供了堅實的法律基礎,并為網絡數據安全行為的規(guī)范化和制度化確立了明確框架。這不僅有助于提升全社會的網絡數據安全意識,還將推動網絡數據安全產業(yè)的健康發(fā)展。

為此,建議各方深入了解《條例》的修訂內容及其監(jiān)管導向,并制定相應的合規(guī)措施。鑒于《條例》即將在三個月內生效,企業(yè)尤其需要快速理解和適應新法規(guī)的要求,及時進行必要的調整,以順利過渡至新的監(jiān)管環(huán)境。


~END~

作為國內領先的安全運營商,聚銘網絡一直致力于為客戶提供全面的網絡和數據安全解決方案及服務。公司擁有完備的“云+端”產品服務體系,覆蓋安全托管、安全管理、安全審計等多個方面,能夠在資產運營維護、漏洞識別治理、合規(guī)性監(jiān)管等關鍵環(huán)節(jié)提供高效的服務,確??蛻糍Y產的安全得到全方位管理和持續(xù)優(yōu)化。截至目前,聚銘網絡已服務超過10000家政府、教育、醫(yī)療、電信、能源、金融等行業(yè)的政企客戶,其中云端托管客戶超過6500家。

 
 

上一篇:2024年10月14日聚銘安全速遞

下一篇:網信部門公開曝光第五批涉公共政策、突發(fā)案事件、社會民生領域網絡謠言典型案例