其他
国家网信办拟出台《网络数据安全管理条例》,有何创新亮点?
为规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,11月14日,国家网信办发布《网络数据安全管理条例(征求意见稿)》(以下简称《条例》),向社会公开征求意见。《条例》有哪些创新亮点?又有何重要意义?传播君约访三位专家,为你解读。
左晓栋
中国信息安全研究院副院长
细化补充上位法,提高可操作性
具体而言,《条例》与《数据安全法》和《个人信息保护法》的关系体现在三个方面。
一是执行。《条例》为执行好《数据安全法》《个人信息保护法》提出了具体实施路径。如对于上位法中提出的“网信部门规定的条件”“网信部门规定的数量”等,《条例》尽可能作出了明确规定。对于社会各界在理解、实施上位法时普遍希望进一步解释、说明的事项,如“单独同意”等,《条例》都作出了规定。后续需要制定部门规章和规范性文件的,《条例》也都作出了指定。对于上位法中已经明确的,《条例》不再重复规定。
二是细化。上位法中有一些较为原则性的规定,有必要进一步细化。例如,什么是处理个人信息的“合法、正当、必要”原则?处理个人信息前,向个人告知事项的具体要求是什么?对“同意”的具体要求是什么?对数据出境的几种条件有何具体要求?《条例》在这些问题上都作了明确规定。
三是新增。作为行政法规,《条例》本身可以创设制度,设定行政许可。因此,就《数据安全法》《个人信息保护法》而言,《条例》还增加了一些新的要求,例如重要数据处理者备案要求、年度报告要求、数据出境安全管理义务、网络平台责任等。
许可
对外经济贸易大学数字经济与法律创新研究中心主任
强化个人信息权益保护和重要数据保护
《条例》共九章七十五条,其中,“强化个人信息权益保护”和“强化重要数据保护”尤其引人瞩目。
《条例》从诸多方面强化了个人信息权益保护:针对个人信息处理知情权环节,详细列出了个人信息处理规则的内容;针对个人信息处理决定权,明确了“单独同意”的含义,即“数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意”;针对个人信息的查阅、复制、更正、补充、限制处理、删除其个人信息等权利,要求在十五个工作日予以答复;明确了个人信息转移权的行使条件。
《条例》通过定性和列举的方法,将重要数据锚定在“危害国家安全、公共利益的数据”上,进而明确了国家对重要数据的最终控制权地位。这体现在:重要数据的行政备案;重要数据的强制性安全评估;数据处理者共享、交易、委托处理重要数据时,应当征得主管部门同意。
《条例》因其规范目的多元、规范主体多样、规范内容庞杂,依然存在进一步修改的空间,有待各方共同参与、集思广益,推动《条例》臻于完善。
黄道丽
公安部第三研究所研究员
强化数据安全治理的法治保障
针对数据安全问题,《条例》从强化重要数据处理者、大型互联网平台等特殊主体以及数据聚合、数据出境等核心环节的监管维度,对数据安全提出强化要求。
《条例》建立发展了重要数据备案制度、年度数据安全评估制度以及特定重要数据处理行为的审批制度。
《条例》回应“大数据杀熟”、“爬虫”自动化工具、算法透明度解释等热点问题,全面强化大型互联网平台治理。《条例》将互联网平台运营者可能影响国家安全的数据处理行为纳入网络安全审查范畴;对平台规则、隐私政策修订等提出增强要求;第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿等。
《条例》规定处理重要数据的系统应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,核心数据则从严保护,进一步凸显密码保护的基石地位。
就《条例》本身而言,社会各界积极关注,正围绕“是什么”“为什么”“谁来管”“如何管”“管到哪”这5个立法关键环节展开研讨和论证,这也契合了立法者向社会公开征求意见的初衷。
国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》