官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
近日,国家互联网信息办公室(“国家网信办”)发布《网络数据安全管理条例 (征求意见稿)》(“《条例》”)。《条例》以《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等法律法规作为上位法依据,对于2021年《网络安全审查办法(修订草案征求意见稿)》中规定的申报网络安全审查的条件,在行政法规层面进行了调整与细化。《条例》从一般规定、个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等方面对网络数据安全参与者进行规范。
《条例》的五大重点
拟建立数据分类分级保护制度
国家建立数据分类分级保护制度,按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
《条例》相比《数据安全法》,将数据进一步细分、更有层次,这就要求企业对数据资产进行规划盘点,厘清数据资产和个人信息数据分布比例,进而制定重要数据和核心数据目录,从而为数据分类分级后更好地制定精细化数据安全策略打下基础。
数据“出海”、跨境数据监管即将落地
《条例》提出,数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估:出境数据中包含重要数据;关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息;国家网信部门规定的其他情形。
经济全球化大背景下,数据“出海”是许多企业的现实需求。中国社会科学院大学教授李勇坚指出,条例为企业数据“出海”划定了红线。此外,《条例》对“国外上市”和“香港上市”制定了更严格的网络安全审查。7月以来,近十家中国互联网公司取消了赴美上市计划。互联网平台企业要想在海量数据未经审查的情况下,赴外国上市,将成为天方夜谭。
十万人以上信息泄露需在八小时内报备
一般规定的第十一条显示,数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。在发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当在八小时内向设区的市级网信部门和有关主管部门报告事件基本信息。
中国政法大学互联网金融法律研究院院长李爱君表示,八小时报备能够有效地防范重要数据安全风险发生,并在发生时有效控制风险的扩大化。
大数据杀熟、数据过度使用、生物特征身份认证等问题将有解
《征求意见稿》强调,互联网平台运营者不得利用数据以及平台规则等从事服务差异化等损害用户合法利益的行为,以及利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据等,同时《征求意见稿》还对强制个人同意收集其个人生物特征信息作出了严格限定,提出不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式。
中国互联网协会法工委副秘书长胡钢指出:“此举将敦促大型互联网平台企业更加主动积极合规合法。”
明确重要数据处理者责任、成立数据安全管理机构
《条例》适用范围涵盖境内和境外,适用主体共分为三类,分别为数据处理者、互联网平台运营者、大型互联网平台运营者。第二十八条提到,数据安全负责人应当具备数据安全专业知识和相关管理工作经历,数据安全管理机构具体应履行以下职责:制定实施数据安全保护计划和数据安全事件应急预案;开展数据安全风险监测,及时处置数据安全风险和事件;定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;受理、处置数据安全投诉、举报;按照要求及时向网信部门和主管、监管部门报告数据安全情况。
随着越来越多的生产、生活场景数据化,数据将承担更多重任,展现出更加广阔的发展前景。在数据法治时代,安全与发展的失衡,后果将不堪设想。《条例》在加强数据安全防护能力建设、保障数据依法有序自由流动,促进数据依法合理有效利用方面具有重要意义。
对网络安全产业而言,从行业层面来看,数据安全将成为网络行业景气度最高的赛道。从国家对数据安全的重视程度和政策出台的频率来看,网络安全产业提速将成为大概率事件。无论是数据安全整体解决方案,还是数据防泄漏、APP隐私合规、大数据交易沙箱、数据信托等细分赛道均存在较大的机会。
海云安能为数据管理新风向提供什么?
海云安个人隐私安全检测系统 为APP客户提供隐私合规检测服务,所依据的标准包括APP专项治理工作组以及工信部、网信办、公安部等部委自2019年以来,发布的一系列技术规范和标准文本。本服务提供最权威的政策和标准解读,输出APP评估报告,为企业给出可执行的具体整改意见,帮助企业未雨绸缪,避免相关合规问题该服务包含人工+工具方式,针对应用APP、微信公众号、小程序等,依据信息系统安全标准要求、法律法规,使用最先进的安全测试度量技术进行其安全性评估。安全评估从应用自身安全、业务操作安全、通讯数据安全、服务端安全等方面360度全面无死角发现APP安全漏洞、违规收集、使用权限等敏感行为问题,共计110+检测项。帮助企业技术人员解决移动应用安全问题;从而满足监管合规要求。