公司新闻 火狐体育app:《重要数据识别指南(征求意见稿)》及“重要数据”立法趋势的相关影响 来源:火狐体育最新官网登录入口 作者:火狐体育app 发表时间: 2022-12-06 12:35:14

  1月13日,全国信息安全标准化技术委员会发布《信息安全技术 重要数据识别指南》(征求意见稿) (以下称“《指南》征求意见稿”)。 此次形成的征求意见稿对“重要数据”进行了较此前更为明确的范围界定。涉及相关业务的中国企业应当高度关注征求意见稿的有关内容及后续发展,结合自身业务活动判断适用性,并在有必要时积极提交对《指南》征求意见稿的评论意见。

  走出去智库(CGGT)特约法律专家、北京大成总部高级合伙人蔡开明指出,在目前数据合规立法逐步完善、法律法规逐步正式实施的背景下,建议中国企业加速对自身业务中涉及的数据处理活动的数据地图梳理工作,结合企业对已生效的法律法规、重要标准以及相关的征求意见稿,确认各项要求与自身业务场景中的适用性,甄别应当履行的法律义务。

  今天,走出去智库(CGGT)刊发蔡开明律师团队针对《指南》征求意见稿的分析文章,供关注数据合规管理的读者参阅。

  1、根据《指南》征求意见稿,重要数据指“以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据”,且明确排除了国家秘密和单独的个人信息,体现了有关重要数据的立法趋势。此外,《指南》征求意见稿明确说明“基于海量个人信息形成的统计数据、衍生数据”,例如基于海量用户个人信息形成的市场趋势判断、市场喜好判断等,有可能属于重要数据。

  2、《指南》征求意见稿最终发布版本形成的重要数据定义、识别基本原则及识别因素将作为监管部门制定重要数据目录的重要参考依据,同样也是相关企业识别自身业务活动中所掌握的重要数据的重要参考标准。

  3、各类国家标准、监管部门的执法案件以及立法部门发布的征求意见稿能够最准确地反映主管部门及中国学界对于数据合规立法、法律解释方面的最新态度。我们建议相关企业在内部部署法律法规及标准动态监控,并在有需要时咨询专业机构,从而更有效地把控合规工作的进展方向。

  2022年1月13日,全国信息安全标准化技术委员会归口的国家标准《信息安全技术 重要数据识别指南》已形成征求意见稿(以下称“《指南》征求意见稿”),并向社会公开征求意见,征求意见截止日期为2022年3月13日24:00。

  此次形成的征求意见稿对“重要数据”进行了较此前更为明确的范围界定。“重要数据”是《数据安全法》所建立的数据安全制度中的重要概念之一,且中国数据安全相关法律法规明确了重要数据处理者应当履行的特别义务(例如,《数据安全法》中有关重要数据处理者应履行的特别保护义务,以及《网络安全法》中有关重要数据跨境传输的相关义务等),并设置了严格的违规处罚措施。因此,涉及相关业务的中国企业应当高度关注征求意见稿的有关内容及后续发展,结合自身业务活动判断适用性,并在有必要时积极提交对《指南》征求意见稿的评论意见。

  “重要数据”的概念首次在2016年11月发布的《网络安全法》中提出,并对重要数据的某些跨境传输、特别安全保护义务提出了具体要求,但是《网络安全法》没有就重要数据的定义予以具体的界定,在实际的认定中也存在模糊的情形。

  国家互联网信息办公室后续于2017年4月发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》,明确了重要数据的范围,即“指与国家安全、经济发展,以及社会公共利益密切相关的数据”,并指出“具体范围参照国家有关标准和重要数据识别指南”,奠定了《重要数据识别指南》及有关国家标准在重要数据的范围界定方面的重要意义,即使该标准属于推荐性国家标准。

  2020年8月31日,全国信息安全标准化技术委员会发文正式征集符合条件的组织参编《信息安全技术 重要数据识别指南》,并正式开始了该标准的制定工作。一份日期标记为2021年9月23日的非官方公开《重要数据识别指南(征求意见稿)》(以下称“2021年版本”)延续了《个人信息和重要数据出境安全评估办法(征求意见稿)》中对重要数据的界定范围。但是,2022年1月13日全国信息安全标准化技术委员会发布了正式的《指南》征求意见稿,其中重要数据的界定范围发生了重大的变更。

  《指南》征求意见稿与近期发布的《网络数据安全管理条例(征求意见稿)》中有关重要数据的定义保持一致,即重要数据指“以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据”,且明确排除了国家秘密和单独的个人信息,体现了有关重要数据的立法趋势。此外,《指南》征求意见稿明确说明“基于海量个人信息形成的统计数据、衍生数据”,例如基于海量用户个人信息形成的市场趋势判断、市场喜好判断等,有可能属于重要数据。以上界定首先将重要数据限定在电子数据的范畴内,并解决了此前公众对大量个人信息是否直接构成重要数据的疑惑,同时继承了《数据安全法》将国家秘密相关数据排除在数据安全保护法律法规适用范围之外的原则,相较于此前的界定更为清晰。

  在该定义下,若发生数据安全事故“可能危害国家安全、公共利益的数据”成为重要数据的主要界定标准。鉴于该界定仍较为概括,本文将结合《指南》征求意见稿其他内容就可能构成重要数据的范围进行进一步解读。

  《数据安全法》要求国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。为落实《数据安全法》等法律法规的要求,加快推动各行业领域数据安全保护能力,已有部分直辖市及省份制定了数据安全相关的条例(例如,《上海市数据条例》《湖南省网络安全和信息化条例》等),并明确将按照国家有关要求和标准组织制定数据分类分级指南以及重要数据目录。此外,工业和信息化部还就工业和信息化领域数据安全管理工作的制度化、规范化,制定了《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》,明确实施数据分类分级管理,将工业和电信数据分为一般数据、重要数据和核心数据三级,且将制定相应的数据目录。

  目前,虽然有关地区与行业暂未在法规或标准中正式制定重要数据目录,但是我们判断,《指南》征求意见稿最终发布版本形成的重要数据定义、识别基本原则及识别因素将作为监管部门制定重要数据目录的重要参考依据,同样也是相关企业识别自身业务活动中所掌握的重要数据的重要参考标准。

  1) 聚焦安全影响:从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据,只对组织自身而言重要或敏感的数据不属于重要数据,如企业的内部管理相关数据;

  2) 突出保护重点:通过对数据分级,明确安全保护重点,使一般数据充分流动,重要数据在满足安全保护要求前提下有序流动,释放数据价值;

  3) 衔接既有规定:充分考虑地方已有管理要求和行业特色,与地方、部门已经制定实施的有关数据管理政策和标准规范紧密衔接;

  4) 综合考虑风险:根据数据用途、面临威胁等不同因素,综合考虑数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险,从保密性、完整性、可用性、真实性、准确性等多个角度识别数据的重要性;

  5) 定量定性结合:以定量与定性相结合的方式识别重要数据,并根据具体数据类型、特性不同采取定量或定性方法。

  6) 动态识别复评:随着数据用途、共享方式、重要性等发生变化,动态识别重要数据,并定期复查重要数据识别结果。

  以上重要数据识别基本原则确认了重要数据识别的角度为宏观层面,强调了数据应根据分级实施安全保护管理,且应与地方、部门制定实施的重要数据目录及安全管控政策有机地衔接。在实施具体的识别工作中,还应当综合数据用途、面临威胁等不同因素,并以定量与定性相结合的方式进行动态识别。

  《指南》征求意见稿还提出了识别重要数据时,应当考虑的识别因素,进一步明确了重要数据的界定范围。《指南》征求意见稿该部分替代了2021年版本中所提出的“重要数据的特征”部分,即提出与经济运行相关、与人口与健康相关、与自然资源与环境相关、与科学技术相关、与安全保护相关、与应用服务相关、与政务活动相关的属于重要数据的内容。对于此变化,根据《指南》征求意见稿主要起草人中国信息安全研究院副院长左晓栋所述,《指南》征求意见稿的拟定参照了美国《国家安全系统识别指南》从后果及影响角度来判断其是否属于重要数据,放弃了按照行业分类的方式,从而避免在制定重要数据国家标准时设置不必要的限制,实质上将更多保留了各地区、各部门的最终界定权利,从而实现该标准的指导性功能,减轻该标准的行政色彩。

  值得注意的是,2021年版本中所提出的“重要数据的特征”仍在重要数据界定中具有一定参考意义,但是鉴于其将大概率不会再出现在正式标准的文本内,将不具有任何直接约束力。

  结合此次发布的《指南》征求意见稿以及《网络数据安全管理条例(征求意见稿)》中有关对重要数据识别的进一步解释,我们判断在未来立法趋势中,《重要数据识别指南》将作为各地区、各部门识别重要数据,制定重要数据目录的主要标准,主要的重要数据识别因素为“可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、、海外利益、生物、太空、极地、深海等安全的数据”,我们初步判断,业务活动涉及以上领域企业应当特别关注重要数据相关的立法动态。此外,《指南》征求意见稿还提供了具体的识别因素示例,该等示例与《网络数据安全管理条例(征求意见稿)》中所举出的重要信息范围基本一致,但相对更为细化,主要包括以下:

  2) 支撑关键基础设施运行或重点领域工业生产,如直接支撑关键基础设施所在行业、领域核心业务运行或重点领域工业生产的数据属于重要数据;

  3) 反映关键信息基础设施网络安全保护情况,可被利用实施对关键信息基础设施的网络攻击,如反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据属于重要数据;

  4) 关系出口管制物项,如描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告属于重要数据;

  5) 可能被其他国家或组织利用发起对我国的军事打击,如满足一定精度要求的地理信息属于重要数据;

  6) 反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可能被、犯罪分子利用实施破坏,如反映重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防等情况的数据,以及未公开的专用公路、未公开的机场等的信息属于重要数据;

  7) 可能被利用实施对关键设备、系统组件供应链的破坏,以发起高级持续性威胁等网络攻击,如重要客户清单、未公开的关键信息基础运营者采购产品和服务情况、未公开的重大漏洞属于重要数据;

  8) 反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据;

  9) 国家自然资源、环境基础数据,如未公开的水情信息、水文观测数据、气象观测数据、环保监测数据属于重要数据;

  10) 关系科技实力、影响国际竞争力,如描述与国防、国家安全相关的知识产权的数据属于重要数据;

  11) 关系敏感物项生产交易以及重要装备配备、使用,可能被外国政府对我实施制裁,如重点企业金融交易数据、重要装备生产制造信息,以及国家重大工程施工过程中的重要装备配备、使用等生产活动信息属于重要数据;

  12) 在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息,如军工企业较长一段时间内的用车信息;

  值得注意的是,与2021年版本相比较,《指南》征求意见稿删去了“重要数据识别流程”的有关内容。根据《指南》征求意见稿主要起草人左晓栋所述,删去该内容的本意在于有关重要数据识别流程的内容具有一定的行政色彩,而《重要数据识别指南》更应强调的重点功能在于明确重要数据的范围。

  结合《网络数据安全管理条例(征求意见稿)》中有关重要数据处理者向设区的市级网信部门备案重要数据识别情况的要求,我们推断,重要数据的具体识别流程将由各主管部门根据实际情况及需要在地区、部门法规及行业标准中进一步制定。

  根据《网络数据安全管理条例(征求意见稿)》《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》等近期发布的文件,我们判断目前的立法趋势将重要数据与一般数据、核心数据概念并列认定为数据分级的等级之一。

  重要数据作为《数据安全法》所确立的数据分类分级制度中的重要概念,相关法律法规明确了重要数据处理者在履行一般数据安全保护义务以外应当履行的特别义务,并设置了严格的违规处罚措施。根据目前的立法情况及立法趋势,相关特别义务主要包括以下:

  根据《网络数据安全管理条例(征求意见稿)》的有关规定,数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,其中处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,并使用密码对重要数据进行保护。

  根据《数据安全法》的有关要求,重要数据处理者应当任命数据安全负责人和管理机构,以落实数据安全保护责任。若开展重要数据处理活动的主体未能履行该义务,可能会面临由有关主管部门责令改正,给予警告,直至责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,并处以二百万元以下的罚款。

  《网络数据安全管理条例(征求意见稿)》进一步规定了数据安全负责人的任职条件、履职职权,以及数据安全管理机构在数据安全负责人的领导下应当履行的职责,包括:

  根据《网络数据安全管理条例(征求意见稿)》的有关规定,重要数据的处理者应当根据本地区、本部门的制定的相关行业、领域重要数据目录识别自身持有的重要数据,并在识别其重要数据后的十五个工作日内向设区的市级网信部门备案,且若处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。备案内容包括:

  对于此,我们建议相关公司在报送重要数据识别结果时,结合《指南》征求意见稿中有关“重要数据描述格式”进行报送。

  《数据安全法》要求重要数据处理者对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。具体而言,风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。若开展重要数据处理活动的主体未能履行该义务,可能会面临由有关主管部门责令改正,给予警告,直至责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,并处以二百万元以下的罚款。根据《网络数据安全管理条例(征求意见稿)》的有关规定,我们理解该风险评估包含以下两类评估制度:

  我们理解,《网络数据安全管理条例(征求意见稿)》中针对处理重要数据的数据处理者应当履行的年度数据安全评估即源自以上要求。具体而言,根据该征求意见稿的要求,重要数据处理者每年应当自行或者委托数据安全服务机构开展一次数据安全评估,留存该风险评估报告至少三年,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,年度数据安全评估报告的内容包括:

  3) 数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性;

  此外需要关注的是,数据处理者需开展有关重要数据共享、交易、委托处理、向境外提供的安全评估,在安全评估当中重点评估以下内容,且若评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供相关重要数据:

  1) 共享、交易、委托处理、向境外提供数据,以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要;

  2) 共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险;

  3) 数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况,承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全;

  4) 与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务;

  除以上重要数据安全保护义务外,《网络数据安全管理条例(征求意见稿)》还就重要数据处理者的应急处置机制、数据安全培训计划、网络产品和服务采购,以及合并、重组、分立等方面应当履行的安全保护义务与向监管机关上报的要求进行了规范。

  根据《网络数据安全管理条例(征求意见稿)》的有关规定,数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当征得相关主管部门、网信部门同意,并同时应当遵守以下规定:

  1) 向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外;

  2) 与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督;

  3) 留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。

  根据《网络安全法》的要求,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储;若因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。后续出台的《数据安全法》明确了该要求仍适用。同时,《数据安全法》规定,其他数据处理者(即,非关键信息基础设施的运营者)在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,将由国家网信部门会同国务院有关部门制定。若违反《数据安全法》规定向境外提供重要数据,可能会面临由有关主管部门责令改正,给予警告,责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,并处一千万元以下的罚款。

  关于以上提及的重要数据出境安全评估,《网络数据安全管理条例(征求意见稿)》提出了整体规定,即数据处理者(无论是否属于“关键信息基础设施的运营者”)向境外提供在中华人民共和国境内收集和产生重要数据的,除非有关法律法规明确规定可以不进行安全评估,应当通过国家网信部门组织的数据出境安全评估后方可进行。该规定明确了所有重要数据处理者跨境重要数据前均需履行申请国家网信部门组织的数据出境安全评估的义务。这与最新修订发布的《网络安全审查办法》的国家安全风险因素重点评估对象与情形中,有关重要数据的内容相衔接,即重点评估风险因素为重要数据被窃取、泄露、毁损以及非法利用、非法出境的风险,在国外上市活动中重要数据被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险。

  根据《网络数据安全管理条例(征求意见稿)》的有关规定,数据处理者向境外提供重要数据应当确保不超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据。此外,国家网信部门会同国务院有关部门依职权核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示。

  根据《网络数据安全管理条例(征求意见稿)》的有关规定,向境外提供个人信息和重要数据的数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况:

  中国的数据保护、网络安全相关立法正处于逐步完善的进程当中,且相应的国家标准也正处于同步制定的阶段。首先,中国企业应当仔细研究、确保落实已经生效的各项法律法规(例如《数据安全法》《个人信息保护法》等)所提出的法定要求。特别地,各类国家标准、监管部门的执法案件以及立法部门发布的征求意见稿能够最准确地反映主管部门及中国学界对于数据合规立法、法律解释方面的最新态度。我们建议相关企业在内部部署法律法规及标准动态监控,并在有需要时咨询专业机构,从而更有效地把控合规工作的进展方向。

  在目前数据合规立法逐步完善、法律法规逐步正式实施的背景下,我们建议中国企业加速对自身业务中涉及的数据处理活动的数据地图梳理工作,结合企业对已生效的法律法规、重要标准以及相关的征求意见稿,确认各项要求与自身业务场景中的适用性,甄别应当履行的法律义务。

  以重要数据相关要求为例,企业应当结合自身的业务场景,根据有关法律法规及标准尽早定位自身持有的数据的行业分类,并对相应数据进行分级,确认属于重要数据的数据清单,理清重要数据涉及的全生命周期处理活动(如,是否存在共享、交易、委托处理、跨境传输等活动),从而定位企业需要履行的法定义务。

  虽然目前各地区及部门暂未发布如重要数据目录等数据合规相关的管理细则,暂未为企业的合规工作提供明确的方向,但是鉴于《数据安全法》已经与2021年9月正式实施,违反相关法律法规可能导致企业面临被处罚的后果,我们建议企业加强内部数据合规管理体系的建立与健全,启动数据分类分级、安全保护义务落实等工作,充分展示自身的合规意愿与努力。

上一篇:54个部门70余万条政务数据这里的社会治理正从“经验决策”变为“大数据决策”! 下一篇:政务数据共享的核心议题、研究进路与实践应用(上)
关注我们
©2022 火狐体育最新登录网址_官网app入口 京公网安备110177777720125 火狐体育最新登录网址|火狐体育app