原標(biāo)題：淺議《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》與《數(shù)據(jù)安全法》之比較（上篇）

 

　　近日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》(以下簡稱《條例》),這是繼《數(shù)據(jù)安全法》生效實施之后,我國正在起草的又一項重要數(shù)據(jù)安全法規(guī)�！稐l例》作為行政法規(guī),是銜接《數(shù)據(jù)安全法》和數(shù)據(jù)安全管理實踐的橋梁,其通過對數(shù)據(jù)安全基本管理制度的一系列發(fā)展,強化落實,旨在鞏固和提升我國數(shù)據(jù)安全保護成效。

 

　　本文將立足《條例》與《數(shù)據(jù)安全法》所設(shè)立重要制度的比較進行分析:上篇重點分析《條例》對數(shù)據(jù)安全六項重要制度的發(fā)展,下篇重點分析《條例》對數(shù)據(jù)安全兩項重要制度的創(chuàng)新。

 

　　一、《條例》對數(shù)據(jù)安全制度發(fā)展的兩個特點

 

　　對于數(shù)據(jù)安全保護,《數(shù)據(jù)安全法》搭建了初步的基本制度框架。這一框架主要涵蓋數(shù)據(jù)分類分級保護制度、數(shù)據(jù)安全審查制度、數(shù)據(jù)安全風(fēng)險管理制度、數(shù)據(jù)安全應(yīng)急處置機制、數(shù)據(jù)出口管制和對等反制機制等6項數(shù)據(jù)安全保護制度和機制。

 

　　總體來看,《條例》作為《數(shù)據(jù)安全法》的下位行政法規(guī),對于數(shù)據(jù)安全保護制度的發(fā)展主要體現(xiàn)了兩個特點:一是對已有制度加以沿襲、細化和完善,如數(shù)據(jù)分級分類制度、數(shù)據(jù)安全審查制度等;二是從數(shù)據(jù)保護需求出發(fā),進行制度探索創(chuàng)新,如數(shù)據(jù)安全審計制度等。

 

　　二、《條例》對數(shù)據(jù)安全制度的發(fā)展延伸

 

　　《條例》對《數(shù)據(jù)安全法》所設(shè)立重要制度的發(fā)展延伸主要包括六項,逐項分析如下。

 

　　(一)數(shù)據(jù)分類分級保護制度

 

　　《條例》對于數(shù)據(jù)分級分類制度的發(fā)展,主要體現(xiàn)在明確數(shù)據(jù)分級、細化保護類型和要求、明確保護方式三個方面。

 

　　一是明文規(guī)定了數(shù)據(jù)的三個分級。即:“將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)”(《條例》第五條);而《數(shù)據(jù)安全法》對于數(shù)據(jù)的分級,并未集中明確界定,只是在相關(guān)的條文中提及“重要數(shù)據(jù)”、“核心數(shù)據(jù)”,且也沒有“一般數(shù)據(jù)”的表述(涉及到的條文主要是《數(shù)據(jù)安全法》第二十一條)�！稐l例》用明文規(guī)定的方式確定了數(shù)據(jù)級別,有助于統(tǒng)一認(rèn)識,為后續(xù)數(shù)據(jù)分級保護工作的開展奠定理論共識基礎(chǔ)。

 

　　二是細化了數(shù)據(jù)分級分類保護的類型和要求。首先,明確了保護類型——重點保護、嚴(yán)格保護,即“國家對個人信息和重要數(shù)據(jù)進行重點保護,對核心數(shù)據(jù)實行嚴(yán)格保護”(第五條第二款)。其次,細化了保護要求,《條例》通過設(shè)立專章(第四章 重要數(shù)據(jù)安全)對“重點保護”的要求進行了細化分解,對重要數(shù)據(jù)處理者規(guī)定了目錄報備要求、專職機構(gòu)要求、備案要求、培訓(xùn)要求、安全評估要求、轉(zhuǎn)移審批要求、采購要求等7大類15小項(第二十七條至第三十四條)具體義務(wù)規(guī)定。

 

　　三是明確保護方式。即制定重要數(shù)據(jù)和核心數(shù)據(jù)目錄,并進一步明確了目錄制定單位和工作機制。“各地區(qū)、各部門...組織制定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)目錄,并報國家網(wǎng)信部門”(第二十七條)。與《數(shù)據(jù)安全法》相比,《條例》對數(shù)據(jù)目錄的制定主體、報備部門都做出了進一步明確。

　　(二)數(shù)據(jù)安全風(fēng)險管理制度

 

　　《條例》對數(shù)據(jù)安全風(fēng)險管理制度的發(fā)展,主要體現(xiàn)在強化評估報告、明確行業(yè)評估監(jiān)管、加強個人信息保護風(fēng)險監(jiān)測義務(wù)三個方面。

 

　　一是拓展了《風(fēng)險評估報告》的相關(guān)要求。首先,擴充了《數(shù)據(jù)安全法》規(guī)定的風(fēng)險評估報告主體,在原有的“重要數(shù)據(jù)處理者”之外,增加了“赴境外上市的數(shù)據(jù)處理者”一類主體。其次,明確了報告的時間頻次和報告機制要求,規(guī)定數(shù)據(jù)安全風(fēng)險評估報告每年開展一次,評估模式可自行開展也可委托第三方機構(gòu)開展,報告接收部門為“設(shè)區(qū)的市級網(wǎng)信部門”。再次,細化了風(fēng)險評估報告內(nèi)容要求,具體要求分為一般評估和重點評估兩類:《條例》第三十二條第一款提出了一般評估報告的8項內(nèi)容要求;該條第四款明確了對于“數(shù)據(jù)處理者開展共享、交易、委托處理、向境外提供重要數(shù)據(jù)的安全評估”還要完成的5項重點評估內(nèi)容。

 

　　二是進一步細化了行業(yè)評估監(jiān)管要求�！稐l例》第五十五條第五款規(guī)定“主管部門應(yīng)當(dāng)定期組織開展本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全風(fēng)險評估”,主管部門主要是指第三款的“工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門”;明確了行業(yè)數(shù)據(jù)安全風(fēng)險評估的對象和目的是“對數(shù)據(jù)處理者履行數(shù)據(jù)安全保護義務(wù)情況進行監(jiān)督檢查,指導(dǎo)督促數(shù)據(jù)處理者及時對存在的風(fēng)險隱患進行整改”。

 

　　三是強化了個人信息保護風(fēng)險監(jiān)測義務(wù)。除了對《數(shù)據(jù)安全法》風(fēng)險評估報告、監(jiān)管要求的細化,《條例》還從加強個人信息保護的角度,對個人信息處理者規(guī)定了數(shù)據(jù)風(fēng)險監(jiān)測的義務(wù)。主要包括:在個人信息保護規(guī)則中加入個人信息安全風(fēng)險防護措施(第二十條)、個人信息轉(zhuǎn)移處理時的風(fēng)險提示義務(wù)(第二十四條)等。

　　(三)數(shù)據(jù)安全應(yīng)急處置機制

 

　　對于數(shù)據(jù)安全應(yīng)急,《數(shù)據(jù)安全法》提出了“國家建立數(shù)據(jù)安全應(yīng)急處置機制”的總體要求;《條例》對其的發(fā)展延伸,主要體現(xiàn)在對主管部門、行業(yè)管理者、數(shù)據(jù)處理者三方主體,分別明確了數(shù)據(jù)應(yīng)急機制、數(shù)據(jù)應(yīng)急預(yù)案、數(shù)據(jù)應(yīng)急處置三個方面的內(nèi)容完善。

 

　　一是建立數(shù)據(jù)安全應(yīng)急機制。從主管部門角度,《條例》規(guī)定“國家建立健全數(shù)據(jù)安全應(yīng)急處置機制”(第五十六條),明確“將數(shù)據(jù)安全事件納入國家網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機制”中,包括納入到“網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案和網(wǎng)絡(luò)安全信息共享平臺”、“國家網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機制”。

 

　　二是建立健全行業(yè)數(shù)據(jù)安全應(yīng)急預(yù)案。從行業(yè)管理部門角度,《條例》規(guī)定“主管部門應(yīng)當(dāng)明確本行業(yè)、本領(lǐng)域數(shù)據(jù)安全保護工作機構(gòu)和人員,編制并組織實施本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全規(guī)劃和數(shù)據(jù)安全事件應(yīng)急預(yù)案(五十五條第四款)。此規(guī)定亦可認(rèn)為是一種管理授權(quán),即授權(quán)行業(yè)管理部門組織制定本行業(yè)領(lǐng)域的數(shù)據(jù)安全事件應(yīng)急預(yù)案。

 

　　三是完善數(shù)據(jù)應(yīng)急義務(wù)體系。從數(shù)據(jù)處理者角度,《條例》對數(shù)據(jù)安全主體責(zé)任義務(wù)進行了補充完善,主要包括“數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)安全應(yīng)急處置機制”(第十一條)、重要數(shù)據(jù)處理者應(yīng)“定期組織開展數(shù)據(jù)安全應(yīng)急演練等活動”(第二十八條)。

　　(四)數(shù)據(jù)安全審查制度

 

　　與《數(shù)據(jù)安全法》相比,《條例》對于數(shù)據(jù)安全審查制度的發(fā)展,主要體現(xiàn)在明確了適用條件和發(fā)起流程,不僅細化了法規(guī)要求,也在法律適用上保持了同正在修訂的《網(wǎng)絡(luò)安全審查辦法》的銜接一致。

 

　　一是明確了數(shù)據(jù)安全審查的適用條件。《條例》第十三條規(guī)定了適用數(shù)據(jù)安全審查的4種情形,可歸納為“影響或可能影響國家安全的”和“境外國外相關(guān)的”兩類。前者包括“特定平臺運營者實施的合并重組或分立”、“數(shù)據(jù)處理者赴香港上市”;后者包括“處理一百萬人以上個人信息的數(shù)據(jù)處理者赴國外上市”。相比而言,后者要求更為嚴(yán)格,只要有該行為發(fā)生就應(yīng)進行數(shù)據(jù)安全審查申報,而不論其是否對國家安全造成影響或威脅。

 

　　二是明確了數(shù)據(jù)安全審查的流程。這是對數(shù)據(jù)安全審查在程序方面要求的完善和延伸,《條例》第十三條規(guī)定數(shù)據(jù)處理者在滿足審查適用條件時“應(yīng)當(dāng)按照國家有關(guān)規(guī)定,申報網(wǎng)絡(luò)安全審查”�？梢�,數(shù)據(jù)安全審查的發(fā)起是由數(shù)據(jù)處理者進行“申報”。同時,此條所指的“國家有關(guān)規(guī)定”,應(yīng)當(dāng)包括《網(wǎng)絡(luò)安全審查辦法》在內(nèi),且從其內(nèi)容看,《條例》與《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)》也保持了一致。

　　(五)數(shù)據(jù)出口管制和反制機制

 

　　《條例》界定了“出口管制數(shù)據(jù)”的內(nèi)涵。在出口管制和投資貿(mào)易歧視措施的反制相關(guān)制度方面,《條例》未對《數(shù)據(jù)安全法》相關(guān)規(guī)定做過多發(fā)展,僅是《條例》在第七十三條中,給出了“出口管制數(shù)據(jù)”的具體涵義。即“出口管制數(shù)據(jù),出口管制物項涉及的核心技術(shù)、設(shè)計方案、生產(chǎn)工藝等相關(guān)的數(shù)據(jù),密碼、生物、電子信息、人工智能等領(lǐng)域?qū)�國家安全、�?jīng)濟競爭實力有直接影響的科學(xué)技術(shù)成果數(shù)據(jù)”。

 

　　該條款主要對應(yīng)了《數(shù)據(jù)安全法》第二十五條“國家對與維護國家安全和利益、履行國際義務(wù)相關(guān)的屬于管制物項的數(shù)據(jù)依法實施出口管制”之規(guī)定。且從該條款所在位置來看,《條例》將“出口管制數(shù)據(jù)”明確列為7類“重要數(shù)據(jù)”其中之一。同時,此處所指“出口管制物項”,應(yīng)遵循了《中華人民共和國出口管制法》的有關(guān)界定,即:“出口管制物項主要是指(軍民)兩用物項、軍品、核以及其他與維護國家安全和利益、履行防擴散等國際義務(wù)相關(guān)的貨物、技術(shù)、服務(wù)等物項”。

　　(六)數(shù)據(jù)交易管理制度

 

　　《條例》對數(shù)據(jù)交易管理制度的發(fā)展完善,主要體現(xiàn)在進一步明確強調(diào)了數(shù)據(jù)交易機構(gòu)的準(zhǔn)入管理。

 

　　《條例》第七條第二款指出,“國家建立健全數(shù)據(jù)交易管理制度,明確數(shù)據(jù)交易機構(gòu)設(shè)立、運行標(biāo)準(zhǔn)”。而《數(shù)據(jù)安全法》對于數(shù)據(jù)交易管理制度,主要是明確了該制度的立法目的“規(guī)范數(shù)據(jù)交易行為,培育數(shù)據(jù)交易市場”,并對數(shù)據(jù)交易中介機構(gòu)的行為提出了初步規(guī)范要求“數(shù)據(jù)交易中介服務(wù)機構(gòu)應(yīng)當(dāng)要求數(shù)據(jù)提供方說明數(shù)據(jù)來源,審核交易雙方的身份,并留存審核、交易記錄”。可見,《條例》對該制度的發(fā)展,重在提出了主體準(zhǔn)入要求。相信后續(xù)國家相關(guān)部門會發(fā)布專門的管理規(guī)定或規(guī)范,對數(shù)據(jù)交易機構(gòu)的設(shè)立條件、流程和管理機制等提出更加詳細的要求。