国务院审议通过《网络数据安全管理条例(草案)》,领信数科数据安全全系列产品深耕落地

据央视新闻联播报道,8月30日,李强主持召开国务院常务会议,审议通过《网络数据安全管理条例(草案)》(以下简称《条例》)。会议指出,要对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。

一、条例框架

该条例由国家网信办组织起草。2021年11月14日,国家网信办曾就《网络数据安全管理条例》(征求意见稿)公开征求意见,共九章七十五条,从个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等多方面,作了详细规定。

二、场景解读

数据跨境安全管理和互联网平台运营者义务,是网络数据安全的两大典型场景,而在这两个场景里,数据分类分级、数据安全评估、对紧急数据安全事件的感知和处理又是串联始终的管理和安全举措。

01

数据跨境安全管理

针对数据跨境安全管理,《条例》第五章的第三十五条-第四十二条对其做了比较明确的规定,体现出我国对数据跨境安全管理的高度重视。
例如《条例》第三十五条明确提出,数据可以跨境流通,首先应当要通过国家网信部门组织的数据出境安全评估以及其他审查需求,包括数据处理者和数据接收方的个人信息认证、与境外数据接收方合同订立、权利与义务等都需要进行审查和满足规定的条件。
《条例》第三十六条提出,“数据处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项,并取得个人的单独同意。
(单独同意:是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。
数据处理者:是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。)
《条例》第三十七条明确提出,数据处理者向境外提供数据应当履行,不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息,以及不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据等义务。非经中华人民共和国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
《条例》第四十条明确提出,向境外提供个人信息和重要数据的数据处理者,应当在每年编制数据出境安全报告,并在1月31日前向市级网信部门报告上一年度的数据出境情况,报告应包括接收方的名称与联系方式、数据出境后再转移的情况、数据在境外的存放地点、存储期限、数据出境后再转移的情况等。
在数字化时代,数据安全关乎国家稳定、经济发展与人民福祉,必须严格管控数据跨境流动。《条例》的审议通过,也充分体现出我国坚守数据安全大前提的战略构想。
此外,《条例》第四十一条提出,国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。《条例》第四十二条提出,数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求,建立健全相关技术和管理措施。
(数据跨境安全网关:是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。)

02

互联网平台运营者义务

《条例》第四十三条提出,互联网平台的平台规则、隐私政策发生重大更新时需要公示三十日,并广泛听取用户的建议;日活超过一亿的大型平台还应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
《条例》第四十四条指出,互联网平台运营者还需要承担第三方数据安全管理责任,且“第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿”,这点对于移动通信终端和预装APP同样适用。
《条例》第二十条规定,“数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗。”这一措施将有效解决用户在使用互联网产品时“服务协议”和“隐私政策”又长又难懂的情况,避免发生因协议或政策解读不一致导致的用户数据被平台运营者违规使用的情况。
《条例》第二十一条规定,“处理个人信息应当取得个人同意”,同时明确“不得使用概括性条款取得同意”;“敏感个人信息应当取得个人单独同意”;“处理不满十四周岁未成年人的个人信息,应当取得其监护人同意”;“不得以胁迫、误导、欺诈、捆绑、批量处理、频繁征求等方式获取个人同意处理器个人信息等。”《条例》从用户的角度出发,维护了用户应有的权利,让他们可以对互联网平台的不合理要求说“不”。同时也对互联网平台的运营者提出了具体的要求,促进他们做好安全合规工作。
《条例》第二十四条要求在转移个人信息时,互联网平台应确定这些个人信息的范畴,包括确定是本人信息,或已获得且不违背他人意愿的他人信息,在信息转移时还需要确认请求人的合法身份,给予相应的风险提示,避免因此造成个人信息泄露事件。

近年来,因互联网平台运营者而导致的数据泄露事件屡见不鲜,主要是因为平台运营者缺乏必要的数据安全防护措施。《条例》的出现会有效改变这一现状,能否保证用户数据安全将会成为用户选择互联网平台的重要衡量指标之一。

三、产品助力

领信数科经过在数据安全领域多年的技术和业务沉淀,打磨出了若干个强有力的数据安全产品,能够助力用户解决上述两大场景内多种数据安全问题,为用户的数据安全保驾护航。

01

安全制度和技术保护

《条例》第五条指出国家建立分类分级标准,各地区、各部门及相关行业应进行数据分类分级管理;第六条、第七条、第十六条明确提出,数据处理者应依照国家法律法规和标准,建立完善数据安全管理制度和技术保护机制,国家应建立健全数据交易管理制度和数据安全管理制度。
领信数科羚睿数据安全智脑,通过对资产管理、账号管理、异构管理、策略调度、活动监测、合规通报六大能力的一体化集成,配合分类分级、水印、脱敏等工具,打破数据安全工具能力孤岛,形成统一的数据安全调度策略及联动场景,强化数据安全技术措施有效落地产生安全正收益成果。

02

数据安全评估

《条例》第三十二条提出,处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。
领信数科羚见数据安全检查工具箱,是一款核心资产全面发现与测绘、脆弱性扫描分析、API流量探测及风险识别、敏感数据探测、法律法规合规检查等多种功能于一体的数据安全检查工具,通过对单位内网进行全方位的数据安全检查后输出全面的风险评估报告,为后续的安全整改提供决策依据。

03

风险预警和应急响应

《条例》第五十六条提出,国家建立健全数据安全应急处置机制,完善网络安全事件应急预案和网络安全信息共享平台,将数据安全事件纳入国家网络安全事件应急响应机制,加强数据安全信息共享、数据安全风险和威胁监测预警以及数据安全事件应急处置工作。
领信数科羚见数据安全态势感知平台通过深度整合多元化数据源,运用先进的关联分析、行为建模、机器学习算法、日志深度还原及直观的可视化技术,实现了对数据安全风险的全面洞察与深度挖掘。不仅能精准识别潜在的数据安全隐患,还能前瞻性地预测攻击趋势,为企业数据安全保驾护航,提供即时、精准的安全预警与应急响应策略。
值得一提的是,羚见数据安全态势感知平台通过与领信数科另一创新产品——羚迹数据流转监测系统(DTA)的强强联合,构建数据出境对账管理的闭环体系,建立起强大的出境数据对账分析能力,确保企业能够轻松应对数据出境的合规性审查需求,不仅提升了数据出境管理的透明度与合规性,也为企业在全球化背景下稳健运营提供了坚实保障。

 结语 

随着大数据、物联网、人工智能等新兴技术的发展和应用,数据的价值正在不断上升,不仅是驱动企业发展的核心要素,也直接关系到我国的经济发展、公共利益和国家安全。

《条例》的出台,不仅是对《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三部上位法的补充和说明,也对于构建完善的数据安全治理体系、保障国家和人民的数据安全权益、推动数字经济的繁荣发展具有深远的意义和影响,它将为网络数据处理活动提供全面的法律保障和规范指导,促进数据安全和隐私保护工作的深入开展。

 
 

 

NEWS

新闻动态

首页    深度解读    国务院审议通过《网络数据安全管理条例(草案)》,领信数科数据安全全系列产品深耕落地