时间:2024-10-09 作者:奇安信集团
2024年9月30日,国务院总理李强签署国务院令,公布《网络数据安全管理条例》(以下简称《条例》),自2025年1月1日起施行。《条例》旨在规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益。
奇安信集团副总裁、数据安全首席科学家刘前伟表示,《条例》是贯彻落实总体国家安全观的重要举措,数据安全是总体国家安全观的重要组成部分,数据安全牵一发而动全身,完善数据安全管理不仅关乎数据本身作为重要生产要素的开发利用与安全问题,而且与国家主权、国家安全、社会秩序、公共利益休戚相关。
《条例》共9章64条,设定了网络数据安全的底线,划清了网络数据安全的红线。刘前伟认为,《条例》的最大意义在于,它不仅明确了网络数据安全管理的一般规定,完善了网络数据分类分级保护制度,明确了分类分级保护,细化了网络数据处理活动制度要求,还进一步完善细化了个人信息保护、重要数据安全管理、网络数据跨境安全管理、网络平台服务提供者义务等方面的具体要求,也明确网络数据安全的责任,为提升网络数据安全治理体系提供了更有可操作性的法治保障。
可以说,《条例》的出台,全面夯实了数据安全制度法制根基,进一步健全数据安全法律法规体系,为行业发展提供了更实操、更细致的建设落地指引。
《条例》是网络强国思想的重要贯彻
刘前伟表示,《条例》深入贯彻了网络强国的重要思想,在总体思路上主要把握了以下四点:
一是坚持党的领导,全面贯彻党的二十大和二十届二中、三中全会精神,将关于网络数据安全管理的重要指示批示精神以及党中央、国务院决策部署等落实到具体条文中。
二是坚持总体国家安全观,统筹发展和安全,既加强网络数据安全保护,又鼓励和促进网络数据依法合理有效利用。
三是坚持问题导向,聚焦个人信息、重要数据、网络数据跨境流动等方面突出问题,有针对性地健全制度措施。
四是坚持统筹协调,妥善处理与《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等上位法的关系,对相关制度规定予以细化、补充和完善。
《条例》五大重点为行业发展“提速”
《条例》从五个方面,对数据安全相关法律法规进行了丰富和细化,重点强化了落地实践和行动指南,将对推动产业发展产生“立竿见影”的实质性影响。
首先,《条例》对重要数据进行了明确的要求和规定。
为了保障重要数据安全,《条例》一是明确制定重要数据目录的要求,规定网络数据处理者识别、申报重要数据义务。二是规定网络数据安全负责人和网络数据安全管理机构责任。三是要求提供、委托处理、共同处理重要数据前进行风险评估,并明确重点评估内容。四是要求重要数据的处理者每年度对其网络数据处理活动开展风险评估,并明确风险评估报告内容。
其次,《条例》重点细化了《中华人民共和国个人信息保护法》关于告知、同意、个人行使权利等方面的规定。
个人信息保护一直是近年来社会各界关注的焦点,《条例》从几个方面进行了细化:一是明确通过制定个人信息处理规则履行告知义务的内容、形式等要求。二是明确基于个人同意处理个人信息应当遵守的基本要求。三是明确行使个人信息查阅、复制、更正、补充、删除等权利的要求,细化个人信息转移的具体条件。四是明确按照《中华人民共和国个人信息保护法》第五十三条规定在境内设立专门机构或者指定代表的要求。五是明确网络数据处理者处理1000万人以上个人信息还应当履行的义务。
再次,《条例》进一步优化数据跨境流动机制。
《条例》在总结《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等部门规章制定实施经验基础上,进一步优化数据跨境流动机制:
一是明确国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制,研究制定国家网络数据出境安全管理相关政策,协调处理网络数据出境安全重大事项。二是规定网络数据处理者可以向境外提供个人信息的条件,明确未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。三是明确网络数据处理者通过数据出境安全评估后向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。此外,还规定国家采取措施,防范、处置网络数据跨境安全风险和威胁。
第四,《条例》明确了网络平台服务提供者责任义务。
网络平台服务提供者在数据安全建设落实中起着非常关键的作用。《条例》一是规定了网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者的网络数据安全保护义务,并要求提供应用程序分发服务的网络平台服务提供者建立应用程序核验规则并开展网络数据安全相关核验。二是针对当前个性化推荐服务关闭难、收集个人信息类型多、个人精准画像数据滥用等问题,明确网络平台服务提供者应当设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。三是明确国家推进网络身份认证公共服务建设,按照政府引导、用户自愿原则进行推广应用。鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息。四是规定大型网络平台服务提供者每年度发布个人信息保护社会责任报告、防范网络数据跨境安全风险的要求,以及明确不得利用网络数据、算法、平台规则等从事相关活动的义务。
最后,《条例》压实了网络数据处理者的主体责任。
责任压实是数据安全加速落地的重要前提。《条例》规定,国家网信部门负责统筹协调网络数据安全和相关监督管理工作。公安机关、国家安全机关依照有关法律、行政法规和本条例的规定,在各自职责范围内承担网络数据安全监督管理职责,依法防范和打击危害网络数据安全的违法犯罪活动。国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责。各地区、各部门对本地区、本部门工作中收集和产生的网络数据及网络数据安全负责。各有关主管部门承担本行业、本领域网络数据安全监督管理职责。
数据安全建设需用体系化破解“数据三角”安全难题
近年来,全球范围内数据安全事件持续频发,造成的损失居高不下。根据IBM不久前发布的2024年《数据泄露成本报告》显示,全球数据泄露事件的平均成本在今年达到488万美元,而随着其破坏性越来越大,组织对网络安全团队的要求也进一步提高。与上一年相比,数据泄露带来的成本增加了10%,是自2020年来增幅最大的一年;70%的受访企业表示,数据泄露造成了重大或非常重大的损失。
奇安信安全专家认为,数据安全在网络空间安全中占据着核心位置,网络空间安全的不断升维,关键靠的是数据。数据安全出现问题,极容易出现“一失万无”。而保障数据安全的关键,是保障“数据三角”安全。“数据三角”由生产域、应用域、流通域组成,它们相互配合,驱动数字经济高速发展、数字社会稳定运行。同时,“数据三角”相互连通,安全风险各异,其中一个角不安全,各“数据角”都会不安全。
由于“数据三角”分属不同部门、使用不同的IT系统、各自建设不同的安全体系,这些孤立的安全体系腹背受敌,拉低了整个“数据三角”的安全系数。同时,“数据三角”的安全风险相互交织,安全防护互为支撑,缺一不可。如果只是进行孤立的防御,无法应对日益严峻的安全挑战,开展体系化的网络安全建设势在必行。
体系化的网络安全建设是一项复杂的系统工程,这其中包括:在全局自主可控方面,强化自主研发的安全产品体系;在各角纵深防御方面,建立纵深防御的内生安全体系;在各角精准防护方面,建立全链条的数据安全防护体系,例如部署奇安天盾数据安全保护系统,达到让数据“能看清、能管好、能防住”的效果;在同级统一管控方面,建立“数据三角”一体化安全中心;在各层级协同联动方面,构建“三级联动”态势感知指挥体系。只有将这些工作落到实处,弥补“数据三角”各自为战造成的安全漏洞,才能顺应《条例》的政策趋势,在数字化时代取得发展和安全之间的最佳平衡。
不久前,奇安信成功中标“东数西算”某算力枢纽数据中心集群一体化安全保障项目,项目规模为数千万元。该项目不仅为奇安信助力“东数西算”工程网络安全建设打造了重要标杆,同时还入选了国家数据局首批全国一体化算力网应用优秀案例集。根据IDC、赛迪等研究机构显示,奇安信在数据安全领域连续多年处于市场领先地位。
95015服务热线
微信公众号