请输入关键字
引言:
大数据时代下,几乎每个企业均涉及互联网运营,并且几乎每个企业在运营过程中不可避免地会涉及大量数据的产生、收集、存储和使用。因此,对于网络安全和数据安全的保护与监管,也是目前法律环境发展的一个重要方向,也对每个企业都提出了网络安全或数据安全的合规性要求。而对于企业运营过程中产生的一些特殊的,虽不构成国家秘密、但与国家安全、社会经济或公众利益息息相关而需要特殊保护的重要数据,可能对企业的合规性提出新要求。
实践中,我们也越来越频繁地收到客户对于重要数据和网络安全方面的咨询,目前以外国、外资客户或拟境外开展业务的国内企业居多,也可以看出网络或数据安全也正在给企业跨境运营、网络运营的合规性带来新的挑战。那么,什么是法律意义上的“重要数据”、重要数据目前的保护与监管如何、对企业的合规性要求又有哪些,本文试图通过梳理现行和未来生效法律法规的方式,提供一些法律层面的看法与建议。
|
一、重要数据的定义
根据我国现行法律,并无明确的对于重要数据的定义。
当然,我们可以在部委规章、行政法规等规范性文件,或各行业、各部门官方文件中经常看到重要数据被广泛提及,例如在涉及地理测绘信息、人口统计数据、电力信息、铁路运输信息等内容的文件中。重要数据也经常与国家安全、网络安全、数据保护、信息保护等场景联系在一起。然而,直至2016年11月7日《网络安全法》颁布后,对重要数据的保护才首次在法律层面上被明确规定,但是对于什么数据属于重要数据,法律依然没有明确定义。
尽管如此,我们也可看到一些处在征求意见阶段的规范性法律文件中,试图对重要数据做出明确,列举如下:
发布 时间 | 发文 单位 | 文件名称 | 定义 |
2017年 4月 11日 | 国家互联网信息办公室 | 《个人信息和重要数据出境安全评估办法(征求意见稿)》(“办法”) | 与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。[1] |
2017年 8月 30日 | 全国信息安全标准化技术委员会 | 《信息安全技术 数据出境安全评估指南(征求意见稿)》(“指南”) | 相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。[2] 同时,在指南在附录A《重要数据识别指南》中针对不同行业,将重要数据划分为27类,并对其进行了穷尽式的列举。[3] |
2019年 5月 28日 | 国家互联网信息办公室 | 《数据安全管理办法(征求意见稿)》 | 一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。[4] |
2020年 7月 3日 | 全国人大常委会 | 《数据安全法(草案)》 | 草案虽未对重要数据进行定义,但其中在规定数据“分级分类保护”时,具体划分标准为“根据数据在经济社会发展中的重要程度, 以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度”。[5] |
2020年 8月 28日 | 全国信息安全标准化技术委员会 | 《信息安全技术 网络数据处理安全规范(征求意见稿)》(“规范”) | 一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据,包括未公开的政府信息,数量达到一定规模的基因、地理、矿产信息等,原则上不包括个人信息、企业内部经营管理信息等。[6] |
综上,虽然现行法律尚未对重要数据做出明确定义,但从网络安全保护与监管角度而言,通常认为重要数据具有以下特征:
(1)不属于国家保密信息,但与国家安全、经济发展、社会稳定、公共利益密切相关;
(2)一旦遭到篡改、破坏、泄露或非法获取,可能危害国家安全、经济发展、社会稳定或公共利益;
(3)来源于与国家安全、经济发展、公共利益、民生等密切相关的各行业。
反之,对于具有以上特征的数据,很可能会被认定为重要数据,从而需收集、使用上述数据的企业遵守相关网络安全保护和监管的法律法规。当然,我们也期待尽快会有生效的规范性法律文件来进一步明确定义。
|
二、重要数据的保护和监管
2.1 现行法律对重要数据的保护和监管
在了解重要数据的含义后,我们也可以直观感受到目前已生效的规范性法律文件对重要数据的着墨确实不多,关注重要数据的方向也仅体现在《网络安全法》的两个条文中,即两个网络安全制度:网络安全等级保护制度和数据出境安全评估制度。
《网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(四)采取数据分类、重要数据备份和加密等措施;
《网络安全法》第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
根据前述条文,在网络安全等级保护制度方面,目前对于重要数据保护也仅限条文本身,没有其他更深入的规定;在数据出境安全评估制度方面,虽然确实有技术认定和具体操作方面进一步的规定,例如《个人信息和重要数据出境安全评估办法(征求意见稿)》等,但大部分目前尚未生效落地(可详见本文第3部分)。
2.2 关键信息基础设施运营者与重要数据
根据《网络安全法》,数据出境安全评估制度方面关于重要数据保护主要针对“关键信息基础设施运营者”,那么何为关键信息基础设施?哪些企业或运营者会被认定为关键信息基础设施运营者?关键信息基础设施运营者的重要数据为什么需要单独规定?我们做出如下分析:
2.2.1 关键信息基础设施运营者
关键信息基础设施与重要数据的概念均来自于《网络安全法》,但现行法律同样没有明确定义关键信息基础设施及其运营者,也未明确其具体范围的认定方式。但根据《网络安全法》,在网络安全等级保护制度的基础上,满足下列条件的关键信息基础设施,将会被重点保护:
(1)属于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的;以及
(2)其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的。[7]
根据上述条文,可以看出被重点保护的关键信息基础设施范围,与重要数据的认定有一定程度的相似性。即,被重点保护的关键信息基础设施运营者,很可能是重要数据的收集、存储和使用方,而法律对重要数据的保护,也很可能是基于对关键信息基础设施保护的实现方法。从实操出发,如果企业的运营范围满足上述条件内,那么该企业可能会被认定为关键信息基础设施,而其收集、存储和使用的信息可能属于重要数据,即同时落入对二者的保护和监管范围内。
2.2.2 关键信息基础设施的保护
目前关于关键信息基础设施保护的法律法规,主要为《网络安全法》,以及国家互联网信息办公室、国家发展和改革委员会、工业和信息化部等多部门于2020年4月联合公布的《网络安全审查办法》(主要规定关键信息基础设施运营者采购网络产品和服务的网络安全审查义务[8]),其中与重要数据相关的主要有:
(1)网络安全审查评估相应国家安全风险时,主要考虑的因素之一为“重要数据被窃取、泄露、毁损的风险”。[9]
(2)关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估。
因此对于企业而言,在判断其运营产生、存储或使用的数据是否属于重要数据时,也可以通过判断自己是否属于关键信息基础设施运营者而确定;反之亦然,如企业拥有(产生、收集、使用)重要数据时,可能还需进一步考虑自己是否属于关键信息基础设施运营者,从而需要履行相应的安全保护义务,例如(采购网络产品和服务时的)安全审查义务、数据出境的安全评估义务。
|
三、重要数据保护和监管未来趋势
如前文所述,现行规范性法律文件关于重要数据的保护和监管非常有限,但我们注意到已经有一些相关的文件草案、征求意见稿在不断出台,因此可以预见随着我国网络安全保护法律制度的逐渐完善,未来对重要数据保护的规范性文件也会随之进一步体系化。根据目前的保护和监管情况,我们对重要数据的保护趋势及监管趋势有着如下看法:
3.1 《数据安全法》新要求
首先,对重要数据保护可能产生最直接影响的规范性法律文件为2020年7月发布的《数据安全法(草案)》。该文件目前虽为草案形式,但文件所体现的内容应当代表着未来法律对数据安全保护的整体方向。根据《数据安全法(草案)》:
(1)重要数据的具体范围进一步明确:未来各地区、各部门将会陆续出台重要数据保护目录,进一步明确重要数据保护范围。[10]
(2)重要数据运营者的义务进一步明确:企业需设立数据安全负责人和管理机构,落实数据安全保护责任[11];对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、 数量, 收集、 存储、 加工、 使用数据的情况, 面临的数据安全风险及其应对措施等。[12]
另外,2020年8月28日,全国信息安全标准化技术委员会公布《信息安全技术 网络数据处理安全规范》的征求意见稿,对网络运营者利用网络开展数据(包括重要数据)收集、存储、使用、加工、传输、提供、公开等数据处理活动应遵循的规范和安全要求进行规定,其中包括:
(1)对数据处理的总体要求,包括进行数据识别、形成数据保护目录;进行数据分级分类;对数据采取加密、备份、访问控制、审计等安全措施;建立数据安全管理制度;对数据处理进行全生命周期的记录,确保可审计追溯,等。[13]
(2)对重要数据处理全过程的安全要求和规范,包括在传输、存储、加工、公开、访问控制与审计、向他人提供、删除、出境、接入第三方平台和安全管理等方面,提出具体的数据安全保护规范和要求,以确保对重要数据的处理不危害国家安全、公共安全、经济安全和社会稳定。[14]
(3)对网络运营者的安全管理要求,包括明确数据安全责任人;明确数据安全保护岗位及职责,提供人力资源保障、建立人力资源考核制度;建立数据安全事件应急响应机制等。[15]
3.2 网络安全等级保护制度(“等保2.0”)
目前我国网络安全等级保护制度的主要法律依据是《信息安全等级保护管理办法》,该办法与其他相关国家标准一同形成的网络安全等级保护管理制度通常也被称为“等保1.0”。在“等保1.0”时代,未对重要数据的保护做出具体规定。
2018年6月,公安部发布《网络安全等级保护条例(征求意见稿)》,该条例与国家市场监督管理总局、国家标准化管理委员会发布、并已于2019年12月31日生效的《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019),以及于2020年11月1日生效的《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)将共同构成新的网络安全等级保护管理制度,被称为“等保2.0”。
“等保2.0”制度增加了网络运营者对重要数据的安全保护义务,包括但不限于:
(1)重要数据备份和加密等措施;[16]
(2)应当建立并落实重要数据和个人信息安全保护制度;
(3)采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全;建立异地备份恢复等技术措施,保障重要数据的完整性、保密性和可用性。[17]
虽然由于《网络安全等级保护条例(征求意见稿)》尚未生效,但随着“等保2.0”主要技术要求和国家标准的生效和实际执行,而且实践中客户对“等保”合规方面的咨询也确实越来越多,可以预见企业在履行相应等保义务的过程中,需要特别关注对重要数据的保护。
3.3 数据出境安全评估
目前法律法规对于重要数据出境的安全评估仅有原则性的规定,而对于哪些数据需要评估、评估什么、怎么评估等,均无明确指引。实践中,我们发现这也是大部分企业对重要数据比较关注的问题。
2017年4月、7月,国家互联网信息办公室连续发布《个人信息和重要数据出境安全评估办法(征求意见稿)》、《关键信息基础设施安全保护条例(征求意见稿)》,该等文件内容要求所有网络运营者在境内运营中收集和产生的重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照重要数据出境安全评估办法进行评估。[18]
2017年8月,全国信息安全标准化技术委员会发布关于国家标准《信息安全技术 数据出境安全评估指南》的征求意见稿,初步制定了一系列关于重要数据的范围、出境安全评估内容、评估流程等标准,该文件可能将作为今后重要数据出境安全评估的实践操作指引。
在以上分析的基础上,对于企业而言,我们认为还有必要深入理解以下内容:
3.3.1 哪些重要数据需要境内存储、出境安全评估?
目前只有关键信息基础设施运营者的重要数据需要境内存储,确因业务需要出境时,须进行安全评估;但今后可能将要求所有网络运营者均需遵守相应存储限制和出境安全评估要求。
3.3.2 什么是数据出境?
网络运营者通过网络等方式将其在中华人民共和国境内运营中收集和产生的重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动,在此过程中数据存储可能发生转移,也可能不发生转移,具体包括以下情形:
(1)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供;
(2)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
(3)集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
除此之外,境外数据经由本国出境、未经任何变动或加工处理的,或境外数据在境内存储、加工处理后出境而不涉及境内数据的,均不属于数据出境。[19]对于在境内运营的企业,可据此判断其运营是否涉及数据出境问题。
3.3.3 安全评估内容
评估内容包括正当性和风险可控性两部分,具体包括:
(1)出境的必要性;
(2)重要数据的数量、范围、类型及其敏感程度等;
(3)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;
(4)数据出境及再转移后被泄露、毁损、篡改、滥用等风险;数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;等。[20]
3.3.4 评估流程
评估分为两种方式:网络运营者自行组织或委托相关机构进行评估(“自评估”),和报请行业主管或监管部门组织(或行业主管或监管部门不明确的,由国家网信部门组织)进行评估(“审查评估”)。一般数据出境,由网络运营者在数据出境前自行组织,并对评估结果负责[21]。涉及以下特殊情形的,应报请行业主管或监管部门组织安全评估:
(1)数据量超过1000GB;
(2)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
(3)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
(4)关键信息基础设施运营者向境外提供重要数据;
(5)其他可能影响国家安全和社会公共利益而应该评估的。[22]
3.3.5 安全评估结果
网络运营者自评估后需形成安全自评估报告;如果属于需要国家网信部门、行业主管或监管部门组织评估的,应将安全自评估报告上报。
评估结果认为存在不适合出境情形的,例如给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益,或经国家网信部门、公安部门、安全部门等有关部门认定不能出境的[23],数据不得出境。网络运营者可采用相关措施降低数据出境安全风险、修正数据出境计划,并重新开展安全评估流程。
根据上述重要数据出境安全评估的规定,虽然相关规定尚未生效,对于境外企业、跨国企业或有境外业务的境内企业,一旦生效可能将会对企业合规管理带来实质性影响,因此仍需保持持续关注,做好应对准备。
当然,需要指出的是,虽然上述规定确实对数据出境安全评估做出了一些指引规定,但无论是从范围、内容或流程方面,还未形成清晰的、可执行性的或可量化的标准,例如需要评估的数据范围仍过于宽泛,国家网信部门、行业主管或监管部门对企业自评估结果是形式审查还是实质审查,等,还待相关部门进一步明确。
|
四、结论
目前国内现行法律对重要数据的范围和认定还未做出任何明确规定,但一般而言,虽非国家秘密或个人信息,但与国家安全、经济发展或公共利益密切相关的数据,都可能被认定为重要数据。而涉及收集、存储、使用重要数据的网络运营者,即几乎当前所有企业,均需遵守相关保护和监管要求。
从企业网络安全合规角度而言,根据现行法律保护要求,原则上企业需要在安全等级保护制度和数据出境安全评估制度两方面考虑重要数据的保护与监管。同时,考虑到未来监管趋势,考虑到国内对重要数据的安全保护和监管趋于严格,企业在履行现行网络安全保护义务的同时,也需在心理和管理方面做好准备,以应对未来更加体系化、制度化的重要数据,以及个人信息或其他网络和数据安全保护和监管。
[1]《个人信息和重要数据出境安全评估办法(征求意见稿)》第十七条 本办法下列用语的含义:
网络运营者,是指网络的所有者、管理者和网络服务提供者。
数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。
[2]《信息安全技术 数据出境安全评估指南(征求意见稿)》3.5 重要数据important data 相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。
注1:具体范围见附录A。
注2:经政府信息公开渠道合法公开的,不再属于重要数据。
[3]《信息安全技术 数据出境安全评估指南(征求意见稿)》附录A
《重要数据识别指南》中的重要数据是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能造成以下后果:
a)危害国家安全、国防利益,破坏国际关系;
b)损害国家财产、社会公共利益和个人合法利益;
c)影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等;
d)影响行政机关依法调查处理违法、渎职或涉嫌违法、渎职行为;
e)干扰政府部门依法开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责;
f)危害国家关键基础设施、关键信息基础设施、政府系统信息系统安全;
g)影响或危害国家经济秩序和金融安全;
h)可分析出国家秘密或敏感信息;
i)影响或危害国家政治、国土、军事、经济、文化、社会、科技、信息、生态、资源、核设施等其它国家安全事项。
[4]《数据安全管理办法(征求意见稿)》第三十八条 本办法下列用语的含义:
(一)网络运营者,是指网络的所有者、管理者和网络服务提供者。
(二)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
(三)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
(四)个人信息主体,是指个人信息所标识或关联到的自然人。
(五)重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。
[5]《数据安全法(草案)》第十九条 国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。
[6]《信息安全技术 网络数据处理安全规范(征求意见稿)》3.6 重要数据key data 一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据,包括未公开的政府信息,数量达到一定规模的基因、地理、矿产信息等,原则上不包括个人信息、企业内部经营管理信息等。
[7]《网络安全法》第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
[8]《网络安全审查办法》第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
[9]《网络安全审查办法》第九条 网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)其他可能危害关键信息基础设施安全和国家安全的因素。
[10]《数据安全法(草案)》第十九条。
[11]《数据安全法(草案)》第二十五条 开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。重要数据的处理者应当设立数据安全负责人和管理机构, 落实数据安全保护责任。
[12]《数据安全法(草案)》第二十八条 重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。
[13]《信息安全技术 网络数据处理安全规范(征求意见稿)》4. 数据处理总体要求
[14]《信息安全技术 网络数据处理安全规范(征求意见稿)》5. 数据处理
[15]《信息安全技术 网络数据处理安全规范(征求意见稿)》6. 安全管理
[16]《网络安全等级保护条例(征求意见稿)》第二十条【一般安全保护义务】网络运营者应当依法履行下列安全保护义务,保障网络和信息安全:
(一)确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度;
(二)建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;
(三)落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;
(四)落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施;
(五)落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志;
(六)落实数据分类、重要数据备份和加密等措施;
(七)依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用;
(八)落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;
(九)落实联网备案和用户真实身份查验等责任;
(十)对网络中发生的案事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。
(十一)法律、行政法规规定的其他网络安全保护义务。
[17]《网络安全等级保护条例(征求意见稿)》第三十一条【数据和信息安全保护】网络运营者应当建立并落实重要数据和个人信息安全保护制度;采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全;建立异地备份恢复等技术措施,保障重要数据的完整性、保密性和可用性。
[18]《个人信息和重要数据出境安全评估办法(征求意见稿)》第二条 网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。
《关键信息基础设施安全保护条例(征求意见稿)》第二十九条 运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照个人信息和重要数据出境安全评估办法进行评估;法律、行政法规另有规定的,依照其规定。
[19]《信息安全技术 数据出境安全评估指南(征求意见稿)》第3.7条 数据出境data cross-border transfer 网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。
注1:以下情形属于数据出境:
a)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;
b)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
c)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
注2:非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境。
注3:非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。
[20]《个人信息和重要数据出境安全评估办法(征求意见稿)》第八条 数据出境安全评估应重点评估以下内容:
(一)数据出境的必要性;
(二)涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;
(三)涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;
(四)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;
(五)数据出境及再转移后被泄露、毁损、篡改、滥用等风险;
(六)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;
(七)其他需要评估的重要事项。
[21]《个人信息和重要数据出境安全评估办法(征求意见稿)》第七条 网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。
[22]《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条 出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:
(一)含有或累计含有50万人以上的个人信息;
(二)数据量超过1000GB;
(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
(五)关键信息基础设施运营者向境外提供个人信息和重要数据;
(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。
行业主管或监管部门不明确的,由国家网信部门组织评估。
[23]《个人信息和重要数据出境安全评估办法(征求意见稿)》第十一条 存在以下情况之一的,数据不得出境:
(一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;
(二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;
(三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
手机扫一扫
分享给我的朋友
