对于数据安全的相关规定正在不断细化。
日前,《网络数据安全管理条例》(以下简称“《条例》”)公布,据悉,其将于2025年1月1日起施行。
北京大成(上海)律师事务所合伙人彭凯对《中国经营报》记者表示,《条例》的位阶是行政法规,属于《网络安全法》、《数据安全法》与《个人信息保护法》的下位法,因此《条例》的“细化”“衔接”条款居多,网络安全、个人信息保护和重要数据安全等方面都有兼顾。
上海市锦天城律师事务所律师刘广杰认为,《条例》作为网络数据安全领域的首部行政法规级文件,其颁布标志着我国数据领域已构建起涵盖“法律-行政法规-部门规章”的规范体系。在此之前,《网络安全法》、《数据安全法》以及《个人信息保护法》这三大法律已从不同维度为网络数据安全构建了制度基础。《条例》则针对三部法律进行了重要补充和细化。
合规问题需系统化应对
彭凯认为,相较于2021年《条例》征求意见版本,正式版本在合规义务方面有一定“减负”。在重要数据安全、网络平台服务提供者义务等方面着墨较多,该两个板块对相关主体(重要数据处理者、网络平台提供者)影响较大。
浙江万里学院法学院副教授、宁波知识产权学院研究院孙梦龙表示,数据处理者需要负担更多的数据安全义务,这有利于建立更加规范的数据要素市场,实现良性的数字经济竞争。
针对《条例》对金融领域影响,孙梦龙表示,金融数据天然的公共价值要求其在数据加密方面承担更多的社会责任。在生成式人工智能一类大规模语料数据收集的时代背景下,金融系统需要实现数据处理者身份与数据应用者身份的统一,即实现金融数据算法的自主研发与自主应用。
同时,孙梦龙强调,数据处理者在数据处理方面具有算法层面的封闭性与解释层面的任意性,导致数据安全监管难度加大。为应对系统性风险,当下的监管重点应聚焦于决定数据访问控制的数据接口。
彭凯认为,《条例》的出台,补齐了行政法规位阶的立法缺口,且没有针对特定行业作出特别规定(本身是全行业适用的),因此一些重点行业,典型如金融行业,《条例》影响有限,针对金融行业的重要数据管理、跨境管理、App监管等,过往几年已经越发加强。
中伦律师事务所合伙人刘新宇表示:“就实务而言,建议企业应当采取成体系的技术措施才能切实保障网络数据安全。而这恰恰也是《条例》颁布之前就已经存在的要求,本次《条例》的第9条其实是对既有要求的一次重申。”
刘新宇进一步表示,2017年《中华人民共和国网络安全法》第21条就已经提出网络运营者“应当按照网络安全等级保护制度的要求”履行安全保护义务。而为了履行该项义务,企业应当就所运营的网络系统开展网络安全等级保护测评。在测评过程中,专业的测评机构就会全面地评价企业对网络系统的整个保护体系,并给出相应的整改建议。这样体系化的测评与整改其实比仅落实个别的措施更有价值。
实务难题引关注
在彭凯看来,实务中,有两个现状,一是“安全技术措施止步于网络安全等级保护”,认为等保测评与认证就能够解决自身的所有技术措施问题,二是“安全能力依赖于服务商”,认为只要采购的网络服务产品是大厂的、成熟的、市场主流的,则相应的技术措施采取都仰赖于该等产品自带。广大中小企业在这个问题上尤为明显。
此外,彭凯指出,当前在数据分类分级并非《条例》首提,在《数据安全法》中已有要求,在《个人信息保护法》中亦有“个人信息分类管理”要求。
彭凯透露,对于分类分级保护制度,实际业务的具体做法五花八门,“表面式”的应付做法居多。从监管角度而言,数据分类分级的核心工作在于“重要数据识别”,但从企业角度而言,数据分类分级在实际业务中的工作内容包含“数据盘点”、“数据处理活动场景梳理”、“系统侧盘点”、“重要数据识别”、“敏感个人信息识别”、“数据分类分级模型确立”、“数据打标”与“数据清单制作”等,数据分类分级是一个工作量巨大且难言全覆盖的大工程。
孙梦龙指出,数据分类分级保护面临监管难题,仍需借助《网络安全法》《数据安全法》中算法公开的相关规定,以及完善数据处理者对算法的解释体系。国家机关也应完善自身的算力体系建设以应对其与私企之间的算力差异。
刘新宇同时也表示,《条例》的发布再次提醒部分企业应当尽快开展网络安全等级保护测评并获取对应的网络安全等级保护备案证明,以弥补之前遗留的合规与安全漏洞。
刘新宇指出,特别需要注意的是,对于金融行业而言,由于存储大量客户的敏感信息,因此其系统级别通常也会更高,需要采取更严格的保护措施。不建议金融企业盲目参照其他企业或既有经验来决定如何对系统采取保护措施,最好的方案还是聘请专业的测评机构结合系统内数据的规模与敏感程度进行全面的判断,并提供相适应的技术建议。
便利国际业务合作
本次《条例》在数据跨境传输方面也作出了一些调整。
刘广杰认为,此次调整有效地降低了企业在此过程中的合规成本。例如,《条例》取消了网络数据处理者提交关于数据出境年度报告的要求,同时明确了未被认定为重要数据的信息无须作为重要数据进行申报以进行数据出境安全评估。这些改进措施无疑将极大地促进数据的自由流通,为国际间的数据交换与合作提供更为便捷的通道。
对于数据跨境传输管理的监管,彭凯向记者解释道,我国在数据出境管理方面经历了宽严变化。今年3月22日出台《促进和规范数据跨境流动规定》,数据跨境传输管理迎来转机,豁免机制给企业在合规侧进行了适当且必要的减负。此次《条例》还新增了“为履行法定职责或者法定义务,确需向境外提供个人信息”(该情形《促进和规范数据跨境流动规定》并未规定),体现进一步“减负”的趋势。
刘新宇认为,对于大多数业务场景而言,跨境传输数据的数量级与敏感程度一般都不会触发安全评估申报,因此企业可以通过相对更为快捷的认证或签署标准合同等方式满足数据跨境传输的前置条件,国际业务与合作的开展也将更为便利。
记者注意到,《条例》第35条还列举了一些可以直接豁免安全评估及其他前置条件的具体情形,例如订立、履行个人作为一方当事人的合同所确需,实施跨境人力资源管理所确需,履行法定职责或者法定义务所确需等。
刘新宇认为,对于金融行业的企业而言,不少实际的业务场景都可能落入这一范畴,例如为客户提供跨境交易、汇款服务,或是满足境外总部对境内机构的人力资源管理要求等。实践中金融企业基本不可能为了这些即时发生的业务或管理要求逐一去完成申报流程,因此《条例》豁免这些场景下的申报义务,也避免了企业承担过重的合规负担。
刘新宇进一步补充道,以上的豁免与便利也是有限度的,例如《条例》第37条就明确“重要数据确需向境外提供的”就需要通过安全评估,这其实就体现出监管部门在公共利益保护与便利商业活动之间的平衡考量。
(文章来源:中国经营网)