《網絡數據安全管理條例》出臺:分類保護、跨境傳輸再細化

本報記者 鄭瑜 北京報道

對於數據安全的相關規定正在不斷細化。

日前,《網絡數據安全管理條例》(以下簡稱“《條例》”)公佈,據悉,其將於2025年1月1日起施行。

北京大成(上海)律師事務所合夥人彭凱對《中國經營報》記者表示,《條例》的位階是行政法規,屬於《網絡安全法》、《數據安全法》與《個人信息保護法》的下位法,因此《條例》的“細化”“銜接”條款居多,網絡安全、個人信息保護和重要數據安全等方面都有兼顧。

上海市錦天城律師事務所律師劉廣傑認爲,《條例》作爲網絡數據安全領域的首部行政法規級文件,其頒佈標誌着我國數據領域已構建起涵蓋“法律-行政法規-部門規章”的規範體系。在此之前,《網絡安全法》、《數據安全法》以及《個人信息保護法》這三大法律已從不同維度爲網絡數據安全構建了制度基礎。《條例》則針對三部法律進行了重要補充和細化。

合規問題需系統化應對

彭凱認爲,相較於2021年《條例》徵求意見版本,正式版本在合規義務方面有一定“減負”。在重要數據安全、網絡平臺服務提供者義務等方面着墨較多,該兩個板塊對相關主體(重要數據處理者、網絡平臺提供者)影響較大。

浙江萬里學院法學院副教授、寧波知識產權學院研究院孫夢龍表示,數據處理者需要負擔更多的數據安全義務,這有利於建立更加規範的數據要素市場,實現良性的數字經濟競爭。

針對《條例》對金融領域影響,孫夢龍表示,金融數據天然的公共價值要求其在數據加密方面承擔更多的社會責任。在生成式人工智能一類大規模語料數據收集的時代背景下,金融系統需要實現數據處理者身份與數據應用者身份的統一,即實現金融數據算法的自主研發與自主應用。

同時,孫夢龍強調,數據處理者在數據處理方面具有算法層面的封閉性與解釋層面的任意性,導致數據安全監管難度加大。爲應對系統性風險,當下的監管重點應聚焦於決定數據訪問控制的數據接口。

彭凱認爲,《條例》的出臺,補齊了行政法規位階的立法缺口,且沒有針對特定行業作出特別規定(本身是全行業適用的),因此一些重點行業,典型如金融行業,《條例》影響有限,針對金融行業的重要數據管理、跨境管理、App監管等,過往幾年已經越發加強。

中倫律師事務所合夥人劉新宇表示:“就實務而言,建議企業應當採取成體系的技術措施才能切實保障網絡數據安全。而這恰恰也是《條例》頒佈之前就已經存在的要求,本次《條例》的第9條其實是對既有要求的一次重申。”

劉新宇進一步表示,2017年《中華人民共和國網絡安全法》第21條就已經提出網絡運營者“應當按照網絡安全等級保護制度的要求”履行安全保護義務。而爲了履行該項義務,企業應當就所運營的網絡系統開展網絡安全等級保護測評。在測評過程中,專業的測評機構就會全面地評價企業對網絡系統的整個保護體系,並給出相應的整改建議。這樣體系化的測評與整改其實比僅落實個別的措施更有價值。

實務難題引關注

在彭凱看來,實務中,有兩個現狀,一是“安全技術措施止步於網絡安全等級保護”,認爲等保測評與認證就能夠解決自身的所有技術措施問題,二是“安全能力依賴於服務商”,認爲只要採購的網絡服務產品是大廠的、成熟的、市場主流的,則相應的技術措施採取都仰賴於該等產品自帶。廣大中小企業在這個問題上尤爲明顯。

此外,彭凱指出,當前在數據分類分級並非《條例》首提,在《數據安全法》中已有要求,在《個人信息保護法》中亦有“個人信息分類管理”要求。

彭凱透露,對於分類分級保護制度,實際業務的具體做法五花八門,“表面式”的應付做法居多。從監管角度而言,數據分類分級的核心工作在於“重要數據識別”,但從企業角度而言,數據分類分級在實際業務中的工作內容包含“數據盤點”、“數據處理活動場景梳理”、“系統側盤點”、“重要數據識別”、“敏感個人信息識別”、“數據分類分級模型確立”、“數據打標”與“數據清單製作”等,數據分類分級是一個工作量巨大且難言全覆蓋的大工程。

孫夢龍指出,數據分類分級保護面臨監管難題,仍需藉助《網絡安全法》《數據安全法》中算法公開的相關規定,以及完善數據處理者對算法的解釋體系。國家機關也應完善自身的算力體系建設以應對其與私企之間的算力差異。

劉新宇同時也表示,《條例》的發佈再次提醒部分企業應當儘快開展網絡安全等級保護測評並獲取對應的網絡安全等級保護備案證明,以彌補之前遺留的合規與安全漏洞。

劉新宇指出,特別需要注意的是,對於金融行業而言,由於存儲大量客戶的敏感信息,因此其系統級別通常也會更高,需要採取更嚴格的保護措施。不建議金融企業盲目參照其他企業或既有經驗來決定如何對系統採取保護措施,最好的方案還是聘請專業的測評機構結合系統內數據的規模與敏感程度進行全面的判斷,並提供相適應的技術建議。

便利國際業務合作

本次《條例》在數據跨境傳輸方面也作出了一些調整。

劉廣傑認爲,此次調整有效地降低了企業在此過程中的合規成本。例如,《條例》取消了網絡數據處理者提交關於數據出境年度報告的要求,同時明確了未被認定爲重要數據的信息無須作爲重要數據進行申報以進行數據出境安全評估。這些改進措施無疑將極大地促進數據的自由流通,爲國際間的數據交換與合作提供更爲便捷的通道。

對於數據跨境傳輸管理的監管,彭凱向記者解釋道,我國在數據出境管理方面經歷了寬嚴變化。今年3月22日出臺《促進和規範數據跨境流動規定》,數據跨境傳輸管理迎來轉機,豁免機制給企業在合規側進行了適當且必要的減負。此次《條例》還新增了“爲履行法定職責或者法定義務,確需向境外提供個人信息”(該情形《促進和規範數據跨境流動規定》並未規定),體現進一步“減負”的趨勢。

劉新宇認爲,對於大多數業務場景而言,跨境傳輸數據的數量級與敏感程度一般都不會觸發安全評估申報,因此企業可以通過相對更爲快捷的認證或簽署標準合同等方式滿足數據跨境傳輸的前置條件,國際業務與合作的開展也將更爲便利。

記者注意到,《條例》第35條還列舉了一些可以直接豁免安全評估及其他前置條件的具體情形,例如訂立、履行個人作爲一方當事人的合同所確需,實施跨境人力資源管理所確需,履行法定職責或者法定義務所確需等。

劉新宇認爲,對於金融行業的企業而言,不少實際的業務場景都可能落入這一範疇,例如爲客戶提供跨境交易、匯款服務,或是滿足境外總部對境內機構的人力資源管理要求等。實踐中金融企業基本不可能爲了這些即時發生的業務或管理要求逐一去完成申報流程,因此《條例》豁免這些場景下的申報義務,也避免了企業承擔過重的合規負擔。

劉新宇進一步補充道,以上的豁免與便利也是有限度的,例如《條例》第37條就明確“重要數據確需向境外提供的”就需要通過安全評估,這其實就體現出監管部門在公共利益保護與便利商業活動之間的平衡考量。

(編輯:李暉 審覈:何莎莎 校對:張國剛)