【小贝说安全】数安条例百问91、92、93、94:关于数据安全监管职责
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第五十五条 国家网信部门负责统筹协调数据安全和相关监督管理工作。
公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。
主管部门应当定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。
解读
《数据安全法》第六条对数据安全规定了如下部门职责:
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
《个人信息保护法》第六十条对个人信息保护规定了如下部门职责:
国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
前两款规定的部门统称为履行个人信息保护职责的部门。
在部门职责这个问题上,《条例》显然不能有发挥的余地,故其继承了《数据安全法》的规定。但其本身同时规范个人信息保护和重要数据安全,这就引出了一个问题:《个人信息保护法》规定的职责与《条例》是什么关系?
在关于国家网信部门职责方面,《个人信息保护法》与《数据安全法》的表述是一致的;在关于数据安全监督管理部门职责方面,两者的表述也是不矛盾的,《数据安全法》强调了公安机关、国家安全机关,但并没有排除其他部门(如保密、密码等部门),使用的是“等”,《个人信息保护法》则使用的是“国务院有关部门”;但《个人信息保护法》没有强调行业主管部门,这是与《数据安全法》和《条例》不同的地方。
这个不同可以有两种理解。一种理解是,《条例》对重要数据安全作了很多规定,其中一些涉及到向行业主管部门报告、由行业主管部门审批的事项,故有必要单独强调行业主管部门,而个人信息保护则没有这方面的考虑。另一种理解是,“国务院有关部门”已经包含了行业主管部门,因为行业主管部门本身也是国务院有关部门。
当然,数据安全监督管理事项本来就比较多,除公安机关、国家安全机关的打击犯罪、防谍反谍等工作外,产业发展、出口管制、认证认可、审计、交易流通等均属维护数据安全的重要方面。那么,有没有必要对数据安全监督管理部门进行展开呢?即不仅仅像现在这样仅列举公安机关、国家安全机关。这种写法也可以考虑,但目前《条例》还是与《数据安全法》在具体文字上保持了一致。
对应条款
第五十五条 国家网信部门负责统筹协调数据安全和相关监督管理工作。
公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。
主管部门应当定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。
解读
《条例》对行业主管部门的职责作了规定,即承担本行业、本领域数据安全监管职责。这主要体现在两个方面:
一是编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。这主要是对行业主管部门赋予了的顶层设计职责。
二是定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。这主要是给予了行业主管部门监督管理抓手。
这样的表述,既是与《数据安全法》一致,也与《网络安全法》等上位法中规定网络安全/数据安全监督管理职责的思路相吻合。例如,《网络安全法》第八条中,对网络安全监督管理职责的描述是:
国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
上述规定中,突出了国务院电信主管部门、公安部门,而不是《数据安全法》规定的公安机关、国家安全机关。这没有本质区别,因为这些法律使用的都是列举式。
但《网络安全法》第三十二条又规定,按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。这里的“负责关键信息基础设施安全保护工作的部门”即为关键信息基础设施所在的行业主管监管部门。
因此,理解网络安全/数据安全监督管理职责的关键,是搞清法律确定这些监督管理职责时的逻辑。在数据安全监督管理中,各部门有各自的监督管理事项,其区分在于法定职责的不同,如打击犯罪、防谍反谍、保密、密码使用等分别由不同部门负责,这些职责均属于网络安全/数据安全工作的一个方面,这就是“在各自职责范围内”的内涵所在。而在行业的数据安全监管中,行业主管部门依法对所在行业进行监督管理(每个行业主管部门都有相应的上位法,明确了对本行业监督管理的职责),网络安全/数据安全监督管理是行业监督管理的组成部分。故本行业的数据安全以及关键信息基础设施安全保护,总体上是由行业主管监管部门负责,这主要体现在对本行业网络安全/数据安全工作的领导、规划、指导、监督检查等。只不过,到某个特定工作时(如打击犯罪),则由该项工作的法定责任部门负责,这时候便与具体在哪个行业无关了。
对应条款
第五十五条 国家网信部门负责统筹协调数据安全和相关监督管理工作。
公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。
主管部门应当定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。
解读
《条例》第五十五条规定,主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。这里的“主管部门”是行业主管部门,上述规定相当于确立了行业主管部门(含行业监管部门)对本行业数据安全的主管职责。为了体现这个职责,既要求主管部门定机构、定人员,也要求主管部门编制数据安全规划。
为什么提出“编制数据安全规划”的要求呢?这一逻辑来源于《网络安全法》第三十二条的规定:按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。《关键信息基础设施安全保护条例》第二十二条进一步指出,保护工作部门应当制定本行业、本领域关键信息基础设施安全规划,明确保护目标、基本要求、工作任务、具体措施。
因此,《条例》的上述规定有着明确的导向:行业主管部门要制定本行业网络安全/数据安全的顶层设计文件和具体落实方案,这统称“安全规划”。
需要指出三点:
一是,这个“安全规划”不完全等同于人们熟悉的“五年规划”。
二是,这个“安全规划”要体现行业特点。国家层面对网络安全/数据安全有要求,网络安全/数据安全监督管理部门也在各自职责范围内对特定工作事项有要求,但以上要求都还没有深入行业,一般也不反映行业的特殊性。一般而言,只有由行业主管部门制定安全规划,才能更好地对本行业、本领域网络安全/数据安全工作作出科学系统安排。
三是,这个“安全规划”是国际惯例。在美等国家的关键基础设施安全保护实践中,都在国家计划之下,要求各行业分别制定各自的保护计划。目前,美国各行业的关键基础设施安全保护计划多为2015年制定的版本,正在修订之中。
对应条款
第五十五条 国家网信部门负责统筹协调数据安全和相关监督管理工作。
公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。
主管部门应当定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。
解读
监督管理工作要有抓手。对行业主管部门而言,这主要体现在两个方面:能不能掌握总体情况?能不能令行禁止?
基于这样的考虑,《条例》第五十五条赋予了行业主管部门组织开展数据安全风险评估、对数据处理者进行监督检查、指导督促数据处理者整改等三方面的权力。
需要指出,这里的“主管部门”还是行业主管部门,并不是网络安全/数据安全监督管理部门。
实际工作中,多个部门都希望去实施评估和检查。但对数据处理者而言,上面千条线、底下一根针,重复的评估和检查会对其带来极大的负担。故《条例》把数据安全的评估和检查职责主要是赋予了行业主管部门。
但必须指出,这并不排除各网络安全/数据安全监督管理部门在各自职责范围内开展的特定方面的评估和检查工作,如等级保护测评、保密检查、密码系统评估等。
但如果涉及到上述多个部门分别依职责开展数据安全评估和检查怎么办?《网络安全法》对此已有制度性安排。其第三十九条规定:
国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
……。
按照《网络安全法》的这一规定,各部门分别组织的评估和检查应当在国家网信部门的统筹协调下进行,以免给当事组织带来负担。例如,能否尽量在同一时间去检查?能否对相同的检查事项进行合并?
在今后的数据安全工作中,也可以借鉴上述思路。
下期预告
95
国家数据安全应急处置机制与国家网络安全应急处置机制是什么关系?
96
如何理解对数据安全监督检查所作的规定?
往期链接
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么?
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系?
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求?
19、如何理解重要数据或者十万人以上个人信息事件的处置义务?
20、如何理解向第三方提供个人信息或发送重要数据的安全要求?
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系?
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求?
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求?
27、为什么对合并、重组、分立或解散、破产提出数据安全要求?
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求?
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息?
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者?
55、如何理解对重要数据处理者和赴境外上市数据处理者的年度数据安全评估要求?
59、《条例》提出的数据安全风险评估与以前的风险评估有什么区别?
62、为什么要单设“数据跨境安全管理”一章?
63、如何理解数据出境?
64、为什么在数据出境的“认证”条件中,要求数据接收方也要经过个人信息保护认证?
72、为什么要求境内用户访问境内网络时,流量不得被路由至境外?
73、为什么要求数据处理者按照国家数据跨境安全监管要求,建立健全相关技术和管理措施?
74、所有网络平台运营者的平台规则、隐私政策、算法都需要进行披露吗?
75、网络平台运营者的规则、隐私政策往往改动频繁,均需公开征求意见吗?
76、官方网站、个人信息保护相关行业协会网站是选择关系还是并列关系?
77、为什么对日活用户超过1亿的大型互联网平台运营者的平台规则、隐私政策提出特殊要求?
78、大型互联网平台与《个人信息保护法》第58条提出的提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者是什么关系?
79、如何理解网络平台运营者在第三方造成损害时的先行赔偿责任?
87、为什么要对互联网平台运营者收集、产生的数据的使用进行限制?
(文章来源:小贝说安全)