【小贝说安全】数安条例百问95、96:关于数据安全应急处置机制与监督检查
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第五十六条 国家建立健全数据安全应急处置机制,完善网络安全事件应急预案和网络安全信息共享平台,将数据安全事件纳入国家网络安全事件应急响应机制,加强数据安全信息共享、数据安全风险和威胁监测预警以及数据安全事件应急处置工作。
解读
《条例》第五十六条对建立健全数据安全应急处置机制作了规定。这一机制的建设涉及到两个问题。
一是,该规定与《数据安全法》是什么关系?
《数据安全法》第二十三条规定:“国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。”
自然,可以理解《条例》第五十六条是对《数据安全法》第二十三条的落实。但问题在于,《数据安全法》第二十二条还规定:“国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。”理论上,《数据安全法》第二十二条与第二十三条强相关,这就产生了一个衍生的问题:数据安全应急处置机制与国家数据安全工作协调机制是什么关系?对这个问题,后续还需听权威部门的声音。
二是,该规定与《网络安全法》什么关系?
《网络安全法》第五十三条规定:“国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。”
为落实《网络安全法》,2017年6月,中央网信办印发了《国家网络安全事件应急预案》。预案指出,在中央网络安全和信息化领导小组(现为中央网络安全和信息化委员会)的领导下,中央网信办统筹协调组织国家网络安全事件应对工作,建立健全跨部门联动处置机制,工业和信息化部、公安部、国家保密局等相关部门按照职责分工负责相关网络安全事件应对工作。必要时成立国家网络安全事件应急指挥部,负责特别重大网络安全事件处置的组织指挥和协调。
为此,中央网信办设立了国家网络安全应急办公室,具体工作由中央网信办网络安全协调局承担。应急办负责网络安全应急跨部门、跨地区协调工作和指挥部的事务性工作,组织指导国家网络安全应急技术支撑队伍做好应急处置的技术支撑工作。有关部门派负责相关工作的司局级同志为联络员,联络应急办工作。
因此,如果考虑到很多数据安全事件由网络安全风险引起,那么《国家网络安全事件应急预案》及现有的网络安全应急管理体制总体上可以涵盖数据安全的应急处置工作,或对现有制度安排作必要修改后可以将数据安全事件的应急处置工作纳入。
基于以上原因,目前《条例》将数据安全事件应急处置与网络安全事件应急处置进行了强关联,要求完善网络安全事件应急预案和网络安全信息共享平台,将数据安全事件纳入国家网络安全事件应急响应机制,加强数据安全信息共享、数据安全风险和威胁监测预警以及数据安全事件应急处置工作。即,《条例》并未在网络安全应急处置外另设数据安全应急处置机制。
对应条款
第五十七条 有关主管、监管部门可以采取以下措施对数据安全进行监督检查:
(一)要求数据处理者相关人员就监督检查事项作出说明;
(二)查阅、调取与数据安全有关的文档、记录;
(三)按照规定程序,利用检测工具或者委托专业机构对数据安全措施运行情况进行技术检测;
(四)核验数据出境类型、范围等;
(五)法律、行政法规、规章规定的其他必要方式。
有关主管、监管部门开展数据安全监督检查,应当客观公正,不得向被检查单位收取费用。在数据安全监督检查中获取的信息只能用于维护数据安全的需要,不得用于其他用途。
数据处理者应当对有关主管、监管部门的数据安全监督检查予以配合,包括对组织运作、技术系统、算法原理、数据处理程序等进行解释说明,开放安全相关数据访问、提供必要技术支持等。
解读
《条例》第五十五条明确了数据安全监督管理职责。其中,行业主管部门职责是:定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。为此,《条例》第五十七条为主管部门开展数据安全监督检查提供了手段。具体包括四个方面,第五个方面是兜底条款(法律、行政法规、规章规定的其他必要方式)。
针对第五十七条的规定,人们有两方面的关切:
一是,如何理解该条的“主管、监管”部门?此前的第五十五条中,出现了两次“监管”。即“公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责”,和“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责”。那么,第五十五条的“监管”是指谁呢?
不排除,一些人可能认为这里的“监管”是指数据安全监督管理部门。但《条例》多次出现“主管、监管部门”的用法,如第二十八条“按照要求及时向网信部门和主管、监管部门报告数据安全情况”及“有权直接向网信部门和主管、监管部门反映数据安全情况”,第二十九条“国家网信部门和主管、监管部门规定的其他备案内容”,第三十二条“国家网信部门和主管、监管部门明确的其他数据安全情况”。后面这几种情况中,显然是指行业主管或监管部门。因此,这里的“监管部门”不应该有其他的理解。至于第五十五条何以只谈“主管”,不涉及“监管”,这应该是一种疏忽。
二是,《条例》第五十七条的监督检查手段与《个人信息保护法》第六十三条的手段、措施有什么联系?后者规定:履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:
(一)询问有关当事人,调查与个人信息处理活动有关的情况;
(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;
(三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;
(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。
除规范对象不同外(《条例》还涉及个人信息之外的其他数据),《条例》主要在两方面增加了监督检查手段:利用检测工具或者委托专业机构对数据安全措施运行情况进行技术检测;核验数据出境类型、范围等。前者属于常规检查手段,后者适用于数据出境安全管理的特定场景。鉴于行业主管部门承担本行业、本领域数据安全监管职责,特别是负责对本行业的重要数据进行分类分级管理,故主管部门可以对本行业有关组织的重要数据出境情况进行核验。因此,《条例》第五十七条第一款第(四)项可视为对数据出境安全管理制度的一种补充。
下期预告
97
为什么提出数据安全审计制度?
98
为什么由国家网信部门组织对重要数据处理活动的审计?
往期链接
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么?
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系?
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求?
19、如何理解重要数据或者十万人以上个人信息事件的处置义务?
20、如何理解向第三方提供个人信息或发送重要数据的安全要求?
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系?
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求?
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求?
27、为什么对合并、重组、分立或解散、破产提出数据安全要求?
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求?
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息?
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者?
55、如何理解对重要数据处理者和赴境外上市数据处理者的年度数据安全评估要求?
59、《条例》提出的数据安全风险评估与以前的风险评估有什么区别?
62、为什么要单设“数据跨境安全管理”一章?
63、如何理解数据出境?
64、为什么在数据出境的“认证”条件中,要求数据接收方也要经过个人信息保护认证?
72、为什么要求境内用户访问境内网络时,流量不得被路由至境外?
73、为什么要求数据处理者按照国家数据跨境安全监管要求,建立健全相关技术和管理措施?
74、所有网络平台运营者的平台规则、隐私政策、算法都需要进行披露吗?
75、网络平台运营者的规则、隐私政策往往改动频繁,均需公开征求意见吗?
76、官方网站、个人信息保护相关行业协会网站是选择关系还是并列关系?
77、为什么对日活用户超过1亿的大型互联网平台运营者的平台规则、隐私政策提出特殊要求?
78、大型互联网平台与《个人信息保护法》第58条提出的提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者是什么关系?
79、如何理解网络平台运营者在第三方造成损害时的先行赔偿责任?
87、为什么要对互联网平台运营者收集、产生的数据的使用进行限制?
89、《条例》对大型互联网平台提出的审计与《个人信息保护法》是什么关系?
(文章来源:小贝说安全)