老烦读《网络数据安全管理条例》之一

admin 2024年10月2日12:31:11评论8 views字数 2911阅读9分42秒阅读模式

本文观点纯属个人,非官方不专业版

1.背景概述

1.1管理目标

《条例》第一条描述管理主体思想,规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益

《条例》在附则中给出了网络数据处理活动和网络数据的定义。将网络数据处理活动定义为网络数据的收集、存储、使用、加工、传输、提供、公开、删除等活动;网络数据指通过网络处理和产生的各种电子数据。根据本定义将“数据”的定义明确在“电子数据”中,也就意味着,在《数据安全法》的基础上,本条例重点针对的是能够通过信息网络进行处理的数据类型,非电子数据不在本条例的管辖范围之内。

在网络数据处理活动秉承了《数据安全法》数据处理活动的定义原则,增加了删除环节,也就意味着数据废弃后的删除成为生命终止的最后环节和操作手段。在传统数据安全生命周期中,定义了数据安全的六大阶段采集、传输、存储、使用、发布与共享以及废弃。

数字化时代依赖数据成为必然,数据机密、完整和可用性作为传统数据安全属性已经不能完全涵盖数据的重要性,数据质量、数据伦理问题不断的挑战快速发展的数字化产业,大模型、人工智能、大数据带来的一系列问题,如:歧视性、隐私问题以及商业勒索等事件导致数据安全与企业运营、民生问题密切相关;互联网在成为舆论主体之后,AI伪造、病毒性网络文化传播也在影响着社会意识形态,甚至导致社会问题;数据的情报化将国家安全问题推到前台,保护数据意味着从国家安全开始成为顶层设计的必然。

1.2管辖范围

本条例针对三种情况建立管辖能力说明

  1. 1.在中华人民共和国境内开展网络数据处理活动

  2. 2.《中华人民共和国个人信息保护法》第三条第二款“分析、评估境内自然人的行为;”

  3. 3.在中华人民共和国境外开展网络数据处理活动

首先应理解网络数据处理者的定义,在本条例附则部分,对数据处理者定义为“指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织。”网络数据处理者是本条例的规制主体。

1.2.1境内网络数据处理活动

境内网络数据处理指在中华人民共和国境内发生的数据处理活动,其数据处理者无论是中华人民共和国公民所代表的组织和企业,还是位于中华人民共和国的境外组织都受本法的管辖;

1.2.2分析、评估境内自然人行为

《个人信息保护法》在第三条中规定“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法”其第二款明确规定“分析、评估境内自然人的行为;”

从技术角度而言,针对自然人个人信息的分析包括但不限于:通过基于自然人基础信息所形成的生产数据(也称为衍生数据)、情报分析、大数据模型、AI以及其他手段所形成针对自然人信息的处理活动。由于这种分析和评估的技术实现手段多种多样,其复杂化导致从立法角度很难形成准确的定位,比如:在售楼中心,通过视频头捕捉自然人面部数据后自动比对其收入及征信信息,形成精准营销;这种分析首先涉及很多数据源的合法性利用问题,其次会对产生的数据在自动化形成后是否进一步导致自然人隐私泄露和歧视问题。在大模型下,甚至可能导致对敏感人员的隐私及身份泄露等问题尤为突出。

1.2.3境外开展网络数据处理活动

境外开展网络数据处理活动属于域外管辖的重要体现。在《数据安全法》第二条对适用的境外开展数据处理活动定义为“在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。”

在《个人信息保护法》第三条中针对个人信息的境外处理约定为“处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。”从本法所定义的境外处理约定中,我们可以明确,境外组织通过网络行为所采集的中华人民共和国自然人信息,无论其通过任何方式,位于任何管辖区域,均应符合我国相关立法要求;第二款不再累述,可参阅1.2.2节;第三节针对采集数据的敏感度适用于例如:《保守国家秘密法》《反间谍法》《国家安全法》《电信条例》《关键信息基础设施保护条例》《未成年人保护法》等相关立法要求。

1.3 管理原则

《数据安全法》第四条提出数据安全工作以“应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”为基本原则;《条例》进一步强调“网络数据安全管理工作坚持中国共产党的领导,贯彻总体国家安全观,统筹促进网络数据开发利用与保障网络数据安全。”的总体思想和原则。

在该原则的要求下,《条例》从第四条到第七条提出国家在网络数据安全工作中的要求和工作原则。

对应《数据安全法》第二章数据安全与发展中,针对国家数据开发利用与推动数据产业发展相关要求,《条例》明确提出国家鼓励各行业、各领域针对网络数据的创新应用,数据的创新应用在数据要素+X的指导下,从大数据应用、人工智能应用、数据交易等,尤其是在广义的数字化产业领域下变得复杂化、多元化、结构化、专业化。这使得数据在各种创新应用下安全问题愈发突出,在这种社会发展必然趋势下,伴随数据相关技术、产品、服务孕育而生的网络数据相关技术的安全防护要求和能力建设变得越来越重要,技术创新,产品创新,服务创新势在必行。网络数据安全宣传教育和人才培养是构成网络数据安全工作的重要支柱。

《数据安全法》在第三章数据安全制度的第二十一条中指出,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。《条例》将网络数据分类分级保护作为网络数据保护工作的基础和起点,而建立良好的数据分类分级的前提是能够充分、真实、完整地填报网络数据资产清单,良好地落实《数据安全法》中所提到的“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据, 实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行 业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”

《数据安全法》在第六条明确了“各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。”在此基础上,《条例》明确国家支持相关行业组织按照章程,制定网络数据安全行为规范,加强行业自律,指导会员加强网络数据安全保护,提高网络数据安全保护水平,促进行业健康发展。

《数据安全法》第十一条提出“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。”本条例在第六条中进一步提出“国家积极参与网络数据安全相关国际规则和标准的制定,促进国际交流与合作。”

原文始发于微信公众号(老烦的草根安全观):老烦读《网络数据安全管理条例》之一

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月2日12:31:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   老烦读《网络数据安全管理条例》之一https://cn-sec.com/archives/3227607.html

发表评论

匿名网友 填写信息