那么,除了螺丝钉的一些基础工作要做到业务精通之外(当然,既然做了螺丝钉就要成为螺丝钉中的战斗钉,毕竟,要成为一颗钛合金螺丝钉也不是很容易的),还要抬头看看周围环境,对行业态势有所感知(法律、标准、新技术)。
法律方面,最近刚出炉的《网络数据安全管理条例》我觉得就需要好好学习一下。
于是,我学习了几天,然后把我浅浅的学习心得写一下,大家可以讨论。
2024年9月24日国务院总理李强签署国务院令,公布《网络数据安全管理条例》(以下简称《条例》),自2025年1月1日起施行。我们注意,这个是网络数据安全领域首个行政法规级文件,是国务院根据宪法和法律制定的有关国家行政管理活动的规范性文件,其法律层级低于宪法和法律,但是,它是对《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律内容的具体化,是一个必要的配套行政法规,以便于行政机关在实施法律时能够更具操作性,提升数据安全治理监管能力。由于行政法规是由国家最高行政机关国务院制定的,因此在全国范围内具有普遍的约束力。
不过,我们还要注意,《网络数据安全管理条例》聚焦的是通过网络处理和产生的电子数据,不包含纸媒和本地物理介质记录的数据,这点范围小于《数据安全法》和《个人信息保护法》有关“数据”和“个人信息”的界定。
既然是对法律内容的具体化,那么它具体化了什么内容呢?
1、细化了上位法的一些规定,举《中华人民共和国个人信息保护法》为例,这个法律关于告知的规定如下:
图1《中华人民共和国个人信息保护法》个人信息告知的规定
然后针对这个告知,《网络数据安全管理条例》有了更细的条款,如下图所示:
总结就是,《网络数据安全管理条例》进一步明确了处理个人信息的规则和应当遵守的具体规定。要求网络数据处理者提供便捷的支持个人行使权利的方法和途径,比如,我想要注销账号,你不能整得很麻烦,又要发邮件给XX,又要打电话啥的,最好就是直接应用上操作就能注销;
2、要制定重要数据目录,重要数据每年要对数据处理活动进行风险评估。重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。相关的网络数据处理者要自己识别、申报重要数据。提供、委托处理、共同处理重要数据前也需要进行风险评估。
3、细化数据跨境流动机制。网络数据跨境流动是数字经济全球化的必然,对于促进国际贸易、加强国际合作、推动技术创新和经济发展也具有重要意义。所以,《网络数据安全管理条例》明确了网络数据处理者可以向境外提供个人信息的条件,并且,未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。
4、明确了网络平台服务提供者应该承担的义务,对于现在精准推送,网络平台服务提供者应当设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。向第三方网络数据处理单位提供、委托处理个人信息和重要数据的处理情况记录要保存3年以上;
总之,《网络数据安全管理条例》是为规范网络数据处理活动、保护个人和组织合法权益、维护国家安全和公共利益而制定的重要法规。以当今存在的一些突出问题为导向,着重聚焦细化了个人信息保护、重要数据安全管理、网络数据跨境安全管理、网络平台服务提供者义务等方面的具体要求。压实了网络数据处理者的主体责任,要求其建立管理制度、采取技术措施、及时上报漏洞、做好应急处置;强化了个人信息保护,明确数据处理者在收集、存储、使用个人信息时的合规要求,特别是对自动化采集和跨境传输的规范;完善了重要数据安全管理,建立重要数据识别、申报、风险评估机制,确保数据在合法合规的框架内流动;优化了数据跨境安全管理,明确了数据出境的合规路径和监管要求;加强了对网络平台服务提供者的监管,特别是对生成式人工智能、算法推荐等新兴技术的数据利用进行规范。
大家感兴趣可以找些文章读一下,这几位都写得很专业:
参考:
https://www.rmzxw.com.cn/c/2025-01-03/3656784.shtml
https://www.secrss.com/articles/70890
http://www.nuohenglaw.com/nuohengzixun/nuohengguandian/143.html
原文始发于微信公众号(透明魔方):《网络数据安全管理条例》解读分析
评论