2024年9月30日,国务院总理李强签署国务院令,公布《网络数据安全管理条例》(以下简称《条例》),自2025年1月1日起施行。
《条例》共9章64条,历经近三年正式发布,成为网络数据安全领域首个行政法规级文件。《条例》囊括了目前主要的治理制度,包括等级保护、安全认证、安全漏洞、安全事件、安全审查、关键信息基础设施、电子政务、人工智能、数据跨境、安全审计、应用程序、身份认证等网络空间风险管理的主要方面。
数达安全将《条例》与此前发布的征求意见稿进行了对比,以下整理出《条例》的主要监管要求及监管思路变化,供读者朋友快速了解:
等级保护
《条例》第五条:国家根据网络数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对网络数据实行分类分级保护。
其他文件对应治理制度 :
《网络安全等级保护条例(征求意见稿)》
安全认证
《条例》第九条:网络数据处理者应当……加强网络数据安全防护,建立健全网络数据安全管理制度,采取加密、备份、访问控制、安全认证等技术措施和其他必要措施。
其他文件对应治理制度 :
《认证认可条例》
《数据安全管理认证实施规则》
《个人信息保护认证实施规则》
安全漏洞
《条例》第十条:网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求;发现网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,……
其他文件对应治理制度:
《网络产品安全漏洞管理规定》
安全事件
《条例》第十一条:网络数据处理者应当建立健全网络数据安全事件应急预案,发生网络数据安全事件时,应当立即启动预案,采取措施防止危害扩大,消除安全隐患,并按照规定向有关主管部门报告。
其他文件对应治理制度 :
《网络安全事件报告管理办法(征求意见稿)》
安全审查
《条例》第十三条:网络数据处理者开展网络数据处理活动,影响或者可能影响国家安全的,应当按照国家有关规定进行国家安全审查。
其他文件对应治理制度:
《网络安全审查办法》
关键信息基础设施
《条例》第十六条:网络数据处理者为国家机关、关键信息基础设施运营者提供服务,或者参与其他公共基础设施、公共服务系统建设、运行、维护的,应当依照法律法规的规定和合同约定履行网络数据安全保护义务,提供安全、稳定、持续的服务。
其他文件对应治理制度:
《关键信息基础设施安全保护条例》
电子政务
《条例》第十七条:为国家机关提供服务的信息系统应当参照电子政务系统的管理要求加强网络数据安全管理,保障网络数据安全。
其他文件对应治理制度 :
《互联网政务应用安全管理规定》
人工智能
《条例》第十九条:提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。
其他文件对应治理制度:
《生成式人工智能服务管理暂行办法》
数据跨境
《条例》第五章:网络数据跨境安全管理
其他文件对应治理制度:
《数据出境安全评估办法》
《促进和规范数据跨境流动规定》
安全审计
《条例》第二十七条:网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。
其他文件对应治理制度:
《个人信息保护合规审计管理办法(征求意见稿)》
数据加密
《条例》第二十九条:网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求……采取加密、备份、访问控制、安全认证等技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用,处置网络数据安全事件,防范针对和利用网络数据实施的违法犯罪活动,并对所处理网络数据的安全承担主体责任。
其他文件对应治理制度 :
网络安全等级保护条例(征求意见稿)》
风险评估与应急演练
《条例》第三十条:
(一)制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案。
(二)定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动,及时处置网络数据安全风险和事件。
《条例》第三十一条:重要数据的处理者提供、委托处理、共同处理重要数据前,应当进行风险评估,但是属于履行法定职责或者法定义务的除外。
《条例》第三十三条:重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关。
其他文件对应治理制度 :
网络安全等级保护条例(征求意见稿)》
小结
总体而言,《条例》弥补了此前网络数据安全管理领域法律规则体系中行政法规层级制度的空白,与《网络安全法》《数据安全法》《个人信息保护法》等上位法相衔接,推动构建了“法律-行政法规-部门规章”的全位阶法律规范体系,可视为网络数据监管法规的集大成者,发布的时机恰当、非常必要。
