![图片[1]-《网络安全审查办法(修订草案征求意见稿)》解读-唐朝资源网](https://images.43s.cn/wp-content/uploads//2022/06/1655221659594_0.jpg)
近日,国家网信办(以下简称“网信办”)发布了《关于的规定》公开征求意见。《通知》(以下简称“网信办”)简称《征求意见稿》),对《网络安全审查办法》的内容提出了重要修改。从本次修改的变化可以看出网络安全和数据安全发展形势的变化,并且还可以了解它对数据安全政策和行业的影响。
内容修订:一条主线
与此前的《网络安全审查办法》相比,本次《征求意见稿》的核心修订和最重要的内容变化是加强了对数据安全的重视和规范。体现在以下三个方面。
一是增加数据安全法作为立法依据。 《征求意见稿》第一条规定:“根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》,制定本办法。中国。” ”作为制定的基础,直接表明本次修订的主要目的是通过网络安全审查制度和机制,加强对数据安全相关行为的监管。法律法规,也是有效加强数据安全的必然措施。
二是以数据处理活动为重点规范对象。 《征求意见稿》第二条规定:“数据处理者(以下简称运营者)开展影响或者可能影响国家安全的数据处理活动的,应当依照本办法进行网络安全审查。”可以看出,下一步,《网络安全审查办法》的管理范围将大大扩大,将扩大到规范主体和规范行为两个方面。从近期国家主管部门公布对多家互联网厂商进行审查的消息来看,此次修改措施生效后,很有可能也将成为主管部门加强数据安全的主要法律依据。运营层面的执法行动。
第三部分是对数据算子的定量描述。 《征求意见稿》第六条规定:“经营者拥有100万以上用户个人信息出境的,必须报网络安全审查办公室进行网络安全审查。”从这一规定可以看出,《征求意见稿》将持有一定数量个人信息的企业在境外上市作为应当接受网络安全审查的数据处理行为,并从比例上看相关修订规定,符合一定条件。国内企业在境外上市或将成为下一次网络安全审查的关键规范。
此外,《征求意见稿》还涉及对其他重要内容的补充修改,如:将中国证监会纳入审查机制,新增“IPO材料待报”审查和报送材料,以及特别审查程序等。由45天延长至3个月等。可见这些修改也直接关系到数据安全的修改。
![图片[2]-《网络安全审查办法(修订草案征求意见稿)》解读-唐朝资源网](https://images.43s.cn/wp-content/uploads//2022/06/1655221659594_1.gif)
内容修改分析:三要素
《征求意见稿》以数据安全为主线,其修订内容也充分体现了与数据安全密切相关的三个逻辑要素。
(一)数据安全审查-明确机制
首先,从法律上看,加强数据安全管理,完善数据安全审查机制,就是贯彻落实《数据安全法》。 6月10日颁布的《数据安全法》将于9月1日起实施。《征求意见稿》将数据安全相关内容作为修订重点,这无疑是在《数据安全法》正式实施之前。重要的制度准备。 《数据安全法》第二十四条明确规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。” “安全审查”的方式和范围尚不清楚,但网络安全审查作为国家安全审查的重要组成部分,应该没有异议。将数据安全纳入网络安全审查范围,也符合具体运营中管理效率和网络安全的原则。安全保障工作的现实。
其次,从数据安全的双重意义来看,在审核中也不能忽视。理解数据安全应该包括两层含义,一是数据信息本身的安全属性要求,即通常所说的机密性、完整性、可用性、真实性、可控性等属性,可以称为直接安全或内在安全;另一种是数据处理不当引起的安全风险,可以称为间接安全或外部安全。 《网络安全审查办法》此前已经规定了第一种情况,即数据的内在安全性,如第九条第一款“使用产品和服务带来的关键信息库设施受到非法控制、干扰或被毁坏,重要数据有被盗、泄露或损坏的风险。” 《征求意见稿》中对数据安全的补充修改,很大程度上是数据安全的第二层含义,即对外安全的实施。可见,《征求意见稿》中对数据安全的补充修改” 从本质上提高了数据安全的定义和覆盖范围,而不是毫无根据的任意扩展。因此,从本质逻辑上看,数据安全的两个方面都是安全审查的重要对象,并且是一致的、密不可分的。
(二)国外上市——重要审核场景
![图片[3]-《网络安全审查办法(修订草案征求意见稿)》解读-唐朝资源网](https://images.43s.cn/wp-content/uploads//2022/06/1655221659594_2.gif)
从《征求意见稿》的内容重点不难发现,境外上市是数据运营者可能影响国家安全的重大行为。加强对特定企业境外上市安全的监管,既是落实《关于依法严厉打击证券违法行为的意见》的政策要求,也是管控境外上市企业数据安全风险的客观需要列表。
虽然“境外上市”含义的具体定义仍需进一步明确,但仅从近期主管部门公布的网络安全审查情况来看,企业境外上市的行为将大大加剧相关企业面临的安全风险重要数据并被政治化和扭曲。是可以使用的。
以美国为例,美国现行与证券交易相关的管理法规主要包括《塞尔班斯法案》(-Oxley Act)、《外国公司责任法案》(Act)等,上市公司要求的核心披露义务主要涉及“财务和管理缺陷报告”和“审计文件”。乍一看,这些披露材料似乎与安全相关的重要数据和核心数据没有直接关系。深入分析会发现,安全风险主要来自两个方面。一方面,需要披露的内容可能包含一些安全敏感数据。例如,“审计稿”通常包括被审计对象的组织管理架构、重要合同、董事会会议纪要等,其中可能包括我国的行业数据和消费者信息,可以反映我国关键信息基础设施的运行情况如果任由美国收缴,势必影响中国的国家安全利益。另一方面,也是风险最大的情况,即在美国上市的公司除了直接的信息披露义务外,还面临着各种调查的潜在风险。美国建立了较为系统的审查和调查机制。牵头部门包括商务部(贸易调查)、司法部(不正当竞争调查、境外反腐败调查、知识产权调查等)等。上市公司一旦被纳入相关审查调查,范围其调查范围可能会扩大,这将增加相关重要数据被暴露或政治化和歪曲的风险。
(三)个人信息——定义审查对象
数据安全《征求意见稿》的修订对于个人信息的保护也有非常重要的线索。从字面上理解,似乎数据安全和个人信息保护的界限比较清晰。前者属于公法范畴,侧重于公共利益的保护;后者属于私法范畴,侧重于对个人隐私的保护。但是最新动物防疫条件审查办法意见稿,两者之间的密切关系也不容忽视。
首先,手中的个人信息量将直接影响数据运营者的行为。如前所述,《征求意见稿》第六条规定:“经营者拥有100万以上用户个人信息的,应当在境外上市时”,必须向网络安全审查办公室进行网络安全审查。可见认为,根据《征求意见稿》的内容,个人信息的量化情况将直接决定数据运营者境外上市是否会影响国家,安全是确定数据运营者境外上市能否引发网络安全的前提。审查。
![图片[4]-《网络安全审查办法(修订草案征求意见稿)》解读-唐朝资源网](https://images.43s.cn/wp-content/uploads//2022/06/1655221659594_3.jpg)
其次,个人信息在一定条件下会直接转化为重要数据。存在一定的交叉点,例如特定人的个人信息、特定群体的个人信息聚合等,可能会将个人信息转化为重要或核心数据。因为这些数据可以反映地区、行业、设施的运行情况,所以必须纳入国家安全视力保护范围。例如,网上曝光的一些国家部委工作人员的通勤通勤情况分析,具有很强的个人属性,属于个人信息的范畴。分类分析成为能够反映国家重要机构运作的数据,不再被视为个人信息。从这个意义上可以看出,个人信息和数据安全是密不可分的。
影响分析:构建数据安全供需发展新格局
当前的“十四五”已经启动,结合《征求意见稿》和即将出台的《数据安全法》,将其置于“十四五”新发展背景下的思考“四五”规划格局对经济社会发展和产业振兴将更具现实意义。 “十四五”规划明确部署新发展格局实施路径:“实施扩大内需战略同深化供给侧结构性改革,有机结合,驱动创新,以优质供给引领,创造新需求,加快构建以国内大循环为主体、国内国际双循环相互促进的新发展格局。”从供需两方面对数据安全发展产生积极影响,推动我国数据安全产业发展新格局加快构建。
(一)加强数据安全供给:技术创新和管理机制缺一不可
数据安全供给侧重点建设数据安全保障能力,包括管理规范、技术手段、管理团队等要素供给能力。
由管理规范提供 能够查看。一方面,将进一步对接现有的数据安全管理法规和政策。国家近日印发了《关于依法严厉打击证券违法活动的意见》(两办)、《征求意见稿》、《数字经济对外投资与合作》。不难看出,数据安全、证券跨境监管、关键基础设施采购的关系正在更加紧密地协调。另一方面,数据安全管理法律制度的完善将进一步加快,覆盖面将逐步扩大,如关键基础设施数据处理活动的风险评估管理、境外发行证券的保密与档案管理、跨界边境信息提供机制与流程管理、跨境审计监管合作等。
![图片[5]-《网络安全审查办法(修订草案征求意见稿)》解读-唐朝资源网](https://images.43s.cn/wp-content/uploads//2022/06/1655221659594_4.gif)
从技术手段供给能力来看。将有力推动数据安全相关技术产品和服务能力的创新发展。围绕不同层次的需求,进一步深化数据安全产品技术和服务供给能力。在满足企事业单位数据安全保护需求方面,重点发展方向包括:数据防泄露、数据脱敏、数据库防火墙、以数据资产识别与管理为核心的数据安全管理平台;在数据分类与分类管理、敏感数据发现、数据安全风险评估、数据安全审计、数据跟踪追溯等方面;在满足公共数据安全能力提升需求方面,重点发展方向包括:数据安全容灾、数据安全培训、数据安全运营等服务保障能力。
从管理团队的供给能力来看。数据安全在审核工作中的重要性与日俱增,管理团队的专业水平也亟待同步提升。数据安全团队供给体系对应的重点方向将包括:数据安全专业人才培养体系、选拔任用机制、培训实战体系、绩效考核机制等。
(二)扩展数据安全要求:多管齐下的应用领导
数据安全需求侧主要侧重于建立数据安全应用体系,可以概括为三个“需求”:管理需求、合规需求、攻防需求。未来,挖掘数据安全需求不仅是主管部门引导数据安全健康有序发展的重要依据,也是深化数据安全技术创新、增强数据安全产业能力的重要依据。重要方向。
01
管理要求
![图片[6]-《网络安全审查办法(修订草案征求意见稿)》解读-唐朝资源网](https://images.43s.cn/wp-content/uploads//2022/06/1655221659594_5.gif)
注意数据。 “基数不清”往往是造成数据安全问题的重要因素之一最新动物防疫条件审查办法意见稿,根本原因之一是明确数据安全管理要求的关键是对自己的数据及其安全状况有更清晰的认识。此类需求将主要集中在数据分类、数据分类、数据资产构成分析、数据保护状况分析等方面。
02
合规要求
数据安全应符合“法规红线”。网络安全等级保护、关键信息基础设施保护、保密管理等。系统规范对数据提出了相应的安全要求和相应的保护措施。除了对等保护、通关、保密等传统合规要求外,对于数据应用的重要典型场景,如工业数据、交通数据、能源数据等,也将成为监管关注的重点需求领域.
03
进攻和防守需求
数据安全要满足“实战实战”。最终目标是化解潜在的数据风险或有效防御数据攻击。就此类要求而言,除了事中防御和事后补救措施外,事前发现和检查要求将成为数据安全建设要求的重中之重。相应的数据安全态势监测、数据安全模拟检测、数据安全防护有效性测试等也将受到越来越多的关注。
“东方若想知道,魔道君早去。”总结各方意见后,《草案》的最终内容会是怎样,还有待观察。它对我国网络安全审查制度的完善,对社会各界数据安全保护意识的提高的影响已经显现,并将持续。数据安全政策法规体系和数据安全技术产业也将以此为契机迎来新的发展阶段。
暂无评论内容