2021年11月14日，國家互聯(lián)網(wǎng)信息辦公布《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》（征求意見稿）（以下簡稱《條例》）。該《條例》依據(jù)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》制定，作為行政法規(guī)，執(zhí)行、細(xì)化、補(bǔ)充前述三部上位法的規(guī)定，進(jìn)一步增強(qiáng)了數(shù)據(jù)安全法律體系的完備性和可操作性。

在一定程度上，《條例》可以看作《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的實(shí)施細(xì)則，是由國家網(wǎng)信部門統(tǒng)籌，公安機(jī)關(guān)、國家安全機(jī)關(guān)、行業(yè)主管部門監(jiān)管，建立健全數(shù)據(jù)安全應(yīng)急處置機(jī)制及數(shù)據(jù)安全審計(jì)制度。針對(duì)不履行《條例》的數(shù)據(jù)處理者，將由有關(guān)主管部門責(zé)令改正、給予警告、責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照等處罰；針對(duì)損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的數(shù)據(jù)處理者，依法追究法律責(zé)任，并對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員進(jìn)行相關(guān)的處罰?！稐l例》主要針對(duì)如下方面開展監(jiān)管工作：

個(gè)人信息保護(hù)方面

1、處理規(guī)則：個(gè)人信息處理者應(yīng)該制定并執(zhí)行處理規(guī)則，包括信息清單（含第三方）、限定期限、安全風(fēng)險(xiǎn)、保護(hù)措施、投訴渠道、解決途徑等內(nèi)容；

2、個(gè)人同意：收集信息前獲得個(gè)人同意、敏感信息需單獨(dú)同意、兒童信息需監(jiān)護(hù)人同意；

3、信息刪除：目的達(dá)成、合同到期、終止服務(wù)、注銷賬號(hào)，需在十五個(gè)工作日內(nèi)刪除數(shù)據(jù)；

4、請(qǐng)求響應(yīng)：個(gè)人提出數(shù)據(jù)查閱、復(fù)制、更正、補(bǔ)充、限制處理、刪除、轉(zhuǎn)移等請(qǐng)求時(shí)，需在十五個(gè)工作日內(nèi)處理并反饋；

5、生物特征：數(shù)據(jù)處理者不能只提供生物識(shí)別一種認(rèn)證方式。

示例：

執(zhí)行前：處理完針對(duì)個(gè)人信息的服務(wù)后，可存儲(chǔ)到服務(wù)器中作為歷史數(shù)據(jù)；認(rèn)證時(shí)，通過人臉即可完成登錄。

執(zhí)行后：在完成服務(wù)后，需在15天內(nèi)刪除個(gè)人信息部分；認(rèn)證時(shí)，不僅需提供人臉，還需要指紋、密碼等多個(gè)認(rèn)證才可以使用。

重要數(shù)據(jù)安全方面

1、建立目錄：重要數(shù)據(jù)和核心數(shù)據(jù)都需要建立數(shù)據(jù)目錄并報(bào)國家網(wǎng)信部門；

2、管理機(jī)構(gòu)：重要數(shù)據(jù)處理者應(yīng)該成立數(shù)據(jù)安全管理機(jī)構(gòu)；

3、識(shí)別備案：重要數(shù)據(jù)識(shí)別以后十五個(gè)工作日內(nèi)向設(shè)區(qū)的市（通常是地級(jí)市）級(jí)網(wǎng)信部門報(bào)告；

4、安全培訓(xùn)：制定并執(zhí)行全員數(shù)據(jù)安全培訓(xùn)計(jì)劃，每年培訓(xùn)時(shí)長不得少于二十小時(shí)；

5、安全評(píng)估：處理重要數(shù)據(jù)或者赴境外上市的數(shù)據(jù)處理者應(yīng)每年開展一次數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，并于1月31日前上報(bào)設(shè)區(qū)的市（通常是地級(jí)市），評(píng)估報(bào)告至少保留三年；

6、采購評(píng)估：國家機(jī)關(guān)和關(guān)基運(yùn)營者采購云服務(wù)，要通過國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門開展的安全評(píng)估。

示例：

執(zhí)行前：針對(duì)重要數(shù)據(jù)的處理者按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告即可。

執(zhí)行后：處理重要數(shù)據(jù)或者赴境外上市的數(shù)據(jù)處理者應(yīng)每年開展一次數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，并于1月31日前上報(bào)設(shè)區(qū)的市（通常是地級(jí)市），評(píng)估報(bào)告至少保留三年。

數(shù)據(jù)跨境安全管理方面

1、出境條件：國家網(wǎng)信部門安全評(píng)估、國家認(rèn)定專業(yè)機(jī)構(gòu)的個(gè)人信息保護(hù)認(rèn)證、履行合同或法定義務(wù)；

2、告知同意：個(gè)人信息出境前應(yīng)向個(gè)人告知數(shù)據(jù)接收方信息；

3、保護(hù)義務(wù)：數(shù)據(jù)處理者向境外提供數(shù)據(jù)應(yīng)當(dāng)履行保護(hù)義務(wù)；

4、出境報(bào)告：向境外提供個(gè)人信息和重要數(shù)據(jù)的數(shù)據(jù)處理者，每年1月31日前編制數(shù)據(jù)出境安全報(bào)告并向設(shè)區(qū)的市（通常是地級(jí)市）級(jí)網(wǎng)信部門報(bào)告。

5、跨境網(wǎng)關(guān): 通過網(wǎng)關(guān)阻止境外非法信息入境，禁止繞過、穿透網(wǎng)關(guān)或者提供類似軟件或工具，翻墻或者提供翻墻軟件皆被視為違法。

示例：

執(zhí)行前：針對(duì)數(shù)據(jù)出境，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評(píng)估。

執(zhí)行后：向境外提供個(gè)人信息和重要數(shù)據(jù)的數(shù)據(jù)處理者，每年1月31日前編制數(shù)據(jù)出境安全報(bào)告并向設(shè)區(qū)的市（通常是地級(jí)市）級(jí)網(wǎng)信部門報(bào)告。

互聯(lián)網(wǎng)平臺(tái)運(yùn)營者義務(wù)方面

1、規(guī)則披露：平臺(tái)應(yīng)建立與數(shù)據(jù)相關(guān)的平臺(tái)規(guī)則、隱私政策、算法策略的披露和裁決機(jī)制。內(nèi)容修訂需公示時(shí)間不少于三十個(gè)工作日，日活超一億的平臺(tái)規(guī)則修訂需經(jīng)國家網(wǎng)信部門認(rèn)定的第三方機(jī)構(gòu)評(píng)估，并報(bào)省級(jí)及以上網(wǎng)信部門和電信主管部門同意；

2、連帶責(zé)任：平臺(tái)需要對(duì)接入的第三方產(chǎn)品和服務(wù)的安全負(fù)責(zé)；

3、限制行為：禁止差異定價(jià)（大數(shù)據(jù)殺熟）、低價(jià)惡意競爭、違背用戶意愿、設(shè)置障礙等行為；

4、應(yīng)用審核：比如應(yīng)用商店應(yīng)對(duì)app進(jìn)行審核，不符合要求的拒絕上架或者下架；

5、個(gè)性推送：保證推送信息的真實(shí)、準(zhǔn)確和來源合法，且需獲得個(gè)人單獨(dú)同意，需支持一鍵關(guān)閉推薦或刪除信息；

6、認(rèn)證服務(wù)：國家建立個(gè)人身份認(rèn)證的公共服務(wù)基礎(chǔ)設(shè)施；

7、年度審計(jì)：每年進(jìn)行一次第三方安全審計(jì)并上報(bào)審計(jì)結(jié)果。

示例：

執(zhí)行前：針對(duì)互聯(lián)網(wǎng)平臺(tái)運(yùn)營者推送信息無需爭取個(gè)人單獨(dú)同意。

執(zhí)行后：需獲得個(gè)人單獨(dú)同意，需支持一鍵關(guān)閉推薦或刪除信息。

基于在數(shù)據(jù)安全領(lǐng)域的持續(xù)深耕，天融信提出數(shù)據(jù)安全治理評(píng)估、數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)、數(shù)據(jù)安全管理制度建設(shè)、數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)、數(shù)據(jù)安全運(yùn)營管控建設(shè)及數(shù)據(jù)安全監(jiān)管建設(shè)的“六步走”數(shù)據(jù)安全保障體系建設(shè)思路。該建設(shè)思路從監(jiān)督管理層、保護(hù)執(zhí)行層、能力支撐層三個(gè)維度，全方位為客戶提供數(shù)據(jù)安全技術(shù)框架參考，針對(duì)境內(nèi)外數(shù)據(jù)進(jìn)行處理，對(duì)個(gè)人信息和重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)，對(duì)核心數(shù)據(jù)實(shí)行嚴(yán)格保護(hù)。

1、數(shù)據(jù)安全治理評(píng)估：從業(yè)務(wù)視角出發(fā)，結(jié)合對(duì)基礎(chǔ)安全管控措施的分析，開展業(yè)務(wù)的管理、技術(shù)、運(yùn)營風(fēng)險(xiǎn)以及系統(tǒng)共性問題的評(píng)估工作，形成《數(shù)據(jù)資產(chǎn)清單》。

2、數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)：在開展組織架構(gòu)建設(shè)時(shí)，根據(jù)部門職責(zé)建立不同的數(shù)據(jù)安全角色以滿足數(shù)據(jù)安全建設(shè)的需求。

3、數(shù)據(jù)安全管理制度建設(shè)：從業(yè)務(wù)數(shù)據(jù)安全需求、數(shù)據(jù)安全風(fēng)險(xiǎn)控制需要及法律法規(guī)合規(guī)性要求等幾個(gè)方面進(jìn)行梳理，最終確定數(shù)據(jù)安全防護(hù)的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、程序等。

4、數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)：針對(duì)不同安全級(jí)別的數(shù)據(jù)，參照數(shù)據(jù)生命周期的原則進(jìn)行數(shù)據(jù)安全應(yīng)用執(zhí)行。具體保護(hù)要求及措施參照國家相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)及自身的數(shù)據(jù)安全相關(guān)管理制度、規(guī)范、標(biāo)準(zhǔn)執(zhí)行。

5、數(shù)據(jù)安全運(yùn)營管控建設(shè)：需保持?jǐn)?shù)據(jù)安全保障體系因其業(yè)務(wù)的連續(xù)性運(yùn)行，建立完善的數(shù)據(jù)安全運(yùn)營團(tuán)隊(duì)針對(duì)數(shù)據(jù)安全運(yùn)維、應(yīng)急預(yù)案與演練、監(jiān)測預(yù)警、應(yīng)急處置及災(zāi)難恢復(fù)進(jìn)行數(shù)據(jù)安全運(yùn)營。

6、數(shù)據(jù)安全監(jiān)管建設(shè)：監(jiān)管部門出臺(tái)相關(guān)法律法規(guī)，將依法履職盡責(zé)對(duì)數(shù)據(jù)處理者履行數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測與風(fēng)險(xiǎn)評(píng)估等數(shù)據(jù)安全保護(hù)義務(wù)、向境外提供重要數(shù)據(jù)等行為依法開展監(jiān)督管理。

作為國內(nèi)數(shù)據(jù)安全領(lǐng)域的先導(dǎo)者，未來天融信將始終致力于以全方位的數(shù)據(jù)安全治理能力，持續(xù)賦能數(shù)據(jù)安全體系建設(shè)，全力保障客戶數(shù)據(jù)安全，為各行業(yè)數(shù)據(jù)安全的發(fā)展及實(shí)踐提供可靠保障、為維護(hù)國家數(shù)據(jù)安全貢獻(xiàn)力量。