标签归档:网络安全法

重要数据,如何重要

“重要数据”是一个法律概念。

在《网络安全法》中,“重要数据”被不止一次提到:第二十一条要求网络运营者应当按照网络安全等级保护制度的要求,采取数据分类、重要数据备份和加密等措施;第三十七条要求关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

重要数据直接关系到等级保护与数据跨境传输两大制度,不可谓不重要,但在《网络安全法》却缺少相应的定义。

在信标委征求意见的《信息安全技术 数据出境安全评估指南(征求意见稿)》(“评估指南”)中,将重要数据定义为:“相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。”并且将政府信息公开渠道合法公开的数据,排除出重要数据的范围。评估指南还以附录的形式,列了非常详细的重要数据识别指南。

近日,中央网络安全和信息化委员会办公室、工业和信息化部开展“个人信息和重要数据安全专项调查”,在中国互联网协会的《专项调查问题列表与答复》(“答复”)重要数据是指:不涉及国家秘密,但如果泄露、窃取、篡改、毁损、丢失和非法使用可能危害国家安全、国计民生、公共利益的未公开数据,包括:
(1)地理、自然资源、重要物资储备等数据;
(2)基因、生物特征、疾病等数据;
(3)宏观统计等重要经济数据;
(4)网络信息系统的缺陷、漏洞、防范措施等数据;
(5)人群导航位置、大型设备目标位置和移动数据;
(6)法律法规规定的其他重要数据。

较之于评估指南中事无巨细的27大类,答复只分了6大类,即使算细分也只有11类,无疑是缩小了重要数据的范围。但还是需要注意,答复并不是正式的法律文件,不具有法律效力。答复只是提供了未来重要数据划定范围的一个趋势。

孤立的新规——互联网新业务安全评估管理办法(征求意见稿)

一、背景

6月8日下午,工信部就《互联网新业务安全评估管理办法(征求意见稿)》(简称“管理办法”)公开征求意见,值得注意的是,虽然征求意见的管理办法是在《网络安全法》正式施行以后,但该管理办法在第一条立法目的中并未援引《网络安全法》,也没有网信部门的参与,该管理办完全是由工信部所主导。

该管理办法的适用范围非常宽泛,只要电信业务经营者开展新的在线业务,就需要进行安全评估。而电信业务的范围非常宽泛,尤其是在《电信业务分类目录》B25类“信息服务业务”下,囊括了绝大多数的互联网服务类型,而且因为电信管理机构负责网站备案,所以可能会涉及能否顺利备案问题。

二、内容及其影响

安全评估涉及以下内容:

  • 用户个人信息保护
  • 网络安全防护
  • 网络信息安全
  • 管理制度

在管理办法中,对电信业务经营者提出了大量的义务:

电信业务经营者的身份在很大程度上是与《网络安全法》中“网络运营者”的身份是重合的。单从义务上来看,管理办法与《网络安全法》中的义务并没有太多的差别,似乎不会有太多的影响,但问题在于管理办法对企业而言意味着多了一道程序,所以管理办法一旦正式施行,无疑会加重相关互联网企业在网络安全方面的合规成本,原先不必考虑的安全评估成为了业务上线前几年不可避免的流程,这无疑会增加互联网企业的时间成本与经济成本,而对于分秒必争的互联网行业,这可能是致命的。

更加重企业负担的是,根据管理办法第二十九条、第三十条的规定,企业的互联网新业务需要在开展三年内每六个月进行一次评估,也就是说任何一项新的互联网业务,需要至少经历六次评估。更可怕的是,技术实现的方式、业务功能或用户规模有了较大变化,即业务有了突破或是取得了用户的认可,一旦可能存在网络安全风险,就需要进行评估。这样的评估会对互联网企业的效率会有着致命的影响。“安全”是加重企业经营负担的最好理由,繁复的程序难免会存在利益寻租的空间,工信部的新规,看上去似乎是不甘心被排除在《网络安全法》的框架之外的赌气之举。

更加吊诡的是,在管理办法的最后一条,一旦管理办法正式实施,《工业和信息化部关于印发<互联网新技术新业务信息安全评估管理办法(试行)>的通知》(工信部保〔2012〕117号)将同时废止,但我在官方的法规数据库中并没有找到这份“工信部保〔2012〕117号”文件,我原先还打算对新老规定进行一番比较,而这样的结果实在是令人匪夷所思。

三、对接

因为在《网络安全法》中没有新产品上线评估的规定,所以该管理办法无法与《网络安全法》或其他部门的规章形成对接。但管理办法的第八条自我授权可以制定评估标准,早在2016年工信部就制订了通信行业推荐标准《互联网新技术业务安全评估指南》(YD/T3160-2016)。

综合来看,在《网络安全法》作为网络安全领域根本大法的情况下,工信部征求意见的管理办法貌似是来凑热闹,但实则犹如孤岛,游离于《网络安全法》的框架之外,无助于《网络安全法》的落实。