《网络数据安全管理条例》将于2025年1月1日起施行

《网络安全法》、《数据安全法》和《个人信息保护法》是信息安全领域的三部基础法律。对上述基础法律中有关规定进一步具体明确的法规《网络数据安全管理条例》,于2024年9月24日公布,并将于2025年1月1日起施行。

该条例非常重要,值得关注的点较多。限于篇幅,以下仅就其中涉及网络数据处理者的普适性规定作一梳理。

1、对于网络数据安全制度的要求

条例第9条在网络数据处理者应当采取的必要措施方面,增加了备份访问控制、安全认证等技术措施及其他必要措施的示例,为企业提供了更多的选择和指引。企业可结合《GB/T 41479-2022 信息安全技术 网络数据处理安全要求》规定的开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求,制定符合本企业情况的规则和措施。

2、网络产品服务安全风险的报告义务

三部基础法律未对涉及安全事件的报告时限作出规定。此前工业和信息化部、国家互联网信息办公室、公安部2021年9月发布的《网络产品安全漏洞管理规定》,要求网络产品提供者在发现或者获知所提供网络产品存在安全漏洞后应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。而条例第10条明确要求网络数据处理者对于涉及国家安全、公共利益的漏洞等风险在24小时内进行报送。

需要提示的是,企业还应关注所在地是否存在报告时限要求。例如,《上海市网络安全事件应急预案》4.1.1规定,发生网络安全事件的单位应当在半小时内口头,1小时内书面报告上海市网信办值班室、上海市应急联动中心和事发地区网络安全主管部门;较大以上网络安全事件或特殊情况应当立即报告。

3、网络数据事件应急预案制度

条例第11条,明确了网络数据安全事件应急预案制度中的企业三项义务:

  • 上报义务。
  • 通知义务。《条例》明确仅在对“个人、组织合法权益造成危害”时,才需要通知受影响的个人和组织。
  • 在发现涉嫌违法犯罪线索时的报案义务。

此外,部分地方规章与国家标准对于网络安全事件的响应要求作了规定,例如《上海市网络安全事件应急预案》、GB/T 20985《信息技术 安全技术 信息安全事件管理》、GB/T 38645《信息安全技术 网络安全事件应急演练指南》等,可以综合参考。

4、与第三方之间网络数据往来的还要求

根据条例第12条,作为传输方,向第三方传输网络数据(限于个人信息和重要数据)时,要求签订合同,并应当监督接收方,且进行记录并保留3年。

条例第14~17条对接收方的相关义务作了明确规定。其中特别值得关注的是,为国家机关等提供服务时,《条例》将监管范围从国家机关扩大至关键信息基础设施运营者,并将网络数据处理者参与其他公共基础设施、公共服务系统建设、运行、维护的情形也纳入监管范围。

5、关于自动化采集技术评估

条例第18条首次从法律规定层面对使用爬虫等自动化工具访问、收集网络数据作出了直接的规定。对于“不得非法侵入他人网络”,通常而言,绕开robots协议、破解网站天然的加密规则(如破解App的加密算法),破坏网站技术保护措施(如使用伪造IP、ID等规避系统IP壁垒等技术保护措施)等行为,被认定为非法侵入他人网络的可能性较高。对于“不得干扰网络服务正常运行”,由于难以界定不同网络服务正常运行的统一标准,《条例》要求企业自行“评估对网络服务带来的影响”,但由此导致执法弹性更大。