網(wǎng)絡(luò)數(shù)據(jù)安全管理的操作規(guī)范開始征求意見。

11月14日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》公開征求意見的通知。意見反饋截止12月13日。征求意見稿是《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律在網(wǎng)絡(luò)數(shù)據(jù)安全方面監(jiān)管的進一步細化，具有較強操作性。

征求意見稿共九章，明確了條例的適用范圍，開展數(shù)據(jù)處理活動的一般規(guī)定，并對個人信息保護、重要數(shù)據(jù)安全、數(shù)據(jù)跨境安全管理等作出了詳細規(guī)定。

其中，文件明確數(shù)據(jù)處理者開展四類活動應(yīng)當按照國家有關(guān)規(guī)定，申報網(wǎng)絡(luò)安全審查。包括：處理一百萬人以上個人信息的數(shù)據(jù)處理者赴國外上市的；數(shù)據(jù)處理者赴香港上市，影響或者可能影響國家安全的等。

建立數(shù)據(jù)分類分級保護制度

征求意見稿明確，在境外處理中華人民共和國境內(nèi)個人和組織數(shù)據(jù)的活動，有下列情形之一的，適用本條例。一是以向境內(nèi)提供產(chǎn)品或者服務(wù)為目的；二是分析、評估境內(nèi)個人、組織的行為；三是涉及境內(nèi)重要數(shù)據(jù)處理；四是法律、行政法規(guī)規(guī)定的其他情形。自然人因個人或者家庭事務(wù)開展數(shù)據(jù)處理活動，不適用本條例。

征求意見稿提出，國家建立數(shù)據(jù)分類分級保護制度。按照數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權(quán)益的影響和重要程度，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，不同級別的數(shù)據(jù)采取不同的保護措施。國家對個人信息和重要數(shù)據(jù)進行重點保護，對核心數(shù)據(jù)實行嚴格保護。

何為重要數(shù)據(jù)信息。征求意見稿明確，各地區(qū)、各部門按照國家有關(guān)要求和標準，組織本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的數(shù)據(jù)處理者識別重要數(shù)據(jù)和核心數(shù)據(jù)，組織制定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)目錄，并報國家網(wǎng)信部門。

并要求，重要數(shù)據(jù)的處理者，應(yīng)當明確數(shù)據(jù)安全負責人，成立數(shù)據(jù)安全管理機構(gòu)。

征求意見稿提出，數(shù)據(jù)處理者應(yīng)當建立數(shù)據(jù)安全應(yīng)急處置機制，發(fā)生數(shù)據(jù)安全事件時及時啟動應(yīng)急響應(yīng)機制，采取措施防止危害擴大，消除安全隱患。

四類情形應(yīng)申報網(wǎng)絡(luò)安全審查

征求意見稿第十三條提出，數(shù)據(jù)處理者開展以下活動，應(yīng)當按照國家有關(guān)規(guī)定，申報網(wǎng)絡(luò)安全審查。

一是匯聚掌握大量關(guān)系國家安全、經(jīng)濟發(fā)展、公共利益的數(shù)據(jù)資源的互聯(lián)網(wǎng)平臺運營者實施合并、重組、分立，影響或者可能影響國家安全的。

二是處理一百萬人以上個人信息的數(shù)據(jù)處理者赴國外上市的。

三是數(shù)據(jù)處理者赴香港上市，影響或者可能影響國家安全的。

四是其他影響或者可能影響國家安全的數(shù)據(jù)處理活動。

并強調(diào)，大型互聯(lián)網(wǎng)平臺運營者在境外設(shè)立總部或者運營中心、研發(fā)中心，應(yīng)當向國家網(wǎng)信部門和主管部門報告。

對比7月份發(fā)布的《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》，本次文件的要求有了新變化。

此外，征求意見稿提出，數(shù)據(jù)處理者發(fā)生合并、重組、分立等情況的，數(shù)據(jù)接收方應(yīng)當繼續(xù)履行數(shù)據(jù)安全保護義務(wù)，涉及重要數(shù)據(jù)和一百萬人以上個人信息的，應(yīng)當向設(shè)區(qū)的市級主管部門報告；數(shù)據(jù)處理者發(fā)生解散、被宣告破產(chǎn)等情況的，應(yīng)當向設(shè)區(qū)的市級主管部門報告，按照相關(guān)要求移交或刪除數(shù)據(jù)，主管部門不明確的，應(yīng)當向設(shè)區(qū)的市級網(wǎng)信部門報告。

處理金融賬戶等敏感個人信息應(yīng)當取得個人單獨同意

個人信息保護法已于11月1日起實施。個人信息保護法將生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等列為敏感個人信息。征求意見稿明確，處理敏感個人信息應(yīng)當取得個人單獨同意。

數(shù)據(jù)處理者利用生物特征進行個人身份認證的，應(yīng)當對必要性、安全性進行風險評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特征信息。

日活用戶超過一億的大型互聯(lián)網(wǎng)平臺運營者平臺規(guī)則、隱私政策制定或者對用戶權(quán)益有重大影響的修訂的，應(yīng)當經(jīng)國家網(wǎng)信部門認定的第三方機構(gòu)評估，并報省級及以上網(wǎng)信部門和電信主管部門同意。

中國政法大學副校長時建中教授曾公開表示， “數(shù)據(jù)”一詞沒有出現(xiàn)在個人信息保護法中，但這并不意味著個人信息保護法和數(shù)據(jù)安全法沒有關(guān)系。個人信息是以電子或其他形式記錄的，而電子形式的信息，或者說以電子形式作為載體的個人信息，是要受到數(shù)據(jù)安全法的調(diào)整和規(guī)范的。

他呼吁，在關(guān)于數(shù)據(jù)、網(wǎng)絡(luò)和個人信息方面的行為立法以及相對的基本框架搭建完成后，我們應(yīng)當把立法的重點轉(zhuǎn)到一個權(quán)利的立法上來。加快電信法的制定工作。

數(shù)據(jù)跨境應(yīng)通過評估認證

在數(shù)據(jù)跨境方面，征求意見稿提出明確數(shù)據(jù)處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供數(shù)據(jù)的，應(yīng)當具備下列條件之一。

一是通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估。二是數(shù)據(jù)處理者和數(shù)據(jù)接收方均通過國家網(wǎng)信部門認定的專業(yè)機構(gòu)進行的個人信息保護認證。三是按照國家網(wǎng)信部門制定的關(guān)于標準合同的規(guī)定與境外數(shù)據(jù)接收方訂立合同，約定雙方權(quán)利和義務(wù)。四是法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。

數(shù)據(jù)處理者為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人信息的，或者為了保護個人生命健康和財產(chǎn)安全而必須向境外提供個人信息的除外。

值得注意的是，屬于以下情形的，數(shù)據(jù)處理者應(yīng)當通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估，包括：出境數(shù)據(jù)中包含重要數(shù)據(jù)；關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理一百萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息；國家網(wǎng)信部門規(guī)定的其它情形。

情節(jié)嚴重違法行為或收5000萬或上年度營業(yè)額5%以下罰單

在法律責任方面，征求意見稿共分13條對不同行為的處罰予以規(guī)定。與個人信息保護法一致，征求意見稿明確，數(shù)據(jù)處理者不履行條例個人信息保護章節(jié)相關(guān)規(guī)定，由有關(guān)部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應(yīng)用程序，責令暫?；蛘呓K止提供服務(wù)；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

有前款規(guī)定的違法行為，情節(jié)嚴重的，由有關(guān)部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內(nèi)擔任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。

征求意見稿也提出，數(shù)據(jù)處理者違反本條例規(guī)定，給他人造成損害的，依法承擔民事責任；構(gòu)成違反治安管理行為的，依法給予治安管理處罰；構(gòu)成犯罪的，依法追究刑事責任。