如本文上篇所述,《條例》不僅重視發展,還注重在數據安全重要管理制度上的創新和拓展。本篇將對其創新制度加以簡析,并嘗試歸納《條例》有待深入討論的內容���。
一、《條例》對數據安全制度的創新
《條例》對《數據安全法》所設立重要制度的創新拓展主要體現在數據安全審計制度和網絡身份認證基礎設施兩個方面,分析如下。
(一)數據安全審計制度
《條例》首次提出“國家建立數據安全審計制度”(第五十八條)�。從法規內容來看,條例規定了數據安全審計的兩種方式��。
一是自主審計。即數據處理者委托數據安全審計專業機構開展,“定期對其處理個人信息遵守法律�����、行政法規的情況進行合規審計”(第五十八條第一款)���。
二是檢查審計。即“主管�����、監管部門組織開展對重要數據處理活動的審計,重點審計數據處理者履行法律、行政法規規定的義務等情況”(第五十八條第二款)�。
另外與此相對應,《條例》還規定了大型互聯網平臺運營者應當承擔的數據安全審計義務和責任(第五十三條)。
(二)網絡身份認證基礎設施
“網絡身份認證公共服務基礎設施”是《條例》明確提出的重要機制創新之一,從條文內容看至少包含三層含義���。
一是明確了保護對象為個人信息權利���。該制度的出處為《個人信息保護法》第六十二條第三款“(三)支持研究開發和推廣應用安全、方便的電子身份認證技術,推進網絡身份認證公共服務建設”��������!稐l例》將“網絡身份認證公共服務基礎設施”作為開展“網絡身份認證公共服務”的重要載體和形式加以明確。從立法目的看,是通過建立該機制減少乃至避免運營者對用戶個人信息的直接收集,鼓勵運營者以向服務平臺確認的方式,最大限度減少個人信息被濫用的風險��。
二是強化了其作為網絡安全保障體系重要制度的地位���。從法律用語來看,“網絡身份認證”在《網絡安全法》中已經提出,“國家實施網絡可信身份戰略,...,推動不同電子身份認證之間的互認”���?梢,“網絡身份認證公共服務基礎設施”是法律確立的國家網絡可信身份戰略的具體表現,是國家網絡安全制度的重要組成部分。
三是確立了優先使用的原則�����。對于“網絡身份認證公共服務基礎設施”的推廣利用,《條例》第五十條第二款明確了優先使用的原則:“互聯網平臺運營者應當支持并優先使用”�。且從發展的角度來看,隨著數據法治環境的持續向好、以及該項制度和配套機制的不斷完善,運營者對其采納應用也大概率會是必然趨勢���。
二、對完善《條例》的思考
《條例》目前正在公開征求社會意見,其內容體系、制度涵蓋的完善將會是一個持續上升的過程�����。筆者認為,在《條例》的完善發展過程中,某些內容規定或值得展開更加深入的探討和關注��。如:個人信息保護的相關規定如何更好地與個人信息保護法律體系融合銜接?數據分類問題是否需要加強規范引導?是否需要出臺有關數據安全審計��、網絡身份認證基礎設施等專項管理制度?行業數據應急預案、行業評估如何加強規范依據?等等��。
相信隨著征求意見工作的深入推進,《條例》內容將更加完善,其對加強國家數據安全保障體系和能力建設、筑牢國家數據安全屏障將發揮更加重要的作用�����。
(責編:東 華)
手機中網資訊
