网络信息安全条例建议稿颁布 互联网公司海外上市标准再一次优化

11月14日，我国互联网信息公司办公室发布《互联网信息安全管理方法条例（征求意见）》（下称《条例》）。《条例》确立我国创建数据标准化等级分类维护规章制度，对赴港发售和在海外发售的集团公司的网络信息安全维护方面得到了要求，并在书面上明确了产生关键数据泄漏等安全事故的应急机制。

“以互联网数据处理行为准则的层面对《网络安全法》、《数据安全法》和《个人信息保障法》的原则问题要求进一步的优化和具备操作性的要求，使《网络安全法》、《数据安全法》和《个人信息保障法》法律总体目标在标准互联网数据处理个人行为中获得法律法规作用的较大完成。”中国政法大网络金融法律解释科学研究院医生李爱君对新京报网珍珠贝财经记者表明。

十万人之上数据泄露需要在八小时内上报

李爱君表明，《条例》标准的是“互联网数据处理主题活动”。依据《中华人民共和国网络安全法》，数据网络就是指利用互联网搜集、储存、传送、解决和存在的各种各样电子数据。因而该《条例》调节的数据信息行为主体范畴低于《数据安全法》，《数据安全法》中的数据信息就是指一切以电子器件或是别的方法对消息的纪录。

对于此事，国家行业标准《个人信息安全规范》定编组长洪延青在公众号网警寻径人群中出文称，《条例》对网络信息安全核查的上位法根据取决于《数据安全法》第二十四条——我国创建网络信息安全核查规章制度，对影响或是很有可能影响国家安全的数据处理主题活动开展国家安全核查。“《条例》进一步健全了《网络安全审查办法（修订草案征求意见稿）》中对“影响或是很有可能影响国家安全的数据处理主题活动”的定义。待《条例》宣布根据，就预兆着《数据安全法》中要求的网络信息安全核查制订宣布建立。”

李爱君觉得，网络信息安全维护规章制度更加优化，要求了数据标准化的根据，如依照数据信息对国家安全、集体利益或是本人、机构合法权利的影响和关键水平开展归类，并在《数据安全法》的根基上对信息实现了一般数据信息、关键数据信息、关键数据信息的归类。

珍珠贝财经记者注意到，《条例》仍在网络信息安全应急管理体制层面开展了优化。其第十一条有：“如产生关键数据信息或是十万人之上个人信息泄漏，在产生安全事故的八小时内向型设区的市级网信部门和相关主管机构汇报事情基本资料”的描述。对于此事，北师大互联网法制国际性核心实行负责人吴沈括告知珍珠贝财经记者，以前沒有过相近的要求，“这是第一次在书面上明确”。李爱君表明，这可以很好地预防关键网络信息安全风险性产生，并在产生时有效的操纵风险性的扩大。

赴港发售若“很有可能影响国家安全”必须申请

《条例》的一大特点还包含其对影响或是很有可能影响国家安全的数据处理主题活动开展了进一步的规定。

如《数据安全法》第二十四条要求，“我国创建网络信息安全核查规章制度，对影响或是很有可能影响国家安全的数据处理主题活动开展国家安全核查。”但其并没有详细描述什么叫“影响国家安全的数据处理主题活动”。在前段时间公布的《网络安全审查办法（修订草案征求意见稿）》中则明确提出“把握超出100万客户个人信息运营人赴海外发售，务必向网警核查公司办公室申请”的要求，引起了普遍关心。在洪延青来看，《数据安全法》中，“影响或是很有可能影响国家安全”的內容尚需进行，网络信息安全审核方法议案作出了基本的定义，而本次的《条例》则提到了更丰富的含义。

实际看来，《条例》第十三条规定，数据处理者进行一些主题活动，理应依照相关要求，申请网络信息安全核查：（一）聚集把握很多关联国家安全、城镇化发展、集体利益的数据资料的网络平台运营人执行合拼、资产重组、公司分立，影响或是很有可能影响国家安全的；（二）解决一百万人之上个人信息的数据处理者赴海外发售的；（三）数据处理者赴新加坡上市，影响或是很有可能影响国家安全的；（四）别的影响或是很有可能影响国家安全的数据处理主题活动。与此同时，大中型网络平台运营人在国外开设总公司或是营销中心、研发中心，理应向我国网信部门和主管机构汇报。

洪延青进一步剖析称，“影响或是很有可能影响国家安全”发生在第一项、第三项、第四项，可是沒有发生在第二项，那样的差别非常值得十分重视。也就是说：“解决一百万人之上个人信息的数据处理者赴海外发售的”是个客观原因；但第一项、第三项、第四项，还必须数据处理者在申请以前积极做一次分辨——“影响或是很有可能影响国家安全”。仅有评定后发觉“影响或是很有可能影响国家安全”，才必须申请。假如鉴定后发觉不影响国家安全的，是不用申请的。

洪延青觉得，“解决一百万人之上个人信息的数据处理者赴海外发售”，立即被确认为“影响或是很有可能影响国家安全”。别的情况，还要做个案研究。除此之外，从文本分析看来，“在国外开设总公司或是营销中心、研发中心”的方式在正当程序认知能力中具备更大水平的安全风险。

吴沈括告知珍珠贝财经记者，“第十三条相关信息是应对现阶段社會上相关赴港发售时一些法纪管理方法的误会作出的一个回应式的要求，与此同时也是在安全性维护方面补充确立的要求，根据这一方法防止网络信息安全出国行业的规章制度系统漏洞。除此之外，《条例》第三十二条要求，赴海外上市的公司要每一年开展一次网络信息安全汇报评定，这主要是为了更好地过后的不断管控。服务平台的安全风险评估也是不断监督管理的工作目标的反映，对业务流程而言也代表着业务流程相关标准的改动转变，公司必须有安全防范意识，对风险性能作出事先、事中的立即清查和处理。”

细化《个保法》要求提高可操作性

李爱君告知珍珠贝财经记者，《条例》第十三条对数据处理者必须申请安全性核查的数据处理个人行为开展了例举式的要求，提高了可操作性。如聚集把握很多关联国家安全、城镇化发展、集体利益的数据资料的网络平台运营人执行合拼、资产重组、公司分立，影响或是很有可能影响国家安全的等。她觉得，此类要求使必须安全性核查的数据处理者确立（工作职责），减少了行政执法成本费，与此同时也可以完成稽查的公平公正和公平公正。

除国家安全、数据信息出国等有关要求，《条例》对个人信息维护也作出了相应要求。如《条例》第二十四条拟要求，数据处理者应当为满足条件的本人特定的别的数据处理者浏览、获得其个人信息给予迁移服务项目。李爱君觉得，该要求使《个人信息保障法》第四十五条“本人要求将个人信息迁移至其特定的个人信息解决者，符合我国网信部门要求情况的，个人信息解决者理应给予迁移的方式”这一标准中的“符合我国网信部门要求标准”细化，使“个人信息迁移”可以真真正正完成。

在她来看，《条例》对“本人查看、拷贝、更改、删掉、限定解决、迁移个人信息，及其注销账号、撤销解决个人信息允许的方式和方式”的要求也可以使《个人信息保障法》对个人信息维护和个人信息行为主体权利维护切实落实，强有力地提高了个人信息行为主体在维护保养自己合法权利工作能力。此外，《条例》对“云计算平台”开展了定义，解决了现阶段各地区法律在“云计算平台”的界定的不统一而产生的“云计算平台”范畴不清晰的难题。也有数据处理者、独立允许、大中型网络平台运营人和公共性信息的定义都对本《条例》的执行和对《网络安全法》、《数据安全法》和《个人信息保障法》的执行具有了确定、细化和可实际操作化的功效。

“《条例》假如依照现阶段征求意见中的內容宣布执行，可能给现阶段的隐私保护局势产生非常大的影响。一是在技术性维护方面，必须资金投入大量保障措施；在组织协调方面，紧紧围绕个人信息项目生命周期各个阶段要进一步加强，尤其是相应的评定、财务审计各层面规定，尤其是财务审计层面影响会特别大；在业务流程绿色生态层面，个人信息有关的运转、运用方式的制定和合规管理落地式也拥有更细的规定。”吴沈括对珍珠贝财经记者表明。

新京报网珍珠贝财经记者罗亦丹