2021年11月14日，國家互聯網信息辦公布《網絡數據安全管理條例》（征求意見稿）（以下簡稱《條例》）。該《條例》依據《網絡安全法》、《數據安全法》、《個人信息保護法》制定，作為行政法規，執行、細化、補充前述三部上位法的規定，進一步增強了數據安全法律體系的完備性和可操作性。

在一定程度上，《條例》可以看作《數據安全法》和《個人信息保護法》的實施細則，是由國家網信部門統籌，公安機關、國家安全機關、行業主管部門監管，建立健全數據安全應急處置機制及數據安全審計制度。針對不履行《條例》的數據處理者，將由有關主管部門責令改正、給予警告、責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照等處罰；針對損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的數據處理者，依法追究法律責任，并對直接負責的主管人員和其他直接責任人員進行相關的處罰?！稐l例》主要針對如下方面開展監管工作：

個人信息保護方面

1、處理規則：個人信息處理者應該制定并執行處理規則，包括信息清單（含第三方）、限定期限、安全風險、保護措施、投訴渠道、解決途徑等內容；

2、個人同意：收集信息前獲得個人同意、敏感信息需單獨同意、兒童信息需監護人同意；

3、信息刪除：目的達成、合同到期、終止服務、注銷賬號，需在十五個工作日內刪除數據；

4、請求響應：個人提出數據查閱、復制、更正、補充、限制處理、刪除、轉移等請求時，需在十五個工作日內處理并反饋；

5、生物特征：數據處理者不能只提供生物識別一種認證方式。

示例：

執行前：處理完針對個人信息的服務后，可存儲到服務器中作為歷史數據；認證時，通過人臉即可完成登錄。

執行后：在完成服務后，需在15天內刪除個人信息部分；認證時，不僅需提供人臉，還需要指紋、密碼等多個認證才可以使用。

重要數據安全方面

1、建立目錄：重要數據和核心數據都需要建立數據目錄并報國家網信部門；

2、管理機構：重要數據處理者應該成立數據安全管理機構；

3、識別備案：重要數據識別以后十五個工作日內向設區的市（通常是地級市）級網信部門報告；

4、安全培訓：制定并執行全員數據安全培訓計劃，每年培訓時長不得少于二十小時；

5、安全評估：處理重要數據或者赴境外上市的數據處理者應每年開展一次數據安全風險評估，并于1月31日前上報設區的市（通常是地級市），評估報告至少保留三年；

6、采購評估：國家機關和關基運營者采購云服務，要通過國家網信部門會同國務院有關部門開展的安全評估。

示例：

執行前：針對重要數據的處理者按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告即可。

執行后：處理重要數據或者赴境外上市的數據處理者應每年開展一次數據安全風險評估，并于1月31日前上報設區的市（通常是地級市），評估報告至少保留三年。

數據跨境安全管理方面

1、出境條件：國家網信部門安全評估、國家認定專業機構的個人信息保護認證、履行合同或法定義務；

2、告知同意：個人信息出境前應向個人告知數據接收方信息；

3、保護義務：數據處理者向境外提供數據應當履行保護義務；

4、出境報告：向境外提供個人信息和重要數據的數據處理者，每年1月31日前編制數據出境安全報告并向設區的市（通常是地級市）級網信部門報告。

5、跨境網關: 通過網關阻止境外非法信息入境，禁止繞過、穿透網關或者提供類似軟件或工具，翻墻或者提供翻墻軟件皆被視為違法。

示例：

執行前：針對數據出境，應當通過國家網信部門組織的安全評估。

執行后：向境外提供個人信息和重要數據的數據處理者，每年1月31日前編制數據出境安全報告并向設區的市（通常是地級市）級網信部門報告。

互聯網平臺運營者義務方面

1、規則披露：平臺應建立與數據相關的平臺規則、隱私政策、算法策略的披露和裁決機制。內容修訂需公示時間不少于三十個工作日，日活超一億的平臺規則修訂需經國家網信部門認定的第三方機構評估，并報省級及以上網信部門和電信主管部門同意；

2、連帶責任：平臺需要對接入的第三方產品和服務的安全負責；

3、限制行為：禁止差異定價（大數據殺熟）、低價惡意競爭、違背用戶意愿、設置障礙等行為；

4、應用審核：比如應用商店應對app進行審核，不符合要求的拒絕上架或者下架；

5、個性推送：保證推送信息的真實、準確和來源合法，且需獲得個人單獨同意，需支持一鍵關閉推薦或刪除信息；

6、認證服務：國家建立個人身份認證的公共服務基礎設施；

7、年度審計：每年進行一次第三方安全審計并上報審計結果。

示例：

執行前：針對互聯網平臺運營者推送信息無需爭取個人單獨同意。

執行后：需獲得個人單獨同意，需支持一鍵關閉推薦或刪除信息。

基于在數據安全領域的持續深耕，天融信提出數據安全治理評估、數據安全組織結構建設、數據安全管理制度建設、數據安全技術保護體系建設、數據安全運營管控建設及數據安全監管建設的“六步走”數據安全保障體系建設思路。該建設思路從監督管理層、保護執行層、能力支撐層三個維度，全方位為客戶提供數據安全技術框架參考，針對境內外數據進行處理，對個人信息和重要數據進行重點保護，對核心數據實行嚴格保護。

1、數據安全治理評估：從業務視角出發，結合對基礎安全管控措施的分析，開展業務的管理、技術、運營風險以及系統共性問題的評估工作，形成《數據資產清單》。

2、數據安全組織結構建設：在開展組織架構建設時，根據部門職責建立不同的數據安全角色以滿足數據安全建設的需求。

3、數據安全管理制度建設：從業務數據安全需求、數據安全風險控制需要及法律法規合規性要求等幾個方面進行梳理，最終確定數據安全防護的目標、管理策略及具體的標準、規范、程序等。

4、數據安全技術保護體系建設：針對不同安全級別的數據，參照數據生命周期的原則進行數據安全應用執行。具體保護要求及措施參照國家相關法律、法規、標準及自身的數據安全相關管理制度、規范、標準執行。

5、數據安全運營管控建設：需保持數據安全保障體系因其業務的連續性運行，建立完善的數據安全運營團隊針對數據安全運維、應急預案與演練、監測預警、應急處置及災難恢復進行數據安全運營。

6、數據安全監管建設：監管部門出臺相關法律法規，將依法履職盡責對數據處理者履行數據風險監測與風險評估等數據安全保護義務、向境外提供重要數據等行為依法開展監督管理。

作為國內數據安全領域的先導者，未來天融信將始終致力于以全方位的數據安全治理能力，持續賦能數據安全體系建設，全力保障客戶數據安全，為各行業數據安全的發展及實踐提供可靠保障、為維護國家數據安全貢獻力量。