数安条例百问52、53、54：关于备案、培训与采购

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除。

对应条款
第二十九条 重要数据的处理者，应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案，备案内容包括：

（一）数据处理者基本信息，数据安全管理机构信息、数据安全负责人姓名和联系方式等；
（二）处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等，不包括数据内容本身；
（三）国家网信部门和主管、监管部门规定的其他备案内容。
处理数据的目的、范围、类型及数据安全防护措施等有重大变化的，应当重新备案。
依据部门职责分工，网信部门与有关部门共享备案信息。

解读
重要数据处理者备案是一项新提出的规定。这一规定的影响很大，引起了广泛讨论。为了更好理解这一规定，可以从以下几个方面关注：
  
一是，备案目的是什么？《条例》旨在建立完整的重要数据安全保护制度，如重要数据出境管理、对外提供重要数据前的风险评估、重要数据年度报告、重要数据安全审计等。为落实这些制度，首先需要了解谁是重要数据处理者，为此规定重要数据处理者应当进行备案。备案内容主要包括两方面，即机构的情况和重要数据的情况。
  
二是，有意不备案怎么办？现实中可能会出现这样的情况，拥有重要数据的组织不按要求备案。但这不是只有这一制度才会遇到的，任何一项备案制度甚至审批制度都会发生有意规避法律义务的情况。这将通过法律威慑力解决，即有意不备案的组织将会承担相应的法律责任，且这一责任大到了该组织没必要冒风险的程度。
  
三是，既然国家要组织制定重要数据目录，目录中会涉及到重要数据处理者的情况，为什么还要另行备案呢？《数据安全法》第二十一条要求制定重要数据具体目录；《条例》第二十七条对制定目录提出了具体要求。按照常规理解，将来这个目录中一定会标明重要数据所在的组织，即重要数据处理者。在目前的制度设计中，重要数据目录报送和重要数据处理者备案都是面向网信部门，理论上有很多内容可以共同，至少两者强关联。但考虑到这两项制度的目的不同，所以还是分成了不同的制度。但在实际工作中，完全可以通过同一平台报送和备案，填写时有些字段可以共享。
  
四是，如果多个部门提出备案要求怎么办？不同的部门有不同的监管要求，所需要了解的内容各不一样，除网信部门、行业主管监管部门外，不排除还有其他部门也需要掌握重要数据处理者的信息。但为了减轻数据处理者负担，《条例》要求统一报送。如其他部门有需要，可依据部门职责分工，由网信部门向其共享备案信息。

五是，处理一百万人以上个人信息的处理者也要备案吗？《条例》对处理一百万人以上个人信息的处理者也提出了一些增强性的要求，为监督这些要求的落实，自然也有必要掌握此类数据处理者的情况。此外，《条例》第二十六条也指出，数据处理者处理一百万人以上个人信息的，还应当遵守第四章对重要数据的处理者作出的规定。这一表述自然包括对数据处理者的备案要求。从以上两个逻辑看，处理一百万人以上个人信息的处理者也需要备案。但如“百问百答”前所述，一百万人以上个人信息并不是重要数据，对重要数据的要求不可能全部适用于处理一百万人以上个人信息的处理者，例如制定一百万人以上个人信息的目录是没有意义的。此外，从目前的《条例》内容看，第四章有些条款确有不完全适用一百万人以上个人信息的处理者的情况。故一百万人以上个人信息的处理者是否一定要备案，这尚待进一步明确，目前尚不能作出肯定回答。
  

对应条款
第三十条 重要数据的处理者，应当制定数据安全培训计划，每年组织开展全员数据安全教育培训，数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。

解读
培训对于提升意识、提高技能的重要性不言而喻，故在增强性的要求中，往往要求全员培训。这里的“全员”，包括后勤、财务、人事、行政等全体部门的人员。这可以理解，因为每一个部门的人员都涉及安全。至少对“社会工程学”攻击而言，一些非业务部门反而更容易被盯上。此外，每一个部门也的确有各自岗位的安全防护任务，都需要接受培训。

当年《网络安全法》在第三十四条提出，除该法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（二）定期对从业人员进行网络安全教育、技术培训和技能考核；……。

上述的“从业人员”便是指全员。但由于《网络安全法》没有明确使用“全员”，故在实际工作中很少有组织这么做，这是很遗憾的事情。

为此，《条例》直接提出，要“组织开展全员数据安全教育培训”，最大程度减少了对条文的误解。至于其中的数据安全相关的技术和管理人员，则显然需要接受更多培训，《条例》要求不得少于每年20小时。

一些人可能会关心，什么样的培训才是适宜的呢？目前，随着数据安全和个人信息保护热度的上升，相关培训市场迅速发展，但也出现了良莠不齐的情况。据了解，目前有关部门正在研究如何规范我国网络安全培训市场（含数据安全），今后可能会出台进一步的规定。《条例》本身没有限定具体的培训类型，目前也未要求“持证上岗”。

有关组织如果对员工获取数据安全相关证书感兴趣，国外证书可以参考IAPP（国际隐私专业协会）颁发的CIPM/CIPT/CIPP（注册信息隐私管理师/注册信息隐私技术专家/注册信息隐私专家）证书，国内证书可以参考中国信息安全测评中心颁发的CISP-PIP（注册信息安全专业人员-个人信息保护）证书。

对应条款
第三十一条 重要数据的处理者，应当优先采购安全可信的网络产品和服务。

解读
在法律层面，最早提出“安全可信”的是《网络安全法》第十六条。该条要求推广安全可信的网络产品和服务。
  
此后，《关键信息基础设施安全保护条例》第十九条规定，关键信息基础设施运营者应当优先采购安全可信的网络产品和服务。
  
显然，无论对于重要数据处理者，还是对于关键信息基础设施运营者，其采购的产品和服务对最终的安全影响甚大，故理应重视“安全可信”。
  
那么，什么是“安全可信”呢？对此，有关部门曾有过定性描述：
  
安全可信与自主可控、安全可控有着相同的基本要求，主要包括三个方面：
一是产品或服务提供者不应利用提供产品或服务的便利条件非法获取用户重要数据，损害用户对自己数据的支配权；
二是产品或服务提供者不应通过网络非法控制和操纵用户设备，损害用户对自己所拥有和使用设备的控制权；
三是产品和服务提供者不应利用用户对产品和服务的依赖性牟取不正当利益，实施垄断经营，包括停止提供合理的安全技术支持，迫使用户更新换代。
提出安全可信的要求主要是为了保障用户利益，无论是国外产品还是国内产品，都应该符合安全可信的要求，不得损害用户利益。
  
从近年来国际形势看，“安全可信”的指标还可以加上一个：产品和服务具有安全性、开放性、透明性，供应渠道可靠，不会因为政治、外交、贸易等因素导致供应中断。
  
对于第三十一条的规定，《条例》在第六十二条给出了罚则。这是一个瑕疵。既然《条例》提出的是“优先采购”，那么这属于倡导性规定，不应该制定罚则。相信这一问题会在后续得到妥善处理。

【下期预告】
55、如何理解对重要数据处理者和赴境外上市数据处理者的年度数据安全评估要求？
56、如何理解对外提供数据的风险评估要求？
57、对外提供数据前由谁实施风险评估？
58、对外提供数据前所作的风险评估报告怎么使用？
59、《条例》提出的数据安全风险评估与以前的风险评估有什么区别？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？
23、如何理解《条例》提出的网络安全审查要求？
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系？
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求？
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求？
27、为什么对合并、重组、分立或解散、破产提出数据安全要求？
28、为什么要对国家机关专门提出数据安全要求？
29、如何理解对自动化工具访问、收集数据的安全要求？
30、《条例》提出数据安全情况披露要求是基于什么考虑？
31、如何理解对“合法、正当、必要”提出的要求？
32、为什么增加了对处理个人信息“频次”“时机”的要求？
33、为什么要细化对个人信息处理规则的要求？
34、如何理解对个人信息处理规则提出的“清单形式”？
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求？
36、无法对掌握开源第三方代码的个人信息处理规则怎么办？
37、为什么要细化对“同意”的要求？
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息？
39、什么叫做“频繁”征求同意？
40、对个人同意行为有效性存在争议时如何处理？
41、如何理解“十五个”工作日的删除个人信息要求？
42、如何理解“无法避免采集”场景？
43、《条例》从哪些方面保障个人行使查询、复制等权利？
44、如何理解个人信息转移请求？
45、如何理解个人请求直接对外转移个人信息的条件？
46、《条例》对生物特征应用的规定是基于什么考虑？
47、如何理解对生物特征识别的必要性、安全性评估？
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者？
49、如何理解《条例》对建立对个人信息保护制度和重要数据安全制度的侧重点不同？
50、如何理解对数据安全负责人和数据安全管理机构的要求？
51、为什么要求数据安全负责人有权直接向网信部门反映情况？

  总编辑|小贝