三、重要数据安全管理

1. 重要数据安全责任人
《数据安全法》第二十七条要求，重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。
《条例》对重要数据的安全责任人予以明确，其第二十八条规定，数据安全负责人应当具备数据安全专业知识和相关管理工作经历，且由数据处理决策层成员承担，有权直接向网信部门和主管、监管部门反映数据安全情况。从该条规定来看，重要数据的安全责任须由数据处理者的决策层成员来承担，即“领导负责制”。
2. 数据处理者对重要数据承担的安全保护义务
《条例》第二十九条至第三十三条从备案、培训、采购、安全评估、数据流转五个方面详细规定了数据处理者对重要数据应承担的安全保护义务，并对相关工作提出了明确的时限要求，具体包括：
（1）重要数据处理者在识别其重要数据后的十五个工作日内向设区的市级网信部门备案。
（2）重要数据处理者与数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。
（3）重要数据处理者或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门；数据处理者应当保留风险评估报告至少三年。
3. 重要数据安全评估的特别规定
《条例》对重要数据的安全评估分为常规安全评估和特定情形安全评估两大类。
常规安全评估需要每年开展一次，并在每年1月31日前将上一年度评估报告报设区的市级网信部门。
数据处理者进行共享、交易、委托处理、向境外提供重要数据这几种数据处理行为时，应当征得设区的市级及以上主管部门同意，主管部门不明确的，应当征得设区的市级及以上网信部门同意。
同时，在这几种情况下须进行特定情形的数据安全评估，重点审查处理数据的目的、方式、范围等是否合法、正当、必要；数据被泄露、毁损、篡改、滥用的风险，以及对国家安全、经济发展、公共利益带来的风险；数据接收方的背景情况，承诺承担的责任以及履行责任的能力等；相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务；处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。
一旦评估结果认为可能危害国家安全、经济发展和公共利益，数据处理者不得共享、交易、委托处理、向境外提供数据。
4. 数据出境的特别规定
《条例》在《网络安全法》《数据安全法》《个人信息保护法》的基础上，对数据跨境流动规则进行了完善，完整地建立了数据出境安全管理制度，包括个人信息出境前单独同意、数据出境安全评估、数据出境安全管理义务、数据出境情况报告等。
（1）根据《条例》第三十七条规定，需要履行数据出境安全评估的责任主体为出境数据包含重要数据的数据处理者、处理一百万人以上个人信息的数据处理者，以及关键信息基础设施运营者。同时，参考国家网信办公布的《数据出境安全评估办法（征求意见稿）》，累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息的数据处理者，也应当向国家网信部门申报数据出境安全评估。

（2）《条例》第三十九条明确数据处理者向境外提供数据应当履行以下义务：不得超出报送网信部门安全评估时明确的目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据；采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据，履行数据安全保护义务，保证数据安全；接受和处理数据出境所涉及的用户投诉；数据出境对个人、组织合法权益或者公共利益造成损害的，数据处理者应当依法承担责任；存留相关日志记录和数据出境审批记录三年以上；数据处理者应当以明文、可读方式展示向境外提供个人信息和重要数据的类型、范围；国家网信部门认定不得出境的，数据处理者应当停止数据出境，并采取有效措施对已出境数据的安全予以补救；个人信息出境后确需再转移的，应当事先与个人约定再转移的条件，并明确数据接收方履行的安全保护义务。

（本文作者：盈科王俊林、石陇辉律师 来源：微信公众号 盈科知产与竞争法资讯）