【建纬观点】谈承发包视角下新基建的数据安全治理之规范梳理(下)——从信息安全等级保护密码管理、数据安全角度
袁健建纬律师事务所建设工程部专职律师
执业期间,参与住建部2022年版《建筑工人实名制管理办法(试行)》部分条款的修订;参与编写建纬所《工程总承包仲裁审理指南》及相关课题;参与中咨协《新基建数字化项目管理指南》课题;参与中国房地产业协会《中国长租房市场可持续发展研究:政治经济学意涵、顶层设计与实施路径》课题等;参与编写中国工程咨询协会的团标《政府投资项目工程总承包风险管理工作指南》等。
另,袁健律师持有医师资格证书,有多年的从医工作经历,极擅长解决医患争端;曾在某大型金融企业任法务主管,极擅长解决保险类金融纠纷。2012年正式入职律师事务所。
摘 要 随着我国的网络安全、数据安全、个人信息保护等法律规范的发布,为数据发展与安全提供了法律依据,但承发包视角下,新基建的数字化项目中的数据安全如何治理,需要梳理与总结。
关键词 新基建;数字化项目;数据安全治理;网络安全等级保护;数据分类分级保护制度。
前文链接:【建纬观点】谈承发包视角下新基建的数据安全治理之规范梳理(上)——从信息网络安全、涉密信息保护角度
接上文,本文继续从信息安全等级保护的密码管理、数据安全角度梳理。
三、信息安全等级保护的密码管理
(一)国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。(《信息安全等级保护管理办法》第三十四条)
(二)信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。(《信息安全等级保护管理办法》第三十五条)
(三) 信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。(《信息安全等级保护管理办法》第三十六条)
(四)运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。(《信息安全等级保护管理办法》第三十七条)
(五)信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。(《信息安全等级保护管理办法》第三十八条)
(六)各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。(《信息安全等级保护管理办法》第三十九条)
(七)国家对密码实行分类管理。
密码分为核心密码、普通密码和商用密码。(《密码法》第六条)
(八)核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。
核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。(《密码法》第七条)
(九)商用密码用于保护不属于国家秘密的信息。
公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。(《密码法》第八条)
(十)涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。
商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。(《密码法》第二十六条)
(十一)法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。(《密码法》第二十七条)
经过以上法条的梳理,可见,核心密码、普通密码属于国家秘密,由密码管理部门实行严格统一管理。在承发包视角下,一般讨论的是商用密码。按照《信息安全等级保护商用密码技术要求》分级管理。
四、数据安全的规范及治理要求
法律依据《中华人民共和国数据安全法》、《网络数据安全管理条例(征求意见稿)》,分类分级依据全国信息安全标准化技术委员会秘书处的《网络安全标准实践指南——网络数据分类分级指引》(TC260-PG-20212A)数据的分类分级。
总则的部分规定
(一)本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。(《数据安全法》第三条)
(二)维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。(《数据安全法》第四条)
(三)国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。(《数据安全法》第七条)
(四)开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。(《数据安全法》第八条)
(五)相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。(《数据安全法》第十条)
(六)国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。(《数据安全法》第十三条)
(七)国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。
省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。(《数据安全法》第十四条)
(八)国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。(《数据安全法》第十七条)
(九)国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。(《数据安全法》第十八条)
数据分类分级保护制度
(十)国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。(《数据安全法》二十一条)
重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:
1.未公开的政务数据、工作秘密、情报数据和执法司法数据;
2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;
3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;
4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;
5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;
6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;
7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。(《数据安全法》第七十三条之第三、四款)
(十一)数据的分类分级
分类分级对象:数据项。数据项是数据库表的某一列字段。
数据集。数据集是由多个数据项组成的集合,如数据库表、数据文件等。
分类:数据分类具有多种视角和维度,其主要目的是便于数据管理和使 用。本实践指南采用面分类法,从国家、行业、组织等视角给出了多个维度的数据分类参考框架。常见的数据分类维度,包括但不限于:
a)公民个人维度。将数据分为个人信息、非个人信息。
b)公共管理维度。将数据分为公共数据、社会数据,或者分为政务数据、公共数据、社会数据。
c)信息传播维度:将数据分 为公共传播信息、非公共传播信息。
d)行业领域维度:将数据分为 工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健 康数据、教育数据、科技数据等,其他行业领域可参考 GB/T 4754— 2017《国民经济行业分类》。
e)组织经营维度:在遵循国家和行业数据分类分级要求的基础 上,数据处理者也可按照组织经营维度,将个人或组织用户的数据单独划分出来作为用户数据,用户数据之外的其他数据从便于业务生产和经营管理角度进行分类。比如分为用户数据、业务数据、经营管理数据、系统运行和安 全数据。
分级:1、核心数据,查:国家或者行业领域的核心数据目录,或者按以下标准判定:
一旦破坏,就是国家安全一般危害的数据
一旦破坏,就是国家安全严重危害的数据
一旦破坏,就是公共利益严重危害的数据
2、重要数据,国家或者行业领域的重要数据目录,或按以下标准判定:
一旦破坏,就是国家安全轻微危害的数据
一旦破坏,就是公共利益一般危害的数据
一旦破坏,就是公共利益轻微危害的数据
3、一般数据
一旦破坏,对国家安全无危害的数据
一旦破坏,对公共利益无危害的数据
一旦破坏,对个人合法权益造成无危害、轻微危害、一般危害、严重危害的数据
一旦破坏,对组织合法权益造成无危害、轻微危害、一般危害、严重危害的数据
一般数据又可以分为1级、2级、3级、4级
1级:一旦破坏,对个人、组织的合法权益无危害。1级数据具有公共传播属性,可对外公开发布、转发传播,但也需考虑公开的数据量及类别,避免由于类别较多或者数量过大被用于关联分析。
2级:一旦破坏,对个人、组织的合法权益造成轻微危害。2级数据通常在组织内部、关联方共享和使用,相关方授权后可组织外部头享。
3级:一旦破坏,对个人、组织的合法权益造成一般危害。3级数据仅能由授权的内部机构或人员访问,如果要将数据共享到外部,需要满足相关条件并获得相关方的授权。
4级:一旦破坏,对个人、组织的合法权益造成严重危害,但不会危害国家安权或公共利益。4级数据按照批准的授权列表严格管理,仅能在受控范围内经过严格审批、评估后才可共享或传播。如:特定身份、医疗健康、犯罪记录、个人种族、宗教信仲、性取向、泄露非法使用家庭住址及家属关系等家庭相关信息,(可能会为入室抢劫或绑架等犯罪所利用)、个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等敏感个人信息。
特定类型一般数据的最低参考级别如下:
敏感个人信息不低于4级,一般个人信息不低于2级;
组织内部员工个人信息不低于2级;
有条件开放/共享的公共数据级别不低于2级,禁止开放/共享的公共数据不低于4级。
衍生数据的定级:数据通常可分为原始数据、脱敏数据、 标签数据、统计数据、融合数据,其中脱敏数据、标签数据、统计数 据、融合数据均属于衍生数据。
1、原始数据可按照前述方法进行定级。
2、脱敏数据级别可比原始数据集级别降低,去标识化的个人信 息不低于 2 级,匿名化个人信息不低于 1 级。
3、标签数据级别可比原始数据集级别降低,个人标签信息不低 于 2 级。
4、统计数据如涉及大规模群体特征或行动轨迹,应设置比原始 数据集级别更高的级别。
5、融合数据级别要考虑数据汇聚融合结果,如果结果数据汇聚 了更多的原始数据或挖掘出更敏感的数据,级别需要升高,但如果结 果数据降低了标识化程度等,级别可以降低。
以上,依据全国信息安全标准化技术委员会秘书处的《网络安全标准实践指南——网络数据分类分级指引》(TC260-PG-20212A)数据的分类分级。
(十二)国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。(《网络数据安全管理条例(征求意见稿)》第五条)
(十三)数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任。
数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。(《网络数据安全管理条例(征求意见稿)》第六条)
数据处理的一般规定
(十四)任何个人和组织开展数据处理活动应当遵守法律、行政法规,尊重社会公德和伦理,不得从事以下活动:
(一)危害国家安全、荣誉和利益,泄露国家秘密和工作秘密;
(二)侵害他人名誉权、隐私权、著作权和其他合法权益等;
(三)通过窃取或者以其他非法方式获取数据;
(四)非法出售或者非法向他人提供数据;
(五)制作、发布、复制、传播违法信息;
(六)法律、行政法规禁止的其他行为。
任何个人和组织知道或者应当知道他人从事前款活动的,不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。(《网络数据安全管理条例(征求意见稿)》第八条)
(十五)数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。
数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。
数据处理者应当使用密码对重要数据和核心数据进行保护。(《网络数据安全管理条例(征求意见稿)》第九条)
(十六)数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞,或者威胁国家安全、危害公共利益等风险时,应当立即采取补救措施。(《网络数据安全管理条例(征求意见稿)》第十条)
(十七)数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。
发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:
(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;
(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。(《网络数据安全管理条例(征求意见稿)》第十一条)
(十八)数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规定:
(一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外;
(二)与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督;
(三)留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。
数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。(《网络数据安全管理条例(征求意见稿)》第十二条)
(十九)数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:
1、汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;
2、处理一百万人以上个人信息的数据处理者赴国外上市的;
3、数据处理者赴香港上市,影响或者可能影响国家安全的;
4、其他影响或者可能影响国家安全的数据处理活动。
大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。(《网络数据安全管理条例(征求意见稿)》第十三条)
(二十) 数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。(《网络数据安全管理条例(征求意见稿)》第十四条)
(二十一)数据处理者从其他途径获取的数据,应当按照本条例的规定履行数据安全保护义务。(《网络数据安全管理条例(征求意见稿)》第十五条)
(二十二)数据处理者在采用自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。
自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的,数据处理者应当停止访问、收集数据行为并采取相应补救措施。(《网络数据安全管理条例(征求意见稿)》第十七条)
(二十三)数据处理者应当建立便捷的数据安全投诉举报渠道,及时受理、处置数据安全投诉举报。
数据处理者应当公布接受投诉、举报的联系方式、责任人信息,每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况,接受社会监督。(《网络数据安全管理条例(征求意见稿)》第十八条)
个人信息保护
(二十四)数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。基于个人同意处理个人信息的,应当满足以下要求:
(一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的;
(二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;
(三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。(《网络数据安全管理条例(征求意见稿)》第十九条)
(二十五)数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。
个人信息处理规则应当包括但不限于以下内容:
(一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响;
(二)个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式;
(三)个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法;
(四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;
(五)向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等;
(六)个人信息安全风险及保护措施;
(七)个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。(《网络数据安全管理条例(征求意见稿)》第二十条)
(二十六)处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:
(一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;
(二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;
(三)处理不满十四周岁未成年人的个人信息,应当取得其监护人同意;
(四)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;
(五)不得通过误导、欺诈、胁迫等方式获得个人的同意;
(六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;
(七)不得超出个人授权同意的范围处理个人信息;
(八)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得个人同意,并同步修改个人信息处理规则。
对个人同意行为有效性存在争议的,数据处理者负有举证责任。(《网络数据安全管理条例(征求意见稿)》第二十一条)
(二十七)有下列情况之一的,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理:
(一)已实现个人信息处理目的或者实现处理目的不再必要;
(二)达到与用户约定或者个人信息处理规则明确的存储期限;
(三)终止服务或者个人注销账号;
(四)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。
删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。
法律、行政法规另有规定的从其规定。(《网络数据安全管理条例(征求意见稿)》第二十二条)
(二十八)个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当履行以下义务:
(一)提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制;
(二)提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能,且不得设置不合理条件;
(三)收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。
法律、行政法规另有规定的从其规定。(《网络数据安全管理条例(征求意见稿)》第二十三条)
(二十九)符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:
(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;
(二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;
(三)能够验证请求人的合法身份。
数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。
请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。(《网络数据安全管理条例(征求意见稿)》第二十四条)
(三十)数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
法律、行政法规另有规定的从其规定。(《网络数据安全管理条例(征求意见稿)》第二十五条)
(三十一)数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。(《网络数据安全管理条例(征求意见稿)》第二十六条)
重要数据安全
(三十二)各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。(《网络数据安全管理条例(征求意见稿)》第二十七条)
(三十三)重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下,履行以下职责:
(一)研究提出数据安全相关重大决策建议;
(二)制定实施数据安全保护计划和数据安全事件应急预案;
(三)开展数据安全风险监测,及时处置数据安全风险和事件;
(四)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;
(五)受理、处置数据安全投诉、举报;
(六)按照要求及时向网信部门和主管、监管部门报告数据安全情况。
数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。(《网络数据安全管理条例(征求意见稿)》第二十八条)
(三十四)重要数据的处理者,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案,备案内容包括:
(一)数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等;
(二)处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身;
(三)国家网信部门和主管、监管部门规定的其他备案内容。
处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。
依据部门职责分工,网信部门与有关部门共享备案信息。(《网络数据安全管理条例(征求意见稿)》第二十九条)
(三十五)重要数据的处理者,应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。(《网络数据安全管理条例(征求意见稿)》第三十条)
(三十六)重要数据的处理者,应当优先采购安全可信的网络产品和服务。(《网络数据安全管理条例(征求意见稿)》第三十一条)
(三十七)处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,年度数据安全评估报告的内容包括:
(一)处理重要数据的情况;
(二)发现的数据安全风险及处置措施;
(三)数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性;
(四)落实国家数据安全法律、行政法规和标准情况;
(五)发生的数据安全事件及其处置情况;
(六)共享、交易、委托处理、向境外提供重要数据的安全评估情况;
(七)数据安全相关的投诉及处理情况;
(八)国家网信部门和主管、监管部门明确的其他数据安全情况。
数据处理者应当保留风险评估报告至少三年。
依据部门职责分工,网信部门与有关部门共享报告信息。
数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估,应当重点评估以下内容:
(一)共享、交易、委托处理、向境外提供数据,以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要;
(二)共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险;
(三)数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况,承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全;
(四)与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务;
(五)在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。
评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供数据。(《网络数据安全管理条例(征求意见稿)》第三十二条)
(三十八)数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。(《网络数据安全管理条例(征求意见稿)》第三十三条)
(三十九) 国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估。(《网络数据安全管理条例(征求意见稿)》第三十四条)
数据跨境安全管理
(四十)数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:
(一)通过国家网信部门组织的数据出境安全评估;
(二)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;
(三)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。(《网络数据安全管理条例(征求意见稿)》第三十五条)
(四十一)数据处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项,并取得个人的单独同意。
收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。(《网络数据安全管理条例(征求意见稿)》第三十六条)
(四十二)数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估:
(一)出境数据中包含重要数据;
(二)关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息;
(三)国家网信部门规定的其它情形。
法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。(《网络数据安全管理条例(征求意见稿)》第三十七条)
(四十三)中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。(《网络数据安全管理条例(征求意见稿)》第三十八条)
(四十四)数据处理者向境外提供数据应当履行以下义务:
(一)不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息;
(二)不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据;
(三)采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全;
(四)接受和处理数据出境所涉及的用户投诉;
(五)数据出境对个人、组织合法权益或者公共利益造成损害的,数据处理者应当依法承担责任;
(六)存留相关日志记录和数据出境审批记录三年以上;
(七)国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示;
(八)国家网信部门认定不得出境的,数据处理者应当停止数据出境,并采取有效措施对已出境数据的安全予以补救;
(九)个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。
非经中华人民共和国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。(《网络数据安全管理条例(征求意见稿)》第三十九条)
(四十五)向境外提供个人信息和重要数据的数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况:
(一)全部数据接收方名称、联系方式;
(二)出境数据的类型、数量及目的;
(三)数据在境外的存放地点、存储期限、使用范围和方式;
(四)涉及向境外提供数据的用户投诉及处理情况;
(五)发生的数据安全事件及其处置情况;
(六)数据出境后再转移的情况;
(七)国家网信部门明确向境外提供数据需要报告的其他事项。
(《网络数据安全管理条例(征求意见稿)》第四十条)
(四十六)国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。
任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。
境内用户访问境内网络的,其流量不得被路由至境外。(《网络数据安全管理条例(征求意见稿)》第四十一条)
(四十七)数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求,建立健全相关技术和管理措施。(《网络数据安全管理条例(征求意见稿)》第四十二条)
互联网平台运营者义务
(四十八)互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。
大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
(《网络数据安全管理条例(征求意见稿)》第七十三条第九、十款)
(四十九)互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。
平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见,修改完善平台规则、隐私政策,并以易于用户访问的方式公布意见采纳情况,说明未采纳的理由,接受社会监督。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。(《网络数据安全管理条例(征求意见稿)》第四十三条)
(五十)互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任,通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。
第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。
移动通信终端预装第三方产品适用本条前两款规定。(《网络数据安全管理条例(征求意见稿)》第四十四条)
(五十一)国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护,非个人通信的信息按照公共信息有关规定进行管理。(《网络数据安全管理条例(征求意见稿)》第四十五条)
(五十二)互联网平台运营者不得利用数据以及平台规则等从事以下活动:
(一)利用平台收集掌握的用户数据,无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为;
(二)利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为;
(三)利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据;
(四)在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。
(《网络数据安全管理条例(征求意见稿)》第四十六条)
(五十三)提供应用程序分发服务的互联网平台运营者,应当按照有关法律、行政法规和国家网信部门的规定,建立、披露应用程序审核规则,并对应用程序进行安全审核。对不符合法律、行政法规的规定和国家标准的强制性要求的应用程序,应当采取拒绝上架、督促整改、下架处置等措施。(《网络数据安全管理条例(征求意见稿)》第四十七条)
(五十四)互联网平台运营者面向公众提供即时通信服务的,应当按照国务院电信主管部门的规定,为其他互联网平台运营者的即时通信服务提供数据接口,支持不同即时通信服务之间用户数据互通,无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。(《网络数据安全管理条例(征求意见稿)》第四十八条)
(五十五)互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的,应当对推送信息的真实性、准确性以及来源合法性负责,并符合以下要求:
(一)收集个人信息用于个性化推荐时,应当取得个人单独同意;
(二)设置易于理解、便于访问和操作的一键关闭个性化推荐选项,允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数;
(三)允许个人删除定向推送信息服务收集产生的个人信息,法律、行政法规另有规定或者与用户另有约定的除外。
(《网络数据安全管理条例(征求意见稿)》第四十九条)
(五十六)第五十条国家建设网络身份认证公共服务基础设施,按照政府引导、网民自愿原则,提供个人身份认证公共服务。
互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。(《网络数据安全管理条例(征求意见稿)》第五十条)
(五十七)互联网平台运营者在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据不得用于其他用途。(《网络数据安全管理条例(征求意见稿)》第五十一条)
(五十八)国务院有关部门履行法定职责需要调取或者访问互联网平台运营者掌握的公共数据、公共信息,应当明确调取或者访问的范围、类型、用途、依据,严格限定在履行法定职责范围内,不得将调取或者访问的公共数据、公共信息用于履行法定职责之外的目的。
互联网平台运营者应当对有关部门调取或者访问公共数据、公共信息予以配合。(《网络数据安全管理条例(征求意见稿)》第五十二条)
(五十九)大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。(《网络数据安全管理条例(征求意见稿)》第五十三条)
(六十)互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的,应当按照国家有关规定进行安全评估。(《网络数据安全管理条例(征求意见稿)》第五十四条)
(六十一)涉及国家秘密信息、核心数据、密码使用的数据处理活动,按照国家有关规定执行。(《网络数据安全管理条例(征求意见稿)》第七十四条)
数据安全保护义务
(六十三)开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。(《数据安全保护法》第二十七条)
(六十四)开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。(《数据安全保护法》第二十八条)
(六十五)开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。(《数据安全保护法》第二十九条)
(六十六)重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。(《数据安全保护法》第三十条)
(六十七)关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。(《数据安全保护法》第三十一条)
(六十八)任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。(《数据安全保护法》第三十二条)
(六十九)从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。(《数据安全保护法》第三十三条)
(七十)法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。(《数据安全保护法》第三十四条)
(八十)中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。(《数据安全保护法》第三十六条)
政务数据安全
(八十一)国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。(《数据安全保护法》第三十八条)
(八十二)国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。(《数据安全保护法》第三十九条)
(八十三)国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。(《数据安全保护法》第四十条)
(八十四)国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。(《数据安全保护法》第四十一条)
(八十五)国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。(《数据安全保护法》第四十二条)
(八十六)法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用本章规定。(《数据安全保护法》第四十三条)
(八十七)开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。
在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。(《数据安全保护法》第五十三条)
(八十八)军事数据安全保护的办法,由中央军事委员会依据本法另行制定。(《数据安全保护法》第五十四条)
可见,数据安全中,首先明确数据分类分级保护制度是基本制度,其次具体分述了一般数据、个人信息、重要数据、政务数据、数据跨境的安全保护。最后明确了互联网平台运营者义务、数据处理者的安全保护义务。
五、总结
通过上述规范的梳理,我们基本厘清了数据安全治理的脉络,也不难发现在承发包视角下,数据安全治理基本制度及架构:
(一)网络安全等级保护制度,为网络的建设、运营、使用中的基本制度。
(二)关键信息基础设施保护制度。关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
(三)网络信息安全的相关制度、规则。《网络安全法》规定了”网络信息安全”的相关要求,比如建立用户信息保护制度、个人信息收集使用规则等。在信息是数据时,同样适用该制度及规则。
(四)涉及国家秘密信息系统的分级保护管理。依据《信息安全等级保护管理办法》第二十四条:“涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息。”。
相关管理规定、技术及测评标准如下:
《信息安全等级保护管理办法》
《中华人民共和国保守国家秘密法(2010修订)》
国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》、《涉及国家秘密的信息系统审批管理规定》
国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》
国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》
(五)信息安全等级保护的密码管理。
依据《信息安全等级保护管理办法》第三十四条:“国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。”
在承发包视角下,一般讨论的是商用密码。依据的法律规范、管理规范及技术标准如下:《信息安全等级保护管理办法》、《商用密码管理条例》、《密码法》,为分类管理依据。《信息安全等级保护商用密码技术要求》,为分级管理依据。
(六)国家建立数据分类分级保护制度。分类分级对象:数据项、数据集。分类:数据分类具有多种视角和维度,其主要目的是便于数据管理和使用。本实践指南采用面分类法,从国家、行业、组织等视角给出了多个维度的数据分类参考框架。分级:一般数据,重要数据,核心数据。
依据《数据安全法》、《网络数据安全管理条例(征求意见稿)》,确定一般数据、个人信息、重要数据、数据跨境、政务数据安全保护制度及规则,并明确了互联网平台运营者义务、数据处理者的安全保护义务。
参考资料:
[1] 解读:中央经济工作会议定义“新型基础设施建设”. 贵州省综合信息网[引用日期2020-03-08]
[2]《新基建首次写入政府工作报告,七大关键领域释放新一轮红利 》新华网[引用日期2020-05-31];《新基建“新”在何处? 》 人民网[引用日期2020-03-08];《【瞭望】“新基建”带来新机会 》 中国科学院科技战略咨询研究院[引用日期2020-03-17].
[3] 《上海版“新基建”来了,首批重大项目总投资约2700亿元 》 中国政府网[引用日期2020-05-08].
END
作者 | 袁健
编辑 | 建纬品牌部
精彩回顾
◎【建纬观点】谈承发包视角下新基建的数据安全治理之规范梳理(上)——从信息网络安全、涉密信息保护角度
◎【建纬观点】是否所有实际施工人都不享有建设工程价款优先受偿权?
◎【建纬观点】审计报告不真实、不客观或不符合约定时的结算依据认定
◎【建纬观点】保证合同中法定代表人名章及签名效力的司法认定
◎【建纬观点】同期延误情形下工程索赔的处理
◎【建纬观点】实际施工人以最高院《关于审理建设工程施工合同纠纷案件适用法律问题的解释(一)》第四十三条规定直接起诉发包人(下)
◎【建纬观点】实际施工人以最高院《关于审理建设工程施工合同纠纷案件适用法律问题的解释(一)》第四十三条规定直接起诉发包人(上)