下载掌阅APP,畅读海量书库
立即打开
数据安全越来越受到各个国家的重视,世界主要国家与经济体都陆续出台了相应的法律或法规。表1列出了当前国际上一些国家及经济体出台的重要数据安全法律法规。
表1 当前国际上一些国家及经济体出台的重要数据安全法律法规
续表1
续表1
这些法律法规中,影响较大的有欧盟的GDPR、美国的CCPA,以及中国的《中华人民共和国数据安全法》等。
随着数字经济及跨境贸易的快速发展,数据跨境流通越来越普遍,除了保障各个国家和地区内部的数据安全外,跨境乃至全球范围内的数据安全需求也日益强烈。2020年9月8日,在北京举行的全球数字治理国际研讨会上,国务委员兼外长王毅代表中国政府发起《全球数据安全倡议》,就全球数字治理提出中国主张,受到了国际社会广泛关注。
2018年5月25日,欧盟出台《通用数据保护条例》( General Data Protection Regulation ,简称GDPR) [3] 。
GDPR的前身是欧盟在1995年制定的《计算机数据保护法》。该条例的适用范围极为广泛,任何收集、传输、保留或处理涉及欧盟所有成员国内的个人信息的组织机构均受该条例的约束,即使不属于欧盟成员国的公司,只要是向欧盟境内可识别的自然人提供商品和服务(包括免费服务)而收集、处理的个人信息,或者为了监控欧盟范围内可识别的自然人的活动而收集、处理的信息,都会受到GDPR的约束。
GDPR保护的核心是个人敏感数据,GDPR对个人敏感数据也有具体定义:任何指向一个已识别或可识别的自然人的信息。具体可以包括基础的身份信息(如姓名、地址、身份证号等)、网络数据(如网络位置、IP地址、Cookie数据、RFID标签等)、医保健康和遗传数据、生物识别数据(如指纹、虹膜等)、种族民族数据、政治观点、宗教/哲学信仰、工会成员身份、性取向等。
GDPR对收集个人敏感数据所应遵守的规则也作出了明确规定:
1)网站经营者必须事先向客户说明会自动记录客户的搜索和购物记录,并获得用户的同意,否则按“未告知记录用户行为”做违法处理;
2)企业不能再使用模糊、难以理解的语言,或冗长的隐私政策来从用户处获取数据使用许可;
3)明文规定了用户的“被遗忘权”(right to be forgotten),即用户个人可以要求责任方删除关于自己的数据记录。
GDPR的实施对于涉及个人敏感数据处理的相关组织需要进行以下调整:
1)在大规模处理个人敏感数据之前实施了隐私影响评估(PIA,Privacy Impact Assessment);
2)在收集处理用户信息时需要事先征得同意,而且隐私条款需要以清晰、简洁、直白的语言或其他形式向用户说明;
3)根据需要委派数据保护专员(DPO,Data Protection Officer);
4)个人敏感数据的处理须满足相关成员国的规定。
GDPR对违反法律的企业处罚很苛刻,对违法企业的罚金最高可达2 000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,以高者为准。2019年7月8日,英国信息监管局发表声明称,英国航空公司因为违反《通用数据保护条例》被罚1.833 9亿英镑 [4] 。
2018年6月28日,美国加利福尼亚州(简称“加州”)颁布了《2018加州消费者隐私法案》(CCPA) [5] ,旨在加强消费者隐私权和数据安全保护。随后又在2019年通过了五份修正案对CCPA做了多方面的修订 [6] 。CCPA被认为是美国国内最严格的隐私立法,并已于2020年1月1日正式生效。
CCPA的立法目的和GDPR类似,都是希望通过规范化企业收集、处理个人信息的行为,强化对个人数据的保护责任和义务。相比欧盟的GDPR,CCPA在个人信息定义、个人数据权利保护、企业对数据保护的责任要求等方面具有很多的共通性,但在某些方面CCPA又做了加强,比如CCPA扩展了GDPR个人信息和删除数据等的概念,其中个人信息将可以关联个人的家庭和设备的信息也纳入进来。
CCPA适用于在加州开展业务并处理在加州居住的消费者的个人信息的营利性企业,明确规定在加州从事经营活动并且符合下列三个条件之一的公司需受CCPA约束:
1)年度总收入超过2 500万美元;
2)因商业目的处理50 000条或更多消费者、家庭或设备的个人信息;
3)通过销售消费者的个人信息,可以获得50%或更多的年收入。
针对个人信息保护权利方面,CCPA也赋予加州居民多方面的权利,其中部分与GDPR相似:
1)数据访问权:消费者有权要求收集个人信息的企业向消费者披露其收集的信息类别和具体内容;
2)数据删除权:消费者有权要求企业删除其所收集的任何个人信息;
3)知情权:消费者有权知道其个人信息被卖去何处,企业必须发布有关消费者的个人信息如何被出售或披露以及披露给谁(或哪些第三方)的信息;
4)选择不销售个人信息:消费者可以选择不允许企业出售其个人信息,企业必须在网站主页上添加名为“不出售我的个人信息”的链接,此链接必须使消费者能够选择其个人信息不被出售;
5)不被歧视的权利:CCPA明确禁止企业歧视那些要求访问、删除或选择停止出售其个人信息的消费者,不得通过拒绝给消费者提供商品或服务,或对商品或服务收取不同的价格、费率的方式歧视消费者;
6)未成年人同意:获取13~16岁的未成年人的个人信息必须获得“实际知情”(actual knowledge),对于13岁以下的儿童,必须获得其父母或监护人的同意;
7)针对某些数据泄露的私人诉讼权:消费者可就每次安全事件追讨100~750美元的损害赔偿或实际的损害赔偿,同时还可申请禁令救济或宣告性救济。
(1)数据安全相关的法律
中国涉及保护个人隐私数据及数据安全相关的法律法规也有很多,其中关注度比较大的是《中华人民共和国数据安全法》(简称《数据安全法》)和《中华人民共和国个人信息保护法》(简称《个人信息保护法》)。
2018年9月7日,十三届全国人大常委会公布立法规划(共116件),《数据安全法》《个人信息保护法》位于第一类项目(条件比较成熟、任期内拟提请审议的法律草案称为第一类项目)。在2019年十三届全国人大二次会议新闻发布会上,大会发言人张业遂表示在2019年将推进《数据安全法》立法工作。相关人大代表也呼吁加快立法工作,通过立法来明确数据安全责任单位的责任义务,对安全责任单位采取安全措施的原则、落实数据安全保护责任、采取防范危害数据安全行为技术措施等做出相应规范,建立数据安全投诉举报制度;要完善数据安全监管体系和数据安全监测预警、应急处置机制,实现对数据安全风险的全天候实时、动态监测;明确数据安全法律责任。2019年8月21日,全国人大常委会法工委发言人臧铁伟指出,《个人信息保护法》已经列入本届全国人大常委会的立法规划,法工委正在会同有关部门研究论证,加紧推进起草工作,将按照立法工作计划,适时提请常委会审议。2019年12月20日,全国人大常委会法工委举行第三次记者会,发言人岳仲明表示,中国2020年将制定《个人信息保护法》《数据安全法》等。2020年6月28日,十三届全国人大常委会第二十次会议对《中华人民共和国数据安全法(草案)》进行了审议,并面向社会公开征求意见。2020年10月21日,全国人大常委会法工委发布了《中华人民共和国个人信息保护法(草案)》征求意见稿。2021年4月27日,十三届全国人大常委会第二十八次会议就《中华人民共和国个人信息保护法(草案)》二审稿进行了分组审议。2021年6月10日,国家主席习近平签署了第八十四号主席令,《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过,自2021年9月1日起施行。2021年8月20日,国家主席习近平签署了第九十一号主席令,《中华人民共和国个人信息保护法》已由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议通过,自2021年11月1日起施行。
除《数据安全法》《个人信息保护法》外,其他一些已经施行或正在拟定的法规也对个人信息保护等相关数据安全问题也提出了明确要求。
2009年和2015年分别通过了《中华人民共和国刑法修正案(七)》和《中华人民共和国刑法修正案(九)》,增加了出售或者非法提供、非法获取公民个人信息的犯罪条款。
2012年12月28日,第十一届全国人民代表大会常务委员会第三十次会议通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》,明确了国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,以及对个人隐私信息保护的相关具体要求。
2013年9月1日起施行的《电信和互联网用户个人信息保护规定》是为了保护电信和互联网用户的合法权益、维护网络信息安全而制定的法规,法规对电信和互联网用户个人信息保护工作实施监督管理。
2017年6月1日起施行的《中华人民共和国网络安全法》(简称《网络安全法》)也明确提出了公民个人信息安全保护相关要求,其中第四章用较大篇幅规定了公民个人信息保护的基本法律制度,防止公民个人信息被窃取、泄露和非法使用,依法保障公民个人网络信息有序安全流动。
2021年1月1日起施行的《中华人民共和国民法典》明确提出个人隐私权和个人信息保护相关要求,其中第1034条明确规定自然人的个人信息受法律保护,第1035条明确了对个人信息的处理所应遵循的原则及条件。
除此之外,其他领域的一些法律法规对某些特定场景下的个人信息保护也有相应的要求。比如《中华人民共和国护照法》第十二条第三款规定:护照签发机关及其工作人员对因制作、签发护照而知悉的公民个人信息,应当予以保密。《中华人民共和国身份证法》第六条第三款规定:公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。《中华人民共和国消费者权益保护法(2013修正)》第二十九条对经营者收集和使用个人信息提出了具体要求。
(2)数据安全相关的规章制度
除了国家层面出台的法律法规,国家及部分地方也发布过一些数据安全相关的规章制度。
2016年9月5日,为加快推动政务信息系统互联和公共数据共享,国务院印发《政务信息资源共享管理暂行办法》(国发〔2016〕51号),该办法明确了政务信息资源共享中的安全责任和管理相关要求。
贵阳市的《贵阳市大数据安全管理条例》自2018年10月1日起施行。作为全国首部大数据安全管理的地方法规,该条例分别对大数据安全定义、风险防范安全保障措施、监测预警与应急处置、投诉举报等方面做出规定。其他一些省市也陆续发布了相关数据安全管理办法或规范,比如2018年10月,杭州市发布《杭州市政务数据安全管理办法(暂行)》;2018年10月30日,连云港市发布《连云港市政务数据安全管理暂行办法》;2019年3月4日,温州市发布《温州市教育数据安全暂行管理办法》;2019年6月26日,天津市发布《天津市数据安全管理办法(暂行)》;2019年7月22日,海南省发布《海南省公共信息资源安全使用管理办法》;2019年12月23日,滨州市发布《滨州市政务数据安全暂行管理办法》;2020年4月21日,济宁市发布《济宁市政务数据安全管理办法》;2020年6月12日,浙江省发布《浙江省公共数据开放与安全管理暂行办法》;2020年6月16日,广东省发布《广东省统计局统计信息系统数据安全管理办法(试行)》;2020年8月18日,温州市发布《温州市医疗保障局数据安全管理暂行办法》;2020年9月1日,石家庄市发布《石家庄市政务数据资源共享安全管理规定》;2020年12月21日,湖州市发布《湖州市公共数据安全管理暂行办法》;2020年9月25日,宁波市发布《宁波市公共数据安全管理暂行规定》等。
为了推动《网络安全法》等相关法律的贯彻落实,国家相关部门也陆续出台了一些配套规章制度。
2017年4月11日,国家互联网信息办公室发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》,明确规定网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估,并将主要对交通导航、电子商务等各类涉及数据收集与跨境传输的业务进行监管。
2018年6月27日,公安部发布了《网络安全等级保护条例(征求意见稿)》,明确了重要数据和个人信息安全保护的具体要求,包括落实保护制度、采取相应的保护措施及技术措施,同时也规定了网络运营者的数据安全保护责任等。
2019年5月28日,国家互联网信息办公室发布了《数据安全管理办法(征求意见稿)》,在《网络安全法》的基础上,系统规定了网络运营者数据收集、数据处理使用、数据安全监督管理等方面的要求,就大众关心的广告精准推送、App过度索权、账户注销难、自动化洗稿、算法歧视等问题做出了明确规定,具有明显的进步意义。《数据安全管理办法(征求意见稿)》主要还是聚焦在个人信息保护方面,对于其他重要敏感数据(如国家、企业等的重要数据)的保护未有涉及。
2021年5月27日,国务院办公厅发布的《国务院2021年度立法工作计划》(国办发〔2021〕21号)中明确将“数据安全管理条例”列为拟制定、修订的行政法规。
2021年9月1日起施行的《关键信息基础设施安全保护条例》明确了涉及关键信息基础设施的数据泄露、窃取和篡改的防护责任单位,以及相应的安全管理制度和进行数据分类、备份、加密认证等相关的技术措施。
2021年10月1日,《汽车数据安全管理若干规定(试行)》施行。随着电动汽车的推广与普及,汽车使用过程也会涉及大量的个人信息采集与处理,《汽车数据安全管理若干规定(试行)》对汽车运营者在汽车设计、生产、销售、运行维护、管理等过程中如何进行汽车数据安全的保护提出了明确的要求。
2021年11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》,该条例是《数据安全法》《个人信息保护法》在网络数据安全保护方面的落实,明确规定了网络数据处理活动中涉及的数据安全及个人信息保护方面的具体要求。
2022年2月15日起施行的新版《网络安全审查办法》明确将数据安全列入网络安全审查内容。
(3)数据安全监管执法
在数据安全相关的执法方面,相关部门也已经行动起来。数据安全执法要求网络运营者准确、深入理解监管要求并快速应对,企业需要建立数据安全相关的制度、技术及组织架构予以支撑。
2019年1月25日,中央网信办、工业和信息化部、公安部、市场监管总局在北京发布《关于开展App违法违规收集使用个人信息专项治理的公告》,明确有关主管部门加强执法,对经评估违法违规收集使用个人信息的App相关的运营者将按照《网络安全法》《中华人民共和国消费者权益保护法》等依法予以处罚,同时还专门推出针对App违法违规收集使用个人信息的举报渠道。另外还成立了App专项治理工作组,研究制定了一系列App个人信息保护相关技术指导文件和政策文件,如《App违法违规收集使用个人信息行为认定办法》《移动互联网应用(App)收集个人信息基本规范(草案)》等。2019年12月30日,中央网信办等四部门又发布了《App违法违规收集使用个人信息行为认定方法》,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,也为App运营者自查自纠和社会监督提供指引。
2021年国家互联网信息办公室发布了多起App违法违规收集使用个人信息的通报,其中涉及输入法、地图导航、即时通信、安全管理、网络贷款、短视频、浏览器、求职招聘、实用工具、运动健身、新闻资讯、网络直播、应用商店、女性健康、网上购物、学习教育、婚恋相亲等类别的大量App应用软件。
针对数据安全方面的国际标准,ISO/IEC、ITU-T、NIST等国际组织发布过一些相关的标准,对此中国电子技术标准化研究院曾发表文章《数据安全国际标准研究》 [7] 进行过大致介绍。
ISO/IEC JTC 1/WG 9是ISO/IEC JTC 1(国际标准化组织/国际电工委员会的第一联合技术委员会)于2014年11月成立的大数据工作组,工作范围主要是编制大数据基础标准(包括参考架构和术语标准)等。WG 9发布过一个大数据安全相关的标准:ISO/IEC 20547-4《信息技术 大数据参考架构 第4部分:安全与隐私保护》。
ISO/IEC JTC 1/SC 27是ISO/IEC JTC 1下属信息安全分技术委员会,工作范围涵盖信息和信息通信技术保护的标准制定与修订。SC 27下设五个工作组,数据安全相关的标准和研究项目主要集中在WG4(安全控制与服务工作组)和WG5(身份管理与隐私保护技术工作组),与数据安全有关的标准项目有:ISO/IEC 19086-4《云计算服务水平协议(SLA)框架 第4部分:安全与PII保护》、ISO/IEC 27030《信息技术 安全技术 物联网的安全和隐私指南》、ISO/IEC 27040:2015《信息技术 安全技术 存储安全》、ISO/IEC 27570《信息技术 安全技术 智慧城市隐私指南》、ISO/IEC 29100:2011《信息技术 安全技术 隐私保护框架》、ISO/IEC 29134《信息技术 安全技术 隐私影响评估指南》、ISO/IEC 27552《信息技术 安全技术 ISMS在隐私管理中的扩展》、ISO/IEC 29151《信息技术 安全技术 PII保护实践指南》、ISO/IEC 27018《信息技术 安全技术 PII处理者在公有云中保护PII的实践指南》、ISO/IEC 27555《信息技术 安全技术 在组织中建立PII删除概念》、ISO/IEC 27550《信息技术 安全技术 隐私保护工程》、ISO/IEC 29184《信息技术 安全技术 在线隐私通知和准许指南》、ISO/IEC 29190《信息技术 安全技术 隐私保护能力评估模型》、ISO/IEC 29101《信息技术 安全技术 隐私保护体系结构框架》、ISO/IEC 20889《隐私增强数据去标识化技术》、ISO/IEC 29191《信息技术 安全技术 部分匿名、部分不可链接鉴别要求》。
ITU-T SG17是ITU-T(国际电信联盟电信标准部门)负责制定安全相关标准的工作组。ITU-T SG17中与数据安全相关的标准项目可分为以下几类:信息通信技术业务中涉及的个人信息、生物特征信息安全;云计算的数据安全;大数据安全;电子商务与金融科技、生物识别、车联网、区块链等特定行业、技术领域的数据安全等。目前ITU-T SG17发布或在研的主要数据安全相关标准有:X.1033《运营商提供的个人信息服务安全指南》、X.sup32《电信组织个人可识别信息保护实用规程》、X.fdip《电信服务提供商去识别处理服务框架》、X.tsfpp《防范垃圾信息时保护用户个人信息的技术安全框架》、X.1641《云服务客户数据安全指南》、X.1603《云计算监控服务的数据安全要求》、X.1147《移动互联网中大数据分析的安全要求和框架》、X.GSBDaaS《大数据服务安全指南》、X.sgBDIP《大数据基础设施和平台安全指南》、X.sgtBD《电信大数据生命周期管理的安全指南》等。
NIST(美国国家标准与技术研究院)于2012年6月启动了大数据相关基本概念、技术和标准需求的研究,2013年5月成立了NIST大数据公共工作组NBD-PWG,NBD-PWG发布了大数据安全标准SP 1500-4《第4册 安全和隐私保护》。另外NIST还发布过其他数据安全相关标准SP 1800-11《数据完整性:从勒索软件和其他破坏性事件中恢复》、SP 800-171《非联邦信息系统和组织的受控非机密信息的保护》、SP 800-171A《受控非保密信息的安全要求评估》、SP 800-154《以数据为中心的系统威胁建模指南》、SP 800-188《政府数据集去标识化》、SP 800-122《个人可识别信息机密保护指南》、NISTIR 8053《个人可识别信息去标识化》、SP 800-53《联邦信息系统和组织的安全和隐私控制措施》等。
2018年1月,ITU-T发布了阿里巴巴牵头制定的“电子商务业务数据生命周期管理的安全参考架构”国际标准,编号为ITUT X.1040。这个标准与国内已经发布的GB/T 37988—2019《信息安全技术 数据安全能力成熟度模型》 [1] 基本一致,相当于数据安全能力成熟度模型(简称DSMM)的国际版。这也是中国企业主导的第一个数据安全类国际标准。
2020年9月,我国主导的ISO/IEC 20547-4《信息技术 大数据参考架构 第4部分:安全与隐私保护》,以全票赞成通过了FDIS投票,并已正式发布。
国内已经陆续发布了一些数据安全相关的国家标准、行业标准,下面简单介绍部分影响较大的重要标准的情况。
2018年7月1日开始施行的国家标准GB/T 35274—2017《信息安全技术 大数据服务安全能力要求》 [8] 规定了大数据服务提供者应具有的组织相关基础安全能力和数据生命周期相关的数据服务安全能力,适用于对政府部门和企事业单位建设大数据服务安全能力,也适用于第三方机构对大数据服务提供者的大数据服务安全能力进行审查和评估。
2019年12月1日开始施行的国家标准GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》 [9] (业界俗称“等保2.0”),该标准中除了个人信息保护和数据备份恢复等常规的数据安全要求外,专门针对大数据应用场景下的数据采集、存储、处理、分析等各个环节的数据分类分级、数据保护策略、数据访问控制及审计溯源等提出了明确要求。
2020年3月1日开始施行的国家标准GB/T 37988—2019《信息安全技术 数据安全能力成熟度模型》 [1] 提出的DSMM旨在帮助各行业、组织机构基于统一标准来评估其数据安全能力,发现数据安全能力短板,查漏补缺,促进大数据参与方的数据安全能力评估与提升,促进大数据在组织间的交换、共享与流转,发挥大数据的价值,促进我国大数据产业的健康发展。
2021年6月1日开始施行的国家标准GB/T 39477—2020《信息安全技术 政务信息共享 数据安全技术要求》 [10] 明确了政务信息共享数据安全框架,规定了政务信息共享过程中共享数据准备、共享数据交换、共享数据使用阶段的数据安全技术要求以及相关基础设施的安全技术要求,适用于指导各级政务信息共享交换平台数据安全体系建设,规范各级政务部门使用政务信息共享交换平台交换非涉及国家秘密数据安全保障工作。
还有很多数据安全国家标准及行业标准正在研究与制定中,如重要数据识别指南、数据分类分级标准、数据安全评估服务标准等。
另外,有些地方也发布过一些地方标准,如2016年9月28日贵州省的DB 52/T 1123—2016《政府数据 数据分类分级指南》 [26] 和DB 52/T 1126—2016《政府数据 数据脱敏工作指南》 [28] ,2018年12月30日杭州市的DB 3301/T 0276—2018《政务数据共享安全管理规范》,2020年7月31日上海市的DB 31DSJ/Z 005—2020《公共数据安全分级指南》。
个人信息保护方面的国家标准也在快速制定中,中国电子技术标准化研究院编写的《个人信息保护国家标准工作情况与思考》 [11] 中明确提到全国信息安全标准化技术委员会大数据安全标准化工作组目前已开展五项标准项目,包括已发布的个人信息安全国家标准GB/T 35273—2020《信息安全技术 个人信息安全规范》 [12] 、GB/T 37964—2019《信息安全技术 个人信息去标识化指南》、GB/T 39335—2020《信息安全技术 个人信息安全影响评估指南》等。
