各国根据本国数字经济发展水平与数据安全保护水平,先后制定了与数据安全相关的法律法规。2017年6月1日正式实施的《中华人民共和国网络安全法》作为我国第一部全面规范网络空间安全问题的基础性法律,较为系统地对数据安全、公共数据开放、数据分类等事项作出了规定,并将保障网络数据的完整性、保密性、可用性纳入网络安全的总体框架中。2021年6月10日,在第十三届全国人民代表大会常务委员会第二十九次会议上正式通过了聚焦于数据安全的专门法律——《数据安全法》。《数据安全法》通过后,我国已基本形成由《数据安全法》、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)、《中华人民共和国网络安全法》(以下简称《网络安全法》)统领的,涵盖《民法典》《刑法》《电子商务法》《密码法》等法律法规,《全国一体化政务大数据体系建设指南》《科学数据管理办法》《关键信息基础设施安全保护条例》等行政法规,《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》等司法解释,以及《数据出境安全评估办法》《网络安全审查办法》《工业数据分级分类指南(试行)》等部门规章的数据安全立法体系。
《数据安全法》作为数据安全领域的基础性法律,在我国的数据安全立法体系中处于核心地位,确立了我国数据安全立法和合规的基本架构。
《数据安全法》共七章五十五条,主要规定了数据安全工作职责、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、数据安全相关法律责任等内容。
1.数据安全工作职责
数据已经嵌入社会生活的方方面面,涉及各行业、各领域,对数据安全进行监管涉及多个部门的职责。《数据安全法》规定数据安全工作由中央国家安全领导机构总负责,履行决策和统筹协调等职责,并建立国家数据安全工作协调机制,有关行业部门和有关主管部门在此协调机制下各自分工,相互配合,负责各自领域内的数据安全监管工作。
2.数据安全与发展
数字经济的发展以及治理能力和治理体系现代化既离不开数据的开发和利用,也离不开数据安全,因此,《数据安全法》以法律规范的形式为这对关系定下了基调——国家要统筹数据发展和安全。为此,《数据安全法》规定了一系列支持、促进数据安全与发展的措施:一方面,要坚持以数据开发利用和产业发展促进数据安全,要实施国家大数据战略,鼓励和支持数据在各行业、各领域的创新应用,鼓励通过数据开发提升公共服务水平,加强数据技术研究,培育数据产品、产业体系,建立健全数据交易管理制度,培养数据人才;另一方面,要通过加强数据安全技术研究,推进数据安全标准体系建设,促进数据安全检测评估、认证等服务的发展,鼓励行业组织、企业和科研机构等专业机构参与数据安全协同保障,培养数据安全人才等方式,实现以数据安全保障数据开发利用和产业发展的目标。
3.数据安全制度
有效应对已从个人、组织延伸到社会、国家安全层面的境内外数据安全风险,必须在国家层面建立健全国家数据安全制度,完善国家数据安全治理体系。因此,《数据安全法》规定了以下重要数据安全制度,搭建起我国数据安全制度的基本框架:一是建立数据分类分级保护制度,制定重要数据目录,对包含国家核心数据在内的列入目录的数据进行重点保护。二是建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。三是建立数据安全应急处置机制,发生数据安全事件时应当依法启动应急预案,采取相应的应急处置措施,并及时发布警示信息。四是建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。五是对属于管制物项的数据依法实施出口管制。六是在与数据有关的投资、贸易方面对我国采取歧视性措施的国家或地区,采取对等反歧视措施。
4.数据安全保护义务
以企业为代表的数据处理者对数据的掌控力远超其他主体,因此,数据安全的保障离不开落实数据处理者的数据安全保护义务。《数据安全法》规定的数据安全保护义务主要有:第一,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。第二,开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施,并及时告知用户、向主管部门报告。第三,重要数据的处理者应当定期开展风险评估,并向有关主管部门报送风险评估报告。第四,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,应适用《网络安全法》的相关规定。第五,收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。第六,从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。第七,需依法取得行政许可的数据处理相关服务,必须在取得许可后开展。第八,应配合公安机关和国家安全机关依法进行数据调取活动。第九,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
5.政务数据安全与开放
发展电子政务是国家治理体系和治理能力现代化的重要支撑,政府数据应用不断深化,数据在电子政务开展中的中心作用不断凸显,因此《数据安全法》就政务数据的安全和开放作出了专门规定。推进电子政务建设,就要提高政务数据的科学性、准确性和时效性,提升运用数据服务经济社会发展的能力。通过制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台等方式,及时、准确地公开除依法不予公开外的政务数据。
6.数据安全相关法律责任
对于需要进行数据安全合规的数据处理者而言,违反《数据安全法》相关规定引发的法律责任也是需要关注的重点。《数据安全法》针对不同的违法情况,规定了责令改正、警告、罚款,责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等行政处罚。较为严苛的法律责任和行政责任标准,既体现了立法层面对数据安全问题的重视,也对组织和个人进行了相应的威慑。
《网络安全法》于2016年11月7日由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议正式审议通过。考虑到数字时代,数据安全与网络安全密不可分,《网络安全法》在制定时便将维护网络数据的完整性、保密性和可用性纳入网络安全的体系框架内。《网络安全法》作为我国网络安全领域的基础性法律,不仅最早在法律层面对网络数据的概念进行了明确,而且《数据安全法》的某些立法理念及具体制度,均滥觞于《网络安全法》,并在数据安全实践工作中逐步发展完善。
例如,数据利用与数据安全保护并重这一理念在《网络安全法》中便已有所体现,该法第十八条第一款规定:国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。具体制度层面,《网络安全法》的以下规定与数据安全直接相关:一是将“采取数据分类、重要数据备份和加密等措施,防止网络数据泄露或者被窃取、篡改”作为构建国家网络安全等级保护制度的重要措施与目标;二是与刑法相衔接,规定任何组织和个人不得从事窃取网络数据等危害网络安全的活动,不得提供专门用于窃取网络数据的程序和工具;三是规定关键信息基础设施的运营者要对重要系统和数据库进行容灾备份,并要求关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息与重要数据在境内存储,经监管部门审批才可出境。
大数据时代,绝大多数数据以电子方式记录的特征决定了数据安全合规与网络安全合规是不可分割的。《数据安全法》规定,利用互联网等信息网络开展数据处理活动时履行的数据安全保护义务应建立在网络安全等级保护制度的基础上。关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据,应按照《网络安全法》的规定在境内存储,因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。因此,没有数据安全就没有网络安全,同样,没有网络安全就没有数据安全,在实践中开展数据安全合规工作时,要将两部法律有机结合,不能仅依据《数据安全法》而忽略了《网络安全法》的相关要求。
1.《个人信息保护法》与《数据安全法》的联系
2021年8月20日,《个人信息保护法》由第十三届全国人民代表大会常务委员会第三十次会议表决通过。《个人信息保护法》是我国个人信息保护领域的基础性法律,在《民法典》和《网络安全法》的基础上,进一步完善了我国个人信息保护的基本框架。
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,数据是任何以电子或者其他方式对信息的记录。这表明,信息和数据是构成同一事物的不同侧面,前者是符号的社会、语言意义,后者是形式化的符号本身。 两者是内容和载体的关系,因此在实践中往往结合在一起,难以完全分割。而在众多信息中,价值最高、被滥用或泄露后风险最大的便是个人信息,绝大多数的数据处理者同时是个人信息处理者。因此,在开展数据合规工作时,需要依据个人信息处理规则对数据进行处理,并履行个人信息处理者义务。
2.《个人信息保护法》与数据安全合规
《个人信息保护法》共八章七十四条,主要规定了《个人信息保护法》适用范围、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门等内容。其中,与数据安全直接相关的是个人信息处理规则、个人信息跨境提供的规则与个人信息处理者的义务。
(1)个人信息处理规则
如前所述,从被动层面来看,企业数据安全合规是企业为避免或减轻在经营过程中,因违法违规处理数据而受到行政处罚、刑事处罚,或避免受到更大的经济或其他损失而采取的一种公司治理方式。因此,当需要处理的数据中包含个人信息时,只有满足以下条件才可对数据进行处理:一是必须有处理个人信息的合法理由,具体包括取得个人的同意;为订立、履行个人作为一方当事人的合同,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或存在法律、行政法规规定的其他情形。二是在处理数据前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知数据处理者的名称、联系方式、处理目的、处理方式,处理的个人信息种类、保存期限以及个人行使权利的方式和程序等事项。三是数据处理者向他人提供其处理的数据的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意;公开数据的,应取得个人的单独同意。四是利用包含个人信息的数据进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。五是只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,数据处理者方可处理包含敏感个人信息的数据,并取得个人的单独同意。
(2)个人信息跨境提供的规则
个人信息跨境提供的规则与重要数据出境安全管理规则有共通之处,但包含个人信息的数据在跨境传输时所受到的限制更多,安全评估与审核也更为严格。首先,因业务需要向境外提供包含个人信息的数据的,应当通过国家网信部门组织的安全评估或按照国家网信部门的规定经专业机构进行个人信息保护认证或按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。其次,数据处理者应当采取必要措施,保障境外接收方处理包含个人信息的数据时能达到《个人信息保护法》规定的个人信息保护标准。最后,数据处理者向中华人民共和国境外提供包含个人信息的数据的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《个人信息保护法》规定权利的方式和程序等事项,并取得个人的单独同意。
(3)个人信息处理者的义务
当数据中包含个人信息时,数据处理者同时是个人信息处理者,因此必须履行个人信息处理者的义务。具体而言,要制定内部管理制度和操作规程,对个人信息实行分类管理,采取相应的加密、去标识化等安全技术措施,合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训,制订并组织实施个人信息安全事件应急预案,以及采取法律、行政法规规定的其他措施,确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。此外,当数据中包含个人信息时,需定期进行合规审计,当处理敏感个人信息、利用个人信息进行自动化决策委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息等对个人权益有重大影响的个人信息处理活动时,应事前进行个人信息保护影响评估,并对处理情况进行记录。一旦发生或者可能发生个人信息泄露、篡改、丢失的,应立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,还应当履行下列义务:按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。
若采用公法、私法的划分,《数据安全法》无疑属于公法,数据安全合规也更多依据公法的相关规定开展。《民法典》作为私法,虽然并未直接就数据安全合规问题作出规定,但诞生于大数据时代的《民法典》仍然通过规范电子商务交易模式、完善网络侵权责任制度、兼顾个人信息保护与数字流通使用等方式,夯实了数字经济的基石,作为民事基本法规范了数字经济的安全有序发展,间接保障数据安全。这种保障可分为三个层次:一是将数据纳入民法保护范围。《民法典》沿袭了原《民法总则》第一百二十七条的规定,在私法层面对数据保护进行了原则性规定,将数据纳入民事保护的大框架中。二是将个人信息保护纳入人格权编,作为一种民事权益进行保护。《民法典》中关于个人信息保护的规定与《数据安全法》《个人信息保护法》《网络安全法》中的个人信息保护规定形成有效衔接,推动个人信息保护与数据安全领域民事和行政法律协同治理体系的构建。三是规范数字经济活动和行为。《民法典》侵权责任编在原《侵权责任法》第三十六条关于网络侵权行为规制的基础上,进一步完善了“通知—删除”规则和网络侵权制度,使得发生数据安全侵权案件时,进行民事救济有了基本法依据。
依托于四通八达的道路交通体系和完善的物流体系,电子商务在我国迅猛发展,并表现出渗透性,对数字支付、流通、消费均产生了巨大影响。 电子商务的发展离不开对姓名、电话、家庭住址等个人信息的收集,也离不开安全、稳定的数据收集、传输和存储环境,因此《电子商务法》制定时围绕电子商务经营者、电子商务消费者以及相关行政监管部门的权利义务对数据安全和个人信息保护内容进行了规定。
在个人信息的收集、使用、保存和用户权利等与个人信息保护相关的问题上,一方面,《电子商务法》在《网络安全法》的基础上,结合电子商务运营的实际情况,对电子商务经营者在具体场景下收集、使用个人信息的规则进行了细化;另一方面,《电子商务法》考虑到交易数据的重要价值,明确要求电子商务平台经营者应当记录、保存平台上的商品和服务信息、交易信息,保存时间自交易完成之日起不少于3年。
在个性化推荐问题上,考虑到电子商务与个性化推荐以及“大数据杀熟”的密切联系,《电子商务法》规定电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或服务的搜索结果的,应当同时提供不针对其个人特征的选项,以保护消费者的合法权益。从数据安全合规角度来看,这一规定本质是在电子商务领域对数据利用进行限制,以避免数据滥用对用户的权益造成侵害。
与民法和行政法相比,刑法的调整对象更广,制裁严厉性和用于保障执行的强制力也远超其他法律。正因如此,在保护数据安全、网络安全和个人信息权益方面,刑法发挥着其他法律部门所不能替代的作用。在《民法典》《数据安全法》《个人信息保护法》等前置法律均已生效,数据安全体系已初步建立的情况下,“刑事先行”问题能够在很大程度上得到解决,面对日益严峻的数据安全形式,应充分发挥刑法的保障作用,构建起数据安全的坚实屏障。
在现行刑法中,与数据安全直接相关的罪名主要可分为个人信息犯罪和计算机犯罪两类。个人信息犯罪即《中华人民共和国刑法(2020年修正)》(以下简称《刑法》)第二百五十三条之一规定的侵犯公民个人信息罪,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。经过《刑法修正案(七)》《刑法修正案(九)》的两次增补,计算机犯罪罪名体系已较为完善,除《刑法》第二百八十七条的提示性规定外,还包括七个具体罪名:非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪,破坏计算机信息系统罪,拒不履行信息网络安全管理义务罪,非法利用信息网络罪,帮助信息网络犯罪活动罪。
即便现阶段法律规定的计算机犯罪相关条款能够应对绝大多数针对计算机信息系统和系统内数据的犯罪,我们也应认识到,伴随着网络向围绕数据处理的数据网络转变,大数据时代数据犯罪的指向,不再仅仅是对于计算机信息系统中存储、处理,传输数据的增加、修改、删除和干扰,而是演变为以大数据对象为中心,纵向侵害技术与现实双层法益,形成的一个多行为方式,危害后果横向跨越个人、社会、国家各层面与政治、军事、财产、人身和民主权利各领域的大犯罪体系。换言之,针对数据安全的犯罪已经渗透至犯罪体系的方方面面,传统的犯罪形式也可能对数据安全造成侵害。例如,在大数据时代,伪造身份证件除了需要伪造纸本的证件之外,还需要侵入后台系统对数据库进行修改,否则在处处联网、实时查验的当下,单纯的纸质证件与白纸无异。因此,必须将刑事合规也纳入数据安全合规的大框架中,认识到针对数据安全的犯罪行为方式,不仅体现为技术破坏、非法获取的行为,也体现为大规模数据监听、监控、窃取、过度挖掘、恶意滥用等一系列行为;犯罪的危害后果,除了破坏计算机信息系统功能,还危害个人的财产、隐私、人身、人格安全,严重的则危害经济秩序、国防利益与国家安全。
由于《数据安全法》《网络安全法》和《个人信息保护法》生效时间较短,进入司法审判程序的案件较少,因此现阶段与数据安全合规相关的司法解释主要集中于刑事与民事领域,主要涉及数据犯罪和数据、个人信息侵权问题。
自2017年6月1日起正式实施的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》聚焦于侵犯公民个人信息罪,对个人信息概念界定、情节严重认定、竞合犯处理规则、个人信息数量计算、罚金数额确定等司法实践中的核心问题作出了规定。在开展数据安全合规工作时,若数据中包含姓名、身份证件号码、通信联系方式、住址、账号密码、财产状况、行踪轨迹等个人信息,必须注意,一方面,不能违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息;另一方面,在未经被收集者同意的情况下,不得将合法收集的公民个人信息向他人提供,或通过信息网络或者其他途径发布公民个人信息。
自2019年11月1日起实施的《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》对《刑法修正案(九)》新增的拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪三个罪名的适用作出了规定。在这三个罪名中,又以拒不履行信息网络安全管理义务罪与数据安全合规的关系最为密切。根据《刑法》第二百八十六条之一与该司法解释的规定,提供网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;提供信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;以及利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务的,都属于网络服务提供者。网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播;用户信息泄露,造成严重后果;刑事案件证据灭失情节严重;或有其他严重情节的,应以拒不履行信息网络安全管理义务罪定罪处罚。“其他严重情节”主要包括:对绝大多数用户日志未留存或者未落实真实身份信息认证义务;二年内经多次责令改正拒不改正;致使信息网络服务被主要用于违法犯罪;致使信息网络服务、网络设施被用于实施网络攻击,严重影响生产、生活;致使信息网络服务被用于实施危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪或者其他重大犯罪;致使国家机关或者通信、能源、交通、水利、金融、教育、医疗等领域提供公共服务的信息网络受到破坏,严重影响生产、生活;以及其他严重违反信息网络安全管理义务七种情形。
为正确审理使用人脸识别技术处理个人信息相关民事案件,保护当事人合法权益,促进数字经济健康发展,最高人民法院审判委员会第1841次会议通过并颁布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,自2021年8月1日起施行。人脸信息作为一种生物识别信息,具有高度人身绑定性与不可更改性,可作为识别个人的“唯一标识”,生物识别技术应用一旦失控,将对个人的权利、自由,社会秩序乃至国家安全造成重大影响。 因此,该司法解释规定,信息处理者在处理人脸信息时,不得有以下八种行为:
(1)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;
(2)未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;
(3)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;
(4)违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;
(5)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;
(6)违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息;
(7)违背公序良俗处理人脸信息;
(8)违反合法、正当、必要原则处理人脸信息的其他情形。
1.全国一体化政务大数据体系建设指南
经过多年的探索,政务数据管理职能基本明确、政务数据资源体系基本形成、政务数据基础设施基本建成,政务数据在调节经济运行、改进政务服务、优化营商环境等方面发挥了重要作用。但同时,政务数据体系仍存在统筹管理机制不健全、供需对接不顺畅、共享应用不充分、标准规范不统一、安全保障不完善等问题。为更好整合构建标准统一、布局合理、管理协同、安全可靠的全国一体化政务大数据体系,加强数据汇聚融合、共享开放和开发利用,促进数据依法有序流动,充分发挥政务数据在提升政府履职能力、支撑数字政府建设以及推进国家治理体系和治理能力现代化中的重要作用,国务院于2022年9月颁布了《全国一体化政务大数据体系建设指南》。
该指南分两个阶段提出了全国政务大数据体系的建设目标:第一阶段为2022年9月至2023年底,全国一体化政务大数据体系初步形成,基本具备数据目录管理、数据归集、数据治理、大数据分析、安全防护等能力,数据共享和开放能力显著增强,政务数据管理服务水平明显提升。第二阶段为2024年初至2025年底,全国一体化政务大数据体系更加完备,政务数据管理更加高效,政务数据资源全部纳入目录管理。政务数据质量显著提升,“一数一源、多源校核”等数据治理机制基本形成,政务数据标准规范、安全保障制度更加健全,政务数据共享需求普遍满足,数据资源实现有序流通、高效配置,数据安全保障体系进一步完善,有效支撑数字政府建设。为此,必须做到统筹管理一体化、数据目录一体化、数据资源一体化、共享交换一体化、数据服务一体化、算力设施一体化、标准规范一体化、安全保障一体化。
该指南指出,全国政务发数据的总体架构为“1+32+N”框架结构。“1”是指国家政务大数据平台,是我国政务数据管理的总枢纽、政务数据流转的总通道、政务数据服务的总门户;“32”是指31个省(自治区、直辖市)和新疆生产建设兵团统筹建设的省级政务数据平台,负责本地区政务数据的目录编制、供需对接、汇聚整合、共享开放,与国家平台实现级联对接;“N”是指国务院有关部门的政务数据平台,负责本部门本行业数据汇聚整合与供需对接,与国家平台实现互联互通,尚未建设政务数据平台的部门,可由国家平台提供服务支撑。
2.关键信息基础设施安全保护条例
《关键信息基础设施安全保护条例》对关键信息基础设施的认定、运营者的责任义务、网络安全工作的保障和促进,以及法律责任作出了规定。
关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。实践中,某一企业是否属于关键信息基础设施运营者,还需要由保护工作部门结合本行业、本领域实际,综合考量企业的网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;以及对其他行业和领域的关联性影响三个因素后作出评定,并报国务院公安部门备案。
一旦某一企业被认定为关键信息基础设施运营者,则需要以更高标准进行数据安全合规管理。一是企业的安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。二是运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入,并由企业主要负责人对关键信息基础设施安全保护负总责。三是应当设置专门安全管理机构,专门安全管理机构履行建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;按照国家及行业网络安全事件应急预案,制订本单位应急预案,定期开展应急演练,处置网络安全事件;认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;组织网络安全教育、培训;履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;按照规定报告网络安全事件和重要事项等八项职责。四是运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送相关情况。五是关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。六是运营者应当优先采购安全可信的网络产品和服务,采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查,并按照国家有关规定签订安全保密协议。
《数据安全法》《网络安全法》《个人信息保护法》等法律虽然构建起了数据安全的整体框架,但仅有框架性的宏观立法并不足以指导场景多样的数据安全合规工作,保障数据安全。因此,国家互联网信息办公室、工业和信息化部、公安部等部门在本部门的职责范围内,结合实践需要,制定了一批部门规章。截至2022年12月31日,各部委制定的涉及数据安全的部门规章中较为典型的有:国家互联网信息办公室制定的《网络安全审查办法》《数据出境安全评估办法》《个人信息出境安全评估办法(征求意见稿)》;工业和信息化部制定的《工业数据分类分级指南(试行)》《网络安全漏洞管理规定(征求意见稿)》《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》;公安部制定的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》《网络安全等级保护条例(征求意见稿)》。 由于征求意见稿尚未正式通过,可能根据数字经济的发展进行修改,因此本节仅对已正式通过的《网络安全审查办法》《数据出境安全评估办法》《工业数据分类分级指南(试行)》《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》进行概述。
1.《网络安全审查办法》
《网络安全审查办法》规定的审查对象为当事人影响或者可能影响国家安全的网络产品和服务采购行为和数据处理活动。 若当事人经过预判,发现采购的产品和服务投入使用会带来国家安全风险;掌握超过100万用户个人信息的网络平台运营者赴国外上市;或网络安全审查工作机制成员单位认为存在影响或者可能影响国家安全的网络产品和服务以及数据处理活动,可向网络安全审查办公室申报,进行网络安全审查。网络安全审查主要依据以下七种国家安全风险因素对相关对象和情形进行重点评估:
(1)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
(2)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(3)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(4)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(5)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
(6)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
(7)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
2.《数据出境安全评估办法》
近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。同时,由于不同国家和地区法律制度、保护水平等的差异,数据出境安全风险也相应凸显。数据跨境活动既影响个人信息权益,又关系国家安全和社会公共利益。为进一步规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,国家网信办于2022年7月7日公布了《数据出境安全评估办法》。
办法所称数据出境活动主要包括数据处理者将在境内运营中收集和产生的数据传输、存储至境外,以及数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用两种行为。当数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息或存在国家网信部门规定的其他需要申报数据出境安全评估的情形时,需要申报数据出境安全评估。
数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:一是数据出境的目的、范围、方式等的合法性、正当性、必要性。二是境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求。三是出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。四是数据安全和个人信息权益是否能够得到充分有效保障。五是数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务。六是遵守中国法律、行政法规、部门规章情况。七是国家网信部门认为需要评估的其他事项。
办法强调,通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。同时,在有效期内出现以下情形之一的,数据处理者应当重新申报评估:
(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;
(三)出现影响出境数据安全的其他情形。
3.《工业数据分类分级指南(试行)》
《工业数据分类分级指南(试行)》由工业和信息化部在2020年公布,适用于工业和信息化主管部门、工业企业、平台企业等开展工业数据分类分级工作。对数据进行分类分级保护是平衡数据利用与数据保护的基础制度之一,《数据安全法》也明确规定,不仅在国家层面,要建立数据分类分级保护制度、制定重要数据目录,各地区、各部门均应按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
在数据分类层面,《工业数据分类分级指南(试行)》并没有制定详细的数据分类表和重要数据目录,而是给出了一些可供企业参考适用的工业数据分类维度,同时规定有关行业、领域主管部门可参考本指南,指导和推动本行业、本领域工业数据分类工作,企业可在考虑行业要求、业务规模、数据复杂程度等实际情况的基础上,对本企业生产过程中产生的工业数据进行分类梳理和标识,形成企业工业数据分类清单。
在数据分级层面,《工业数据分类分级指南(试行)》根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,从低到高将工业数据分为一级、二级、三级三个级别。对于不同级别的数据,企业应采取的防护措施的要求不同,数据利用和保护的倾向也有所不同。对于一、二级数据,要充分释放数据的潜在价值,根据不同的权限进行开放共享,而三级数据原则上不共享,确需共享的应严格控制知悉范围。企业针对三级数据采取的防护措施,应能抵御来自国家级敌对组织的大规模恶意攻击;针对二级数据采取的防护措施,应能抵御大规模、较强恶意攻击;针对一级数据采取的防护措施,应能抵御一般恶意攻击。三级数据遭篡改、破坏、泄露或非法利用时,还应将事件及时上报数据所在地的省级工业和信息化主管部门,并于应急工作结束后30日内补充上报事件处置情况。
4.《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
为深入贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度,健全完善国家网络安全综合防控体系,公安部制定了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》。在数据合规问题上,该意见指出,运营者应建立并落实重要数据和个人信息安全保护制度,对关键信息基础设施中的重要网络和数据库进行容灾备份,采取身份鉴别、访问控制、密码保护、安全审计、安全隔离、可信验证等关键技术措施,切实保护重要数据全生命周期安全。运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要,确需向境外提供的,应当遵守有关规定并进行安全评估。
在“安全保障、技术为基、标准先行”这一技术治理主义的影响下,近几年我国制定了大量的国家标准和行业标准,指导数据安全合规与个人信息保护工作。标准,是指通过标准化活动,按照规定的程序经协商一致制定,为各种活动或其结果提供规则、指南或特性,供共同使用和重复使用的文件。 标准并非规范性法律文件,其本质是一种技术制度。虽然标准与法律在性质、制定程序和效力上均有所不同,但在数据安全领域,标准与法律呈现出“你中有我”和“我中有你”的融合状态。一方面,法律实施需要依托标准的细化技术性规定,《数据安全法》第十七条规定:“国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准……”另一方面,标准也成为监管机构判断数据安全是否得到保障的依据之一,如2018年国家互联网信息办公室因“支付宝年度账单事件”约谈支付宝(中国)网络技术有限公司、芝麻信用管理有限公司的有关负责人时便指出“支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神”。
与法律法规等法律规范性文件相比,偏技术性标准在指导数据安全工作方面主要有以下优势:首先,标准制定与修改程序相对灵活,能够在数据安全合规实践发生较大变化时,及时进行调整,提供更符合时代的合规指引。其次,标准规定更为细化,更能满足数据安全合规的多场景需求。根据场景进行数据安全合规已成为共识,因此抽象性的法律只能提供原则和归责上的宏观指导,数据安全合规需要更为明晰的指导,而与数据安全合规相关的标准中,有相当大的篇幅是用来对法律中未曾出现的针对互联网领域新生业态的各类新兴行为作出规定,满足了数据安全合规的多场景需求。 最后,标准作为技术制度,能够在技术层面延伸法律规范,便于数据安全合规在技术层面的实现。数据安全合规采取的具体措施可分为组织与技术两部分,当数据安全合规涉及具体技术性问题时,通过援引标准,可起到更好的规范作用,否则法律就很难发挥对具有技术性的行为的规范。
市场监督管理部门作为标准制定部门和检验检测管理部门,依法承担强制性国家标准制定与授权发布工作;负责统一管理检验检测工作。不仅牵头制定并发布了一系列与数据安全紧密相关的国家标准,指导制定了一批数据安全领域的行业标准,而且依据《网络安全法》成立了中国网络安全审查技术与认证中心,负责实施网络安全相关审查和认证工作,承担网络安全审查技术与方法研究;开展网络安全认证评价及相关标准技术和方法研究;承担网络安全审查人员和网络安全认证人员技术培训工作;在批准范围内开展网络安全相关产品、管理体系、服务、人员等认证业务。
我国与数据安全合规直接相关的第一个国家标准为2013年2月1日正式实施的《信息安全技术 公共及商用服务信息系统个人信息保护指南》(GB/Z 28828—2012),将个人信息划分为一般个人信息和敏感个人信息,并分别进行规制。此后,全国信息安全标准化技术委员会又组织人员制定了一系列“信息安全技术”领域的国家标准。比较重要的有数据安全领域的《信息安全技术 大数据安全管理指南》(GB/T 37973—2019);个人信息保护领域的《信息安全技术 个人信息安全规范》(GB/T 35273—2020)、《信息安全技术 个人信息安全影响评估指南》(GB/T 39335—2020)、《信息安全技术 个人信息去标识化指南》(GB/T 37964—2019)、《信息安全技术 个人信息处理中告知和同意的实施指南》(GB/T 42574—2023);网络安全等级保护领域的《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)、《信息安全技术 网络安全等级保护实施指南》(GB/T 25058—2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448—2019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070—2019)。这些与《数据安全法》《网络安全法》《个人信息保护法》相配套的国家标准,在实践中为数据安全合规提供了更为详细和具体的指引,已成为企业进行数据安全合规的重要参考和监管部门进行认证与监管的重要依据。
我国与数据安全合规相关的立法体系主要包含以下法律文件:
表1 我国主要数据安全立法汇总表
续表
我国涉及数据安全合规的国家标准和行业标准主要有:
表2 我国主要数据安全标准汇总表
续表