下载掌阅APP,畅读海量书库
立即打开
在《网络安全法》生效前,网络安全、数据安全与个人信息保护领域的行政执法与监管活动缺乏明确的法律依据,各部门的权责边界不清。为解决这一问题,《网络安全法》创设了“网信部门统筹,电信、公安部门与国务院其他部门各自负责”的监管体系,重点部门牵头,多部门共同参与到网络安全治理中。
《数据安全法》在延续《网络安全法》整体监管模式和部门权属划分的同时,做出一定突破。将整体国家安全观内化到《数据安全法》的制定过程中,规定:中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。这一表述与《国家安全法》保持一致,将数据安全工作上升至国家最高决策和监管层级,从而能够更好地协调各地区、各部门的数据安全监管工作。
在数据安全工作协调机制中,《数据安全法》进一步规定了各地区、各部门的分工:各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。这一规定主要是解决由谁对数据安全负责和监管的问题,体现了我国“中央机制下,地区和部门的数据安全负责制”。
2023年3月,国务院关于提请审议国务院机构改革方案的议案在全国人民代表大会上获得通过,中共中央、国务院随后印发了《国务院机构改革方案》,明确提出要组建国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,由国家发展和改革委员会管理。国家数据局的组建,意味着我国将数据相关工作归口管理,数据安全监管工作迈上了新的台阶。需要注意的是,作为国家发改委管理的国家局,其职能主要是负责协调推进数据市场建设、推动数据经济发展,而不具备数据领域的全部权力,数据安全监管相关职责在很大程度上仍然由网信、工信、公安等部门承担。
例如,当国家数据安全工作协调机制下的监管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险,或者存在数据处理活动违反《数据安全法》相关规定的,除了可按照《行政处罚法》的规定,采取警告、通报批评;罚款、没收违法所得、没收非法财物;暂扣许可证件、降低资质等级、吊销许可证件;限制开展生产经营活动、责令停产停业、责令关闭、限制从业;行政拘留等行政处罚措施外,还可按照规定的权限和程序对有关组织、个人进行约谈并责令改正。涉嫌刑事犯罪的,由监管部门及时移送公安机关依法处理。
大数据时代,在推动国家治理体系和治理能力现代化的过程中,数据安全已嵌入所有行业与领域,最为传统的农业、建筑业也有了相当高的数字化水平。因此除国家数据局对数据经济发展事项进行归口管理外,网信部门、工信部门、公安部门、国安部门负责多领域的数据安全监管工作外,每一行业、每一领域的主管部门对本领域的数据处理活动进行合规监管,防止数据丢失、毁损、泄露和篡改。受限于篇幅,本书无法对所有行业主管部门的数据安全监管职能一一进行介绍,仅就国家数据局和《数据安全法》第六条提及的行业主管部门之监管职能展开探讨。
根据《国务院机构改革方案》,国家数据局由国家发改委进行管理,将原中央网信办承担的研究拟订数字中国建设方案、协调推动公共服务和社会治理信息化、协调促进智慧城市建设、协调国家重要信息资源开发利用与共享、推动信息资源跨行业跨部门互联互通等职责,国家发改委承担的统筹推进数字经济发展、组织实施国家大数据战略、推进数据要素基础制度建设、推进数字基础设施布局建设等职责划入国家数据局。
国家数据局的主要任务是推动数字经济的发展,建设数据基础制度,并不直接承担数据安全监管职责。但安全与发展是息息相关的,数字经济的发展,数据基础制度的构建离不开安全的数据环境,有学者指出,国家数据局成立后,我国可能形成“宏观发展—安全监管—具体领域”的“1+1+n”三元协同治理格局。具体而言,其中第一个“1”代表国家数据局负责数据宏观发展职责,第二个“1”代表国家网信部门负责数据安全和个人信息保护方面监管职责,而“n”代表了各领域主管部门在对应领域内的数据管理职权。国家数据局主要负责数据基础制度、基础设施与基础性规划的统筹设计与建设,既不涉及数据安全的监管,也不涉及对某一具体行业与领域的治理,其核心特征是基础性与宏观性。换言之,国家数据局的职权范围具有一般性和基础性,可以对各个领域与行业普遍产生影响,例如,国家数据局负责的数据基础制度,未来将是各个领域均应遵守的基础制度。
网信部门在中央层面包括“中共中央网络安全和信息化委员会办公室”和中华人民共和国国家互联网信息办公室,前者前身是“中央网络安全和信息化领导小组”,在2018年根据中共中央印发的《深化党和国家机构改革方案》改为中共中央网络安全和信息化委员会,并设立中央网信办作为其办事机构。后者于2011年经国务院批准设立,“国家网信办和中央网信办,一个机构两块牌子,列入中共中央直属机构序列”。
根据《数据安全法》第六条、《网络安全法》第八条和《个人信息保护法》第六十条的规定,国家网信部门同时负责统筹协调数据安全、网络安全、个人信息保护工作和相关监督管理工作,在数据安全监管体系中居于核心地位。除统筹协调外,网信部门还主要负责以下几项数据安全监管工作:
一是数据出境监管。数据跨境传输带来的数据安全风险不言而喻,不论是境外数据处理者的不当数据处理活动,数据在跨境传输过程中泄露,还是境外政府对出境数据未经允许的处理都可能给数据安全与国家安全带来威胁。网信部门作为数据安全领域最主要的监管机构,必须履行对出境数据的监管义务。具体而言,网信部门需要会同国务院有关部门制定重要数据的出境安全管理办法;为企业制定数据跨境传输的标准合同,并组织数据跨境传输安全评估;当发现存在来源于中华人民共和国境外的法律、行政法规禁止发布或者传输的信息时,应要求网络运营者停止传输,采取消除等处置措施,保存有关记录,并通知有关机构采取技术措施和其他必要措施阻断传播;若在执法过程中发现,存在侵害国家安全、公共利益或公民个人信息权益的境外组织或个人,应将这些实体列入限制或者禁止个人信息提供清单,予以公告,限制或者禁止境内企业向其传输数据。
二是关键信息基础设施与网络安全设备的安全认证与安全审查。数据安全、网络安全的保障离不开网络硬件环境的安全,因此,网信部门需要会同国务院有关部门,制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认。在网络安全设备中,关键信息基础设施关系国计民生,其采购的网络产品与服务需要经过更为严格的安全审查,而且网信部门还需统筹协调有关部门,采取多种措施,对关键信息基础设施进行安全保护。
三是推动建立健全数据安全保护机制。网信部门需推动建立健全网络安全风险评估和应急工作机制,制订网络安全事件应急预案,并定期组织演练,按照规定统一发布网络安全监测预警信息。
2022年,网信系统进一步加大执法力度,依法查处各类违法违规案件,取得显著成效。据统计,全国网信系统全年累计依法约谈网站平台8608家,警告6767家,关闭违法网站25233家,移送相关案件线索11229件。
工信部门是指中华人民共和国工业和信息化部,是根据2008年3月11日公布的国务院机构改革方案,在原国防科工委、信息产业部和国务院信息办的基础上组建的国务院部门,是我国工业和电信领域的主管机构。工业和信息化部的数据安全监管职能主要由内设的网络安全管理局承担,具体而言,网络安全管理局承担电信和互联网行业网络安全审查相关工作,组织推动电信网、互联网安全自主可控工作;指导督促电信企业和互联网企业落实网络与信息安全管理责任,配合打击网络犯罪和防范网络失泄密;拟订电信网、互联网网络安全防护政策并组织实施;承担电信网、互联网网络与信息安全监测预警、威胁治理、信息通报和应急管理与处置;承担电信网、互联网网络数据和用户信息安全保护管理工作。
当收到组织和个人有关危害网络安全行为的举报时,工信部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。在数据安全保护问题上,工业和信息化部提出要重点整治企业在数据收集、传输、存储及对外提供等环节,未按要求采取必要的管理和技术措施等问题,包括数据传输时未对敏感信息加密、向第三方提供数据前未征得用户同意等场景。
在关键信息基础设施安全保护工作中,工信部门应当根据保护工作部门的需要,及时提供技术支持和协助。任何组织和个人对基础电信网络实施漏洞探测、渗透性测试等活动,都应事先向工信部门报告并取得批准。在电信领域关键信息基础设施安全运行的情况下,若其他行业和领域的关键信息基础设施安全遭到冲击,工信部门应提供重点保障。
公安部门与国家安全部门在数据安全监管领域扮演着双重角色。一方面,在数据安全、网络安全深度嵌入公共安全、国家安全,已形成密不可分统一体的情况下,作为安全部门的公安部门与国家安全部门在数据安全监管问题上需承担更多的行政监管职责;另一方面,当出现严重危及数据安全、网络安全犯罪活动时,应进行刑事侦查。
在行政监管领域,公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。任何个人和组织开展对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动,均需经过公安部门批准。收到任何个人和组织有关数据安全、网络安全举报的,公安机关或国家安全机关应当及时依法做出处理,不属于本部门职责的,应当及时移送有权处理的部门。任何个人和组织从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,或者设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关没收违法所得,并根据情节轻重,处以行政拘留和罚款。
在刑事领域,公安机关主要负责侵犯公民个人信息案件,非法侵入计算机信息系统案件,非法获取计算机信息系统数据案件,非法控制计算机信息系统案件,提供侵入、非法控制计算机信息系统程序、工具案件,破坏计算机信息系统案件,拒不履行信息网络安全管理义务案件,非法利用信息网络安全案件和帮助信息网络犯罪活动案件的侦查。国家安全机关主要负责通过窃取重要数据、攻击国防领域数据等方式进行的危害国家安全案件的侦查。
考虑到公安机关和国家安全机关工作的特殊性,《数据安全法》《网络安全法》《个人信息保护法》等法律规定了行刑衔接和职能保障机制。履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据或者对关键信息基础设施进行网络安全检查时,有关组织、个人应当予以配合,并提供技术支持和协助。拒不提供技术支持和协助的,由有关主管部门责令改正或处以罚款。
随着大数据产业的蓬勃发展,网约车已成为人们生活的一部分,自动驾驶技术也越发成熟。基于这一背景,交通运输部在《交通运输信息化“十三五”发展规划》中提出“没有信息化,就没有交通运输现代化”。信息化是实现智慧交通的重要载体和手段,智慧交通是交通运输信息化发展的方向和目标。无论是公路领域的动态监测数据、收费数据,还是水路领域的港口运行数据、船舶位置数据,抑或是城市交通领域的车辆通行数据、流量监测数据,民航、铁路领域的旅客数据、购票数据,邮政领域的包裹数据、物流数据,出行领域的用户数据、行程数据等,共同形成了交通运输领域的大数据资源。不难发现,交通领域的数据来源众多、数量极大,且对于实时性的要求也较高,同样地,交通领域的数据安全也面临极大的风险,且交通领域的系统数据一旦受到攻击,轻则导致交通拥堵,重则引发大范围交通事故,导致大量人员伤亡。因此,《网络安全法》第三十一条也明确将交通领域的数据安全保护纳入可能危及国家安全、国计民生、公共利益的关键信息基础设施的重点保护领域。考虑到交通领域以交通工具为核心的监管特点,交通主管部门一般将权限下放至各地区而非进行统一管理。交通运输部下发的《网络预约出租汽车监管信息交互平台运行管理办法》中规定,各地交通运输主管部门应对网络安全实施等级保护,及时整改数据安全风险漏洞以防数据信息泄露、毁损或丢失,并且也鼓励联合监管、数据共享的高效模式。
交通领域数据安全监管的另一特点是与其他领域紧密结合,因此交通主管部门经常与其他部门合作对数据安全进行监管。交通运输部印发的《交通运输政务数据共享管理办法》中第四条明确提到了对于交通运输政务数据的职责划分问题,其中科技主管部门要负责管理、监督和评估政务数据共享工作,组织管理交通运输政务数据目录编制工作,组织推进数据共享交换平台政务数据接入,组织开展相关制度文件、标准规范的制修订和宣贯实施,监督部门共享平台的运行。交通运输部、工业和信息化部、公安部、商务部、国家工商总局、国家质检总局、国家互联网信息办公室共同发布的《网络预约出租汽车经营服务管理暂行办法》第二十九条至第三十三条更是进一步对各部门的监管职责进行了详细明确的规定:首先,出租车行政主管部门应当加强对网约车的市场监管,并应当协同政府部门共同完成车辆和驾驶员基本信息、服务质量、乘客评价信息、服务质量测评结果、乘客投诉处理情况、运营和交易等数据监督管理;其次,通信主管部门和公安、网信部门应当按照各自职责,对非法收集、存储、处理和利用个人信息的行为依法监督、处置;最后,发展改革、价格、通信、公安、人力资源社会保障、商务、人民银行、税务、工商、质检、网信等部门按照各自职责,对网约车经营行为实施相关监督检查,并对违法行为依法处理。
金融领域涉及社会经济层面的大量数据,如客户身份数据、交易数据、消费数据。金融数据不仅因其高度敏感性与私密而与个人人身、财产权益密切相关,而且一旦金融领域的关键信息基础设施遭到破坏,导致功能丧失或者数据泄露,就可能严重危害到国家安全、公共利益,因此对于金融领域的数据网络安全必须进行重点保护。金融业的数据化水平在所有行业中名列前茅,银行业、保险业、证券业和征信业四大主要的金融领域均已实现数字化,因此也面临多样化的数据安全风险,如银行业面临账户被窃取风险、保险业面临保险人身体健康数据泄露风险、证券业面临交易偏好数据泄露风险、征信业面临征信数据被篡改风险。2006年修正的《银行业监督管理法》第三十四条规定,银行业监督管理机构根据审慎监管的要求,可以检查银行业金融机构运用电子计算机管理业务数据的系统,以确保金融数据安全。
为更好地应对金融领域的数据安全风险,作为金融主管部门的中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会先后单独或与其他行业主管部门一同发布了《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》《关于促进互联网金融健康发展的指导意见》《中国人民银行金融消费者权益保护实施办法》《银行业金融机构数据治理指引》等规范性文件。其中,2015年7月中国人民银行等十部门出台的《关于促进互联网金融健康发展的指导意见》(银发〔2015〕221号)第二条明确提出:“加强互联网金融监管,是促进互联网金融健康发展的内在要求。同时,互联网金融是新生事物和新兴业态,要制定适度宽松的监管政策,为互联网金融创新留有余地和空间。通过鼓励创新和加强监管相互支撑,促进互联网金融健康发展,更好地服务实体经济。互联网金融监管应遵循‘依法监管、适度监管、分类监管、协同监管、创新监管’的原则,科学合理界定各业态的业务边界及准入条件,落实监管责任,明确风险底线,保护合法经营,坚决打击违法和违规行为。”《银行业金融机构数据治理指引》则设专章对网络金融数据安全的治理作出了详细规定,银行业监督管理机构应当通过非现场监管和现场检查对银行业金融机构数据治理情况进行持续监管。在监管中,可根据实际情况要求银行业金融机构通过内部审计机构或委托外部审计机构对其数据治理情况进行审计,并及时报送审计报告。对数据治理不满足相关法律法规或者审慎经营规则要求的银行业金融机构,银行业监督管理机构可要求其制订整改方案,责令限期改正,将数据治理与公司治理评价结果或监管评级挂钩或采取其他行政处罚措施。
为了更好地开发与保护自然资源,自然资源主管部门依托信息技术,对土地、矿产、森林、草原、海洋等自然资源开展了系统的统计与数据化工程。自然资源部网站上设立了专门的数据服务栏目,在栏目下发布了第三次全国国土调查主要数据公报、中国矿产资源报告、全国矿产地数据库等诸多与自然资源相关的数据化报告。除了这些能够公开,并且积极鼓励科研机构、企业进行利用的数据外,自然资源领域还包含大量涉及国家秘密的数据,如地图数据、特定导航数据、特殊测绘数据、重点目标地理信息等涉及地理信息的数据,以及水利、地震、气象、环保检测等方面的数据。这些数据均属于重要数据甚至核心数据,一旦泄露将对国家安全造成巨大影响,因此必须由自然资源主管部门对此类数据进行严格监管。例如,为保障国家安全,所有的电子地图、导航设备,都需要加入国家保密插件。地图公司测绘地图,测绘完成后,送到国家测绘局,将真实坐标的电子地图进行加密,这样的地图才是可以出版和发布的,然后才可以让GPS公司处理。若真实的测绘数据被泄露,敌对国家便可通过获取少数控制点的精准坐标,结合卫星遥感找到同名控制点,对影像进行纠正,从而获得可直接用于导弹制导的矢量地图数据,对重要军事基地、国家政府所在地实施精准轰炸。因此,自然资源主管部门将自然资源与地理数据测绘,以及国家地理数据安全保密作为其核心任务之一。自然资源部监督管理民用测绘航空摄影与卫星遥感,拟订测绘行业管理政策,监督管理测绘活动、质量,管理测绘资质资格,审批外国组织、个人来华测绘,并负责审核国家重要地理信息数据与地图管理,审查向社会公开的地图,监督互联网地图服务,提供地理信息应急保障,指导监督地理信息公共服务。
卫生健康领域包含大量的重要数据,如基因数据、遗传资源等非公开的人口普查相关数据,以及涉及国家战略安全的药品在审批过程中提交的药品实验数据、各种医疗信息、《医疗器械分类规则》中第二类和第三类医疗器械临床实验数据等。我国的健康医疗领域数据量巨大,目前全国已有20多个省市申请了医疗健康大数据中心或产业园,医疗健康行业大数据占国内大数据市场规模的比重约为20%。
随着“互联网+”的发展,网上问诊、网上医院不断发展,其中隐含着泄露患者隐私、个人敏感数据的风险,同时医疗大数据也属于国家重要的基础性战略资源,因此相关监管部门对于健康数据的收集、存储、使用、共享、公开等过程应实行全方位、全流程监管,包括事前监管互联网医疗数据的收集是否遵循合法、正当、必要的原则,有没有对收集、使用的规则进行公开,明确告知手机用户收集、使用信息的目的、方式和范围,是否征得用户同意。此外,医疗数据中存在许多涉及个人隐私的敏感数据,应当监管相关组织对数据进行分类、分级、脱敏处理,严格落实最小化使用规则。
2018年国务院办公厅印发的《关于促进“互联网+医疗健康”发展的意见》(国办发〔2018〕26号)第三部分明确规定了加强行业监管和安全保障,由国家卫生健康委员会联合国家互联网信息办公室等部门负责健全相关机构准入标准,加强事中事后监管,确保医疗健康服务质量和安全;监管互联网医疗健康服务平台等第三方机构提供服务人员的资质符合有关规定要求,并对所提供的服务承担责任;研究制定健康医疗大数据确权、开放、流通、交易和产权保护的法规;加强医疗卫生机构、互联网医疗健康服务平台、智能医疗设备以及关键信息基础设施、数据应用服务的信息防护,定期开展信息安全隐患排查、监测和预警。
教育领域的数据保护重点在于教学科研数据和师生个人信息等数据收集、传输、使用、共享等过程中的保密,尤其是在国家智慧教育推进的大背景之下,关于教育数据资源的风险评估、安全审计、保密审查、日常监测、应急处置等都需要有关部门对此进行指导、监督和管理。
教育部办公厅、国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、民政部办公厅、市场监管总局办公厅发布的《关于做好现有线上学科类培训机构由备案改为审批工作的通知》,要求严格落实《网络安全法》和《数据安全法》等法律法规相关要求,教育移动互联网应用程序(教育App)对于数据收集、储存、传输、使用等环节,满足条件的需要进行个人信息保护影响评估、认证或合规审计,并且需要由教育部门牵头、有关部门参与的协同工作机制,建立起常态化的管理和监督制度;网信、公安、电信部门要做好违规培训平台和应用软件(含App)的关停、下架等工作;明确对相关单位及负责人的问责考核机制。
科技领域的数据安全涉及自然科学、工程技术科学等领域在基础研究、应用研究、试验开发等过程中产生的数据,以及通过观测监测、考察调查、检验检测等方式取得并用于科学研究活动的原始数据及其衍生数据。对于科技领域的数据安全监管实行国家统筹、各部门与各地区分工负责的机制。国务院办公厅于2018年3月17日发布的《科学数据管理办法》中第七条至第十条明确规定了国务院科学技术行政部门、国务院相关部门、省级人民政府相关部门、有关科研院所、高等院校和企业等法人单位以及由主管部门委托有条件的法人单位建立的科学数据中心的分别职责。
随着数字经济的飞速发展,数据安全形式也越发严峻。因此,网信、工信、公安、市监等数据安全主要监管部门单独或与其他部门联合,开展了多次专项执法活动。
专项执法行动原本是对日常执法的补充,但在实践中,由于数据安全事件的跨地域性特点,地方监管机关的日常执法难以取得预期成效。因此,经实践验证具有良好效果的专项执法活动被多个监管部门认可,其中一些专项执法行动甚至已“常态化”,如“净网”行动已持续开展十多年。可以说,专项执法活动已成为我国数据安全监管的重要手段之一,在“实践探索—总结归纳—推进实践”的进程中不断提升数据安全监管能力,对打击泛滥的数据黑产犯罪,维护民众的人身与财产安全具有重要意义。此外,专项执法活动还能够让监管部门和民众意识到数据安全保护的重要性和数据安全保护形式的严峻性,将企业与个人都纳入数据安全保护体系中。
净网行动始于2011年,一开始是公安部为了消除社会治安隐患而开展的治爆缉枪专项行动;2013年3月,全国“扫黄打非”办公室对“净网”行动进行整体部署,查处的重点转为传播淫秽色情和低俗信息的网站及一些网站的栏目、频道;之后,中央宣传部、国家互联网信息办公室、工业和信息化部、公安部、文化和旅游部、国家广播电视总局等单位也参与到净网行动中,涉及领域越来越广,打击面覆盖大部分突出网络违法犯罪,深入整治网络黑产、网络乱象,持续深化网络生态治理。在数据安全和个人信息保护方面,依托《数据安全法》《个人信息保护法》,2022年,全国公安机关累计侦办严重危害网络秩序和群众权益的突出违法犯罪案件8.3万起,其中侵犯公民个人信息案件1.6万余起,捣毁“猫池”窝点800余个,缴获“猫池”、GOIP等黑产设备1.1万台,关停接码平台130余个,查扣手机黑卡240万张,查获网络黑账号4200余万个。
为应对数据过度采集滥用、非法交易及用户数据泄露等数据安全问题,工业和信息化部于2019年组织开展了电信和互联网行业提升网络数据安全保护能力专项行动。这一专项行动希望通过集中开展数据安全合规性评估、专项治理和监督检查,督促基础电信企业和重点互联网企业强化网络数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患,在电信和互联网行业基本建立行业网络数据安全保障体系。
在具体实施层面,工业和信息化部将为期一年的数据安全保护专项行动划分为工作部署、重点保障、长效建设和总结提升四个阶段,提出了五大项十四小项重点任务,分别是加快完善网络数据安全制度标准:强化网络数据安全管理制度设计、完善网络数据安全标准体系;开展合规性评估和专项治理:开展网络数据安全风险评估、深化App违法违规专项治理、强化网络数据安全监督执法;强化行业网络数据安全管理:稳步实施网络数据资源“清单式”管理、明确企业网络数据安全职能部门、强化网络数据对外合作安全管理、加强行业网络数据安全应急管理;创新推动网络数据安全技术防护能力建设:加强网络数据安全技术手段建设、推动网络数据安全技术创新发展、加强专业支撑队伍建设;强化社会监督和宣传交流:强化社会监督和行业自律、加强宣传展示和国际交流。
2019年1月25日,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,受上述四部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立了App违法违规收集使用个人信息专项治理工作组,在全国范围内组织开展App违法违规收集使用个人信息专项治理。自专项治理活动开展以来,多地取得显著成效,如2021年6月11日国家互联网信息办公室对Keep等129款App违法违规收集使用个人信息情况进行通报,
2021年9月3日海南省针对“加油海南”等7款App违法违规收集使用个人信息情况进行通报,
2021年11月1日海南省对“民生宝”“快速问医生”等7款App违法违规收集使用个人信息情况进行通报,
2021年12月14日浙江省对闪修侠等87款App违法违规收集使用个人信息情况进行通报,
2022年2月14日浙江省对微记账等38款App违法违规收集使用个人信息情况进行通报等。
在越来越多传统企业进行数字化转型的背景下,市场监督管理对数据安全监管也越发重视。市场监督管理部门直接面向企业这一最主要的数据处理者,不仅统一负责企业的登记注册,而且组织和指导市场监管综合执法工作。市场监督管理部门不仅可以单独对企业的数据安全合规状况、大型互联网平台的数据垄断问题进行监管;而且《数据安全法》规定的一些行政处罚措施,如吊销相关业务许可证和吊销营业执照,其执行都有赖于市场监督管理部门的参与。
为保障消费者的个人信息安全,市场监管总局印发了《关于开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动的通知》,决定于2019年4月1日至9月30日,在全国范围内部署开展专项执法行动,重点打击消费领域侵害消费者个人信息违法行为,切实维护消费者合法权益,取得了阶段性成果。在房产租售、装饰装修、教育培训等重点行业,查处了一批未经消费者同意,收集、使用、泄露、出售或者非法向他人提供消费者个人信息等侵害消费者个人信息案件。
市场监督管理部门将根据《消费者权益保护法》第二十九条、第五十六条对侵犯消费者个人信息的违法行为采取相应的行政处罚,同时加大专项执法行动成果宣传,增强消费者维权意识和能力,切实保护消费者合法权益。
《数据安全法》第十条要求相关行业组织在开展数据活动时加强行业自律。行业自律,是指相同或者相似类型的企业按照章程或者自制规程,对自身行为进行自我规范的行为。在数据安全领域,行业自律需要互联网企业对其自身数据处理活动进行自我约束、主动维护数据安全、参与数据安全管理。通过行业组织引导行业自律,已成为行业立法的通常做法。
随着数字经济的发展,越来越多的国家意识到传统的单一式监管手段已无法有效应对瞬息万变的互联网环境,在数据安全领域要“打造新时代共建共治共享的社会治理格局”,就必须将政府监管和行业自律有机结合起来,采取“监督与监控并重”的措施,与行业自律组织建立密切协作的关系,充分发挥行业自律机制的功能与价值。
除了《数据安全法》之外,我国《网络安全法》第十一条、《食品安全法》第九条、《广告法》第七条等也规定了相关领域要加强行业自律,制定相应的行为规范,指导会员加强保护,促进行业健康发展,这说明,在我国将政府公权监管与行业自律结合在立法层面已成为一种共识。
在数据安全领域,我国已制定了一批行业自律规则,如工业和信息化部网络安全管理局制定的《电信和互联网行业网络数据安全自律公约》,中国互联网协会发布的《网络数据和用户个人信息收集、使用自律公约》《互联网终端软件服务行业自律公约》《互联网搜索引擎服务自律公约》,中国信息通信研究院发起签署的《数据流通行业自律公约》,广东省通信管理局发起签署的《广东省App用户个人信息保护自律公约》。行业自律通过企业自愿的非强制性的方式加强数据安全管理,具有很强的正面激励和榜样的作用,可以对行业内其他企业起到良好的示范作用。
行业自律这一自我监管模式的问题在于法律效力未定、追责困难、实践中难以落地。行业自律公约本身会对公约的实施作出规定,如《互联网终端软件服务行业自律公约》第二十八条至第三十条规定,签署单位应当自觉遵守本公约各项规定,违反本公约并造成不良影响的,任何单位和个人均有权向本公约执行机构进行举报。本公约执行机构在查证核实或者组织测评后,视情况给予内部警告、公开谴责等处罚。设立行业调解委员会,建立终端软件测评机制及终端软件企业间争议和纠纷调解机制,由本公约执行机构组织实施。具体实施细则另行规定。签署单位之间发生争议和纠纷时,应当本着互谅互让、维护行业团结和整体利益的原则,争取以协商方式解决,也可以提请本公约执行机构进行调解。本公约执行机构有义务通过合理合规的方式尽快组织相关调解工作,并将调解结果通报各相关单位。通过行业调解无法解决的,可以向有关管理部门提出处理建议。
但由于行业自律规则的法律效力未定,法院的认定结果也各不相同,有的法院认为行业自律公约可以成为人民法院认定行业惯常行为标准和公认商业道德的重要渊源之一,用来证明某一行为是否违法;也有的法院认为行业自律公约并非普遍签署,并不具有行业惯例的效力,不具有法律约束力,因而不得在庭审当中作为确立权利义务的规范援引。若在实践中,法院因行业自律规则缺乏明确法律授权而怠于承认其约束力,使得未遵守行业自律要求的企业无法被有效追责,则用户不但不会因为互联网公司加入某一行业自律公约而对其更加信任,反而会质疑整个行业的可信度。
【典型案例】133家企业签署数据安全自律公约
为切实做好电信和互联网行业网络数据安全保护,持续提升行业数据安全治理水平,工业和信息化部网络安全管理局指导中国互联网协会充分发挥行业组织自律职能,制定发布了《电信和互联网行业网络数据安全自律公约》(以下简称《自律公约》)。2020年11月,在近期举办的第六届中国互联网法治大会数据安全论坛上,中国互联网协会已累计组织中国电信、中国移动、中国联通、腾讯、百度、京东、360、爱奇艺等133家基础电信企业和重点互联网企业签署了《自律公约》。《自律公约》主要倡导了企业在网络数据安全责任上的五类要求:一是明确管理责任部门,制定管理制度规范;二是加强网络数据资产梳理和分类分级管理;三是深化网络数据安全合规性评估;四是依法规范数据对外合作安全管理;五是建立完善用户举报与受理机制。