我国高度重视网络与数据安全,数据安全法治建设不断加速。《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规共同构成更加完整的信息领域法律体系。同时,我国还积极推动国际数据安全合作,加强与其他国家的沟通与协作,共同应对数据安全挑战。
数字化改革推动我国生产模式的变革,随着经济数字化、政府数字化、企业数字化的建设,数据已经成为我国政府和企业最核心资产。合资企业、跨境贸易、多厂商全球合作的模式变迁,数据开始在企业与企业之间、政府与企业之间,以及国与国之间流转、融合、使用直至泄露。与此同时,数据泄露事件也大幅增加,影响大、损失重。
1.主要国家数据立法情况
近年来,各国纷纷推进个人隐私和数据保护立法。目前全球已有100多个国家和地区制定了有关个人信息保护的法律,发达国家基本都制定了个人信息或个人数据保护法。
早在1980年,为协调各国立法,避免因各成员国国内立法不同妨碍信息的跨境流动,经济合作与发展组织(OECD)制定《个人数据隐私保护和跨境流动指南》,并于2013年进行修订。该指南构成经济合作与发展组织《隐私保护框架》的重要组成部分。《个人数据隐私保护和跨境流动指南》对个人信息保护作出了原则性规定。
2011年,亚太经合组织(APEC)推出跨境商业个人隐私保护规则体系。该体系旨在促进在亚太经合组织框架内实现无障碍跨境信息交换,推动参与该体系的亚太经合组织成员经济体中经营业务的公司就形成保护数据隐私的常规惯例达成一致。2012年,东盟(ASEAN)部长会议通过《东盟个人数据保护框架》,确立一系列个人数据保护原则,指导成员国和区域层面的数据保护实践。
2018年5月25日,欧盟《一般数据保护条例》(GDPR)正式实施。GDPR法案要求不论数据控制者、处理者及其处理行为在欧盟境内还是境外,只要处理的是欧盟境内居民的数据,均适用此法案,对数据实施长臂管理。目前全球已有近100个国家和地区制定了数据安全保护的法律,数据安全保护专项立法已成为国际惯例。
2018年3月,时任美国总统特朗普正式签署了《澄清域外合法使用数据法》,法案要求对危害美国国家安全的犯罪、严重刑事犯罪等重大案件,无论服务提供者的通信、记录或其他信息是否存储在美国境内,要求服务商根据该法案进行调取并提供相关证据。
2018年6月,美国首部关于数据隐私的全面立法《加州消费者隐私法案》(CCPA)颁布,在随后的两年内又陆续做了多次修订,2020年7月1日开始正式执行。CCPA虽然是美国的州级立法,但加州是美国经济最发达的州,它的立法意义很大。
美国目前尚未发布通用数据保护法律,只在一些特殊行业或领域立法里,有关于隐私保护的内容散落在其中。例如,《健康保险流通与责任法案》(HIPAA)中提到如何保护患者隐私信息,《儿童在线隐私保护法案》(COPPA)则是专门为保护儿童个人信息制定的联邦法律。CCPA的出台弥补了美国在数据隐私专门立法方面的空白,它旨在加强加州消费者隐私权和数据安全保护,被认为是美国当前最严格的消费者数据隐私保护立法。
2024年2月,美国总统拜登签发行政令《关于防止受关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令》,限制乃至禁止中国、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉等主体获取大量美国主体敏感个人数据及政府相关数据。2024年3月,美众议院全票通过《保护美国人数据免受外国对手侵害法案》,该法案主要内容是禁止数据经纪人把美国个人的敏感数据传输给外国对手国家或者外国对手控制的实体。
2.满足数字经济发展需要
当前全球范围内传统经济增长缓慢,迫切需要通过寻找新的经济增长点拉动内需、增加就业,而数字经济正是切入点和发动机。据中国信息通信研究院发布的《中国数字经济发展白皮书》数据显示,我国数字经济的总体规模已从2005年的2.62万亿元增长至2019年的35.84万亿元;数字经济总体规模占GDP的比重也从2005年的14.2%提升至2019年36.2%。可见,数字经济已成为我国国民经济增长要素的重要一员。
从2015年,国务院发布的《促进大数据发展行动纲要》开始,2018年国务院发布《科学数据管理办法》,2020年4月国务院发布《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》,2021年3月,新华社公布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》,数据安全政策导向明确,国家数据战略清晰。
发展数字经济的首要前提,就是筑牢数据安全的底线。2023年2月,中共中央、国务院印发《数字中国建设整体布局规划》,数字安全屏障和数字技术创新体系并列为强化数字中国的“两大能力”,彰显了安全在建设数字中国中的底板作用。筑牢可信可控的数字安全屏障,切实维护网络安全,完善网络安全法律法规和政策体系;增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。
在国家数据安全管理层面,我国已经将数据安全上升为国家战略,通过制定一系列法律法规,构建起国家数据安全的法治基础。《中华人民共和国数据安全法》明确了数据安全工作的基本原则、制度机制、责任主体和保障措施,为数据安全提供了全面系统的法律保障。在管理机制上,中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。同时,国家还积极推动数据安全技术研发和标准制定,提升数据安全的技术保障能力。
在国际合作方面,我国积极倡导数据安全的多边合作,与世界各国共同分享数据安全治理经验,推动形成数据安全国际规则和标准,共同应对数据安全领域的全球性挑战。2020年9月,我国提出《全球数据安全倡议》,有效应对数据安全风险挑战,应遵循秉持多边主义、兼顾安全发展、坚守公平正义三大原则。
针对不同行业的数据安全特点,我国制定了一系列行业数据安全政策和标准。例如,在金融领域,国家金融监管总局于2024年3月发布《银行保险机构数据安全管理办法(征求意见稿)》,要求金融机构加强客户数据的保护,通过强化政策要求引导银行保险机构压实主体责任,完善内部制度,采取有效的措施加强数据管理和保护,确保客户信息和金融交易数据安全。在工业领域,系统推进《工业和信息化领域数据安全管理办法(试行)》《工业领域数据安全能力提升实施方案(2024—2026年)》等落地实施,加快推广数据安全技术标准,并从组织架构、政策制度、管理机制、标准规范、技术手段等方面加强指导,加快构筑工业数据安全生态,应从安全体系、治理格局、治理模式等方面积极发力。
各行业主管部门根据行业特点,制定并实施了相应的数据安全管理制度和监管措施,对行业内数据的使用和管理进行规范。同时,还推动了行业内数据安全技术的研发和应用,提升行业整体的数据安全防护能力,并通过制定行业标准、开展行业培训等方式,提升行业内的数据安全意识和能力。
《中华人民共和国数据安全法》体现了总体国家安全观的立法目标,聚焦数据安全领域的突出问题,确立了数据分类分级管理,建立了数据安全风险评估、监测预警、应急处置,数据安全审查等基本制度,并明确了相关主体的数据安全保护义务,这是我国首部数据安全领域的基础性立法。《中华人民共和国数据安全法》的施行标志着我国在数据管理和保护方面迈出了重要一步,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。
国家数据分类分级保护制度是《中华人民共和国数据安全法》的重要组成部分,根据数据在经济社会发展中的重要程度和对国家安全、公共利益,以及个人、组织合法权益可能造成的危害程度,对数据实行分类分级保护。特别是将“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”列为国家核心数据,实行更加严格的管理制度。这一制度为政务数据、企业数据、工业数据和个人数据的保护奠定了法律基础。
国家数据安全审查制度是确保国家安全的重要组成部分,对影响国家安全的数据处理活动进行审查。与网络安全审查制度相比,《中华人民共和国数据安全法》中的审查对象更广泛,主要针对影响或可能影响国家安全的数据处理活动。而为了配合数据安全审查,国家互联网信息办公室(以下简称“国家网信办”)于2021年7月发布《网络安全审查办法(修订草案征求意见稿)》,将数据安全审查纳入其中。
国家数据安全应急处置机制是在数据安全事件发生时迅速采取行动的重要手段。相关部门应根据紧急程度、发展态势和可能造成的危害程度等对数据安全事件进行分类,采取相应的应急措施,并及时向公众发布警示信息,以保障数据安全。
此外,数据处理者有着严格的合规义务,包括依法合规开展数据处理活动、符合社会伦理道德、加强风险监测及定期开展数据风险评估等。这些合规义务的执行有助于确保数据的安全性和合法性,推动数字经济健康发展。
数据安全风险监测与评估是参照数据安全风险评估标准和管理规范,对数据资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行监测,分析和判断数据安全事件发生的概率及可能造成的损失,并采取有针对性的处置措施和提出数据安全风险管控措施。针对重要数据的处理者,应按照规定对其数据处理活动定期开展风险评估,向有关主管部门报送,包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及应对措施等。
《个人信息保护法》是为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用而制定的一部重要法律。该法明确了个人信息的定义,即指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,但不包括匿名化处理后的信息。这表明法律保护的是与具体自然人相关且具有识别性的信息,匿名化处理后的信息则不在此列。
《个人信息保护法》要求个人信息处理活动必须遵循合法、正当、必要和诚信原则。这意味着任何组织或个人在收集、存储、使用、加工、传输、提供、公开、删除个人信息时,都必须有明确的法律依据和合理的目的,且处理方式应当对个人权益影响最小。同时,法律严禁通过误导、欺诈、胁迫等方式处理个人信息。此外,法律还特别强调了敏感个人信息的保护。敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。对这类信息,法律要求采取更加严格的保护措施,防止不当泄露或滥用。
在个人信息处理者的责任方面,法律要求其对个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。这包括确保个人信息的准确性、完整性和及时性,以及防止个人信息被非法获取、泄露或滥用。此外,法律还规定了一系列禁止行为,如非法收集、使用、加工、传输他人个人信息,非法买卖、提供或者公开他人个人信息,以及从事危害国家安全、公共利益的个人信息处理活动等。这些规定旨在维护个人信息的合法权益和社会公共利益。
在个人信息主体权利方面,《个人信息保护法》确立了个人对个人信息的多方面权利,包括对个人信息处理的知情权、决定权、要求解释说明权、拒绝权等;在个人信息处理过程中享有要求更正、补充权、删除权等;对处理者所掌握的个人信息享有查阅、复制权、承继行使权、可携带权等。特别是可携带权,为个人信息在不同互联网平台间进行指定转移、数据互联互通提供了合规路径。
综上所述,《个人信息保护法》为个人信息权益提供了坚实的法律保障,同时也对个人信息处理活动提出了明确的要求和规范。在实际操作中,应严格遵守法律规定,确保个人信息的合法、安全和合理利用。