下载掌阅APP,畅读海量书库
立即打开
从国家层面来看,1983年12月8日,“数据”二字首次出现在我国规范性法律文件《中华人民共和国统计法》中。在《中华人民共和国民法典》(简称《民法典》)和《中华人民共和国数据安全法》(简称《数据安全法》)等法律出台前,数据本身尚未获得独立的法律地位,更多是与特定产品(数据库)、特定形态(电子数据等)、特定类型(统计数据、检验数据等)相关联的。
2015年7月1日起施行的《中华人民共和国国家安全法》(简称《国家安全法》),将数据安全纳入国家安全范畴,强调“重要领域信息系统及数据的安全可控”。《国家安全法》从国家安全层面凸显了数据安全的重要性,这也为数据安全相关法律的制定和出台奠定了基础,并成为后者重要的立法渊源及依据。
随着社会数字化程度加深,我国在促进数据经济发展、充分发挥数据价值,以及确保数据安全、强化数据管理方面加大力度,近年来,重磅数据立法频出。2017年6月1日《中华人民共和国网络安全法》(简称《网络安全法》)正式施行,就网络运行安全和网络信息安全进行了全面且详细的规定,是在互联网背景下中国个人数据保护制度化的新起点。
2020年,《民法典》正式颁布,构建了数字时代隐私和个人信息保护的民法基础,确立了数据的法律保护地位,从权力层面明确了数据在法律上的意义。
2021年9月1日《数据安全法》正式出台,中国数据信息安全的基础性法律架构逐渐成熟。《数据安全法》是我国第一部有关数据安全的专门立法,是我国数据应用步入法治化轨道的重要标志。《数据安全法》明确了坚持维护数据安全与促进数据开发利用并重的立法与监管理念,担负着保障国家、企业和个人数据安全的任务,为未来数据商业创新保驾护航。《数据安全法》确立的主要安全制度包括数据分类分级保护制度、数据安全风险评估、报告、信息共享、监测预警机制、数据安全应急处置机制、数据安全审查制度等。
2021年11月1日《中华人民共和国个人信息保护法》(简称《个人信息保护法》)正式实施,确立了个人信息处理的合法正当原则、诚信原则、公开透明原则,围绕个人信息处理活动,对一般个人信息处理、敏感个人信息处理、国家机关的个人信息处理、个人信息跨境处理进行规定,赋予个人信息主体知情权、决定权、更正补充权、删除请求权等多项权利。
未来,我国对数据安全的管理将在《网络安全法》《数据安全法》《个人信息保护法》的联合作用下获得更为全面的保障。除数据管理法律体系的主体立法取得显著成果外,相关配套立法的制定、出台,确保了数据管理的落实:《网络安全审查办法》颁布,网络安全审查升级;《中华人民共和国密码法》配套法规修订、制定工作全面启动;《信息安全技术个人信息安全规范》完成修订;《个人信息安全影响评估指南》正式发布;围绕App专项治理工作制定的一系列标准、指南和规范纷纷落地。总体而言,我国数据管理立法体系正逐步完善,主体立法和配套立法同步进行。
从地方层面来看,我国各省市就数据管理纷纷出台相关条例和管理办法。截至2024年4月,名称中包含“数据”的地方性法规共计33件。其中贵州领跑全国,2016年3月1日起施行的《贵州省大数据发展应用促进条例》是我国首部与大数据相关的地方立法。《贵州省大数据发展应用促进条例》对“大数据”的定义被众多后续大数据立法文件借鉴或采用。2018年10月1日施行的《贵阳市大数据安全管理条例》是我国首部涉及数据安全管理的地方性法规,该条例对“大数据安全”“数据”的定义和提法,不仅被后来其他省份或地区的大数据相关地方立法所借鉴,还对《数据安全法》相关概念的厘清发挥了作用。
除此以外,相关立法还包括《深圳经济特区数据条例》《上海市数据条例》《浙江省公共数据条例》《山东省大数据发展促进条例》《贵阳市健康医疗大数据应用发展条例》《黑龙江省促进大数据发展应用条例》《四川省数据条例》《广西壮族自治区大数据发展条例》《陕西省大数据条例》《太原市大数据发展促进条例》等,这些立法为政府开展数据管理,推动数据共享和数据开放,保障数据安全提供了一定的立法指引。
国内数据安全立法的关键时间点如图2-2所示。
图2-2 国内数据安全立法的关键时间点
为了确保数据安全在技术不断进步和信息化快速发展的环境下得到有效管理和保护,法律法规与国家标准扮演了关键而不同的角色。法律法规提供了数据安全的基础法律框架和行为准则,强调了法律责任和基本的合规要求,为违法行为设定了法律后果。然而,法律法规在细节上往往较为宽泛和不具有针对性,不能完全涵盖快速变化的技术细节和操作规范。
相比之下,国家标准则提供了具体的技术规范和管理指南,更具有操作性和针对性。国家标准通常由专业机构制定,涵盖了从技术安全、风险管理到个人信息保护的各个方面。国家标准不仅符合法律的基本要求,而且还引入了行业最佳实践和国际标准,确保技术解决方案的更新和迭代能够与国际接轨,提高国内外的认同度。与数据安全相关的国家标准主要有以下三个。
一是《信息安全技术公共及商用服务信息系统个人信息保护指南》。2013年2月,作为首个个人信息保护相关国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》开始实施,该指南明确要求,处理个人信息时应有特定、明确和合理的目的,需获得个人信息主体知情同意,在达成个人信息使用目的之后删除个人信息。
二是《信息安全技术个人信息安全规范》。2017年12月29日,《信息安全技术个人信息安全规范》国家标准正式发布,自2018年5月1日起实施,该规范是我国个人信息保护领域最重要、影响最广泛的国家标准。作为落实《网络安全法》的重要支撑文件,该规范对个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为进行了规范,旨在遏制个人信息非法收集、滥用、泄露等乱象,最大限度地保障个人合法权益和社会公共利益。2020年10月1日上线修订版,就用户画像、个人生物识别信息收集等新问题对规范内容进行调整,加强对App功能和权限的规范,优化第三方接入和监管,提升标准实施的指导性和适用性,支持行业和社会的信息保护水平,促进信息化产业的健康发展。
三是《数据安全技术数据分类分级规则》。2024年3月21日《数据安全技术数据分类分级规则》正式发布,并于2024年10月1日起正式实施。该规则旨在提升数据处理的精确性与安全性。该规则制定了明确的数据分类分级体系,主要用于指导各类组织在收集、处理、存储及传输数据过程中进行有效的数据分类分级管理。通过对数据按照敏感性和重要性进行分类,该规则帮助实体建立一套科学的数据保护机制,确保关键信息得到特别保护,同时减少对非敏感信息的过度控制,优化资源分配。此标准对数据安全责任人的职责、数据处理的操作规范,以及安全监控的要求进行了详细规定,有效支持企业和组织遵循国家对数据安全的法规要求,推动数据安全管理体系的标准化进程。
我国数据安全的治理涉及多个部门,包括网信部门、工信部门、公安部门及市场监管部门。这些部门各自承担不同的职责,并通过协调合作,形成一个全面覆盖、各司其职的数据安全管理体系。
1.网信部门
中央网络安全和信息化委员会办公室(简称“中央网信办”)负责国家网络安全保护和互联网信息管理的工作。中央网信办是中共中央直属的职能部门,通常负责指导、协调全国的网络安全和信息化政策及实施工作。
根据《党和国家机构改革方案》,国家数据局于2023年10月25日正式揭牌,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,由中华人民共和国国家发展和改革委员会管理。将中央网信办和中华人民共和国国家发展和改革委员会的部分职责划入国家数据局,由一个部门统一行使数据监管职能,以推动跨部门、跨层级、跨区域数据流通应用,深入推进数字政府和数据要素市场体系建设,建设全国统一、辐射全球的数据大市场。此外,我国各省市设立大数据局,主要承担研究出台大数据相关政策、推动数据资源共享开放等工作。目前我国有25个省级数据管理机构,31个省会城市、副省级城市设有市级数据管理机构,地方探索为数据治理提供了经验。
2.工信部门
中华人民共和国工业和信息化部(简称“工信部”)是中华人民共和国国务院的组成部门之一,主要负责国家工业政策、发展规划的制定与执行,以及信息化建设和管理工作等。工信部也负责整个国家的通信业务管理,推动信息技术的应用和产业发展。
3.公安部门
互联网安全监督检查工作由县级以上地方人民政府公安机关网络安全保卫部门组织实施。2018年11月1日起正式施行的《公安机关互联网安全监督检查规定》,为公安部门开展网络安全监督检查工作提供了执法依据。上级公安机关负责对下级公安机关的互联网安全监督检查工作进行指导和监督。其中,公安机关网络安全保卫部门的大致层级为:中央设公安部网络安全保卫局,省(自治区、直辖市)级设网络安全保卫总队,地市级设网络安全保卫大队,区县级设网络安全保卫大队,各派出所不设网安保卫部门。
4.市场监管部门
国家市场监督管理总局、各地市场监督管理局负责综合监管市场秩序,其主要职责包括反垄断和价格监管、质量监督、标准化、计量准确性、认证认可、商标专利、广告法律法规执行,以及打击非法经营和制售假冒伪劣商品等活动。
市场监督管理部门尽管并非传统意义上的信息安全保护部门,但其职责权限较为广泛,其中不少涉及网络安全、个人信息安全的群众投诉、举报的案件是由各地市场监督管理局受理并进一步调查处理的,其与群众联系密切,实践中在网络安全、个人信息保护等领域的地位和作用也越来越重要。
国家市场监督管理总局、中华人民共和国国家互联网信息办公室决定于2022年6月5日开始开展数据安全管理认证工作,鼓励网络运营者采用认证方式规范网络数据处理活动,加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立,并按照《数据安全管理认证实施规则》开展认证工作。这是首次由两家国家权威机构来开展数据安全管理认证工作,体现了国家对数据安全的高度重视。
以药品网络销售为例,国家药品监督管理局负责主管全国药品网络销售的监督管理工作。省级药品监督管理部门负责本行政区域内药品网络销售的监督管理工作,负责监督管理药品网络交易第三方平台,以及药品上市许可持有人、药品批发企业通过网络销售药品的活动。设区的市级、县级承担药品监督管理职责的部门负责本行政区域内药品网络销售的监督管理工作,负责监督管理药品零售企业通过网络销售药品的活动。
2023年3月,江西省南昌市市场监督管理局根据国家药品网络销售监测平台监测线索,对美团某入驻商家进行检查,发现该商家使用伪造的《药品经营许可证》通过网络销售布洛芬缓释胶囊等药品,违法所得1.13万元人民币,涉案货值金额1.64万元人民币。该商家上述行为违反了《中华人民共和国药品管理法》第五十一条第一款规定。2023年9月,江西省南昌市市场监督管理局依据《中华人民共和国药品管理法》第一百一十五条和《江西省药品监督管理行政处罚裁量权适用规则》第十条第一款规定,对该商家处以没收违法所得1.13万元人民币、罚款10万元人民币的行政处罚。
随着国家数字经济建设进程加快,我国已基本形成以《网络安全法》《数据安全法》《个人信息保护法》等法律为核心,以行政法规、部门规章为依托,以地方性法规、地方规章和国家标准为指南的网络和数据安全法规保障体系。
1.《网络安全法》
从2015年6月26日十二届全国人民代表大会常务委员会第十五次会议对《网络安全法(草案)》首次进行审议,到2016年11月7日十二届全国人民代表大会常务委员会第二十四次会议通过,《网络安全法》于2016年11月7日正式公布,并于2017年6月1日起施行。
《网络安全法》的颁布标志着我国在网络安全法律体系建设中迈出了关键的一步,具有深远的战略意义。在信息化时代背景下,网络已成为社会运行和民众生活中不可或缺的一部分。然而,随之而来的网络安全威胁,如网络入侵、网络诈骗、个人信息泄露等情况也日益增多,对个人、企业乃至国家安全带来了严峻挑战。因此,迫切需要一部统一的网络安全法律来规范网络行为,保护网络参与者的合法权益,维护网络空间的秩序和安全。
《网络安全法》作为中国网络安全领域的基础性法律,核心内容涵盖了以下几个方面:其一,该法律明确了网络运营者在网络安全管理中的责任,要求他们采取必要措施以防范网络攻击和侵权行为。其二,该法律特别强调了对关键信息基础设施的保护,要求对可能影响国家安全的网络产品和服务进行安全审查。其三,该法律对个人信息的保护提出了严格要求,规定了收集、使用、存储和传输个人信息的规则,以保护个人隐私不受非法侵害。同时,该法律引入了网络安全等级保护制度,要求网络运营者根据信息系统的重要程度采取相应级别的安全保护措施。其四,该法律鼓励网络运营者之间及网络运营者与政府之间的信息共享,以提高对网络安全威胁的整体应对能力。该法律强调了网络安全教育和培训的重要性,以提升公众的网络安全意识和技能。其五,该法律建立了网络安全监测预警系统和应急处理机制,增强了对网络安全事件的快速响应能力。其六,该法律明确了违反网络安全法律规定的行为将面临的法律责任,包括行政责任和刑事责任。其七,该法律倡导在网络安全领域进行国际合作,共同防御跨境网络安全威胁,并确立了国家网信部门在网络安全监督管理中的职责。
2017年8月,中国互联网监管机构——广东省互联网信息办公室(简称“广东网信办”)和北京市互联网信息办公室(简称“北京网信办”)分别对腾讯微信和新浪微博立案调查,依据《网络安全法》的相关规定作出了处罚决定。根据《网络安全法》第四十七条和第六十八条的规定,对于违反网络安全法律法规,不履行网络安全保护义务,或者非法获取、出售、提供、公开他人个人信息的网络运营者,监管部门有权对其进行处罚。在这两起案件中,腾讯微信和新浪微博因未能充分履行网络安全保护义务,导致用户信息安全受到威胁,被处以100万元人民币的最高罚款。这是《网络安全法》实施以来,监管机构在法律框架内进行的一次重要执法行动,体现了法律的威慑力和执行力。
《网络安全法》的制定和实施,为中国网络空间安全构建了坚实的法律基础,优势体现在多个关键领域。首先,《网络安全法》通过明确网络运营者、政府部门及个人的责任,为构建一个权责清晰、各司其职的网络安全管理体系奠定了基础。其次,《网络安全法》通过严格的个人信息保护规定,增强了公众对网络服务的信任,有效减少了个人信息被非法获取和滥用的风险。再次,《网络安全法》特别强调对关键信息基础设施的保护,为防止重大网络安全事件、保障国家安全和社会稳定提供了坚实的法律基础。《网络安全法》还推动了网络安全法治化进程,为网络安全管理提供了统一的法律规范,促进了法律体系的完善。最后,《网络安全法》鼓励国际网络安全领域的合作,这有助于中国在全球网络安全治理中发挥更大的作用。
然而,《网络安全法》在实施过程中也面临一些挑战。网络安全技术的快速变化和复杂性给法律的执行带来了挑战,这需要专业的技术支持和充足的资源投入。与此同时,作为网络安全领域整体性、综合性的法律,《网络安全法》对于个人信息保护仍然偏向于原则性的规定,在具体适用及配套机制的规定上尚不健全,可操作性上有所欠缺。此外,在全球化背景下,《网络安全法》需要与其他国家的法律进行协调,规避可能出现的国际法律冲突和摩擦。面对这些挑战,《网络安全法》需要不断进行调整和完善,以更有效地应对网络安全领域的新问题。
2.《数据安全法》
《数据安全法》由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过,自2021年9月1日起施行。
《数据安全法》作为我国数据安全领域的基础性法律,旨在确立国家数据安全工作的体制机制,构建协同治理体系,明确预防、控制和消除数据安全风险的制度和措施,从而提升国家数据安全保障能力。
《数据安全法》其核心内容涵盖了数据开发利用与产业发展、公共服务智能化、数据安全技术与标准、人才培养、数据分类分级保护、数据安全工作协调机制、风险评估与监测预警、应急处置与审查制度、数据交易与国际合作、数据处理活动的法律遵循、电子政务建设、数据保护义务、政务数据公开与开放、法律责任及国际合作等多个方面。《数据安全法》强调国家统筹数据资源的开发与利用,实施大数据战略,推进数据基础设施建设,同时鼓励提高数据提升公共服务的智能化水平。此外,《数据安全法》支持数据安全技术和标准体系的建设,促进数据安全检测评估服务的发展,并规范数据交易行为。在人才培养方面,国家鼓励教育和科研机构开展数据相关技术的教育和培训,以培养专业人才。《数据安全法》还要求对数据进行分类分级保护,并由国家数据安全工作协调机制统筹各部门制定重要数据目录,对关键数据实施严格管理。风险评估、监测预警和应急处置机制的建立,旨在加强数据安全风险的管理。电子政务的建设也被积极推进,以提升政务数据的科学性、准确性和时效性。国家机关在履行职责时需要依法收集和使用数据,并对个人隐私、商业秘密等信息保密。政务数据的公开与开放也应遵循公正、公平原则,建设统一规范、安全可控的平台,以推动数据的开放利用。违反《数据安全法》的行为将面临行政和刑事责任,《数据安全法》还提倡在数据安全领域进行国际合作,共同防御数据跨境安全威胁,并确立了国家数据安全监督管理中的职责。
例如,在《数据安全法》的框架下,自动驾驶领域的数据处理和保护成为法律关注的焦点。以特斯拉公司在中国的一起维权案件为例,张女士质疑特斯拉公司在刹车失灵事故中篡改了记录数据,而特斯拉公司事后提供的算法数据确实缺少了关键的电机扭矩、刹车踏板位移等信息。这一事件凸显了自动驾驶算法数据保全措施的不足,以及算法黑箱问题对数据透明度和公信力的影响。根据《数据安全法》的规定,数据处理应尊重社会公德和伦理,遵守商业道德和职业道德,自动驾驶企业在收集和处理个人行程数据时,不仅要合法、正当,还要采取有效措施防止数据遗失,并在必要时向官方鉴定机构公开运行算法数据,以增强数据的公信力和透明度。
《数据安全法》的优势显著。《数据安全法》为数据处理设定了明确的规范和标准,强化了数据安全和个人隐私的保护。此外,《数据安全法》还加大了对数据跨境流动的监管力度,为国际业务提供了法律依据和保障,有助于构建国际数据交流的信任和合作。《数据安全法》还鼓励数据安全技术和标准的研究与发展,推动了数据安全检测评估服务的专业化和市场化,为数据安全领域培养了大量专业人才,提升了整个社会的网络安全意识和防范能力。
然而,《数据安全法》在加强数据安全方面发挥了重要作用,但在实际操作中仍存在一些缺陷。例如,数据跨境流动的监管机制虽然确立,但在执行过程中可能会遇到国际法律差异和合作障碍,影响数据的自由流动和利用效率。数据安全技术和标准的发展需要与时俱进,但标准的更新和推广可能存在滞后性,难以迅速适应快速发展的技术和市场变化。此外,数据安全人才的培养和教育需要长期投入,短期内可能难以满足市场对专业人才的迫切需求。因此,需要不断完善法律体系,加强国际合作,推动技术创新,培养专业人才,以克服这些缺陷,充分发挥《数据安全法》的作用。
3.《个人信息保护法》
《个人信息保护法》由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过,自2021年11月1日起施行。
《个人信息保护法》依据宪法制定,专注保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,为数字时代的个人信息保护提供了法律保障。在《民法典》和《数据安全法》等有关法律的基础上,《个人信息保护法》进一步细化、完善了个人信息保护应遵循的原则和个人信息处理规则,明确了个人信息处理活动中的权利义务边界,健全了个人信息保护工作体制机制。具体而言,《个人信息保护法》明确了个人信息的定义,确立了个人信息保护原则,如处理个人信息的告知同意原则等;规范了自动化决策过程,禁止“大数据杀熟”等数据误用、滥用行为;严格保护敏感个人信息,将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息;专门规范国家机关处理个人信息的活动,不得超出履行法定职责所必需的范围和限度;赋予个人充分权利,明确了个人在个人信息处理活动中的知情权、决定权等;强化个人信息处理者的义务,明确个人信息处理者是个人信息保护的第一责任人,对其个人信息处理活动负责;明确大型互联网平台的特别义务,如成立主要由外部成员组成的独立监督机构、定期发布个人信息保护社会责任报告等;规范个人信息跨境流动,明确个人信息跨境传输要求;健全个人信息保护工作机制,明确由国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。
例如,“AI孙燕姿”走红全网,其翻唱的歌曲在某网站点击量破百万,一时间,几乎就没有“AI孙燕姿”驾驭不了的曲风。考虑到未经授权使用歌手的声音,可能触犯《个人信息保护法》中关于敏感信息处理的规定。孙燕姿的声纹属于生物识别信息,按照法律规定,这类信息处理需要满足严格的条件。未经充分授权的AI声纹使用,不仅可能侵害孙燕姿的个人权利,还可能对公众造成误导。因此,尽管该项目设有免责声明,仍需谨慎处理此类敏感信息,以遵守法律并防止潜在的法律风险。
《个人信息保护法》的制定和实施,标志着中国在个人信息保护领域迈出了重要一步。通过明确个人信息的定义、处理规则、数据主体的权利及违规的法律后果,《个人信息保护法》旨在为个人信息提供全面的保护。它要求数据处理者在收集和使用个人信息时必须遵循合法、正当、必要的原则,明确告知信息主体数据收集的目的、方式和范围,并获得其同意。此外,《个人信息保护法》还规定了信息主体的访问权、更正权、删除权等,增强了个人对自己信息的控制权。
然而,《个人信息保护法》的实施也面临着一些问题。其中一个主要问题是隐私政策的实际效果。许多公司的隐私协议冗长且复杂,普通用户很难完全理解其内容,导致用户往往未经过仔细阅读就同意了协议条款,这可能并没有真正达到保护隐私的目的。例如,某些移动应用程序在用户注册时提供的隐私协议可能包含大量专业术语,使用户难以把握其实质内容,从而在不知情的情况下放弃了自己的部分隐私权利。