2015年《国家安全法》确立了总体国家安全观,对网络、数据安全和个人信息保护给予高度关注,为我国网络安全领域法律法规的制定奠定了基础。在此基础上,《网络安全法》《数据安全法》《个人信息保护法》构成我国网络信息安全的三大支柱性法律。《网络安全法》涉及网络空间安全的整体治理,重点关注关键信息基础设施保护、网络安全审查以及数据跨境流动等制度;《数据安全法》规范数据的安全保护与开发利用,建立了数据安全保护的基本制度;《个人信息保护法》确定了个人信息保护的基本原则和制度规则。此外,《民法典》《刑法》《电子商务法》《保守国家秘密法》《出口管制法》等有关法律也对数据、个人信息保护等作了相关规定。
除上述法律规定外,行政法规、部门规章、地方法规、国家标准等细化完善了网络与数据安全领域的制度规则。在行政法规方面,如2007年《中华人民共和国政府信息公开条例》(已于2019年被修订)、2021年《关键信息基础设施安全保护条例》、2021年《网络数据安全管理条例》(征求意见稿)等。在部门规章方面,如2013年《电信和互联网用户个人信息保护规定》、2021年《汽车数据安全管理若干规定(试行)》、2021年《网络安全审查办法》、2022年《数据出境安全评估办法》等。在地方性法规方面,如2021年《上海市数据条例》、2021年《深圳经济特区数据条例》等。在标准规范方面,如《信息安全技术 即时通信服务数据安全指南(征求意见稿)》等。
《网络安全法》
2016年11月7日,十二届全国人大常委会第二十四次会议通过《网络安全法》,该法自2017年6月1日起施行,这是我国网络安全领域的基础性法律。《网络安全法》对网络安全进行了界定(《网络安全法》第76条规定,网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力),并从网络安全等级保护、关键信息基础设施保护、个人信息保护、网络信息内容管理等方面,对网络运行安全、网络信息安全、监测预警与应急处置等作出了明确规定。
(一)基本原则和适用范围
《网络安全法》的基本原则包括:(1)网络空间主权原则(第1条);(2)网络安全与信息化发展并重原则(第3条);(3)共同治理原则,要求采取措施鼓励全社会共同参与,政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作;(4)开放透明原则(第41条),规定网络运营者应公开收集、使用规则,明示收集、使用信息的目的、方式和范围。
在适用范围上,《网络安全法》以“属地”原则为主,适用于境内建设、运营、维护和使用网络,以及网络安全的监督管理(第2条),同时辅以一定的“域外”适用,对来源于中国境外的法律、行政法规禁止发布或者传输的信息(第50条),以及境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中国的关键信息基础设施的活动(第75条),造成严重后果的,依法追究法律责任。
(二)义务主体
《网络安全法》规定的网络安全监督管理义务主体主要包括两类:
一是网络运营者。网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任(第9条)。
二是运营网络或通过网络提供服务者。建设、运营网络或者通过网络提供服务,应依法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性(第10条)。
(三)监管机制
《网络安全法》规定了负责网络安全保护和监管的国家机关的职责(第8条)。具体包括:国家网信部门负责统筹协调网络安全工作和相关监督管理工作;国务院电信主管部门、公安部门和其他有关机关依照该法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作;县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
(四)网络安全具体制度
1.网络安全等级保护制度
《网络安全法》规定了网络安全等级保护制度(第21条)。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,留存相关的网络日志不少于6个月等。该制度的具体实施需要建立配套制度,例如,2018年《网络安全等级保护条例(征求意见稿)》、2019年《信息安全技术网络安全等级保护测评过程指南》、2019年《信息安全技术网络安全等级保护基本要求》、2019年《信息安全技术网络安全等级保护测评要求》,以及2019年《信息安全技术网络安全等级保护安全设计技术要求》。
2.关键信息基础设施保护制度及相关条例
《网络安全法》规定了关键信息基础设施的运行安全制度(第31-39条)。在系统方面,对重要系统和数据库进行容灾备份,制定应急预案并定期组织演练。在评估方面,每年至少进行一次安全性测评评估,报送相关主管部门。在供应链方面,采购可能影响国家安全的网络产品和服务应当通过国家安全审查,采购双方签订安全保密协议等。以《网络安全法》为依据,2021年国务院颁布了《关键信息基础设施安全保护条例》。
3.网络安全审查制度及审查办法
《网络安全法》规定了网络安全审查制度(第35条)。关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。在《数据安全法》通过实施后,2021年《网络安全审查办法》成为目前网络和数据安全审查的具体法律依据。
4.网络安全标准体系
《网络安全法》要求国家建立并完善网络安全标准体系,制定并修订有关网络安全管理及网络产品、服务和运行安全的国家标准、行业标准(第15条)。网络产品、服务应当符合相关国家标准的强制性要求,这需要相关国家标准、行业标准配套跟进。
5.网络安全产品和服务体系
《网络安全法》要求建立网络安全产品和服务体系(第23、37、38条)。国家网信部门会同国务院有关部门制定网络关键设备和网络安全专用产品目录,目录中的设备和产品应当由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。关键信息基础设施的运营者应当自行或者委托网络安全服务机构,开展每年至少进行一次的安全检测评估。向境外提供数据时,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
《数据安全法》
在现代社会,数据已成为新型生产要素和重要战略资源。数据安全处于非传统国家安全领域的重要位置,事关国家主权安全与经济社会发展。2021年6月10日,十三届全国人大常委会第二十九次会议通过了《数据安全法》,该法自2021年9月1日起施行。《数据安全法》是中国数据安全领域的首部基础性法律,标志着中国第一个全面的数据监管制度框架的建立,承接《网络安全法》,对数据安全、数据跨境传输等规则进行了细化规定。《数据安全法》是总体国家安全观的重要实践,是国家安全法律体系的重要组成部分。
(一)数据治理的基本原则
作为数据安全保护法律制度的顶层设计,《数据安全法》的基本原则是基于市场导向,保障数据依法、有序、自由流动,统筹数据安全和数字经济发展。该法的出台反映了我国数据领域从“数据管理”走向“数据治理”的发展趋势。在目标上,该法兼顾安全与发展的需要,包含了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益等多个维度(第1、2条)。在治理结构上,从分散的“九龙治水”改为多领域深度融合发展和治理(第3条)。在安全责任上,政府、行业、企业、个人等不同主体多主体共同参与数据治理(第6、7条)。
《数据安全法》第3条对数据作出了概括性的定义,即数据是指任何以电子或者其他方式对信息的记录。与《网络安全法》强调通过“网络”获得的电子数据不同,《数据安全法》的“数据”不局限于数字和网络信息,包括“任何以电子或者其他方式对信息的记录”。
《数据安全法》规定了多主体的数据安全保护义务。其一,明确了数据安全保护总体要求,任何组织、个人收集数据,应当采取合法、正当的方式(第32条);开展数据处理活动应依法律进行,建立全流程数据安全管理制度,保障数据安全等(第27条)。其二,开展数据处理活动及开发数据新技术,应有利于促进社会发展,增进人民福祉,符合社会公德和伦理(第28条)。其三,加强数据安全风险监测、定期开展风险评估,及时处置数据安全事件,并履行报告义务(第30条)。其四,对数据交易中介服务和在线数据处理服务等作出说明、审核身份、留存、记录等方面的规范(第33条)。其五,公安机关和国家安全机关因依法履行职责等需要调取数据时,有关组织和个人应当予以配合(第35条)。
(二)监管机制和适用范围
《数据安全法》构建了以国家网信部门统筹协调,行业主管部门各司其职的数据安全监管体制。中央国家安全领导机构具有对国家数据安全工作的领导地位,建立国家数据安全工作协调机制(第5条)。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责,公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责,国家网信部门负责统筹协调网络数据安全和相关监管工作的监管机制(第6条)。
在适用范围上,《数据安全法》采用“属地”原则加“保护”原则的模式(第2条)。首先,“属地”原则针对“境内”开展的数据处理活动,即在中国境内开展数据处理活动及其安全监管,适用本法。其次,“保护”原则针对“境外”开展数据处理活动,即在中国“境外”开展数据处理活动,损害中国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
(三)基本制度安排
《数据安全法》作为我国将数据作为独立保护对象的法律,聚焦数据安全领域的风险隐患,重点对各行业各部门各地区职责、数据分类分级保护制度、数据安全风险评估、安全风险报告、信息共享、监测预警机制、数据安全应急处理机制、数据安全审查制度、数据跨境流转等方面问题进行了提纲挈领的规定,构成了我国数据安全的顶层设计。
1.数据的分类分级保护制度
《数据安全法》确立了数据分类分级保护制度(第21条)。根据数据的“重要程度”及数据非法利用的“危害程度”,形成了数据分类分级保护的标准,对不同类型数据的存储与转移进行对应的监管。
首先,《数据安全法》重申《网络安全法》关于“重要数据”的监管规则,并作出进一步的细化规定,同时新增“核心数据”的安全保护规则。对于“重要数据”,其范围由国家数据安全工作协调机制统筹协调有关部门制定国家重要数据目录;各地区、部门、行业及领域负责制定本地区、部门、行业及领域的重要数据目录。其次,《数据安全法》对核心数据实行更加严格的管理制度,“核心数据”是指关系“国家安全、国民经济命脉、重要民生、重大公共利益”的数据。最后,《数据安全法》提出的另一分类是“属于管制物项的数据”(第25条)。该分类与《出口管制法》的规定相呼应,从保护国家安全和利益以及履行国际义务出发,《数据安全法》对此类数据实施出口管制。
2.数据安全预警和应急处置机制
《数据安全法》第三章建立了数据安全预警和应急处置机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作(第22条)。同时,开展数据处理活动应当加强风险监测,发生数据安全事件时,有关主管部门应依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息(第23条)。
3.数据安全审查制度
《数据安全法》规定了数据安全审查制度(第24条)。《网络安全法》第35条对网络安全审查作出了规定,首次将“关系国家安全和公共利益的系统使用的重要信息技术产品和服务”纳入安全审查范围。相应地,《数据安全法》规定的数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。关于网络与数据的安全审查,均适用2021年《网络安全审查办法》。
4.数据的跨境流动监管与评估制度
《网络安全法》第37条规定了我国数据跨境流动的基本政策。在此基础上,《数据安全法》进一步完善了数据出境管理要求,并对重要数据出境监管作出规定(第31条):一方面,关键信息基础设施的运营者在境内运营中收集和产生的重要数据,适用《网络安全法》第37条有关数据出境安全管理要求;另一方面,对其他数据处理者在境内运营中收集和产生的重要数据增设出境安全管理,授权国家网信部门会同国务院有关部门制定相应的出境安全管理办法。
《数据安全法》规定了数据出口管制制度,对“与维护国家安全和利益、履行国际义务相关的属于管制物项的数据”实施出口管制(第25条)。同时,规定了反制裁措施,任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中国采取歧视性的禁止、限制或者其他类似措施的,中国可以根据实际情况对该国家或者地区对等采取措施(第26条)。对于涉及外国司法或者执法机构关于提供数据的请求,境外主管机关根据法律和中国缔结或者参加的国际条约、协定,或者按照平等互惠原则作出处理(第36条)。
(一)《网络数据安全管理条例(征求意见稿)》
2021年11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》(以下简称《数据安全条例》)。《数据安全条例》旨在规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益。监管范围主要包括:在中国境内利用网络开展数据处理和网络数据安全的监督管理活动;以向境内提供产品或者服务为目的,分析、评估境内个人、组织的行为,涉及境内重要数据处理等在中国境外处理中国境内个人和组织数据的活动。
根据《数据安全条例》的规定,进行数据跨境传输应当至少满足以下条件:通过国家网信部门组织的数据出境安全评估;数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务。
在各主体权责方面,国家网信部门需要对特定的数据出境情形组织安全评估,包括出境数据包含重要数据,或关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息的情况。向境外提供个人信息和重要数据的数据处理者负有报告义务,应当编制数据出境安全报告,向网信部门报告上一年度数据出境情况,具体包括:全部数据接收方名称、联系方式;出境数据的类型、数量及目的;数据在境外的存放地点、存储期限、使用范围和方式;涉及向境外提供数据的用户投诉及处理情况;发生的数据安全事件及其处置情况;数据出境后再转移的情况。
对于不得出境、再转移等情形,国家网信部门认定不得出境的,数据处理者应当停止数据出境并采取有效措施补救;个人信息出境后确需再转移的,应事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。非经中国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中国境内的数据。此外,国家设立“数据跨境网关”,对来源于境外的非法信息予以阻断传播。
(二)《关键信息基础设施安全保护条例》
2021年4月27日,国务院通过《关键信息基础设施安全保护条例》(以下简称《关键设施条例》),该法规自2021年9月1日起施行。《关键设施条例》建立了国家网信部门统筹协调,国务院公安部门指导监督,国务院电信主管部门和其他有关部门以及省级人民政府有关部门在各自职责范围内进行安全保护和监督管理工作的合作分工模式;赋权于重要行业和领域的主管部门、监督管理部门制定关键信息基础设施认定规则,组织认定本行业、本领域的关键信息基础设施。
《关键设施条例》建立了安全信息共享合作机制,保障和促进关键信息基础设施安全。运营者应当向有关安全管理机构报告安全信息、风险评估报告、安全事件和风险,以及自身主体变化等信息。各行业、各领域的安全管理部门应在本行业、本领域内建立安全监测机制,及时掌握行业和领域内的关键基础设施安全情况,安全管理部门和机构以主动发现问题为目标组织检测监测活动,指导运营者开展关键基础设施安全保护工作。保护工作部门应当及时与国家网信部门、国务院公安部门报告特别重大的网络安全事件或网络安全威胁,国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。
(三)《网络安全审查办法》
2021年12月28日,国家互联网信息办公室等部门发布《网络安全审查办法》,该办法自2022年2月15日起施行。《网络安全审查办法》统筹了“网络安全”和“数据安全”的国家安全审查和监督制度机制。在进行网络数据安全审查的过程中,遵循“坚持防范网络安全风险与促进先进技术应用相结合、坚持过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合”原则。
根据《网络安全审查办法》的规定,应当通过审查的当事人是采购网络产品和服务的关键信息基础设施运营者,以及开展数据处理活动的网络平台运营者。只要在影响或者可能影响国家安全的情况下,就应当按照《网络安全审查办法》进行网络安全审查。
审查重点评估以下国家安全风险因素:(1)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;(2)产品和服务供应中断对关键信息基础设施业务连续性的危害;(3)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;(4)产品和服务提供者遵守中国法律、行政法规、部门规章情况;(5)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;(6)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险等。
此外,《网络安全审查办法》注意到网络平台运营者赴国外上市可能带来的国家安全风险,新增中国证券监督管理委员会作为安全审查的主管部门之一,同时规定,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。除申报以外,对于影响或者可能影响国家安全的网络产品和服务以及数据处理活动,网络安全审查办公室可依职权进行审查。
(四)《数据出境安全评估办法》
2022年7月7日,国家互联网信息办公室发布《数据出境安全评估办法》(以下简称《评估办法》),自2022年9月1日起施行,其规定了我国数据出境安全评估的具体要求。《评估办法》对数据出境安全评估条件、程序和要点作出了明确规定,主要包括:必须申报数据安全评估的情形;数据出境风险自评估的重点评估事项;数据出境安全评估申报材料要求;数据出境安全评估的重点评估事项;数据处理者与境外接收方订立合同中数据安全保护责任义务的格式化条款;数据出境安全评估程序、期限、撤销和重新申报情形等。
其中,向境外提供数据需进行数据安全评估的情形包括:(1)数据处理者向境外提供重要数据;(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(4)国家网信部门规定的其他需要申报数据出境安全评估的情形。作为《数据安全法》出台后的跨境数据传输安全规则,《评估办法》与此后发布的《数据安全条例》对需要安全评估的情形保持一致,表明两个规定从数据出境、网络和数据安全、个人信息保护的不同侧面对数据安全评估的共同关注。
(五)《汽车数据安全管理若干规定(试行)》
2021年8月16日,国家互联网信息办公室等部门发布《汽车数据安全管理若干规定(试行)》(以下简称《汽车数据规定》),该规定自2021年10月1日起施行。《汽车数据规定》适用于汽车设计、生产、销售、使用、运维等过程中的个人信息数据和重要数据。作为义务主体的开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。处理汽车数据应当合法、正当、具体、明确,坚持车内处理原则、默认不收集原则、精度范围适用原则和脱敏处理原则。
《汽车数据规定》列举了汽车领域重要数据的范围情形,并要求重要数据依法在中国境内存储。因业务需要确需向境外提供的,应当通过安全评估。向境外提供重要数据,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。对于向境外提供重要数据的汽车数据处理者,在《汽车数据规定》规定的开展重要数据处理活动的报告义务基础上,应当额外向省、自治区、直辖市网信部门和有关部门报告:(1)接收者的基本情况;(2)出境汽车数据的种类、规模、目的和必要性;(3)汽车数据在境外的保存地点、期限、范围和方式;(4)涉及向境外提供汽车数据的用户投诉和处理情况等。
(六)《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》
2022年2月10日,工业和信息化部面向社会对《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》(以下简称《工信办法》)征求意见。《工信办法》适用于工业和信息化领域的数据处理活动,旨在通过加强数据安全管理,保障数据安全,促进数据开发利用,从而保护个人、组织的合法权益,维护国家安全和发展利益。在中国境内开展的工业和信息化领域数据处理活动及其安全监管行为都属于《工信办法》的管辖范围。
《工信办法》建立工业和信息化领域数据全生命周期安全管理体系,受其监管的数据包括:工业数据、电信数据和无线电数据,并分为一般数据、重要数据和核心数据三级,数据处理者可在此基础上细分数据的类别和级别。跨主体提供、转移、委托处理核心数据应经由地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)报工业和信息化部审查。
针对工业和信息化领域数据出境管理,数据处理者在中国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。工业和信息化部根据有关法律和中国缔结或参加的国际条约、协定,或按照平等互惠原则,处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中国境内的工业和信息化领域数据。
