導言
2020年��,國內和國際上數據立法活動依舊活躍�,而且受疫情影響�,個人信息的深度挖掘�、人工智能技術的開發和應用�、數據安全和泄露等問題更引起廣泛關注。在國內����,《民法典》《數據安全法》《個人信息保護法》等數據領域的頂層立法草案於2020年發布(《民法典》已於2021年1月1日生效)。《個人信息保護法(草案)》作為2020nianguoneidingcenglifadeshouguanzhizuo�����,bujinduigerenxinxibaohuxiangguanwentizuochuguizhi��,congqijutiguidingrushoubingtongguoyushujulingyuqitalifajinxingbijiao�����,gengkekanchuwoguoshujuyingyonghezhililiniandefazhanbianhua。
本文嚐試以《個人信息保護法(草案)》為切入點�����,選擇了數據領域的幾個主要問題���,包括數據跨境傳輸����、新基建與數據安全�、人工智能���、行政監管�、數據權利歸屬�、公(gong)共(gong)數(shu)據(ju)等(deng)���,對(dui)其(qi)近(jin)年(nian)來(lai)的(de)發(fa)展(zhan)過(guo)程(cheng)進(jin)行(xing)回(hui)顧(gu)和(he)梳(shu)理(li)����,以(yi)期(qi)深(shen)入(ru)理(li)解(jie)國(guo)內(nei)對(dui)相(xiang)關(guan)數(shu)據(ju)問(wen)題(ti)的(de)立(li)法(fa)和(he)監(jian)管(guan)理(li)念(nian)��,從(cong)而(er)對(dui)其(qi)未(wei)來(lai)趨(qu)勢(shi)和(he)走(zou)向(xiang)做(zuo)出(chu)判(pan)斷(duan)����,為(wei)企(qi)業(ye)提(ti)供(gong)參(can)考(kao)。
受篇幅所限����,我們將本文分三篇發布���,每篇將針對兩個問題展開討論。
第一篇:數據跨境傳輸與新基建
一����、 數據跨境傳輸
數據傳輸是數字經濟發展的重要組成部分�����,是實現國家����、行業��、領域之間互聯互通的必經之路����,也是數字經濟大國國家戰略的重要一環。《中共中央關於製定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》明確提出“建立數據資源產權�、交易流通���、跨境傳輸和安全保護等基礎製度和標準規範”。
自2017年《網絡安全法》提出數據(包括個人信息和重要數據)出境安全評估製度以來�����,我國關於數據出境的監管思路近年來一直在不斷調整�����,截至目前仍未確定:在適用主體上�����,從關鍵信息基礎設施運營者擴大到所有個人信息處理者���;在適用對象上�,從對個人信息和重要數據實施統一出境監管措施的單軌製發展為將個人信息和重要數據出境分別監管的雙軌製�;在出境監管措施上�,則經曆了從“自評估+特定情形下主管部門評估”到“自評估+主管部門批準”(僅針對重要數據)/“主管部門評估”(僅針對個人信息)再到《個人信息保護法(草案)》提出的多元化監管措施的變化。
2020年初����,我們曾在《關於在“一帶一路”國家戰略實施和優化營商環境製度建設過程中保障數據合法跨境流動的提案》(以下稱“《數據跨境傳輸提案》”����,詳情請參閱《天達共和數據合規資訊月報2020年第7期》[SXY1] “熱點評述”)中���,提出對我國數據跨境傳輸製度現狀�����、製度問題的思考以及相關建議。回顧《個人信息保護法(草案)》以及2020年發布的相關數據跨境傳輸政策�,我們在其中看到了《數據跨境傳輸提案》中的多數觀點和建議以及一些新的監管思路。
1. 適用主體範圍的擴大將有頂層立法支持
在《數據跨境傳輸提案》中���,我們曾指出�����,《網絡安全法》規定的數據出境安全評估機製僅適用於關鍵信息基礎設施運營者(以下稱“CIIO”)�����,而其後發布的《個人信息和重要數據出境安全評估辦法(征求意見稿)》(2017年)�����、《數據安全管理辦法(征求意見稿)》(2019年)����、《個人信息出境安全評估辦法(征求意見稿)》(2019年)規定適用於所有網絡運營者�,其以《網絡安全法》為上位法不妥。
在個人信息出境方麵�,《個人信息保護法(草案)》將解決這一上位法缺失問題。根據《個人信息保護法(草案)》第三章“個人信息跨境提供的規則”���,個(ge)人(ren)信(xin)息(xi)出(chu)境(jing)安(an)全(quan)保(bao)護(hu)製(zhi)度(du)將(jiang)適(shi)用(yong)於(yu)所(suo)有(you)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)��,且(qie)處(chu)理(li)個(ge)人(ren)信(xin)息(xi)達(da)到(dao)國(guo)家(jia)網(wang)信(xin)部(bu)門(men)規(gui)定(ding)數(shu)量(liang)的(de)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)還(hai)應(ying)適(shi)用(yong)主(zhu)管(guan)部(bu)門(men)評(ping)估(gu)機(ji)製(zhi)。由(you)此(ci)可(ke)以(yi)基(ji)本(ben)確(que)定(ding)��,在(zai)個(ge)人(ren)信(xin)息(xi)出(chu)境(jing)方(fang)麵(mian)����,所(suo)有(you)自(zi)主(zhu)決(jue)定(ding)處(chu)理(li)目(mu)的(de)�����、處理方式等個人信息處理事項的組織��、個人[1]都將有義務落實我國個人信息出境安全保護製度。
對於個人信息以外的其他數據(包括重要數據)�����,《數據安全法(草案)》未就跨境傳輸製度的適用主體進行明確規定�����,僅籠統說明國家將保障數據依法有序自由流動��,促進數據跨境安全�����、自由流動[2]�����,但其明確規定��,國家將對數據試行分級分類保護�,並要求各地區�、各部門確定本地區���、本部門��、本行業重要數據保護目錄���,對列入目錄的數據進行重點保護。結合《個人信息和重要數據出境安全評估辦法(征求意見稿)》《信息安全技術 數據出境安全評估指南(征求意見稿)》中zhong對dui重zhong要yao數shu據ju的de分fen類lei�,我wo們men理li解jie�,對dui於yu重zhong要yao數shu據ju的de出chu境jing�,可ke能neng會hui采cai取qu分fen類lei分fen級ji監jian管guan的de思si路lu���,對dui於yu確que定ding為wei重zhong要yao數shu據ju的de全quan部bu或huo部bu分fen類lei別bie數shu據ju實shi施shi出chu境jing監jian管guan�����,而er不bu區qu分fen其qi處chu理li主zhu體ti或huo數shu量liang。
2. 個人信息出境監管製度適用對象的界定標準有待明確
盡管個人信息出境製度的頂層立法有望完善�����,但由於我國關於CIIO的認定�、個人信息處理量級的標準等配套製度仍未確立�,其適用主體的具體範圍仍難以清晰界定。
《關鍵信息基礎設施安全保護條例(征求意見稿)》(以下稱“CII條例”)早在2017年即已發布並於2019年計劃上報國務院��,全國信息安全標準化技術委員會於2018年�����、2019年先後啟動《信息安全技術 關鍵信息基礎設施安全檢查評估指南》(報批稿)國家標準項目試點工作和《信息安全技術 關鍵信息基礎設施網絡安全保護基本要求》(報批稿)試點工作��,關鍵信息基礎設施識別工作在相關重點行業也在逐步開展���,在全社會的高度關注中��,CII條例及配套規定仍未能於2020年出台。
《個人信息和重要數據出境安全評估辦法(征求意見稿)》曾將“含有或累計含有50萬人以上的個人信息”zuoweizhuguanbumenqidongshujuchujuanquanpinggujizhidebiaozhunqidian。danchuzheyizhengqiuyijiangaowai��,womenweizaiqitafaguihuocaoanzhongkandaoleisiguiding。shangshubiaozhunshifoujiangzaiweilaibei《個人信息保護法》的配套製度所采納�����,存在較大不確定性����,有待主管部門進一步明確。
3. 數據出境安全保護措施呈現多元化趨勢
2019年發布的《個人信息出境安全評估辦法(征求意見稿)》曾提出對個人信息出境實施單一的主管部門評估措施。這種“一刀切”式的監管思路一經提出���,其科學性和實操性即備受質疑。
在《個人信息保護法(草案)》中�����,立法部門對個人信息出境安全保護措施進行了顯著調整。除在此前立法中始終強調的主管部門評估機製(僅適用於CIIO和處理個人信息達到法定量級的個人信息處理者)外�����,《個人信息保護法(草案)》還提出了個人信息保護認證��、與境外方訂立合同並對其履約情況進行監督等多種解決方案�,同時還將具備“法律���、行政法規或者國家網信部規定的其他條件”即可出境設定為兜底條款�����,增加了個人信息出境保護措施的靈活性和可操作性[3]。
4. “本地化”儲存的規製方式逐漸清晰
CIIO以外的網絡運營者/數據處理者是否需要對數據進行本地化存儲����,除2017年發布的《個人信息和重要數據出境安全評估辦法(征求意見稿)》提出“網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據��,應當在境內存儲”外[4]�,後續立法對這一問題一直未予說明�����,而《個人信息和重要數據出境安全評估辦法(征求意見稿)》的規定明顯缺乏可操作性且不利於數字化轉型下的經濟發展。
《個人信息保護法(草案)》要求CIIO以外的處理個人信息達到國家網信部門規定數量的個人信息處理者將其在中國境內收集和產生的個人信息存儲在境內。
結合《個人信息保護法(草案)》《數據安全法(草案)》和2019年發布的《數據安全管理辦法(征求意見稿)》所提出數據分類分級管理製度�,以及相關行業�����、領域的監管規定�����,關於數據的“本地化”存儲�����,呈現出從數據量級和類型兩個維度進行規製的特點和趨勢:一方麵����,當數據處理主體處理的數據達到法定量級時���,則其應對數據做“本地化”存儲�����,而不區分數據類型��;同時��,對於特定類型的數據���,無論處理的數量如何����,均應按照相關法規的要求存儲在中國境內��,例如��,征信信息[5]�、人口健康信息[6]等。
5. 國際條約和協定將為數據跨境傳輸提供規則依據
在《數據跨境傳輸提案》中���,我們曾建議“基於共同的數據保護理念和保護水平��,與其他國家和地區達成多邊或雙邊協議��,在此框架下形成一定類別數據的區域自由流動”。《數據安全法(草案)》和《個人信息保護法(草案)》在明確國際司法協助情形下主管部門對數據出境的審批製度的同時���,確立了國際條約��、協定對數據跨境傳輸的效力[7]。2020年11月15日中國���、日本���、韓國��、澳大利亞�����、新西蘭和東盟十國共15方成員簽署《區域全麵經濟夥伴關係協定》(Regional Comprehensive Economic Partnership�����,以下稱“RCEP”)。在在第十二章“電子商務”中�,RCEPguidinglekuajingchuanshushujudeguize�����,zhizaicujinkuajingmaoyidetongshi��,baohuquyuneixiaofeizhegerenxinxianquan。jinhou����,shejishujukuajingchuanshuwentidejigouhuogerenyouwangyijucileiguojitiaoyue��、協定解決相關問題。
6. 數據出口管製加強
《個人信息保護法(草案)》提出“境外的組織���、個人從事損害中華人民共和國公民的個人信息權益�����,或者危害中華人民共和國國家安全�����、公gong共gong利li益yi的de個ge人ren信xin息xi處chu理li活huo動dong的de�,國guo家jia網wang信xin部bu門men可ke以yi將jiang其qi列lie入ru限xian製zhi或huo者zhe禁jin止zhi個ge人ren信xin息xi提ti供gong清qing單dan����,予yu以yi公gong告gao�,並bing采cai取qu限xian製zhi或huo者zhe禁jin止zhi向xiang其qi提ti供gong個ge人ren信xin息xi等deng措cuo施shi”�����;“任何國家和地區在個人信息保護方麵對中華人民共和國采取歧視性的禁止���、限製或者其他類似措施的�,中華人民共和國可以根據實際情況對該國家或者該地區采取相應措施”[8]。這實際是《數據安全法(草案)》關於數據和相關技術出口管製與反製思路在個人信息安全領域的延續和體現。
2020年����,受國際環境影響�����,中國大量企業�,特別是電信和互聯網企業�,在美國�����、印度等多地受到限製�����、禁止甚至製裁。在這一背景下�����,《數據安全法(草案)》提出“國家對與履行國際義務和維護國家安全相關的屬於管製物項的數據依法實施出口管製”�����;“任何國家或者地區在與數據和數據開發利用技術等有關的投資����、貿易方麵對中華人民共和國采取歧視性的禁止�����、限製或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區采取相應的措施”[9]。
2020年8月28日����,商務部�����、科技部發布了最新版的《中國禁止出口限製出口技術目錄》(商務部科技部公告2020年第38號)�����,在限製出口部分新增了人工智能交互界麵技術�����、基於數據分析的個性化信息推送服務技術���、密碼安全技術�、信息防禦技術�����、信息對抗技術等多項與數據開發利用有關的內容。
2020年12月1日生效的《出口管製法》也明確規定管製物項包括物項相關的技術資料等數據[10]。
隨sui著zhe近jin兩liang年nian貿mao易yi保bao護hu主zhu義yi升sheng溫wen�,可ke以yi預yu見jian到dao���,我wo國guo政zheng府fu為wei改gai變bian中zhong國guo企qi業ye出chu海hai麵mian臨lin的de被bei動dong局ju麵mian�����,在zai未wei來lai可ke能neng會hui對dui有you關guan國guo家jia采cai取qu一yi係xi列lie反fan製zhi措cuo施shi���,包bao括kuo針zhen對dui出chu口kou對dui象xiang(包括國家����、地區��、組織�、個人)���、出口內容(包括特定類型個人信息����、其他數據以及數據相關技術)製定“黑名單”��,從而對數據的跨境流轉產生影響。
7. 數據跨境傳輸區域試點或將為數據跨境流動提供更多解決方案
在《數據跨境傳輸提案》中��,我們曾以粵港澳大灣區為例���,建議以部分地區為試點����,就促進數據便捷有序流動先行先試。2020年8月�,商務部發布《全麵深化服務貿易創新發展試點總體方案》及《全麵深化服務貿易創新發展試點任務��、具體舉措及責任分工》����,提出將在北京���、天津���、上海�����、重慶�����、深圳���、海南等28個省市(區域)開展全麵深化服務貿易創新發展試點工作����,具體舉措中即包括探索跨境數據流動分類監管模式����,開展數據跨境傳輸安全管理試點。
仍以深圳市為例�����,在商務部發布《全麵深化服務貿易創新發展試點總體方案》之前����,深圳市已於2020年7月發布《深圳經濟特區數據條例(征求意見稿)》���,提出兩種數據跨境國際合作模式��,其一是通過與其他國家�����、地區或國際組織建立雙邊�、多邊合作機製���,建設數據跨境流通自由港��,以實現數據安全有序跨境流通�;其二是建立個人數據跨境流動白名單����,允許自由港內個人數據向白名單的國家��、地區或者國際組織跨境流通[11]。同時��,針對深港澳區域內的數據流動��,該征求意見稿明確提出將建立深港澳地區數據融通機製�,成立深港澳數據融通委員會並製定《深港澳數據融通規則》����,保障深港澳地區數據融通的安全與發展[12]。
除深圳外����,北京�、上海等地也先後於2020年發布了《北京市促進數字經濟創新發展行動綱要(2020-2022年)》《上海市全麵深化服務貿易創新發展試點實施方案》等涉及數據跨境流動的政策����,開展數據跨境流動/傳輸安全管理試點。例如���,北京市數據跨境流動安全管理試點工作將從個人信息出境安全評估���、企業數據保護能力認證等工作入手����,先行先試[13]�;上海市則提出探索跨境數據流動分類監管模式��,推動建立數據保護能力認證���、數據流通備份審查���、跨kua境jing數shu據ju流liu動dong和he交jiao易yi風feng險xian評ping估gu等deng數shu據ju安an全quan管guan理li機ji製zhi�����,並bing允yun許xu符fu合he條tiao件jian的de外wai資zi金jin融rong機ji構gou因yin集ji團tuan化hua管guan理li而er涉she及ji其qi在zai境jing內nei控kong股gu金jin融rong機ji構gou向xiang境jing外wai報bao送song有you關guan數shu據ju���,特te別bie是shi涉she及ji內nei部bu管guan理li和he風feng險xian控kong製zhi類lei數shu據ju[14]。
另一個值得關注的地區是海南省。根據2020年12月31日發布的《中華人民共和國海南自由貿易港法(草案)》�����,海南自由貿易港將建立安全有序便利的數據流動管理製度�,依法保護公民��、組織與數據有關的權益�,有序擴大通信資源和業務開放�����,擴大數據領域開放���,促進以數據為關鍵要素的數字經濟發展����;國家支持海南自由貿易港探索加入區域性國際數據跨境流動製度安排[15]。
這些針對特定地區的法律��、difangxingguidinghezhengcejiqishiyanxiaoguobujinjiangweiwoguoshujukuajingchuanshuzhidudequelihexihuatigongzhongyaocankao�����,erqiezaiguojiacengmiandezhidushangbumingquedeqingkuangxia�����,jiangzaiyidingquyuneiweishujukuajingliudongtigongjieduanxingdejiejuefangan����,tebiezhideyoushujukuajingchuanshuxuqiudeqiyeguanzhu。
二����、 新基建與數據安全
1. 新基建的安全核心內容
隨著數字經濟的發展���,以新發展理念為引領�,以技術創新為驅動�����,以信息網絡為基礎�����,麵向高質量發展需要����,提供數字轉型��、智能升級�、融合創新等服務的新型基礎設施的建設方興未艾。按照國家發改委的說明��,新型基礎設施主要包括3個方麵內容:(1)信息基礎設施���;(2)融合基礎設施����;(3)創新基礎設施[16]。新基建項目及其運營者將是數據資源處理和利用的重要主體。
數(shu)據(ju)安(an)全(quan)是(shi)數(shu)據(ju)有(you)序(xu)流(liu)動(dong)的(de)根(gen)本(ben)保(bao)證(zheng)問(wen)題(ti)之(zhi)一(yi)��,對(dui)於(yu)新(xin)基(ji)建(jian)項(xiang)目(mu)及(ji)其(qi)運(yun)營(ying)者(zhe)而(er)言(yan)其(qi)重(zhong)要(yao)程(cheng)度(du)更(geng)是(shi)不(bu)言(yan)自(zi)明(ming)。我(wo)們(men)認(ren)為(wei)�����,保(bao)障(zhang)數(shu)據(ju)安(an)全(quan)的(de)工(gong)作(zuo)重(zhong)點(dian)在(zai)於(yu)數(shu)據(ju)的(de)分(fen)級(ji)分(fen)類(lei)和(he)確(que)保(bao)數(shu)據(ju)安(an)全(quan)保(bao)障(zhang)能(neng)力(li)���,由(you)此(ci)也(ye)就(jiu)成(cheng)為(wei)了(le)新(xin)基(ji)建(jian)的(de)安(an)全(quan)核(he)心(xin)內(nei)容(rong)。
2. 數據的分級分類管理
2017年施行的《網絡安全法》以及2020年公布的《數據安全法(草案)》中都強調了數據分級分類的要求。《個人信息保護法(草案)》在個人信息處理者的義務中����,也明確把對個人信息實行分級分類管理作為保護數據安全必要措施的主要內容之一。同時�����,《個人信息保護法(草案)》確立了個人信息的概念範圍���,即包括“可識別性”和“關聯性”����,特別是以法律形式明確了敏感個人信息的概念和處理規則���,為個人信息的分級分類奠定了基礎。
在新基建項目的運營過程中�,將會涉及海量個人信息的處理�����,依照《個人信息保護法(草案)》規定�,根據個人信息的處理目的�����、處理方式��、個人信息的種類以及對個人的影響�����、可ke能neng存cun在zai的de安an全quan風feng險xian等deng�,對dui所suo處chu理li的de個ge人ren信xin息xi進jin行xing分fen級ji分fen類lei�,並bing對dui應ying的de采cai取qu安an全quan保bao護hu措cuo施shi及ji處chu理li是shi新xin基ji建jian項xiang目mu的de合he規gui重zhong點dian內nei容rong。數shu據ju分fen級ji分fen類lei是shi保bao護hu數shu據ju安an全quan和he實shi施shi有you效xiao保bao護hu措cuo施shi的de前qian提ti和he基ji礎chu。中zhong國guo人ren民min銀yin行xing2020年9月發布並實施了《金融數據安全 數據安全分級指南(JR/T 0197-2020)》����,重點行業主管部門出台有關數據安全分級分類相關的細則和指引���,將有力推動數據分級分類管理工作的落地和實施。
3. 確保數據安全保障能力
《網絡安全法》確立了以網絡安全等級保護製度(以下稱“等保”)為核心的網絡安全運行保障製度規範��,同時強調了對於重要行業和領域����,以及一旦遭到破壞�����、喪失功能或者數據泄露��,可能嚴重危害國家安全�、國計民生���、公共利益的關鍵信息基礎設施�,要在等保的基礎上實行重點保護(以下稱“關保”)。其後於2020年10月正式施行的《信息安全技術 個人信息安全規範》(GB/T 35273—2020)(以下稱“《個人信息安全規範》”����;關於《個人信息安全規範》的主要規定和變化�����,請參閱本團隊往期文章《水落石出——新版<個人信息安全規範>解讀》[SXY2] )針對個人信息生命周期的處理活動規定了個人信息控製者的個人信息安全保障義務。
《個人信息保護法(草案)》從對象上不再限定於網絡運營者�����,並且沿用《民法典》deguidinghebinglegerenxinxichulizhedegainian����,jianggerenxinxianquanbaozhangdezerenzhutijinxinglequanfangmianfugai。congneirongshangjibenchengjileqijinweizhideanquanbaozhangnengliyaoqiu�����,baokuo(1)製度和流程要求��,(2)采用安全技術措施的要求���,(3)組織機構�、負責人及安全教育培訓的組織和人員管理要求���,(4)安全事件應急預案管理的要求����,(5)對個人信息處理活動及保護措施的定期審計要求等。特別是明確了在處理敏感個人信息��、自動化決策�����、委托處理�、向境外提供等特定應用場景下進行風險評估的要求以及評估的內容[17]。此外����,《個人信息保護法(草案)》還規定了個人信息處理者在發現個人信息泄露時采取補救措施��、通知職責部門和個人的義務及其例外規則[18]。從而對安全保障能力的要求進行了事前���、事中��、事後的管理閉環式的全麵規定。
《個人信息保護法》shizhenduixianshangxianxiaquanbumoshigerenxinxichulizheyiwudeyaoqiu。lingyifangmian���,xianshishehuijingjishenghuozhong���,liyongwangluochulishujurengranshigerenxinxishijiyingyongdezuizhuyaofangshi。xinjijianxiangmujiugengshiyixinxixitong���、通(tong)信(xin)傳(chuan)輸(shu)網(wang)絡(luo)和(he)數(shu)據(ju)資(zi)源(yuan)為(wei)基(ji)礎(chu)進(jin)行(xing)數(shu)據(ju)的(de)處(chu)理(li)和(he)利(li)用(yong)。同(tong)時(shi)����,新(xin)基(ji)建(jian)項(xiang)目(mu)基(ji)於(yu)其(qi)重(zhong)要(yao)性(xing)和(he)影(ying)響(xiang)性(xing)�,特(te)別(bie)在(zai)涉(she)及(ji)重(zhong)要(yao)行(xing)業(ye)和(he)領(ling)域(yu)進(jin)行(xing)應(ying)用(yong)時(shi)���,很(hen)有(you)可(ke)能(neng)同(tong)時(shi)被(bei)列(lie)為(wei)關(guan)鍵(jian)基(ji)礎(chu)信(xin)息(xi)設(she)施(shi)(CII)。等(deng)保(bao)和(he)關(guan)保(bao)的(de)具(ju)體(ti)要(yao)求(qiu)也(ye)很(hen)大(da)程(cheng)度(du)反(fan)映(ying)並(bing)為(wei)數(shu)據(ju)安(an)全(quan)保(bao)障(zhang)能(neng)力(li)的(de)保(bao)證(zheng)提(ti)供(gong)了(le)支(zhi)持(chi)。這(zhe)些(xie)都(dou)決(jue)定(ding)新(xin)基(ji)建(jian)項(xiang)目(mu)及(ji)其(qi)運(yun)營(ying)者(zhe)應(ying)該(gai)應(ying)用(yong)等(deng)保(bao)及(ji)關(guan)保(bao)的(de)要(yao)求(qiu)���,加(jia)強(qiang)對(dui)自(zi)身(shen)網(wang)絡(luo)運(yun)行(xing)安(an)全(quan)的(de)保(bao)護(hu)�,以(yi)達(da)到(dao)提(ti)升(sheng)數(shu)據(ju)安(an)全(quan)保(bao)障(zhang)能(neng)力(li)的(de)目(mu)的(de)。
2020年7月22日��,公安部向中央和國家機關各部委����、國務院各直屬機構���、辦事機構��、事業單位�����、各中央企業印發了《貫徹落實網絡安全等級保護製度和關鍵信息基礎設施安全保護製度的指導意見》(以下稱“《指導意見》”)。《指導意見》進一步明確了等保�����、關保工作的法律原則�����、監管要求����、工作重點等內容���,為各地監管機關全麵推進等保�����、關保工作提出了明確的要求(詳情請參閱本團隊往期文章《“兩個製度”與“雙保時代”——網絡安全最新製度��、監管動向解讀及實務建議》[SXY3] )。2020年年末���,金融����、廣電�、工控等重點行業領域相繼發布了行業領域內的等保實施細則或要求標準����,“公安主管+行業分管”的等保��、關保監管格局得以逐步落實。可以預見目前都在意見征求階段的《網絡安全等級保護條例》(以下稱“《等保條例》”)�、CII條例將陸續正式浮出水麵��,屆時對於等保�、關保的要求以及執法監督活動將會更加明確和嚴格。
《個人信息保護法》《數據安全法》的陸續正式出台����,將與《網絡安全法》共同作為基礎性頂層法律����,並與《等保條例》��、CII條(tiao)例(li)等(deng)相(xiang)關(guan)法(fa)規(gui)和(he)規(gui)範(fan)性(xing)文(wen)件(jian)���,共(gong)同(tong)構(gou)建(jian)我(wo)國(guo)網(wang)絡(luo)安(an)全(quan)和(he)數(shu)據(ju)合(he)規(gui)的(de)法(fa)律(lv)體(ti)係(xi)。企(qi)業(ye)特(te)別(bie)是(shi)新(xin)基(ji)建(jian)項(xiang)目(mu)企(qi)業(ye)應(ying)當(dang)密(mi)切(qie)關(guan)注(zhu)法(fa)律(lv)法(fa)規(gui)要(yao)求(qiu)的(de)出(chu)台(tai)和(he)落(luo)地(di)����,切(qie)實(shi)提(ti)升(sheng)和(he)保(bao)證(zheng)數(shu)據(ju)安(an)全(quan)的(de)保(bao)障(zhang)能(neng)力(li)��,確(que)保(bao)數(shu)據(ju)安(an)全(quan)��,才(cai)能(neng)保(bao)證(zheng)業(ye)務(wu)順(shun)利(li)的(de)進(jin)行(xing)並(bing)避(bi)免(mian)風(feng)險(xian)的(de)發(fa)生(sheng)。
******
下一篇我們將討論人工智能與行政監管涉及的數據問題����,敬請期待。
******
注釋:
[1] 見《個人信息保護法(草案)》第六十九條第(一)項“個人信息處理者”定義
[2] 《數據安全法(草案)》第五條�����、第十條
[3] 《個人信息保護法(草案)》第三十八條���、第四十條
[4] 《個人信息和重要數據出境安全評估辦法(征求意見稿)》第二條
[5] 《征信業管理條例》第二十四條
[6] 《人口健康信息管理辦法(試行》第十條
[7] 《數據安全法(草案)》第三十三條����、《個人信息保護法(草案)》第四十一條
[8] 《個人信息保護法(草案)》第四十二條�、第四十三條
[9] 《數據安全法(草案)》第二十三條�����、第二十四條
[10] 《出口管製法》第二條
[11] 《深圳經濟特區數據條例(征求意見稿)》第四章第五節
[12] 《深圳經濟特區數據條例(征求意見稿)》第四章第四節
[13] 《北京市推進數據跨境流動安全管理試點》����,http://www.gov.cn/xinwen/2020-12/24/content_5572905.htm
[14] 《上海市全麵深化服務貿易創新發展試點實施方案》第二條第(三)款第8項
[15] 《中華人民共和國海南自由貿易港法(草案)》第四十二條
[16] 新浪財經���,國家發改委首次明確新基建範圍https://baijiahao.baidu.com/s?id=1664462340638326126&wfr=spider&for=pc
[17] 《個人信息保護法(草案)》第五十條�、第五十三條����、第五十四條
[18] 《個人信息保護法(草案)》第五十五條
