我国网络安全法律法规体系框架
2017年6月1日正式实施的《网络安全法》,是我国网络空间法制建设的重要里程碑,就数据和个人信息保护提出了许多框架性的要求。此后,各类配套的法律、法规、规章和标准化文件不断出台,且呈加速趋势。
本文在对数据、个人信息、敏感个人信息的概念进行区分的基础上,梳理了我国数据相关立法和标准化的现状,希望对各位读者有所裨益。
概念区分
数据、个人信息、敏感个人信息等概念有何异同?
根据《数据安全法》,数据是指任何以电子或者其他方式对信息的记录,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
根据《民法典》第1034条,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
根据2021年4月29日公布的《个人信息保护法》(草案二次审议稿)第4条,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
根据《个人信息保护法》(草案二次审议稿)第29条,敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。
可见,从数据到个人信息再到个人敏感信息,范围逐渐缩小,且三者关注的重点也不同。数据关注可治理性,个人信息强调识别性,敏感个人信息强调危害性。
重点法律法规标准介绍
近年来,数据保护相关的法律法规密集出台,这些法律法规在内容上主要围绕数据治理保护和个人信息保护两个方面。覆盖了我国的法律体系中的各个层级,包括法律、行政法规、部门规章、政策文件,以及若干国家标准等。
其中法律是由全国人民代表大会和全国人民代表大会常务委员会审议通过后颁布;行政法规是由国务院制定,通过后由国务院总理签署国务院令公布;规章通常由各部委制定,网络安全领域的规章目前通常由网信部门、工信部、公安部等部委制定。
表1 从内容和层级两个维度
列举数据保护相关法律、法规和标准
从表1可以看出,现阶段我国关于数据安全和个人信息保护方面的立法和标准框架已经基本形成,既包括起到统领作用的较高位阶的法律,也包括相当一部分非常具体的配套法规、规章和标准。
01
《网络安全法》
《网络安全法》作为我国第一部全面规范网络空间安全管理方面问题的基础性法律,就数据和个人信息合规提出了许多框架性的要求。
《网络安全法》明确了个人信息的含义,明确了个人信息收集、使用应遵循的原则,网络运营者维护网络信息安全的相关义务,网络用户所享有的个人信息保护相关权利,国家网信部门和其他部门对于网络信息安全监督监管的责任,违反个人信息保护规定的法律责任等内容。
02
《数据安全法》
作为我国数据安全领域的基础性法律,《数据安全法》明确了国家数据安全工作体制机制,各数据安全主管机构的监管职责。
《数据安全法》体现了坚持安全与发展并重的数据安全治理原则,并在第二章对支持促进数据安全与发展的措施作了规定,保护个人、组织与数据有关的权益,提升数据安全治理和数据开发利用水平,促进以数据为关键生产要素的数字经济发展。
《数据安全法》第三章明确了数据安全保护的各项基本制度,完善了数据分类分级、重要数据保护、跨境数据流动和数据交易管理等多项重要制度,形成了我国数据安全的顶层设计。
《数据安全法》第四章明确了数据管理者和运营者的数据保护责任,指明了在信息化建设和运维过程中我们应该履行的数据保护义务,是大部分信息化工作者应该关注的重点。具体义务包括:
建立健全流程数据安全管理制度,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任;
组织开展数据安全教育培训;
采取相应的技术措施和其他必要措施,保障数据安全;
应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;
发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告;
重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估;
收集数据,应当采取合法、正当的方式。
03
《信息安全技术个人信息安全规范》
全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T35273-2020(信息安全技术个人信息安全规范》于2020年3月6日正式发布,于2020年10月1日实施,代替GB/T35273-2017《信息安全技术个人信息安全规范》。该标准的发布实施被评选为2020年中国网络安全大事件。
新修订的《个人信息安全规范》2020版继续沿用了2017版的七大原则,分别是:权责一致原则、目的明确原则、选择同意原则、最少够用原则、公开透明原则、确保安全原则、主体参与原则。
《个人信息安全规范》2020版共分为十个章节,包括范围,规范性引用文件,术语和定义,个人信息安全基本原则,个人信息的收集,个人信息的保存,个人信息的使用,个人信息的委托处理、共享、转让、公开披露,个人信息安全事件处置以及组织的管理要求。其中,个人信息的收集,存储,使用,委托处理、共享、转让、公开披露是个人信息在流转过程中的常见行为。
作为个人信息安全领域最基础、最重要和影响最为广泛的国家标准,《个人信息安全规范》的发布和实施,对后续个人信息保护工作的开展,必然会产生深远的影响。
高校数据安全的工作路径
数据安全已成为事关国家安全与经济社会发展的重大问题,关于数据安全和个人数据保护法律法规和国家标准的密集出台,彰显了我国对于开展数据安全治理和个人信息保护的决心,是对我国总体国家安全观的贯彻和体现。
对于高校信息化工作来说,数据安全在未来的一段时间内必然是热点话题与工作重点,这实际上意味着网络安全与高校业务的更深度融合,相关法律法规和标准则为我们指出了关于数据安全和个人信息保护的工作路径。
一是要提升数据安全和个人信息保护的相关意识;二是要摸清数据底数,这也是进行数据分级分类的工作基础;三是建立工作机制,包括数据安全的组织领导和责任体系,及工作制度和技术标准;四是根据需要进行技术措施建设。
数据安全任重而道远,很多工作还在探索过程中,本文梳理了在数据安全和个人信息保护方面的合规参考,希望得到高校信息化同行的批评指正。
作者:吴海燕、佟秋利(清华大学信息化技术中心)