网络安全法视角下的企业数据合规框架研究

我国《网络安全法》作为规范包括信息安全在内的网络安全的基本法，在包括个人信息在内的数据合规要求方面存在哪些主要问题？我们以《网络安全法》为基本框架，结合其他法律法规的相关规定进行简要分析。

1、 数据信息定义

我国《网络安全法》第七十六条规定，“网络数据是指通过网络收集、存储、传输、处理、生成的各种电子数据”，对于企业来说，很多数据不能通过网络采集、存储和利用。从内容或性质上看，许多数据可能属于商业秘密或知识产权，可以受到反不正当竞争法或知识产权法的保护。

《网络安全法》第七十六条规定，“个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息相结合识别自然人个人身份的各种信息，包括但不限于姓名、出生日期、身份证号码等，个人生物识别信息、地址、电话号码等

根据国家网信办2017年发布的《个人信息和重要数据退出评估安全办法（草案）》，重要数据是指与国家安全、经济发展和社会公共利益密切相关的数据。具体范围是指国家相关标准和重要数据识别指南，是指信息基础设施运营商在网络安全法中控制的关键数据。对于重要数据，应按规定采取更高要求的数据安全保护措施，重要数据的存储和退出应符合法律法规。

根据2020年全国人民代表大会颁布的《数据安全法（草案）》第三条，本法所称数据，是指以电子形式或者非电子形式记录的信息。

2、 数据信息安全目标

《网络安全法》第十条规定网络安全的内容时，明确规定：“在网络建设、运营或者通过网络提供服务时，应当依照法律规定采取技术措施和其他必要措施，行政法规和国家标准的强制性要求，确保网络安全稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，保护网络数据的完整性、保密性和可用性。”

换句话说，任何影响网络数据完整性、机密性和可用性的行为都是对数据安全的威胁。

所谓完整性是指数据未经授权被更改/篡改。数据的完整性要求数据准确无误，无篡改，有意义和可用性，只能通过批准的方法、授权人员或过程进行更改。

所谓机密性是指数据不被未经授权的人访问。未经授权的人员可能包括自然人、非自然人实体或程序/应用程序；泄露渠道包括口头披露、通过网络或通过其他设备打印机、复印机、U存储设备等。保密性意味着只有经授权才能访问受保护的数据。

所谓可用性是指数据处于合法用户可以随时使用的状态。在一个合理的时间段内，服务被认为是可接受的；服务的时间段是可以接受的；服务的时间是可以接受的。访问拒绝和系统中断是不可用性的重要表现形式。

根据《数据安全法（征求意见稿）》第三条规定，“数据活动是指收集数据

设置、存储、处理、使用、提供、交易、开放等。数据安全是指采取必要措施，确保数据得到有效保护和合法使用，并保持安全状态的能力。”

3、 公共数据开放与信息数据共享与利用

《网络安全法》第十七条规定了国家网络安全产业政策，“国家鼓励发展网络数据安全保护和利用技术，促进公共数据资源开放。”

中国历来重视数据资源的开放和利用。2015年9月，国务院发布《促进大数据发展行动计划》，指出“数据已成为国家基本战略资源，大数据对全球生产、流通、分配、消费活动、经济运行机制等方面的重要影响日益Convex显，“社会生活方式与国家治理能力”2016年3月发布的“十三五”规划纲要提出实施国家大数据战略，明确提出“以大数据为基础战略资源，全面实施推进大数据发展行动，加快数据资源共享、开放、开发和应用，助力产业转升级和社会治理创新。”

《促进大数据发展行动计划》还要求“到2018年底，建成全国政府数据统一开放平台，率先实现信贷、交通、医疗、卫生、就业、社会保障、地理、文化等重要领域的公共数据资源合作，到2019年，教育、科技、资源、农业、环境、安监、金融、质量、统计、气象、海洋、企业登记监管等50多个城市建成公共数据开放平台，开放教育、科技等约15个数据领域，民生服务、道路交通、卫生、资源环境、文化休闲、机关团体、公安、经济发展、农业农村、社会保障、就业、企业服务、城建设计、地图服务。

《数据安全法（征求意见稿）》规定，国家坚持数据安全与数据开放并重的原则，实施大数据战略，加强数据开发利用基础技术研究，推进数据开发利用技术建设和数据标准体系建设，推进数据安全检测与评估认证服务，建立健全数据交易管理体系，支持高校企业开展数据开发利用技术和数据安全培训。

《数据安全法（草案）》还规定，国家要大力推进电子政务建设，推进国家机关收集和使用数据的原则和程序，建立健全数据安全管理制度，推进国家机关对政府数据的处理要求和公开政府数据要求。

在数据共享和传输方面，根据《网络安全法》、《个人信息安全规范》等法律法规和国家标准，经过数据脱敏即匿名化后，个人信息可以共享和传输。但是，对于尚未脱敏的个人信息，应满足以下合规要求：一是取得个人同意原则，即对个人信息主体告知共享和传输个人信息的目的和数据接收者的类，并事先取得个人信息主体的授权和同意。涉及个人敏感信息的，应告知个人敏感信息的类、数据接收方的身份和数据安全能力；二是安全影响评估原则，即在传输前对个人信息进行安全影响评估，并根据评估结果采取有效措施保护个人信息主体；三是准确记录原则，准确记录和保存个人信息的共享和转移。转移包括共享和转移的日期、规模和目的，四是扩大保护义务的原则，即帮助个人信息主体了解数据接收方保护个人信息的义务及其履行情况，及时反馈个人信息主体的相关权利，包括访问、更正、删除、注销账户等。

4、 数据信息安全保护义务

《网络安全法》第二十一条规定：“国家实行网络安全等级保护制度。网络运营商应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保护网络不受干扰、损坏或者未经授权的访问，防止网络数据泄露，（四）对重要数据采取数据分类、备份、加密等措施

《网络安全法》第二十七条规定了维护网络安全的义务：“任何个人或者组织不得从事非法侵入他人网络、干扰他人网络正常功能等危害网络安全的活动，窃取网络数据和其他危害网络安全的活动，不得提供专门用于入侵网络、干扰网络正常功能和防护措施、窃取网络数据程序和网络安全活动工具的活动；明知他人从事危害网络安全活动的，不得提供技术支持、广告宣传、支付结算等

《网络安全法》对个人信息的保护主要体现在第四十条至第四十四条，其中规定，通过网络收集、存储、传输、处理和生成的个人信息，应当尊重个人同意权、知情权、选择权、更正权、权利第41条规定了收集个人信息的充分性原则，并明确了第40条关于收集个人信息的**限度责任；第42条规定了个人信息共享的条件；第43条规定了个人在某些情况下有权删除或更正个人数据；第44条规定在法律层面上保护个人信息，给个人信息交易以一定的法律空间。《网络安全法》中关于个人数据的规定，在维护网络安全的框架下，把保护个人作为数据主体对个人信息的自**和控制权。虽然现行的国际规则与欧美关于个人信息保护的立法在具体规定上存在差异，但这一概念在总体上是相似的。

根据《网络安全法》的规定，此外，《消费者权益保**》第29条和《个人信息安全规范》第3.2条、第5.5条规定，企业在收集个人信息时，应当制定并披露个人信息的收集和处理规则，即隐私政策，并获得客户的同意（个人敏感信息也需要获得明确同意）。隐私政策的内容应当包括对个人信息的收集、使用、存储、处理、共享、交换、删除和独立管理的规定，并遵循合法、合法、必要、保密、普及的原则。专家普遍认为，个人信息的一般授权和打包授权不符合《个人信息保护规范》的要求。未来的隐私政策将更加贴近应用场景，更加具体，更加尊重用户的选择权，操作更加方便。此外，根据《儿童信息保护条例》，涉及儿童个人信息保护的，企业应当制定保护政策，确定负责人。

个人信息的使用应当遵循合法、必要、授权、同意的原则，依照法律、行政法规和与用户达成的协议收集、保存和使用。而合规性也是个人信息保护的核心内容。合法性原则要求经营者在使用个人信息时不得违反法律、行政法规规范性文件的规定；必要性原则要求网络经营者不得使用与所提供服务无关的个人信息；授权原则和同意要求个人信息的使用需要获得收集者的同意。因业务需要，需要超出范围使用个人信息的，应当重新征得征集人的明确同意。如果企业违反上述个人信息使用要求，可能面临警告、罚款、吊销相关营业执照等行政处罚。

《网络安全法》第四十二条规定，网络经营者应当采取技术措施和其他必要措施，确保所收集的个人信息的安全。包括员工接触、使用和处理用户信息的内部管理程序。运营商要保证用户数据安全，就必须同时保证组织体系和技术措施。企业不仅需要制定一套完整的个人信息保护制度作为内部控制制度，更需要保证制度的有效实施和处理个人信息安全事件。

此外，值得注意的是，将于2021年1月1日实施的《民法典》第1032条至第1038条分别对具体侵犯个人隐私、个人信息和收集、处理个人信息作出了详细规定。

《网络安全法》第四十五条规定了监管机构及其工作人员的信息保护义务，其中明确规定“依法负有网络安全监督管理职责的部门及其工作人员，必须对个人隐私严格保密在履行职责过程中知悉的信息、隐私和商业秘密，不得向他人泄露、出售或者非法提供。”

《网络安全法》第五十条规定了相关监管部门的相关职责，其中明确规定，“国家网络信息部门和有关部门依法履行网络信息安全监督管理职责的，发现法律、行政法规规定禁止发布、传输的信息，应当要求网络运营商停止传输，采取消除、消除等处置措施，应通知中华人民共和国采取必要措施，停止向境外传播上述技术资料和其他资料。”

为维护网络安全，包括数据安全，《网络安全法》第五十一条规定，国家建立网络安全监测预警和信息通报制度。国家网络信息部门应当协调有关部门加强网络安全信息的收集、分析和通报，按照规定统一发布网络安全监测预警信息。《网络安全法》第五十二条规定了各行业、各领域的网络安全预警和信息通报制度。负责关键信息基础设施安全保护的部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按规定报送网络安全监测预警信息。

《数据安全法（征求意见稿）》中的数据安全制度规定了数据分类保护制度，建立了统一、高效、权威的数据安全评估、报告、信息共享、监测预警机制，建立了数据安全应急响应机制机制，建立数据安全审查制度，实施与履行国际义务和维护国家安全出口管制有关的数据，以及与数据和数据开发有关的投资和贸易活动的互惠措施。

5、 关键信息基础设施、数据国内存储和数据跨境传输

《网络安全法》第三十一条规定了关键信息基础设施，“国家重点行业和领域如公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他可能严重危害国家安全、国计民生和社会公共利益的重点行业和领域，在网络安全等级保护制度的基础上，一旦发生损坏、功能丧失或数据泄露，对信息基础设施实施重点保护

《网络安全法》第三十四条规定关键信息基础设施的安全保护义务时，明确规定“除本法第二十一条的规定外，关键信息基础设施运营商还应履行以下安全保护义务：（三）对重要系统和数据库进行灾难恢复和备份

《网络安全法》第三十七条规定关键信息基础设施的数据存储义务时，明确规定“个人信息和关键信息基础设施运营商在中华人民共和国经营活动中收集、产生的重要数据，应当存储在中国境内。因业务需要确需在境外提供的，按照国家网络信息主管部门和国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照规定执行申请。”

值得注意的是，在个人信息退出方面，《个人信息和重要数据退出评估安全办法（征求意见稿）》并未将义务主体仅限于关键信息基础设施。第四条规定，个人信息出境时，应当向个人信息主体说明目的、范围、内容、接收方和接收方所在国家或地区，并征得其同意。未成年人个人信息的出境，应当经其监护人批准。同时，企业数据的跨境传输不仅需要符合我国数据传输的法律要求，还需要符合相关国家和地区的跨境要求，如欧盟和加州消费者的通用数据保护条例（gdpr）美国隐私法。

目前，根据我国网络和信息部门的要求，原则上因业务需要，经过安全评估后，数据可以允许出境。2019年发布的《个人信息出境安全评估办法（草案）》要求网络运营商提供在中国运营中收集的境外个人信息，并按照《办法》进行安全评估。虽然《办法》尚未实施，但企业仍应按照规定做好安全评估工作，并参照《信息安全技术数据出站安全评估指南》（草案）的规定，分类上报并通报监管部门，传输量、目的范围和技术处理，并评估网络安全保障能力和接收环境的政治和法律环境。

《数据安全法（草案）》的数据保护义务规定，数据活动应当建立健全全过程的数据安全管理体系，遵循数据活动和新数据技术发展的基本原则，加强数据风险监测，重要数据活动的定期风险评估、数据收集要求、数据交易中介服务的安全义务在线数据服务提供商应备案，并配合本局的数据检索和数据出口审批义务。