【北京律师、北京法律咨询、北京律师事务所、浩略律所、北京浩略】
中国网络空间治理顶层法律框架与合规体系
作者:金晓萍李恒
当前互联网时代背景下,《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)和《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)的陆续出台与实施,共同构建起中国网络空间治理数据合规的顶层设计,是数据保护领域的三层法律框架,这一系列法律的出台和实施,标志着我国网络安全和数据合规法律监管体系的日益完善,标志着中国网络法治建设迈上新台阶。彰显了中国在网络安全和数据保护领域的决心和行动力,是“总体国家安全观”的理念的体现。
一、登高望远
中国网络空间治理的顶层法律框架
(一)《网络安全法》于2017年6月1日生效并开始实施,是中国第一部全面规范网络空间安全管理的基础性法律,该法旨在保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。网络安全法是构筑网络安全的基础,为网络空间的整体安全有序发展奠定了法律基础,确立了网络安全法的基本原则。与《网络安全审查办法》《关键信息基础设施安全保护条例》等配套规定共同构建了网络空间的合规框架。
1.定义
网络安全是指通过采取必要技术和管理措施,防范对网络的攻击、侵入、干扰、破坏、数据泄露、篡改及损毁等风险,保障网络稳定安全运行。以及保障网络数据完整性、可用性、保密性的能力。
2.基本原则
●网络空间主权原则:网络空间主权是国家主权在网络空间的延伸,维护国家网络空间主权,确保国家对网络空间的最高管辖权,建立健全国家网络安全保障体系尤为重要。
●网络安全与信息化发展并重原则:习近平总书记指出,安全是发展的前提,发展是安全的保障,二者需同步推进。既要努力推进网络基础设施建设与发展,网络技术创新与应用,又要加强网络安全保障体系的建立与完善,真正做到“双轮驱动、两翼齐飞”。
3.主要内容
●网络运营者的安全义务:网络运营者必须采取技术措施和其他必要措施,保障网络产品和服务的安全和稳定运行,保障网络数据的完整性、可用性、保密性,有效应对网络安全事件。对违反网络运行安全保护义务或导致危害网络运行安全等后果的行为,规定了行政处罚种类和幅度。
●个人信息保护:强调建立健全用户个人信息的保护制度,对个人信息的收集、使用及保护要严格界定边界,不得以任何方式泄露、篡改、毁损用户个人信息,要求在境内运营收集或产生的个人信息/重要数据应在境内存储。对侵害个人信息权利的行为,规定了责令改正、没收违法所得、罚款等处罚措施。
●关键信息基础设施保护:明确了关键信息基础设施的保护要求,网络运营者需履行相应的安全保护义务。进一步完善了关键信息基础设施运营者违法行为的行政处罚规定。
(二)《数据安全法》于2021年9月1日起施行,则搭建数据安全的基础,强调数据安全的保护,尤其注重重要数据和国家核心数据的保护,规制对象“数据”的载体不仅限于网络数据。是中国首部全面规范数据安全领域的专门法律。
1.数据安全的定义
根据《数据安全法》第三条之规定,数据是指任何以电子或者其他方式对信息的记录,数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力
●数据安全与发展并重:在保障数据安全的同时,促进数据的合理利用和发展。
●国家安全优先:数据安全必须服从和服务于国家安全。
●国际合作:在数据安全领域积极开展国际合作,推动全球数据安全治理。
●建立数据分类分级保护制度、数据安全审查制度、数据安全应急处理机制等。
●对数据处理者在数据采集、存储、加工、使用、提供、传输、公开等环节提出安全要求。
●重点保护重要数据和核心数据,规定了出境审查等制度。
(三)《个人信息保护法》于2021年11月1日起施行,是中国首部国家级数据隐私法,基于《网络安全法》和《数据安全法》,部分借鉴了欧盟的《通用数据保护条例》(GDPR)。
侧重于个人信息处理准则和保护边界的细化,注重对个人信息的保护,对个人信息保护的全生命周期作出细致且全面的规定。
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。其中“匿名化”是指个人信息经过处理无法识别特定自然人且不能复原的过程。
●知情同意原则:个人信息处理活动必须基于个人的知情同意。
●最小必要原则:处理个人信息应当限于实现处理目的的最小范围。
●透明度原则:个人信息处理活动应当公开透明,处理规则应当明确、易于获取。
●安全保障原则:个人信息处理者应当采取必要措施,确保个人信息的安全。
●明确了"个人信息"的定义,不包括匿名化处理后的数据。
●规定了处理个人信息的七种合法情况,确保在合法前提下处理个人数据。
●要求企业制定应对数据泄露的计划,违规将面临罚款、业务限制等严厉处罚。
●对个人信息保护的全生命周期作出细致且全面的规定。
综上,《网络安全法》《数据安全法》和《个人信息保护法》相互衔接,共同构建了中国网络空间治理的顶层法律框架和合规法治体系。是我国网络安全与数据保护领域合规监管体系的基础性法律。同时,中国政府还出台了一系列配套法规,如《网络安全审查办法》《关键信息基础设施安全保护条例》《数据出境安全评估办法》等,从网络层、软件层、数据层多维度全方位加强网络空间法治合规治理。
二、细致入微
解读网络空间治理中的关键概念
(一)谁构成网络运营者
根据《网络安全法》的规定,网络运营者是指网络的所有者、管理者和网络服务提供者。《网络安全法》对网络运营者进行了框架性规定,而根据目前在实践中的理解,网络运营者既包括任何利用网络媒介提供服务的主体,也包括电商平台、网约车等以网络在线业务为主业的互联网企业,还包括因业务延伸而借助网络的传统线下企业。
(二)什么是关键信息基础设施
根据《网络安全法》的规定,关键信息基础设施涵盖公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。《关键信息基础设施安全保护条例》(国务院发布,2021年9月1日生效)对关键信息基础设施的定义也采取开放式列举方式,但在《网络安全法》的基础上增加了“国防科技工业”类别。根据《网络安全法》《数据安全法》等规定,构成关键信息基础设施的,关键信息基础设施运营者应遵守更为严格的监管措施,例如,通过网络安全审查,签署安全保密协议,原则上在境内存储在境内收集的个人信息,以及重要数据应在境内存储、进行检测评估等。
2021年8月24日,公安部网络安全保卫局局长王瑛玮在国务院举行的政策例行吹风会上表示认定关键信息基础设施的核心标准,主要考虑三个方面的因素:一是网络设施、信息系统等对本行业、本领域关键核心业务起到基础支撑作用。二是网络设施、信息系统等一旦遭到破坏,丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。三是对其他行业和领域具有重要关联性影响。这将为关键信息基础设施保护工作部门结合本行业、本领域实际,制定关键信息基础设施的认定规则,报国务院公安部门备案,并根据认定规则,组织本行业、本领域的关键信息基础设施认定提供指引。
(三)如何界定数据
《网络安全法》中对“网络数据”的定义为通过网络收集、存储、传输、处理和产生的各种电子数据。《数据安全法》中对“数据”的定义为任何以电子或者其他方式对信息的记录。由此可见,《网络安全法》中对“网络数据”的定义更注重以网络这种载体表现出来的数据形式,而《数据安全法》中“数据”并不局限于载体方式,而更加注重展现形式,即对信息的记录,因此,可以预见的是《数据安全法》基本可以涵盖企业生产、经营和管理各方面所产生的信息记录。
(四)什么是重要数据
(五)如何界定个人信息
《个人信息保护法》规定个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,但不包括匿名化处理后的信息。《个人信息保护法》项下的个人信息不仅包括已识别的信息,还包括可识别的信息,确立了“识别+关联”的判断路径。《个人信息保护法》对个人信息的界定相比以往法律法规更加宽泛,例如,《网络安全法》和《民法典》均规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息;《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
三、匠心独运
网络空间治理中法律设计的特殊机制
《网络安全法》《数据安全法》和《个人信息保护法》通过一系列特殊机制设计,保障了中国网络空间的整体安全。这些机制包括网络安全事件报告机制、数据分类分级保护机制、数据安全审查机制、个人信息保护影响评估机制等,形成了一个全面、系统的网络空间治理体系,为国家安全和社会稳定提供了坚实的法律保障。
(一)《网络安全法》特殊机制
1.网络安全事件报告机制:
2.跨部门协作机制:
3.关键信息基础设施保护机制:
(二)《数据安全法》特殊机制
1.数据分类分级保护机制:
2.数据安全审查机制:
3.数据安全应急处理机制:
4.数据出境安全评估机制:
5.数据安全责任人制度:
(三)《个人信息保护法》特殊机制
1.个人信息保护影响评估机制:
2.个人信息处理者告知义务:
3.个人信息保护责任人制度:
四、来日正长
肩负起网络法治建设者的责任义务
2024年,伴随着《网络安全法》《数据安全法》和《个人信息保护法》深入实施,以及人工智能监管全面启动,网络安全与数据合规将从“形式合规”逐渐转向“实质合规”。对于企业而言,正面临着更加严格的数据保护和网络安全要求,积极主动做好网络安全与数据合规建设落地的准备,并及时开展合规自查,建立健全本企业风险预警机制显得尤为重要。我们也将肩负起网络法治建设者的责任。共同迎接数字经济的腾飞,助力企业蓬勃发展。