国内外数据安全管理法规实践初探

前言

全国人大常委会刚刚通过的《数据安全法》作为数据领域的基础性法律，是维护国家安全、维护人民群众合法权益以及促进数字经济健康发展的重要举措。随着数字经济的繁荣发展和新技术的广泛应用，数字技术已渗透延展到国家政治、经济和军事等领域，本文梳理回顾了全球主要的数据安全相关法律法规、政策及行动措施。供参阅。

一、世界主要国家和组织数据安全法律法规、政策及行动措施

随着全球数据安全保护浪潮的兴起，以美国、欧盟为代表的西方国家和组织，相继推出了较成熟且具有不同侧重点的法律法规及配套措施。

（一）欧盟：侧重监管导向，推动统一立法

欧盟的数据安全立法无论是在立法时间还是立法系统性上都处于全球领先位置，其代表性的立法包括《个人数据处理及自由流通个人保护指令》《通用数据保护条例》等，同时《2019网络安全法案》《非个人数据自由流动条例》《欧洲数据战略》、“打造欧盟数字经济”计划以及有关数据治理法案提案等法律条款和战略规划也颇具影响力，欧盟数据安全主要立法及特点如下：

1.欧盟数据安全立法起步早，旨在消除欧洲各国立法分歧

首先，欧盟早期立法即体现出其重视个人隐私及数据跨境流动。欧洲理事会各成员国早在1981年就签署了《有关个人数据自动化处理之个人保护公约》，涵盖了尊重个人隐私和促进数据自由流动的内容。其次，欧盟通过统一数据安全立法消除各国数据保护分歧，促进数字经济发展。欧洲议会及欧盟理事会于1995年通过的《个人数据处理及自由流通个人保护指令》，为欧盟成员国个人数据保护的统一设置了最低标准，但其在欧洲各国实际施行时却存在较大的差异。

2.《通用数据保护条例》（GDPR）是欧盟“史上最严”数据保护条例

GDPR于2018年正式实施，是欧盟最具代表性的数据安全立法，条例强化数据主体权力并完善了相关机制。一是对非欧洲科技巨头形成制约和监管，这极大的扩大了GDPR的影响范围；二是强化了数据主体的被遗忘权、数据可携权、限制特定处理权、撤销同意处理权等；三是不做繁琐的规则指南、只提需要达到的效果，为企业实施数据保护留出了行动空间；四是成立了欧盟数据保护委员会并要求成员国设立独立的监管机构，要求企业审查并及时修改其数据处理方法和数据管理规定，同时设置了高额罚款。五是欧洲数据保护委员会（EDPB）每年会举办全体会议，审议通过新指南和新准则，并向公众征求意见。另外，各方在立法参考、数据跨境和科技创新影响方面对GDPR的反响不一。

3.欧盟数据保护委员会利用辅助手段实施监管并开展实施效果评估

目前，欧洲数据保护委员会（EDPB）借助IT通信系统（IMI）与欧洲经济区监管机构(SA)合作，二者以标准化和安全的方式交换GDPR合作与一致性机制所需的信息。[1]自GDPR实施以来，其处罚事由主要集中在个人数据收集使用的合法性、员工数据保护、个人数据主体权利保障及数据控制者的安全保护义务等方面，目前各国因违反GDPR而被处以的罚款总额已超过3.324亿美元，最高的罚款是法国数据保护监管机构对Google因违反GDPR透明性原则而处以的6100万美元罚款。[2][3]另外，GDPR增强了对个人的赋权，但同时还存在投诉门槛低、监管机构任务繁重、中小企业特殊豁免难于落实等问题。

（二）美国：偏重利益导向，立法较为分散

美国大型跨国信息企业遍布全球，其数据资源为美国创造了巨大的利益，使得美国更倾向利益导向的数据治理模式。在监管方面，联邦贸易委员会（FTC）是美国的数据保护监管机构，主要通过执法行动制止违法行为并要求企业采取积极措施来纠正违法行为。美相关立法及特点如下：

1.美联邦层面缺乏统一的数据保护基本法，采取各领域分散立法

美国联邦层面，与个人信息保护相关的立法有近40部，但仅在1974年的《隐私法案》中规范了联邦机构处理个人信息的行为。在电信、金融、健康、教育以及儿童在线隐私等领域都有专门的数据保护立法，如电信领域的《电子通信隐私法》等，但其缺乏统一的数据保护基本法。

2.加州出台《加州消费者隐私法》，体现其建立个人信息保护统一标准的趋势

该法案借鉴了《通用数据保护条例》立法模式，在高度关注产业利益的同时，将个人信息的控制权充分放给消费者，确立了适用各领域的统一规则和框架，明确了个人信息、数据主体、数据控制者等概念；强调了个人对信息的控制权，包括访问权、知情权、删除权等；并对违规行为设定了较重的处罚。

3.美出台《澄清域外数据合法使用法案》，意在争夺数据主权

该法案是美2018年发布的数据安全法案，体现了美数据管辖权的扩张，只要被美国法院认为“与美国有足够联系且受美国管辖”的企业，均适用上述规定。法案解决了刑事领域的证据跨境调取问题，在内容上分为美国调取域外证据规则和外国调取美国所控制的数据规则。

4.特朗普签署《2018年外国投资风险审查现代化法》，以应对敏感数据泄露对国家安全的威胁

法案完善了联邦受控非密信息管理制度，通过数据处理、存储和传输过程中的风险控制来避免政府所掌握数据的泄露；同时，将敏感个人数据的国家安全风险纳入了外资安全审查范围，通过暂停或禁止涉及敏感个人数据的交易防范敏感个人数据泄露导致的国家安全风险。

（三）各国家、国际标准化组织的数据安全立法及标准接连生效，并围绕数据跨境流动安全签订各种协议

部分国家和地区出于主动捍卫本国数据资源安全、积极融入全球数字经济新秩序等目的，纷纷仿效欧盟和美国，以个人数据为切入点，出台和完善各类数据安全法规制度。

1.各国数据安全立法不仅突出重视本国数据安全，同时瞄准国际数据安全监管形势

除欧盟和美国外的其他国家也积极出台了数据安全相关立法。英国出台了《数据保护草案》，强化了个人数据保护和执法力度；印度政府提出《2018年个人数据保护法案》草案，引入了更为广泛的数据本地化要求；巴西发布《通用数据保护法》，涵盖并强调了域外管辖效力；新加坡发布《数据保护管理程序指南》《数据保护影响评估指南》等；日本、澳大利亚、越南等国也对数据的治理工作表现出极大的热情，纷纷出台了数据相关法律政策。

2.国际标准化组织加快在数据安全领域的布局

ISO/IEC JTC 1/WG9、ITU-TSG17、NIST、ISO/IEC SC 27等主要国际标准化组织在数据安全领域围绕大数据安全风险的应对及个人信息保护方面推出了一系列国际标准。我国也参与主导了SC27工作组的数据安全研究项目，代表性的“数据安全”研究项目，以数据安全为中心，涵盖了网络空间安全、数据安全和隐私保护领域，主要明确了数据安全概念、相关风险和标准化需求，并提出了数据安全工作路线图。

3.各国为寻求更可靠的数据跨境传输路径，不断制定新的数据传输协议

以欧美之间的数据跨境传输为例，作为欧美隐私保护体系的折衷政策，美欧之间曾推出解决双方数据跨境流动问题的《安全港协议》。但2013年“棱镜门事件”曝光后，欧盟为保护其数字主权，在2016年与美国就数据传输达成了替代《安全港协议》的《欧美隐私盾协议》，提供了跨大西洋数据传输的基本保护框架。随后又由于欧盟法院认为美国国内法对访问数据的限制不能满足欧盟法的要求，不符合比例性和严格必要等原则，随即于2020年7月宣布“隐私盾”数据传输协议无效。

二、我国数据安全法律制度建设发展现状

近年来，随着数据安全保护浪潮的兴起和各国数据安全保护实践的深入，我国在数据安全方面陆续推出了系列法律法规及标准规范，逐步建立了以《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）为统领，专项法律、行政法规、部门规章为支撑，标准规范文件为配套的制度体系。

（一）国家层面出台数据安全相关立法，强调数据安全保护

2017年6月施行的《网络安全法》强调了对基础设施及个人信息的保护，提出最少够用的管理原则，增设数据泄露通知、个人删除权等规定，并对个人信息做出了境内存储及出境评估的规定；2017年11月公布的《中华人民共和国个人信息保护法（草案）》，主要目的是规范并促进个人信息的合理利用；2021年6月通过的《中华人民共和国数据安全法》是数据安全管理的基本法律，重点关注了数据安全保护和监管，为规范网络空间不同主体的行为提供了法律依据。同时《刑法修正案九》《民法总则》《中华人民共和国电子商务法》等专项法规结合自身立法领域，从不同维度细化了数据安全管理要求，重点突出个人信息保护、数据出境相关内容，补充完善了我国数据安全管理框架。

（二）国家各部委推出数据安全管理规章和行动措施，明确数据安全专项治理工作部署

在国家管理办法层面落实保护公民、组织在网络空间的合法权益。2019年，中央网信办发布《数据安全管理办法》（征求意见稿）《个人信息出境安全评估办法》（征求意见稿）等系列管理办法，分别对网络运营者在数据收集、处理使用、安全监管等方面提出了要求，就维护国家安全、社会公共利益，保障个人信息安全和重要数据安全给出了评估办法。同时，针对APP违规收集个人信息等问题先后开展了多项专项治理工作。如中央网信办等四部委联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，以及疫情期间，工信部先后印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》等，明确开展电信和互联网行业数据安全和个人信息保护违法违规行为集中治理、疫情防控中个人信息安全风险专项排查等相关工作部署。

（三）数据安全标准规范体系建设逐步完备，涵盖个人、组织与国家信息安全

我国信息安全标准化技术委员会（TC260）下，SWG大数据安全标准特别工作组已发布大数据安全国家标准20项、在研制修订标准20项，涵盖安全要求、实施指南、监测评估、基础框架等类别。

（四）行业和地区采取合规性评估等手段进行数据安全监督执法

各行业和各地区依据相关法律法规，开展各项专项监督检查，数据安全事件的监测跟踪和执法调查力度空前加大，数据安全投诉和举报机制也在逐步改善。地方层面，有代表性的是深圳将出台国内数据领域首部综合性立法，拟设公共数据共享负面清单制度。《深圳经济特区数据暂行条例（草案）》，是国内数据领域第一部基础性、综合性立法，在个人数据保护、数据要素市场培育和公共数据管理应用等方面首先作出了试点。

（五）数据安全保护工作尚有不足

一是搭载新技术、利用新机会造成数据泄露、导致数据滥用的现象仍然存在。尤其是新冠疫情以来，人脸识别等用于疫情防控的监控技术的广泛运用以及线上办公及教育引发的家庭隐私和儿童隐私问题更加突出。二是数据安全法规具体实施有待落实。尽管目前《数据安全法》的出台奠定了国家数据领域综合性的专门立法的基础，但其关于数据分类分级等内容的具体实施工作仍有待落实。三是监管技术和手段仍有待摸索。目前，数据安全技术检测验证工具、关键节点态势感知等数据安全监测评估手段尚未完全建立，数据安全认证等管理手段仍有欠缺。同时，相关配合机制措施不健全，相关监管部门的实践经验不足，现有日常监督检查、行政处罚等传统行政管理手段难以有效管控数据全生命周期安全。

参考文献及脚注：

[1]《欧洲数据监管委员会2019年年度报告》

[2]据国际律师事务所DLA Piper最新的年度通用数据保护条例（GDPR）罚款和27个欧盟成员国以及英国、挪威等国家的数据泄露报告统计。

[3] DLA Piper GDPR罚款和数据泄露调查：2021年1月；https://www.dlapiper.com/en/us/focus/eu-data-protection-regulation/overview/~/link.aspx?_id=F4E00C3FE2B84988A0074E38DE229E68&_z=z

声明：本文来自网安思考，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。