数据治理研究报告(2024年)
AI智能总结
--网络数据安全管理法律制度体系研究 (2024年) 中国信息通信研究院互联网法律研究中心北京市金杜律师事务所2025年1月 版权声明 本报告版权属于中国信息通信研究院,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:中国信息通信研究院”。违反上述声明者,编者将追究其相关法律责任。 前言 近年来,随着信息技术和人们生产生活深度融合,数据处理活动更加频繁和复杂。以人工智能为代表的新兴技术发展日新月异,数据体量呈现爆发式增长,数据安全风险也与日俱增。与此同时,数据作为新兴生产要素,在推动数字经济发展、促进社会生产力变革、提升全要素生产率、发展新质生产力方面的重要性不断跃升。党中央、国务院高度重视数据安全工作,党的二十届三中全会通过的《中共中央关于进一步全面深化改革推进中国式现代化的决定》指出,要提升数据安全治理监管能力,建立高效便利安全的数据跨境流动机制。2024年9月,国务院常务会议审议通过《网络数据安全管理条例》,标志着我国数据安全管理法律体系进一步完善,对明确网络数据安全管理要求、提升数据治理法治化水平具有重要意义,也为充分释放数据要素价值、护航数字经济高质量发展提供了有力法治保障。 本报告以我国数据安全管理制度框架为基础,重点结合《网络数据安全管理条例》(以下简称《条例》)相关规定,深入分析研究国内外网络数据安全管理法律制度体系,主要包含数据安全管理一般规定、个人信息保护、重要数据安全、网络数据跨境安全管理、网络平台服务提供者义务五方面内容。数据安全管理一般规定方面,建立健全数据处理全流程的安全管理制度,为网络数据安全管理工作的日常开展明确具体路径,对国家机关、关键信息基础设施等的网络数据安全管理作出要求,针对使用自动化工具收集、使用数据以及生成式人工智能等新技术场景设置数据安全管理专门条款。个人信息保护方面,我 国《个人信息保护法》《民法典》《网络安全法》和《数据安全法》共同构建个人信息保护的法治堤坝,结合实践中的新情况、新问题,持续完善“告知—同意”、个人信息权益实现等重点规则。重要数据保护方面,重要数据目录、相关组织和人员保障、安全保护义务等规则细化明确,为企业判断是否需履行相关义务要求方面提供稳定预期。网络数据跨境安全管理方面,《促进和规范数据跨境流动规定》简化优化相关监管规则,并通过《条例》将相关规定及实践中的成熟做法上升为行政法规。网络平台服务提供者义务方面,网络平台的网络数据安全管理责任进一步压实,区分不同类型网络平台明确网络数据安全管理义务。此外,本报告还对域外网络数据安全管理的相关立法进行了比较研究,为进一步完善我国数据安全立法提供了参考借鉴。 结合数据技术产业发展态势,本报告对未来数据治理领域法治建设进行了展望,并提出更新完善网络数据安全制度规范体系、加快构建数据基础法律制度、全面推进网络数据安全管理工作三方面建议。 目录 一、以数据安全治理筑牢数字经济高质量发展底座........................1 (一)数据安全是总体国家安全观的重要方面........................1(二)数据安全是数据价值释放的前提和保障........................1(三)数据安全是国际社会重点关注治理议题........................2(四)我国持续完善数据安全法律体系..............................2 二、以体系化制度构建全面推进数据安全治理工作........................5 (一)覆盖全类型数据明确数据安全管理要求........................6(二)针对个人信息进一步细化规则要求...........................18(三)围绕重要数据系统强化数据安全要求.........................30(四)优化完善网络数据跨境安全管理制度.........................35(五)明确网络平台服务提供者数据安全义务.......................38 三、持续构建更加完备的数据安全法律制度体系.........................41 (一)优化完善网络数据安全制度规范.............................41(二)探索推进数据基础法律制度建设.............................42(三)全面落地网络数据安全管理工作.............................43 图目录 图1《网络数据安全管理条例》基本定位.............................................................5图2网络数据安全管理制度全景图..........................................................................6 一、以数据安全治理筑牢数字经济高质量发展底座 (一)数据安全是总体国家安全观的重要方面 数据安全是事关国家安全与经济社会发展的重大问题,没有数据安全就没有国家安全。近年来,随着信息技术和人们生产生活交汇融合,数据处理活动更加频繁,数据安全风险日益聚焦在网络数据领域,违法处理网络数据活动时有发生,给经济社会发展和国家安全带来严峻挑战。党中央、国务院高度重视数据安全工作,习近平总书记多次作出重要指示批示,强调要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。数据安全牵一发而动全身,完善数据安全管理不仅关乎数据本身作为重要生产要素的开发利用与安全问题,而且与国家主权、国家安全、社会秩序、公共利益休戚相关。 (二)数据安全是数据价值释放的前提和保障 安全是发展的前提,发展是安全的基础。《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出,以维护国家数据安全、保护个人信息和商业秘密为前提,构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度。目前,我国推进数据要素市场建设,为充分发挥我国海量数据规模和丰富应用场景优势,激活数据要素潜能提供制度和政策牵引。数据大规模流通利用显著增加了数据触点和暴露面,数据泄露、滥用、垄断等风险问题日益凸显,对数据全生命周期安全保护提出更高要求。 数据安全事件频发,将导致企业不敢、不愿、不能共享数据。推动数据要素“活起来,动起来,用起来”,前提是保障数据安全。 (三)数据安全是国际社会重点关注治理议题 数据安全是全球性问题,没有哪个国家可独善其身。随着全球数据爆发增长、海量集聚,数据安全问题外延不断扩展,数据安全威胁日益严峻。大数据、云计算、人工智能、区块链等前沿技术加速发展,对数据安全带来全新挑战。世界主要国家和地区认识到数据安全问题的紧迫性和重要性,通过出台国家战略、立法等手段提升本国数据安全保护要求和防护水平。例如美国发布《澄清海外合法使用数据法》《关于加强国家网络安全的行政命令》《防止受关注国家访问美国人的大量敏感个人数据和美国政府相关数据行政令》等相关立法,强化本国数据安全举措和数据出境管理;欧盟《通用数据保护条例》(GDPR)对个人数据保护提出严格要求,《数据治理法》《数据法》《网络团结法》等强化数据安全管理和促进数据再用、流通。 (四)我国持续完善数据安全法律体系 近年来,我国加快推进网络数据安全管理相关立法,在发展和监管实践中不断探索完善网络数据安全管理基础制度。出台数据安全管理、促进数据要素市场建设相关政策文件,为保障国家数据安全、保护个人信息权益和企业商业秘密、激活数据要素潜能提供了重要的制度保障和规则指引。 加快推进数据安全顶层立法。我国以“三法一条例”(《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护 条例》)为核心,基本构建起网络数据安全管理制度体系。2016年出台的《网络安全法》明确了网络运营者需维护网络数据完整性、保密性和可用性的义务,采取数据分类、重要数据备份和加密等措施防止网络数据泄露或者被窃取、篡改,并对关键信息基础设施运营者的数据安全防护义务以及数据境内存储和出境管理进行明确规定。2021年出台的《数据安全法》明确建立数据分类分级保护制度,对重要数据、国家核心数据等强化保护要求,确立了数据安全风险评估、应急处置以及数据安全审查等数据安全基础制度,明确开展数据处理活动的相关主体需履行的数据安全义务。《个人信息保护法》从个人信息保护视角出发,强调个人信息处理者处理个人信息需遵守的法律义务,保障个人信息权益。《关键信息基础设施安全保护条例》明确关键信息基础设施运营者应当强化数据安全保护,建立数据泄露报告机制等数据安全义务。 针对数据安全具体制度出台立法细化制度要求。为进一步落实上位法关于数据安全管理的重点制度,相关部门出台多部部门规章、规范性文件,明确数据安全管理具体要求。为落实数据出境流动管理要求,制定发布《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等,细化数据出境安全评估、个人信息出境标准合同等数据出境制度的具体规则。为细化网络安全审查制度,制定《网络安全审查办法》明确网络安全审查中的数据安全保护具体要求。为落实数据分类分级管理要求,我国制定《工业数据分类分级指南(试行)》《证券期货业数据分类分级指引》等相关立 法和文件,细化具体领域数据分类分级要求。此外,重点行业领域结合本行业领域数据安全管理情况制定行业领域数据安全管理部门规章和规范性文件,例如《汽车数据安全管理若干规定(试行)》《会计师事务所数据安全管理暂行办法》《自然资源领域数据安全管理办法》《工业和信息化领域数据安全管理办法(试行)》《中国银保监会监管数据安全管理办法(试行)》等。 《网络数据安全管理条例》标志着我国数据安全法规体系的进一步完善。2024年8月30日,国务院第40次常务会议通过了《网络数据安全管理条例》。《条例》针对网络数据安全管理的突出问题,在科学总结过往治理经验的同时,兼顾新技术新应用带来的新安全问题,明晰个人信息“告知—同意”规则、重要数据风险评估、个人信息跨境流动条件、网络平台服务提供者第三方安全管理等要求,对强化数据安全和个人信息保护、保障数据要素有序开发利用、促进数字经济健康有序发展具有重要意义。 二、以体系化制度构建全面推进数据安全治理工作 我国《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等相关立法构建起数据安全管理的“四梁八柱”。从制度内容来看,我国数据安全管理制度重点分为四个方面。一是网络数据安全管理一般规定。明确禁止任何个人、组织利用网络数据从事非法活动及提供相应的帮助行为,针对网络数据处理的事前事中事后全流程提出一系列义务要求。二是数据分类分级安全管理制度。构建核心数据、重要数据、个人信息的保护制度。三是明确重要场景、重点领域网络数据管理要求。针对国家机关电子政务系统、关键信息基础设施运营者的场景作出专门规定。在工业和信息化、自然资源、金融等领域出台专门数据安全管理相关规定。四是明确网络平台服务提供者数据安全管理义务,规定其在网络数据安全管理、监督第三方服务等面的义务,强化全链条数据安全保护。 来源:中国信息通信研究院 (一)覆盖全类型网络数据明确安全管理要求 《条例》第二章明确了网络数据安全管理的一般义务,通过禁止性规定划定网络数据处理底线要求,细化网络数据处理事前事中事后的安全保护措施,并与时俱进地提出人工智能等新场景中的网络数据安全保护规则。 1.以一般禁止性规定划定数据安全红线 《条例》第八条明确针对所有主体的、危害网络数据安全的禁止性规定。一是不得利用网络数据从事非法活动,二是禁止窃取或以其他非法方式获取网络数据,三是禁止非法出售或非法向
