杏彩体育中国网络空间治理顶层法律框架与合规体系 网络安全与数据合规

　　杏彩体育当前互联网时代背景下，《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）和《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）的陆续出台与实施，共同构建起中国网络空间治理数据合规的顶层设计，是数据保护领域的三层法律框架，这一系列法律的出台和实施，标志着我国网络安全和数据合规法律监管体系的日益完善，标志着中国网络法治建设迈上新台阶。彰显了中国在网络安全和数据保护领域的决心和行动力，是“总体国家安全观”的理念的体现。

　　（一）《网络安全法》于2017年6月1日生效并开始实施，是中国第一部全面规范网络空间安全管理的基础性法律，该法旨在保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展。网络安全法是构筑网络安全的基础，为网络空间的整体安全有序发展奠定了法律基础， 确立了网络安全法的基本原则。 与《网络安全审查办法》《关键信息基础设施安全保护条例》等配套规定共同构建了网络空间的合规框架。

　　网络安全是指通过采取必要技术和管理措施，防范对网络的攻击、侵入、干扰、破坏、数据泄露、篡改及损毁等风险，保障网络稳定安全运行。以及保障网络数据完整性、可用性、保密性的能力。

　　● 网络空间主权原则：网络空间主权是国家主权在网络空间的延伸，维护国家网络空间主权，确保国家对网络空间的最高管辖权，建立健全国家网络安全保障体系尤为重要。

　　● 网络安全与信息化发展并重原则：习指出，安全是发展的前提，发展是安全的保障，二者需同步推进。既要努力推进网络基础设施建设与发展，网络技术创新与应用，又要加强网络安全保障体系的建立与完善，真正做到“双轮驱动、两翼齐飞”。

　　● 共同治理原则：网络安全需要政府、企业、社会组织、技术社群和公民等共同参与。《网络安全法》坚持共同治理原则，要求采取措施鼓励全社会积极共同参与，政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作中，增强全社会的网络安全意识和防护技能。

　　● 网络运营者的安全义务：网络运营者必须采取技术措施和其他必要措施，保障网络产品和服务的安全和稳定运行，保障网络数据的完整性、可用性、保密性，有效应对网络安全事件。对违反网络运行安全保护义务或导致危害网络运行安全等后果的行为，规定了行政处罚种类和幅度。

　　● 个人信息保护：强调建立健全用户个人信息的保护制度，对个人信息的收集、使用及保护要严格界定边界，不得以任何方式泄露、篡改、毁损用户个人信息，要求在境内运营收集或产生的个人信息/重要数据应在境内存储。对侵害个人信息权利的行为，规定了责令改正、没收违法所得、罚款等处罚措施。

　　● 关键信息基础设施保护：明确了关键信息基础设施的保护要求，网络运营者需履行相应的安全保护义务。进一步完善了关键信息基础设施运营者违法行为的行政处罚规定。

　　● 网络安全违法行为处罚：建立健全网络安全监测预警及应急处置机制，及时消除网络安全隐患，保障网络安全稳定运行，对从事危害网络安全活动、提供相关程序工具、为他人提供技术支持等行为，规定了没收违法所得、拘留、罚款等处罚。

　　（二）《数据安全法》于2021年9月1日起施行，则搭建数据安全的基础，强调数据安全的保护，尤其注重重要数据和国家核心数据的保护，规制对象“数据”的载体不仅限于网络数据杏彩体育。是中国首部全面规范数据安全领域的专门法律。

　　根据《数据安全法》第三条之规定，数据是指任何以电子或者其他方式对信息的记录，数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力

　　● 数据安全与发展并重：在保障数据安全的同时，促进数据的合理利用和发展。

　　● 建立数据分类分级保护制度、数据安全审查制度、数据安全应急处理机制等。

　　● 对数据处理者在数据采集、存储、加工、使用、提供、传输、公开等环节提出安全要求。

　　（三）《个人信息保护法》于2021年11月1日起施行，是中国首部国家级数据隐私法，基于《网络安全法》和《数据安全法》，部分借鉴了欧盟的《通用数据保护条例》(GDPR)。

　　侧重于个人信息处理准则和保护边界的细化，注重对个人信息的保护，对个人信息保护的全生命周期作出细致且全面的规定。

　　个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。其中“匿名化”是指个人信息经过处理无法识别特定自然人且不能复原的过程。

　　● 透明度原则：个人信息处理活动应当公开透明，处理规则应当明确、易于获取。

　　● 要求企业制定应对数据泄露的计划，违规将面临罚款、业务限制等严厉处罚。

　　综上，《网络安全法》《数据安全法》和《个人信息保护法》相互衔接，共同构建了中国网络空间治理的顶层法律框架和合规法治体系。是我国网络安全与数据保护领域合规监管体系的基础性法律杏彩体育。同时，中国政府还出台了一系列配套法规，如《网络安全审查办法》《关键信息基础设施安全保护条例》《数据出境安全评估办法》等，从网络层、软件层、数据层多维度全方位加强网络空间法治合规治理。

　　根据《网络安全法》的规定，网络运营者是指网络的所有者、管理者和网络服务提供者。《网络安全法》对网络运营者进行了框架性规定，而根据目前在实践中的理解，网络运营者既包括任何利用网络媒介提供服务的主体，也包括电商平台、网约车等以网络在线业务为主业的互联网企业，还包括因业务延伸而借助网络的传统线下企业。

　　根据《网络安全法》的规定，关键信息基础设施涵盖公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。《关键信息基础设施安全保护条例》（国务院发布，2021年9月1日生效）对关键信息基础设施的定义也采取开放式列举方式，但在《网络安全法》的基础上增加了“国防科技工业”类别。根据《网络安全法》《数据安全法》等规定，构成关键信息基础设施的，关键信息基础设施运营者应遵守更为严格的监管措施，例如，通过网络安全审查，签署安全保密协议，原则上在境内存储在境内收集的个人信息，以及重要数据应在境内存储、进行检测评估等。

　　2021年8月24日，公安部网络安全保卫局局长王瑛玮在国务院举行的政策例行吹风会上表示认定关键信息基础设施的核心标准，主要考虑三个方面的因素：一是网络设施、信息系统等对本行业、本领域关键核心业务起到基础支撑作用。二是网络设施、信息系统等一旦遭到破坏，丧失功能或者数据泄露，可能严重危害国家安全、国计民生和公共利益。三是对其他行业和领域具有重要关联性影响。这将为关键信息基础设施保护工作部门结合本行业、本领域实际，制定关键信息基础设施的认定规则，报国务院公安部门备案，并根据认定规则，组织本行业、本领域的关键信息基础设施认定提供指引。

　　《网络安全法》中对“网络数据”的定义为通过网络收集、存储、传输、处理和产生的各种电子数据。《数据安全法》中对“数据”的定义为任何以电子或者其他方式对信息的记录。由此可见，《网络安全法》中对“网络数据”的定义更注重以网络这种载体表现出来的数据形式，而《数据安全法》中“数据”并不局限于载体方式，而更加注重展现形式，即对信息的记录，因此，可以预见的是《数据安全法》基本可以涵盖企业生产、经营和管理各方面所产生的信息记录。

　　《数据安全法》建立了数据分类分级保护制度，要求有关部门制定重要数据目录，加强对重要数据的保护，但《数据安全法》并未明确规定什么构成重要数据。一些特定行业的部门规章对重要数据作出了具体定义，例如：《信息安全技术数据出境安全评估指南（征求意见稿）》（全国信息安全标准化技术委员会发布，2017年8月30日生效）规定重要数据是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据（包括原始数据和衍生数据），并在附录中对27个重点行业涉及的重要数据分别作出概括性列举；《汽车数据安全管理若干规定（征求意见稿）》（国家互联网信息办公室，2021年5月12日生效）则明确该规定所称重要数据包括：（一）军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据；（二）高于国家公开发布地图精度的测绘数据；（三）汽车充电网的运行数据；（四）道路上车辆类型、车辆流量等数据；（五）包含人脸、声音、车牌等的车外音视频数据；（六）国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据；《信息安全技术重要数据识别指南（征求意见稿）》（国家市场监督管理总局中国国家标准化管理委员会发布，2021年9月23日生效）明确重要数据是指即以电子方式存在的，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据，且重要数据不包括国家秘密和个人信息，但是基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。由此可见，对于什么数据构成重要数据目前尚无框架性的规定，而多由各行业主管部门自行制订，企业在判断重要数据构成时还需参考所属行业的规定。

　　《个人信息保护法》规定个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，但不包括匿名化处理后的信息。《个人信息保护法》项下的个人信息不仅包括已识别的信息，还包括可识别的信息，确立了“识别+关联”的判断路径。《个人信息保护法》对个人信息的界定相比以往法律法规更加宽泛，例如，《网络安全法》和《民法典》均规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息；《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

　　《网络安全法》《数据安全法》和《个人信息保护法》通过一系列特殊机制设计，保障了中国网络空间的整体安全。这些机制包括网络安全事件报告机制、数据分类分级保护机制、数据安全审查机制、个人信息保护影响评估机制等，形成了一个全面、系统的网络空间治理体系，为国家安全和社会稳定提供了坚实的法律保障杏彩体育。

　　2024年，伴随着《网络安全法》《数据安全法》和《个人信息保护法》深入实施，以及人工智能监管全面启动，网络安全与数据合规将从“形式合规”逐渐转向 “实质合规”。对于企业而言，正面临着更加严格的数据保护和网络安全要求，积极主动做好网络安全与数据合规建设落地的准备，并及时开展合规自查，建立健全本企业风险预警机制显得尤为重要。我们也将肩负起网络法治建设者的责任。共同迎接数字经济的腾飞，助力企业蓬勃发展。

　　本专栏下一期也将带来最新的立法动态与相关资讯的解读，相信会有更多有价值的见解和指导，让我们一起见证并努力推动网络安全与数据合规领域的进步。敬请期待！