*本文為《強(qiáng)監(jiān)管態(tài)勢下企業(yè)數(shù)據(jù)合規(guī)應(yīng)對策略》第一部分���,第二、三部分請見后續(xù)文章�����。
目前�����,中國已形成多層次的網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的法律及監(jiān)管體系�����,企業(yè)需要深刻理解基于風(fēng)險(xiǎn)差異化管理的監(jiān)管邏輯����,搭建動態(tài)符合要求的數(shù)據(jù)合規(guī)體系。
中國對于企業(yè)數(shù)據(jù)業(yè)務(wù)的合規(guī)要求呈現(xiàn)體系化��、全方位、嚴(yán)監(jiān)管的監(jiān)管態(tài)勢����,因此企業(yè)及管理者一旦違反相關(guān)合規(guī)義務(wù),不僅可能涉及行政責(zé)任��、民事責(zé)任��,甚至?xí)媾R嚴(yán)重的刑事責(zé)任����。
企業(yè)在建立適用法律體系基準(zhǔn)和坐標(biāo)認(rèn)知時(shí)�����,應(yīng)在《國家安全法》以及“總體國家安全觀”指引之下���,依賴于《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的基本法律框架�����,在個(gè)人/企業(yè)����、組織/社會和國家安全三個(gè)基本權(quán)益保障層次上,并融合法律��、技術(shù)�、管理等多個(gè)維度,搭建動態(tài)符合監(jiān)管要求的數(shù)據(jù)合規(guī)體系����。
一、中國現(xiàn)階段法律監(jiān)管體系
目前中國網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)的法律體系已初步形成����,包括法律及司法解釋、行政法規(guī)�、部門規(guī)章及規(guī)范性文件、國家及行業(yè)標(biāo)準(zhǔn)等��。具體而言����,主要以《憲法》和《國家安全法》為原則,以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》為核心�,以《民法典》《消費(fèi)者權(quán)益保護(hù)法》《未成年保護(hù)法》《電子商務(wù)法》《刑法》、最高人民法院的配套司法解釋�、《網(wǎng)絡(luò)安全審查辦法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》《數(shù)據(jù)安全管理辦法(征求意見稿)》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》《網(wǎng)絡(luò)安全等級保護(hù)條例(征求意見稿)》《重要數(shù)據(jù)識別指南(征求意見稿)》《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273-2020)、《信息安全技術(shù) 個(gè)人信息安全影響評估指南》(GB/T 39335-2020)等法律法規(guī)��、相關(guān)部門規(guī)章、規(guī)范性文件��、國家標(biāo)準(zhǔn)組成多層次網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的法律及監(jiān)管體系���。
但是���,《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》與《個(gè)人信息保護(hù)法》所關(guān)注的角度各有側(cè)重。在主要規(guī)制網(wǎng)絡(luò)基礎(chǔ)設(shè)施的《網(wǎng)絡(luò)安全法》基礎(chǔ)上���,綜合管理所有數(shù)據(jù)的《數(shù)據(jù)安全法》進(jìn)一步建立了專門針對數(shù)據(jù)的安全保護(hù)制度體系�����,《個(gè)人信息保護(hù)法》則對特定類型的數(shù)據(jù)——個(gè)人信息進(jìn)行了專門規(guī)定,使得在數(shù)據(jù)相關(guān)的概念及規(guī)范要求層面���,不免出現(xiàn)三部法律重疊與交叉的情況�。比如��,繼《網(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)數(shù)據(jù)的定義予以明確�,《數(shù)據(jù)安全法》在法律層面首次對數(shù)據(jù)的概念進(jìn)行了界定,是指任何以電子或者其他方式對信息的記錄��,傳達(dá)了該法對于各類數(shù)據(jù)處理活動的總括適用性。在數(shù)據(jù)概念之下����,基于數(shù)據(jù)本身屬性或所保障的法律價(jià)值不同,又囊括了個(gè)人信息和重要數(shù)據(jù)兩類法律重點(diǎn)關(guān)注的數(shù)據(jù)����。
值得注意的是,國家互聯(lián)網(wǎng)信息辦公室于2021年11月14日發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》(下稱“《條例》”)�����,作為《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的配套行政法規(guī)�����,將對三部法律中規(guī)定的原則性規(guī)范和制度進(jìn)行內(nèi)容和流程方面的細(xì)化規(guī)定�。
《條例》的制定出臺將彌補(bǔ)此前網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)領(lǐng)域法律規(guī)則體系中行政法規(guī)層級制度的缺失,逐步完善“法律-行政法規(guī)-部門規(guī)章����、地方性法規(guī)以及規(guī)范性文件”全位階的法律規(guī)則體系。
二���、中國行業(yè)監(jiān)管主體分析
依照前述中國現(xiàn)有網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)監(jiān)管體系�����,企業(yè)可能面臨國家互聯(lián)網(wǎng)信息辦公室�����、中華人民共和國國家發(fā)展和改革委員會�、中華人民共和國工業(yè)和信息化部、中華人民共和國公安部����、中華人民共和國國家安全部、中華人民共和國財(cái)政部����、中華人民共和國商務(wù)部、中國人民銀行��、國家市場監(jiān)督管理總局����、國家廣播電視總局��、國家保密局���、國家密碼管理局以及中國證券監(jiān)督管理委員會至少13個(gè)主管部門的全方位監(jiān)管���。
企業(yè)需要結(jié)合所處行業(yè)��、現(xiàn)有業(yè)務(wù)模式�、主要業(yè)務(wù)場景����、業(yè)務(wù)運(yùn)營中心所在區(qū)域,重點(diǎn)關(guān)注相關(guān)監(jiān)管主體的監(jiān)管要求和區(qū)域性政策法規(guī)標(biāo)準(zhǔn)��,以適應(yīng)監(jiān)管部門基于針對不同行業(yè)特點(diǎn)的風(fēng)險(xiǎn)差異化管理的監(jiān)管邏輯��,搭建動態(tài)符合監(jiān)管要求的數(shù)據(jù)合規(guī)體系�����。
