2021年9月1日，中国《数据安全法》和《关键信息基础设施安全保护条例》即将正式施行，备受瞩目的《个人信息保护法》也在2021年8月20日经人大常委会表决通过。

这三部法律（条例为法规，本文为方便起见不严谨的统称法律）是继《网络安全法》和《密码法》之后最为重要的网络空间基础性法律，分别从不同的角度共同构筑中国法视域下的网络空间规则体系。

本文对三部法律的主要背景、制度进行评介和适度的横向对照，并尝试从整体上对与之相关的合规遵从影响进行初步探讨。

为何在《网络安全法》之后快速颁布《数据安全法》，是必须回应的首要问题。简单而言，本文认为应当与国内外宏观背景的重大变化有关。一方面，国内外围绕网络空间的立法，在最近五年的时段里难以就新型的风险和威胁做出有效应对，比如剑桥分析事件、勒索攻击事件等等；另一方面，这些纷繁迭出的法律彼此之间冲突加剧，典型的就如美国的云法案，FIRRMA法案引发的各国反制等等。于是各国纷纷开始网络空间立法的“迭代”，比如欧盟数据战略和中国数据要素意见，更尝试通过《全球数据安全倡议》消弭这些冲突，但效果有限。为此，“以我为主”的打造规则体系就成为了一种必然，并要求将目光从纯粹的个人信息、消费者权益、平台责任，跃升到一个统合的高度——数据的高度。

《数据安全法》在适当“弱化”不同数据形式差异的基础上，对如何保障数据安全，提出了十余项具体制度：分级分类制度、重要数据目录制度、数据安全审查制度、数据跨境流动制度、数据出口管制制度、数据反制措施制度、执法数据跨境调取制度、数据交易中介监管制度、政务数据安全保障制度、数据安全检测评估制度、数据安全监测预警制度等等，将早先的“网络安全保护义务”进一步落实到企业主体和数据层面。相应的法律责任也直观的拉升到了1000万元。

客观的讲，《数据安全法》的率先通过，对酝酿多年的《关键信息基础设施安全保护条例》多少造成了尴尬。但两者的错位互补效益仍然非常明显。如果说数据是内容，关键信息基础设施（CII）可以比方成容器。随着网络安全等级保护制度作为基础架构的实践深入，以及公安部1960号文确定了公安机关定位，《数据安全法》和《关键信息基础设施安全保护条例》进一步“融洽”，两者共同形成了对重要网络活动、数据活动的基本规则体系。

同样，《关键信息基础设施安全保护条例》也确立十多项具体的保护制度：关键信息基础设施认定规则、“三同步”制度、运营者网络安全保护制度和责任制、年度网络安全检测和风险评估制度、网络安全审查制度（结合《网络安全审查办法》）、重大网络安全事件管理制度、网络安全信息共享机制和监测预警制度、网络安全事件应急预案制度、保护部门和监管机构网络安全检查检测制度、技术支持和协助机制、安全测试活动规范制度、保障优先和优先保障制度、强制性国家标准制度等。

需要注意的是，《关键信息基础设施安全保护条例》作为《网络安全法》的下位配套制度，法律责任上不能突破《网络安全法》的规定，因此在处罚程度的直观感受上和《数据安全法》有较大差异，容易产生对重中之重的CII的违法后果，反倒不如数据违法的后果严重的感觉。但实际上在基于违法所得、采购金额的倍数罚款上，完全可以超出《网络安全法》规定的100万元上限。

为了便于对三部法律形成直接认识，本文列表对照如下。但读者应知由于三部法律的位阶不一，因此严格讲谈不上不同位阶的对比问题。

DSL：《数据安全法》

CII：《关键信息基础设施安全保护条例》

PIP：《个人信息保护法》

在以上比照外，本文选择性的提出《个人信息保护法》两点关注简要评介。

一是《个人信息保护法》实际上可以整体性的理解为是对《网络安全法》第四章的“放大”和补齐。“隐私计算”（实际上法律的评价更接近于“去标识化”计算）工具、自动化决策是比较鲜明的有别于《网络安全法》基本规定的亮点，而因“自动化决策”产生的诸如“大数据杀熟”等恰恰构成了一个“数据”问题，对这个数据问题的解决又有待于算法审计的实现（算法设计部分取决于数据结构……）。

二是个人信息尽管一般不属于《数据安全法》上的重要数据，但从《网络安全审查办法（修订草案征求意见稿）》规定的“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”，似乎可以推导出100万以上用户个人信息可能构成重要数据的结论。而《汽车数据安全管理若干规定(试行)》更将数额拉低到了10万人（的个人信息）。

因此，《个人信息保护法》《数据安全法》和《关键信息基础设施安全保护条例》三者之间也存在一些因量生变、相互转换的场景，特别是从与公众息息相关的《个人信息保护法》出发，在数据层面模糊个人信息与非个人信息的结构差异，上升到数据要素和数字经济的高度，由此催生的各种化学反应以及最终呈现的丰富面貌，确实值得期待。

在对上述三部法律简要评介的基础上，我们认为有必要对现有的合规策略、方法和控制措施是否仍有效进行初步的探讨。

其一是读者可知，三部法律的部分内容“脱胎于”《网络安全法》这一网络空间的基础性、根本性法律。其规定的网络数据三性（保密性、完整性、可用性）在《数据安全法》《关键信息基础设施安全保护条例》和《个人信息保护法》中仍然有效。

其二是《数据安全法》和《关键信息基础设施安全保护条例》明确了网络安全等级保护制度是构建两部法律规定的基础制度。因此，无论如何讨论合规，等保2.0都是绕不过的基本门槛。而等保的理念，也部分的来源和为风险管理和生命周期管理的基础理论所支持。

第三，在《网络安全法》实施多年后，相应的配套制度、推荐标准和治理思路已经多有成型，《个人信息安全规范》作为《个人信息保护法》遵从的基本标准毋庸置疑（作为对比《常见类型移动互联网应用程序必要个人信息范围规定》则写的简明扼要），CII的标准体系正在围绕《关键信息基础设施网络安全保护基本要求》紧锣密鼓的“自成体系”，金融、医疗等行业也早已在《网络安全法》实施后开始了行业标准的布局。以金融行业为例，不仅有《数据生命周期安全规范》等可以同时“应景”《网络安全法》《数据安全法》的标准，甚至还有《多方安全计算金融应用技术规范》等标准准备“适配”三部法律。

第四，尽管网络安全和风险治理的基本理念相通，方法论可以互相借鉴，但三部法律的各自的特点还是非常鲜明。例如数据分级分类、重要数据目录制度，就不能照搬到CII。同样，个人信息保护法可能增加的比如个人信息的“可携带权”如何合规，也具有完全不同于CII的自身特点。这些都需要从业务的真实场景出发，从设计阶段开始考虑法律遵从的技术实现与法律验证。

最后，概括性的、一劳永逸的合规策略和方法并不存在，因为在“三法”时代，安全仍然是一个动态的、适度的过程，正如《网络安全法》和《数据安全法》的定义（适当抽象）：……安全，是指通过采取必要措施，确保……处于有效保护、可靠运行和合法利用的状态，以及具备保障持续安全状态的能力。