2021年9月1日,中国《数据安全法》和《关键信息基础设施安全保护条例》即将正式施行,备受瞩目的《个人信息保护法》也在2021年8月20日经人大常委会表决通过。
这三部法律(条例为法规,本文为方便起见不严谨的统称法律)是继《网络安全法》和《密码法》之后最为重要的网络空间基础性法律,分别从不同的角度共同构筑中国法视域下的网络空间规则体系。
本文对三部法律的主要背景、制度进行评介和适度的横向对照,并尝试从整体上对与之相关的合规遵从影响进行初步探讨。
01 数据安全法概要
为何在《网络安全法》之后快速颁布《数据安全法》,是必须回应的首要问题。简单而言,本文认为应当与国内外宏观背景的重大变化有关。一方面,国内外围绕网络空间的立法,在最近五年的时段里难以就新型的风险和威胁做出有效应对,比如剑桥分析事件、勒索攻击事件等等;另一方面,这些纷繁迭出的法律彼此之间冲突加剧,典型的就如美国的云法案,FIRRMA法案引发的各国反制等等。于是各国纷纷开始网络空间立法的“迭代”,比如欧盟数据战略和中国数据要素意见,更尝试通过《全球数据安全倡议》消弭这些冲突,但效果有限。为此,“以我为主”的打造规则体系就成为了一种必然,并要求将目光从纯粹的个人信息、消费者权益、平台责任,跃升到一个统合的高度——数据的高度。
《数据安全法》在适当“弱化”不同数据形式差异的基础上,对如何保障数据安全,提出了十余项具体制度:分级分类制度、重要数据目录制度、数据安全审查制度、数据跨境流动制度、数据出口管制制度、数据反制措施制度、执法数据跨境调取制度、数据交易中介监管制度、政务数据安全保障制度、数据安全检测评估制度、数据安全监测预警制度等等,将早先的“网络安全保护义务”进一步落实到企业主体和数据层面。相应的法律责任也直观的拉升到了1000万元。
02 关键信息基础设施安全保护条例摘引
客观的讲,《数据安全法》的率先通过,对酝酿多年的《关键信息基础设施安全保护条例》多少造成了尴尬。但两者的错位互补效益仍然非常明显。如果说数据是内容,关键信息基础设施(CII)可以比方成容器。随着网络安全等级保护制度作为基础架构的实践深入,以及公安部1960号文确定了公安机关定位,《数据安全法》和《关键信息基础设施安全保护条例》进一步“融洽”,两者共同形成了对重要网络活动、数据活动的基本规则体系。
同样,《关键信息基础设施安全保护条例》也确立十多项具体的保护制度:关键信息基础设施认定规则、“三同步”制度、运营者网络安全保护制度和责任制、年度网络安全检测和风险评估制度、网络安全审查制度(结合《网络安全审查办法》)、重大网络安全事件管理制度、网络安全信息共享机制和监测预警制度、网络安全事件应急预案制度、保护部门和监管机构网络安全检查检测制度、技术支持和协助机制、安全测试活动规范制度、保障优先和优先保障制度、强制性国家标准制度等。
需要注意的是,《关键信息基础设施安全保护条例》作为《网络安全法》的下位配套制度,法律责任上不能突破《网络安全法》的规定,因此在处罚程度的直观感受上和《数据安全法》有较大差异,容易产生对重中之重的CII的违法后果,反倒不如数据违法的后果严重的感觉。但实际上在基于违法所得、采购金额的倍数罚款上,完全可以超出《网络安全法》规定的100万元上限。
03 三部法律的直观对照
为了便于对三部法律形成直接认识,本文列表对照如下。但读者应知由于三部法律的位阶不一,因此严格讲谈不上不同位阶的对比问题。
DSL:《数据安全法》
CII:《关键信息基础设施安全保护条例》
PIP:《个人信息保护法》
04 个人信息保护法的其他关注引介
在以上比照外,本文选择性的提出《个人信息保护法》两点关注简要评介。
一是《个人信息保护法》实际上可以整体性的理解为是对《网络安全法》第四章的“放大”和补齐。“隐私计算”(实际上法律的评价更接近于“去标识化”计算)工具、自动化决策是比较鲜明的有别于《网络安全法》基本规定的亮点,而因“自动化决策”产生的诸如“大数据杀熟”等恰恰构成了一个“数据”问题,对这个数据问题的解决又有待于算法审计的实现(算法设计部分取决于数据结构……)。
二是个人信息尽管一般不属于《数据安全法》上的重要数据,但从《网络安全审查办法(修订草案征求意见稿)》规定的“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”,似乎可以推导出100万以上用户个人信息可能构成重要数据的结论。而《汽车数据安全管理若干规定(试行)》更将数额拉低到了10万人(的个人信息)。
因此,《个人信息保护法》《数据安全法》和《关键信息基础设施安全保护条例》三者之间也存在一些因量生变、相互转换的场景,特别是从与公众息息相关的《个人信息保护法》出发,在数据层面模糊个人信息与非个人信息的结构差异,上升到数据要素和数字经济的高度,由此催生的各种化学反应以及最终呈现的丰富面貌,确实值得期待。
05 现有合规体系的“可用性”评价和若干建议
在对上述三部法律简要评介的基础上,我们认为有必要对现有的合规策略、方法和控制措施是否仍有效进行初步的探讨。
其一是读者可知,三部法律的部分内容“脱胎于”《网络安全法》这一网络空间的基础性、根本性法律。其规定的网络数据三性(保密性、完整性、可用性)在《数据安全法》《关键信息基础设施安全保护条例》和《个人信息保护法》中仍然有效。
其二是《数据安全法》和《关键信息基础设施安全保护条例》明确了网络安全等级保护制度是构建两部法律规定的基础制度。因此,无论如何讨论合规,等保2.0都是绕不过的基本门槛。而等保的理念,也部分的来源和为风险管理和生命周期管理的基础理论所支持。
第三,在《网络安全法》实施多年后,相应的配套制度、推荐标准和治理思路已经多有成型,《个人信息安全规范》作为《个人信息保护法》遵从的基本标准毋庸置疑(作为对比《常见类型移动互联网应用程序必要个人信息范围规定》则写的简明扼要),CII的标准体系正在围绕《关键信息基础设施网络安全保护基本要求》紧锣密鼓的“自成体系”,金融、医疗等行业也早已在《网络安全法》实施后开始了行业标准的布局。以金融行业为例,不仅有《数据生命周期安全规范》等可以同时“应景”《网络安全法》《数据安全法》的标准,甚至还有《多方安全计算金融应用技术规范》等标准准备“适配”三部法律。
第四,尽管网络安全和风险治理的基本理念相通,方法论可以互相借鉴,但三部法律的各自的特点还是非常鲜明。例如数据分级分类、重要数据目录制度,就不能照搬到CII。同样,个人信息保护法可能增加的比如个人信息的“可携带权”如何合规,也具有完全不同于CII的自身特点。这些都需要从业务的真实场景出发,从设计阶段开始考虑法律遵从的技术实现与法律验证。
最后,概括性的、一劳永逸的合规策略和方法并不存在,因为在“三法”时代,安全仍然是一个动态的、适度的过程,正如《网络安全法》和《数据安全法》的定义(适当抽象):……安全,是指通过采取必要措施,确保……处于有效保护、可靠运行和合法利用的状态,以及具备保障持续安全状态的能力。
● 文章作者
原浩
江苏竹辉律师事务所合伙人,西安交通大学经济学/法学学士,法学硕士。CISSP(2007-2010)。
CSA大中华区隐私与个人信息保护法律工作组组长。为中华全国律师协会网络与高新技术法律专业委员会研讨员、中国信息安全法律大会专家委员会副秘书长委员、数字丝路安全智库专家、江苏省信息网络安全协会法律专家、西交苏州信息安全法学所研究员。
参编/著有《软件安全开发生命周期》《中国律师业务报告》(电子商务部分)《网络安全法适用指南》《互联网内容安全管理》《中国网络安全法治研究:合规卷》《安全使用密码技术的法律规定》等。