1.1.2 数据安全方面的法律法规_数据安全与流通：技术、架构与实践-QQ阅读男生武侠网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

1.1.2 数据安全方面的法律法规

我国在数据安全方面陆续推出了系列法律法规及标准规范，逐步建立了以《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）为统领，专项法律、行政法规、部门规章为支撑，标准规范文件为配套的制度体系，见表1-1。

表1-1 数据安全方面的法律法规

自2017年6月起施行的《网络安全法》强调了对基础设施及个人信息的保护，提出最少够用的管理原则，增设数据泄露通知、个人删除权等规定，并对个人信息做出了境内存储及出境评估的规定。《网络安全法》是我国第一部关于网络安全的整体立法。该法是为了规范互联网全网体系而制定的法律，维护了网络数据的完整性、保密性、可用性，防止了网络数据的泄露等，对专门用于危害网络安全的工具、程序做出了规定。虽然大部分是原则性的规定，但是仍然为接下来的数据安全立法奠定了基础。

自2021年9月起施行的《数据安全法》是数据安全管理的基本法律，重点关注了数据安全保护和监管，为规范网络空间不同主体的行为提供了法律依据。自2021年11月起施行的《个人信息保护法》，其相关条款明确提及了“处理任何个人信息都必须得到用户同意”“这种同意必须在个人充分知情的情况下，自愿且明确作出”“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”等要求。同时《中华人民共和国刑法修正案（九）》《中华人民共和国民法总则》《中华人民共和国电子商务法》等专项法规从不同维度细化了数据安全管理要求，重点突出了个人信息保护、数据出境相关内容，补充完善了我国数据安全管理框架。

为落实《网络安全法》《数据安全法》《个人信息保护法》等法律关于数据安全管理的规定，规范网络数据处理活动，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益，国家互联网信息办公室于2021年11月14日发布《网络数据安全管理条例（征求意见稿）》（以下简称《意见稿》），向社会公开征求意见。《意见稿》第四十六条规定，互联网平台运营者不得利用数据以及平台规则等从事以下活动：利用平台收集掌握的用户数据，无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为；利用平台收集掌握的经营者数据，在产品推广中实行最低价销售等损害公平竞争的行为；利用数据误导、欺诈、胁迫用户，损害用户对其数据被处理的决定权，违背用户意愿处理用户数据；在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍，限制平台上的中小企业公平获取平台产生的行业、市场数据等，阻碍市场创新。

地方层面，有代表性的是于2022年1月起施行的国内数据领域首部地方综合性立法《深圳经济特区数据条例》，其规定：数据处理者应当对其数据处理全流程进行记录，保障数据来源合法以及处理全流程清晰、可追溯；对敏感个人数据和国家规定的重要数据还应当采取加密存储、授权访问或者其他更加严格的安全保护措施；数据处理者应当对数据处理过程实施安全技术防护，并建立重要系统和核心数据的容灾备份制度；数据处理者向境外提供个人数据或者国家规定的重要数据，应当按照有关规定申请数据出境安全评估，进行国家安全审查。

《上海市数据条例》规定：本市实行数据安全责任制，数据处理者是数据安全责任主体；加强本地区数据安全风险信息的获取、分析、研判、预警工作；建立健全数据分类分级保护制度，推动本地区数据安全治理工作；重要数据处理者应当明确数据安全责任人和管理机构，按照规定定期对其数据处理活动开展风险评估，并依法向有关主管部门报送风险评估报告。

对于重要行业，如汽车领域，自2021年10月起施行的《汽车数据安全管理若干规定（试行）》规定，在中华人民共和国境内开展汽车数据处理活动及其安全监管；本规定所称汽车数据，包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据；国家鼓励汽车数据依法合理有效利用，倡导汽车数据处理者在开展汽车数据处理活动中坚持：车内处理原则、默认不收集原则、精度范围适用原则、脱敏处理原则；重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。

金融领域，2021年12月全国金融标准化技术委员会发布的《金融数据安全数据安全评估规范（征求意见稿）》规定了金融数据安全评估触发条件、原则、参与方、内容、流程及方法，明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域及其安全评估主要内容和方法。该标准适用于金融业机构开展金融数据安全评估使用，并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。

医疗领域，2018年7月卫健委发布《国家健康医疗大数据标准、安全和服务管理办法（试行）》，其规定：健康医疗大数据安全管理是指在数据收集、存储、挖掘、应用、运营、传输等多个环节中的安全和管理，包括国家战略安全、群众生命安全、个人信息安全的权责管理工作；责任单位应当采取数据分类、重要数据备份、加密认证等措施保障健康医疗大数据安全；责任单位应当按照国家网络安全等级保护制度要求，构建可信的网络安全环境，加强健康医疗大数据相关系统安全保障体系建设；责任单位应当依法依规使用健康医疗大数据有关信息，提供安全的信息查询和复制渠道，确保公民隐私保护和数据安全；责任单位应当建立严格的电子实名认证和数据访问控制，规范数据接入、使用和销毁过程的痕迹管理，确保健康医疗大数据访问行为可管、可控及服务管理全程留痕，可查询、可追溯，对任何数据泄密泄露事故及风险可追溯到相关责任单位和责任人。