二、重要監管部門職能概述
大數據時代,在推動國家治理體系和治理能力現代化的過程中,數據安全已嵌入所有行業與領域,最為傳統的農業、建筑業也有了相當高的數字化水平。因此除國家數據局對數據經濟發展事項進行歸口管理外,網信部門、工信部門、公安部門、國安部門負責多領域的數據安全監管工作外,每一行業、每一領域的主管部門對本領域的數據處理活動進行合規監管,防止數據丟失、毀損、泄露和篡改。受限于篇幅,本書無法對所有行業主管部門的數據安全監管職能一一進行介紹,僅就國家數據局和《數據安全法》第六條提及的行業主管部門之監管職能展開探討。
(一)國家數據局
根據《國務院機構改革方案》,國家數據局由國家發改委進行管理,將原中央網信辦承擔的研究擬訂數字中國建設方案、協調推動公共服務和社會治理信息化、協調促進智慧城市建設、協調國家重要信息資源開發利用與共享、推動信息資源跨行業跨部門互聯互通等職責,國家發改委承擔的統籌推進數字經濟發展、組織實施國家大數據戰略、推進數據要素基礎制度建設、推進數字基礎設施布局建設等職責劃入國家數據局。
國家數據局的主要任務是推動數字經濟的發展,建設數據基礎制度,并不直接承擔數據安全監管職責。但安全與發展是息息相關的,數字經濟的發展,數據基礎制度的構建離不開安全的數據環境,有學者指出,國家數據局成立后,我國可能形成“宏觀發展—安全監管—具體領域”的“1+1+n”三元協同治理格局。具體而言,其中第一個“1”代表國家數據局負責數據宏觀發展職責,第二個“1”代表國家網信部門負責數據安全和個人信息保護方面監管職責,而“n”代表了各領域主管部門在對應領域內的數據管理職權。國家數據局主要負責數據基礎制度、基礎設施與基礎性規劃的統籌設計與建設,既不涉及數據安全的監管,也不涉及對某一具體行業與領域的治理,其核心特征是基礎性與宏觀性。換言之,國家數據局的職權范圍具有一般性和基礎性,可以對各個領域與行業普遍產生影響,例如,國家數據局負責的數據基礎制度,未來將是各個領域均應遵守的基礎制度。[16]
(二)網信部門
網信部門在中央層面包括“中共中央網絡安全和信息化委員會辦公室”和中華人民共和國國家互聯網信息辦公室,前者前身是“中央網絡安全和信息化領導小組”,在2018年根據中共中央印發的《深化黨和國家機構改革方案》改為中共中央網絡安全和信息化委員會,并設立中央網信辦作為其辦事機構。后者于2011年經國務院批準設立,“國家網信辦和中央網信辦,一個機構兩塊牌子,列入中共中央直屬機構序列”。[17]
根據《數據安全法》第六條、《網絡安全法》第八條和《個人信息保護法》第六十條的規定,國家網信部門同時負責統籌協調數據安全、網絡安全、個人信息保護工作和相關監督管理工作,在數據安全監管體系中居于核心地位。除統籌協調外,網信部門還主要負責以下幾項數據安全監管工作:
一是數據出境監管。數據跨境傳輸帶來的數據安全風險不言而喻,不論是境外數據處理者的不當數據處理活動,數據在跨境傳輸過程中泄露,還是境外政府對出境數據未經允許的處理都可能給數據安全與國家安全帶來威脅。網信部門作為數據安全領域最主要的監管機構,必須履行對出境數據的監管義務。具體而言,網信部門需要會同國務院有關部門制定重要數據的出境安全管理辦法;為企業制定數據跨境傳輸的標準合同,并組織數據跨境傳輸安全評估;當發現存在來源于中華人民共和國境外的法律、行政法規禁止發布或者傳輸的信息時,應要求網絡運營者停止傳輸,采取消除等處置措施,保存有關記錄,并通知有關機構采取技術措施和其他必要措施阻斷傳播;若在執法過程中發現,存在侵害國家安全、公共利益或公民個人信息權益的境外組織或個人,應將這些實體列入限制或者禁止個人信息提供清單,予以公告,限制或者禁止境內企業向其傳輸數據。
二是關鍵信息基礎設施與網絡安全設備的安全認證與安全審查。數據安全、網絡安全的保障離不開網絡硬件環境的安全,因此,網信部門需要會同國務院有關部門,制定、公布網絡關鍵設備和網絡安全專用產品目錄,并推動安全認證和安全檢測結果互認。在網絡安全設備中,關鍵信息基礎設施關系國計民生,其采購的網絡產品與服務需要經過更為嚴格的安全審查,而且網信部門還需統籌協調有關部門,采取多種措施,對關鍵信息基礎設施進行安全保護。
三是推動建立健全數據安全保護機制。網信部門需推動建立健全網絡安全風險評估和應急工作機制,制訂網絡安全事件應急預案,并定期組織演練,按照規定統一發布網絡安全監測預警信息。
2022年,網信系統進一步加大執法力度,依法查處各類違法違規案件,取得顯著成效。據統計,全國網信系統全年累計依法約談網站平臺8608家,警告6767家,關閉違法網站25233家,移送相關案件線索11229件。[18]
(三)工信部門
工信部門是指中華人民共和國工業和信息化部,是根據2008年3月11日公布的國務院機構改革方案,在原國防科工委、信息產業部和國務院信息辦的基礎上組建的國務院部門,是我國工業和電信領域的主管機構。工業和信息化部的數據安全監管職能主要由內設的網絡安全管理局承擔,具體而言,網絡安全管理局承擔電信和互聯網行業網絡安全審查相關工作,組織推動電信網、互聯網安全自主可控工作;指導督促電信企業和互聯網企業落實網絡與信息安全管理責任,配合打擊網絡犯罪和防范網絡失泄密;擬訂電信網、互聯網網絡安全防護政策并組織實施;承擔電信網、互聯網網絡與信息安全監測預警、威脅治理、信息通報和應急管理與處置;承擔電信網、互聯網網絡數據和用戶信息安全保護管理工作。[19]當收到組織和個人有關危害網絡安全行為的舉報時,工信部門應當及時依法作出處理;不屬于本部門職責的,應當及時移送有權處理的部門。在數據安全保護問題上,工業和信息化部提出要重點整治企業在數據收集、傳輸、存儲及對外提供等環節,未按要求采取必要的管理和技術措施等問題,包括數據傳輸時未對敏感信息加密、向第三方提供數據前未征得用戶同意等場景。[20]
在關鍵信息基礎設施安全保護工作中,工信部門應當根據保護工作部門的需要,及時提供技術支持和協助。任何組織和個人對基礎電信網絡實施漏洞探測、滲透性測試等活動,都應事先向工信部門報告并取得批準。在電信領域關鍵信息基礎設施安全運行的情況下,若其他行業和領域的關鍵信息基礎設施安全遭到沖擊,工信部門應提供重點保障。
(四)公安部門、國家安全部門
公安部門與國家安全部門在數據安全監管領域扮演著雙重角色。一方面,在數據安全、網絡安全深度嵌入公共安全、國家安全,已形成密不可分統一體的情況下,作為安全部門的公安部門與國家安全部門在數據安全監管問題上需承擔更多的行政監管職責;另一方面,當出現嚴重危及數據安全、網絡安全犯罪活動時,應進行刑事偵查。
在行政監管領域,公安機關、國家安全機關依據各自職責依法加強關鍵信息基礎設施安全保衛,防范打擊針對和利用關鍵信息基礎設施實施的違法犯罪活動。任何個人和組織開展對關鍵信息基礎設施實施漏洞探測、滲透性測試等可能影響或者危害關鍵信息基礎設施安全的活動,均需經過公安部門批準。收到任何個人和組織有關數據安全、網絡安全舉報的,公安機關或國家安全機關應當及時依法做出處理,不屬于本部門職責的,應當及時移送有權處理的部門。任何個人和組織從事危害網絡安全的活動,或者提供專門用于從事危害網絡安全活動的程序、工具,或者為他人從事危害網絡安全的活動提供技術支持、廣告推廣、支付結算等幫助,或者設立用于實施違法犯罪活動的網站、通訊群組,或者利用網絡發布涉及實施違法犯罪活動的信息,尚不構成犯罪的,由公安機關沒收違法所得,并根據情節輕重,處以行政拘留和罰款。
在刑事領域,公安機關主要負責侵犯公民個人信息案件,非法侵入計算機信息系統案件,非法獲取計算機信息系統數據案件,非法控制計算機信息系統案件,提供侵入、非法控制計算機信息系統程序、工具案件,破壞計算機信息系統案件,拒不履行信息網絡安全管理義務案件,非法利用信息網絡安全案件和幫助信息網絡犯罪活動案件的偵查。國家安全機關主要負責通過竊取重要數據、攻擊國防領域數據等方式進行的危害國家安全案件的偵查。
考慮到公安機關和國家安全機關工作的特殊性,《數據安全法》《網絡安全法》《個人信息保護法》等法律規定了行刑銜接和職能保障機制。履行個人信息保護職責的部門在履行職責中,發現違法處理個人信息涉嫌犯罪的,應當及時移送公安機關依法處理。公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據或者對關鍵信息基礎設施進行網絡安全檢查時,有關組織、個人應當予以配合,并提供技術支持和協助。拒不提供技術支持和協助的,由有關主管部門責令改正或處以罰款。
(五)交通主管部門
隨著大數據產業的蓬勃發展,網約車已成為人們生活的一部分,自動駕駛技術也越發成熟。基于這一背景,交通運輸部在《交通運輸信息化“十三五”發展規劃》中提出“沒有信息化,就沒有交通運輸現代化”。信息化是實現智慧交通的重要載體和手段,智慧交通是交通運輸信息化發展的方向和目標。無論是公路領域的動態監測數據、收費數據,還是水路領域的港口運行數據、船舶位置數據,抑或是城市交通領域的車輛通行數據、流量監測數據,民航、鐵路領域的旅客數據、購票數據,郵政領域的包裹數據、物流數據,出行領域的用戶數據、行程數據等,共同形成了交通運輸領域的大數據資源。不難發現,交通領域的數據來源眾多、數量極大,且對于實時性的要求也較高,同樣地,交通領域的數據安全也面臨極大的風險,且交通領域的系統數據一旦受到攻擊,輕則導致交通擁堵,重則引發大范圍交通事故,導致大量人員傷亡。因此,《網絡安全法》第三十一條也明確將交通領域的數據安全保護納入可能危及國家安全、國計民生、公共利益的關鍵信息基礎設施的重點保護領域。考慮到交通領域以交通工具為核心的監管特點,交通主管部門一般將權限下放至各地區而非進行統一管理。交通運輸部下發的《網絡預約出租汽車監管信息交互平臺運行管理辦法》中規定,各地交通運輸主管部門應對網絡安全實施等級保護,及時整改數據安全風險漏洞以防數據信息泄露、毀損或丟失,并且也鼓勵聯合監管、數據共享的高效模式。
交通領域數據安全監管的另一特點是與其他領域緊密結合,因此交通主管部門經常與其他部門合作對數據安全進行監管。交通運輸部印發的《交通運輸政務數據共享管理辦法》中第四條明確提到了對于交通運輸政務數據的職責劃分問題,其中科技主管部門要負責管理、監督和評估政務數據共享工作,組織管理交通運輸政務數據目錄編制工作,組織推進數據共享交換平臺政務數據接入,組織開展相關制度文件、標準規范的制修訂和宣貫實施,監督部門共享平臺的運行。交通運輸部、工業和信息化部、公安部、商務部、國家工商總局、國家質檢總局、國家互聯網信息辦公室共同發布的《網絡預約出租汽車經營服務管理暫行辦法》第二十九條至第三十三條更是進一步對各部門的監管職責進行了詳細明確的規定:首先,出租車行政主管部門應當加強對網約車的市場監管,并應當協同政府部門共同完成車輛和駕駛員基本信息、服務質量、乘客評價信息、服務質量測評結果、乘客投訴處理情況、運營和交易等數據監督管理;其次,通信主管部門和公安、網信部門應當按照各自職責,對非法收集、存儲、處理和利用個人信息的行為依法監督、處置;最后,發展改革、價格、通信、公安、人力資源社會保障、商務、人民銀行、稅務、工商、質檢、網信等部門按照各自職責,對網約車經營行為實施相關監督檢查,并對違法行為依法處理。
(六)金融主管部門
金融領域涉及社會經濟層面的大量數據,如客戶身份數據、交易數據、消費數據。金融數據不僅因其高度敏感性與私密而與個人人身、財產權益密切相關,而且一旦金融領域的關鍵信息基礎設施遭到破壞,導致功能喪失或者數據泄露,就可能嚴重危害到國家安全、公共利益,因此對于金融領域的數據網絡安全必須進行重點保護。金融業的數據化水平在所有行業中名列前茅,銀行業、保險業、證券業和征信業四大主要的金融領域均已實現數字化,因此也面臨多樣化的數據安全風險,如銀行業面臨賬戶被竊取風險、保險業面臨保險人身體健康數據泄露風險、證券業面臨交易偏好數據泄露風險、征信業面臨征信數據被篡改風險。2006年修正的《銀行業監督管理法》第三十四條規定,銀行業監督管理機構根據審慎監管的要求,可以檢查銀行業金融機構運用電子計算機管理業務數據的系統,以確保金融數據安全。
為更好地應對金融領域的數據安全風險,作為金融主管部門的中國人民銀行、中國銀行保險監督管理委員會、中國證券監督管理委員會先后單獨或與其他行業主管部門一同發布了《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》《關于促進互聯網金融健康發展的指導意見》《中國人民銀行金融消費者權益保護實施辦法》《銀行業金融機構數據治理指引》等規范性文件。其中,2015年7月中國人民銀行等十部門出臺的《關于促進互聯網金融健康發展的指導意見》(銀發〔2015〕221號)第二條明確提出:“加強互聯網金融監管,是促進互聯網金融健康發展的內在要求。同時,互聯網金融是新生事物和新興業態,要制定適度寬松的監管政策,為互聯網金融創新留有余地和空間。通過鼓勵創新和加強監管相互支撐,促進互聯網金融健康發展,更好地服務實體經濟。互聯網金融監管應遵循‘依法監管、適度監管、分類監管、協同監管、創新監管’的原則,科學合理界定各業態的業務邊界及準入條件,落實監管責任,明確風險底線,保護合法經營,堅決打擊違法和違規行為。”《銀行業金融機構數據治理指引》則設專章對網絡金融數據安全的治理作出了詳細規定,銀行業監督管理機構應當通過非現場監管和現場檢查對銀行業金融機構數據治理情況進行持續監管。在監管中,可根據實際情況要求銀行業金融機構通過內部審計機構或委托外部審計機構對其數據治理情況進行審計,并及時報送審計報告。對數據治理不滿足相關法律法規或者審慎經營規則要求的銀行業金融機構,銀行業監督管理機構可要求其制訂整改方案,責令限期改正,將數據治理與公司治理評價結果或監管評級掛鉤或采取其他行政處罰措施。
(七)自然資源主管部門
為了更好地開發與保護自然資源,自然資源主管部門依托信息技術,對土地、礦產、森林、草原、海洋等自然資源開展了系統的統計與數據化工程。自然資源部網站上設立了專門的數據服務欄目,在欄目下發布了第三次全國國土調查主要數據公報、中國礦產資源報告、全國礦產地數據庫等諸多與自然資源相關的數據化報告。除了這些能夠公開,并且積極鼓勵科研機構、企業進行利用的數據外,自然資源領域還包含大量涉及國家秘密的數據,如地圖數據、特定導航數據、特殊測繪數據、重點目標地理信息等涉及地理信息的數據,以及水利、地震、氣象、環保檢測等方面的數據。這些數據均屬于重要數據甚至核心數據,一旦泄露將對國家安全造成巨大影響,因此必須由自然資源主管部門對此類數據進行嚴格監管。例如,為保障國家安全,所有的電子地圖、導航設備,都需要加入國家保密插件。地圖公司測繪地圖,測繪完成后,送到國家測繪局,將真實坐標的電子地圖進行加密,這樣的地圖才是可以出版和發布的,然后才可以讓GPS公司處理。若真實的測繪數據被泄露,敵對國家便可通過獲取少數控制點的精準坐標,結合衛星遙感找到同名控制點,對影像進行糾正,從而獲得可直接用于導彈制導的矢量地圖數據,對重要軍事基地、國家政府所在地實施精準轟炸。因此,自然資源主管部門將自然資源與地理數據測繪,以及國家地理數據安全保密作為其核心任務之一。自然資源部監督管理民用測繪航空攝影與衛星遙感,擬訂測繪行業管理政策,監督管理測繪活動、質量,管理測繪資質資格,審批外國組織、個人來華測繪,并負責審核國家重要地理信息數據與地圖管理,審查向社會公開的地圖,監督互聯網地圖服務,提供地理信息應急保障,指導監督地理信息公共服務。
(八)衛生健康主管部門
衛生健康領域包含大量的重要數據,如基因數據、遺傳資源等非公開的人口普查相關數據,以及涉及國家戰略安全的藥品在審批過程中提交的藥品實驗數據、各種醫療信息、《醫療器械分類規則》中第二類和第三類醫療器械臨床實驗數據等。我國的健康醫療領域數據量巨大,目前全國已有20多個省市申請了醫療健康大數據中心或產業園,醫療健康行業大數據占國內大數據市場規模的比重約為20%。[21]隨著“互聯網+”的發展,網上問診、網上醫院不斷發展,其中隱含著泄露患者隱私、個人敏感數據的風險,同時醫療大數據也屬于國家重要的基礎性戰略資源,因此相關監管部門對于健康數據的收集、存儲、使用、共享、公開等過程應實行全方位、全流程監管,包括事前監管互聯網醫療數據的收集是否遵循合法、正當、必要的原則,有沒有對收集、使用的規則進行公開,明確告知手機用戶收集、使用信息的目的、方式和范圍,是否征得用戶同意。此外,醫療數據中存在許多涉及個人隱私的敏感數據,應當監管相關組織對數據進行分類、分級、脫敏處理,嚴格落實最小化使用規則。
2018年國務院辦公廳印發的《關于促進“互聯網+醫療健康”發展的意見》(國辦發〔2018〕26號)第三部分明確規定了加強行業監管和安全保障,由國家衛生健康委員會聯合國家互聯網信息辦公室等部門負責健全相關機構準入標準,加強事中事后監管,確保醫療健康服務質量和安全;監管互聯網醫療健康服務平臺等第三方機構提供服務人員的資質符合有關規定要求,并對所提供的服務承擔責任;研究制定健康醫療大數據確權、開放、流通、交易和產權保護的法規;加強醫療衛生機構、互聯網醫療健康服務平臺、智能醫療設備以及關鍵信息基礎設施、數據應用服務的信息防護,定期開展信息安全隱患排查、監測和預警。
(九)教育主管部門
教育領域的數據保護重點在于教學科研數據和師生個人信息等數據收集、傳輸、使用、共享等過程中的保密,尤其是在國家智慧教育推進的大背景之下,關于教育數據資源的風險評估、安全審計、保密審查、日常監測、應急處置等都需要有關部門對此進行指導、監督和管理。
教育部辦公廳、國家互聯網信息辦公室秘書局、工業和信息化部辦公廳、公安部辦公廳、民政部辦公廳、市場監管總局辦公廳發布的《關于做好現有線上學科類培訓機構由備案改為審批工作的通知》,要求嚴格落實《網絡安全法》和《數據安全法》等法律法規相關要求,教育移動互聯網應用程序(教育App)對于數據收集、儲存、傳輸、使用等環節,滿足條件的需要進行個人信息保護影響評估、認證或合規審計,并且需要由教育部門牽頭、有關部門參與的協同工作機制,建立起常態化的管理和監督制度;網信、公安、電信部門要做好違規培訓平臺和應用軟件(含App)的關停、下架等工作;明確對相關單位及負責人的問責考核機制。
(十)科技主管部門
科技領域的數據安全涉及自然科學、工程技術科學等領域在基礎研究、應用研究、試驗開發等過程中產生的數據,以及通過觀測監測、考察調查、檢驗檢測等方式取得并用于科學研究活動的原始數據及其衍生數據。對于科技領域的數據安全監管實行國家統籌、各部門與各地區分工負責的機制。國務院辦公廳于2018年3月17日發布的《科學數據管理辦法》中第七條至第十條明確規定了國務院科學技術行政部門、國務院相關部門、省級人民政府相關部門、有關科研院所、高等院校和企業等法人單位以及由主管部門委托有條件的法人單位建立的科學數據中心的分別職責。