一、法律法規

（一）《數據安全法》

《數據安全法》作為數據安全領域的基礎性法律，在我國的數據安全立法體系中處于核心地位，確立了我國數據安全立法和合規的基本架構。

《數據安全法》共七章五十五條，主要規定了數據安全工作職責、數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放、數據安全相關法律責任等內容。

1.數據安全工作職責

數據已經嵌入社會生活的方方面面，涉及各行業、各領域，對數據安全進行監管涉及多個部門的職責。《數據安全法》規定數據安全工作由中央國家安全領導機構總負責，履行決策和統籌協調等職責，并建立國家數據安全工作協調機制，有關行業部門和有關主管部門在此協調機制下各自分工，相互配合，負責各自領域內的數據安全監管工作。

2.數據安全與發展

數字經濟的發展以及治理能力和治理體系現代化既離不開數據的開發和利用，也離不開數據安全，因此，《數據安全法》以法律規范的形式為這對關系定下了基調——國家要統籌數據發展和安全。為此，《數據安全法》規定了一系列支持、促進數據安全與發展的措施：一方面，要堅持以數據開發利用和產業發展促進數據安全，要實施國家大數據戰略，鼓勵和支持數據在各行業、各領域的創新應用，鼓勵通過數據開發提升公共服務水平，加強數據技術研究，培育數據產品、產業體系，建立健全數據交易管理制度，培養數據人才；另一方面，要通過加強數據安全技術研究，推進數據安全標準體系建設，促進數據安全檢測評估、認證等服務的發展，鼓勵行業組織、企業和科研機構等專業機構參與數據安全協同保障，培養數據安全人才等方式，實現以數據安全保障數據開發利用和產業發展的目標。

3.數據安全制度

有效應對已從個人、組織延伸到社會、國家安全層面的境內外數據安全風險，必須在國家層面建立健全國家數據安全制度，完善國家數據安全治理體系。因此，《數據安全法》規定了以下重要數據安全制度，搭建起我國數據安全制度的基本框架：一是建立數據分類分級保護制度，制定重要數據目錄，對包含國家核心數據在內的列入目錄的數據進行重點保護。二是建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制，統籌協調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作。三是建立數據安全應急處置機制，發生數據安全事件時應當依法啟動應急預案，采取相應的應急處置措施，并及時發布警示信息。四是建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。五是對屬于管制物項的數據依法實施出口管制。六是在與數據有關的投資、貿易方面對我國采取歧視性措施的國家或地區，采取對等反歧視措施。

4.數據安全保護義務

以企業為代表的數據處理者對數據的掌控力遠超其他主體，因此，數據安全的保障離不開落實數據處理者的數據安全保護義務。《數據安全法》規定的數據安全保護義務主要有：第一，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。第二，開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施，并及時告知用戶、向主管部門報告。第三，重要數據的處理者應當定期開展風險評估，并向有關主管部門報送風險評估報告。第四，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，應適用《網絡安全法》的相關規定。第五，收集數據，應當采取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。第六，從事數據交易中介服務的機構提供服務，應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄。第七，需依法取得行政許可的數據處理相關服務，必須在取得許可后開展。第八，應配合公安機關和國家安全機關依法進行數據調取活動。第九，非經中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。

5.政務數據安全與開放

發展電子政務是國家治理體系和治理能力現代化的重要支撐，政府數據應用不斷深化，數據在電子政務開展中的中心作用不斷凸顯，因此《數據安全法》就政務數據的安全和開放作出了專門規定。推進電子政務建設，就要提高政務數據的科學性、準確性和時效性，提升運用數據服務經濟社會發展的能力。通過制定政務數據開放目錄，構建統一規范、互聯互通、安全可控的政務數據開放平臺等方式，及時、準確地公開除依法不予公開外的政務數據。

6.數據安全相關法律責任

對于需要進行數據安全合規的數據處理者而言，違反《數據安全法》相關規定引發的法律責任也是需要關注的重點。《數據安全法》針對不同的違法情況，規定了責令改正、警告、罰款，責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照等行政處罰。較為嚴苛的法律責任和行政責任標準，既體現了立法層面對數據安全問題的重視，也對組織和個人進行了相應的威懾。^[4]

（二）《網絡安全法》

《網絡安全法》于2016年11月7日由中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議正式審議通過。考慮到數字時代，數據安全與網絡安全密不可分，《網絡安全法》在制定時便將維護網絡數據的完整性、保密性和可用性納入網絡安全的體系框架內。《網絡安全法》作為我國網絡安全領域的基礎性法律，不僅最早在法律層面對網絡數據的概念進行了明確，而且《數據安全法》的某些立法理念及具體制度，均濫觴于《網絡安全法》，并在數據安全實踐工作中逐步發展完善。

例如，數據利用與數據安全保護并重這一理念在《網絡安全法》中便已有所體現，該法第十八條第一款規定：國家鼓勵開發網絡數據安全保護和利用技術，促進公共數據資源開放，推動技術創新和經濟社會發展。具體制度層面，《網絡安全法》的以下規定與數據安全直接相關：一是將“采取數據分類、重要數據備份和加密等措施，防止網絡數據泄露或者被竊取、篡改”作為構建國家網絡安全等級保護制度的重要措施與目標；二是與刑法相銜接，規定任何組織和個人不得從事竊取網絡數據等危害網絡安全的活動，不得提供專門用于竊取網絡數據的程序和工具；三是規定關鍵信息基礎設施的運營者要對重要系統和數據庫進行容災備份，并要求關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息與重要數據在境內存儲，經監管部門審批才可出境。

大數據時代，絕大多數數據以電子方式記錄的特征決定了數據安全合規與網絡安全合規是不可分割的。《數據安全法》規定，利用互聯網等信息網絡開展數據處理活動時履行的數據安全保護義務應建立在網絡安全等級保護制度的基礎上。關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據，應按照《網絡安全法》的規定在境內存儲，因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。因此，沒有數據安全就沒有網絡安全，同樣，沒有網絡安全就沒有數據安全，在實踐中開展數據安全合規工作時，要將兩部法律有機結合，不能僅依據《數據安全法》而忽略了《網絡安全法》的相關要求。

（三）《個人信息保護法》

1.《個人信息保護法》與《數據安全法》的聯系

2021年8月20日，《個人信息保護法》由第十三屆全國人民代表大會常務委員會第三十次會議表決通過。《個人信息保護法》是我國個人信息保護領域的基礎性法律，在《民法典》和《網絡安全法》的基礎上，進一步完善了我國個人信息保護的基本框架。

個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，數據是任何以電子或者其他方式對信息的記錄。這表明，信息和數據是構成同一事物的不同側面，前者是符號的社會、語言意義，后者是形式化的符號本身。^[5]兩者是內容和載體的關系，因此在實踐中往往結合在一起，難以完全分割。而在眾多信息中，價值最高、被濫用或泄露后風險最大的便是個人信息，絕大多數的數據處理者同時是個人信息處理者。因此，在開展數據合規工作時，需要依據個人信息處理規則對數據進行處理，并履行個人信息處理者義務。

2.《個人信息保護法》與數據安全合規

《個人信息保護法》共八章七十四條，主要規定了《個人信息保護法》適用范圍、個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門等內容。其中，與數據安全直接相關的是個人信息處理規則、個人信息跨境提供的規則與個人信息處理者的義務。

（1）個人信息處理規則

如前所述，從被動層面來看，企業數據安全合規是企業為避免或減輕在經營過程中，因違法違規處理數據而受到行政處罰、刑事處罰，或避免受到更大的經濟或其他損失而采取的一種公司治理方式。因此，當需要處理的數據中包含個人信息時，只有滿足以下條件才可對數據進行處理：一是必須有處理個人信息的合法理由，具體包括取得個人的同意；為訂立、履行個人作為一方當事人的合同，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；為履行法定職責或者法定義務所必需；為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息；在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；或存在法律、行政法規規定的其他情形。二是在處理數據前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知數據處理者的名稱、聯系方式、處理目的、處理方式，處理的個人信息種類、保存期限以及個人行使權利的方式和程序等事項。三是數據處理者向他人提供其處理的數據的，應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意；公開數據的，應取得個人的單獨同意。四是利用包含個人信息的數據進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。五是只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，數據處理者方可處理包含敏感個人信息的數據，并取得個人的單獨同意。

（2）個人信息跨境提供的規則

個人信息跨境提供的規則與重要數據出境安全管理規則有共通之處，但包含個人信息的數據在跨境傳輸時所受到的限制更多，安全評估與審核也更為嚴格。首先，因業務需要向境外提供包含個人信息的數據的，應當通過國家網信部門組織的安全評估或按照國家網信部門的規定經專業機構進行個人信息保護認證或按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務。其次，數據處理者應當采取必要措施，保障境外接收方處理包含個人信息的數據時能達到《個人信息保護法》規定的個人信息保護標準。最后，數據處理者向中華人民共和國境外提供包含個人信息的數據的，應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使《個人信息保護法》規定權利的方式和程序等事項，并取得個人的單獨同意。

（3）個人信息處理者的義務

當數據中包含個人信息時，數據處理者同時是個人信息處理者，因此必須履行個人信息處理者的義務。具體而言，要制定內部管理制度和操作規程，對個人信息實行分類管理，采取相應的加密、去標識化等安全技術措施，合理確定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓，制訂并組織實施個人信息安全事件應急預案，以及采取法律、行政法規規定的其他措施，確保個人信息處理活動符合法律、行政法規的規定，并防止未經授權的訪問以及個人信息泄露、篡改、丟失。此外，當數據中包含個人信息時，需定期進行合規審計，當處理敏感個人信息、利用個人信息進行自動化決策委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息、向境外提供個人信息等對個人權益有重大影響的個人信息處理活動時，應事前進行個人信息保護影響評估，并對處理情況進行記錄。一旦發生或者可能發生個人信息泄露、篡改、丟失的，應立即采取補救措施，并通知履行個人信息保護職責的部門和個人。

提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，還應當履行下列義務：按照國家規定建立健全個人信息保護合規制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督；遵循公開、公平、公正的原則，制定平臺規則，明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務；對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者，停止提供服務；定期發布個人信息保護社會責任報告，接受社會監督。

（四）《民法典》

若采用公法、私法的劃分，《數據安全法》無疑屬于公法，數據安全合規也更多依據公法的相關規定開展。《民法典》作為私法，雖然并未直接就數據安全合規問題作出規定，但誕生于大數據時代的《民法典》仍然通過規范電子商務交易模式、完善網絡侵權責任制度、兼顧個人信息保護與數字流通使用等方式，夯實了數字經濟的基石，作為民事基本法規范了數字經濟的安全有序發展，間接保障數據安全。這種保障可分為三個層次：一是將數據納入民法保護范圍。《民法典》沿襲了原《民法總則》第一百二十七條的規定，在私法層面對數據保護進行了原則性規定，將數據納入民事保護的大框架中。二是將個人信息保護納入人格權編，作為一種民事權益進行保護。《民法典》中關于個人信息保護的規定與《數據安全法》《個人信息保護法》《網絡安全法》中的個人信息保護規定形成有效銜接，推動個人信息保護與數據安全領域民事和行政法律協同治理體系的構建。三是規范數字經濟活動和行為。《民法典》侵權責任編在原《侵權責任法》第三十六條關于網絡侵權行為規制的基礎上，進一步完善了“通知—刪除”規則和網絡侵權制度，使得發生數據安全侵權案件時，進行民事救濟有了基本法依據。^[6]

（五）《電子商務法》

依托于四通八達的道路交通體系和完善的物流體系，電子商務在我國迅猛發展，并表現出滲透性，對數字支付、流通、消費均產生了巨大影響。^[7]電子商務的發展離不開對姓名、電話、家庭住址等個人信息的收集，也離不開安全、穩定的數據收集、傳輸和存儲環境，因此《電子商務法》制定時圍繞電子商務經營者、電子商務消費者以及相關行政監管部門的權利義務對數據安全和個人信息保護內容進行了規定。

在個人信息的收集、使用、保存和用戶權利等與個人信息保護相關的問題上，一方面，《電子商務法》在《網絡安全法》的基礎上，結合電子商務運營的實際情況，對電子商務經營者在具體場景下收集、使用個人信息的規則進行了細化；另一方面，《電子商務法》考慮到交易數據的重要價值，明確要求電子商務平臺經營者應當記錄、保存平臺上的商品和服務信息、交易信息，保存時間自交易完成之日起不少于3年。

在個性化推薦問題上，考慮到電子商務與個性化推薦以及“大數據殺熟”的密切聯系，《電子商務法》規定電子商務經營者根據消費者的興趣愛好、消費習慣等特征向其提供商品或服務的搜索結果的，應當同時提供不針對其個人特征的選項，以保護消費者的合法權益。從數據安全合規角度來看，這一規定本質是在電子商務領域對數據利用進行限制，以避免數據濫用對用戶的權益造成侵害。

（六）《刑法》

與民法和行政法相比，刑法的調整對象更廣，制裁嚴厲性和用于保障執行的強制力也遠超其他法律。正因如此，在保護數據安全、網絡安全和個人信息權益方面，刑法發揮著其他法律部門所不能替代的作用。在《民法典》《數據安全法》《個人信息保護法》等前置法律均已生效，數據安全體系已初步建立的情況下，“刑事先行”問題能夠在很大程度上得到解決，面對日益嚴峻的數據安全形式，應充分發揮刑法的保障作用，構建起數據安全的堅實屏障。

在現行刑法中，與數據安全直接相關的罪名主要可分為個人信息犯罪和計算機犯罪兩類。個人信息犯罪即《中華人民共和國刑法（2020年修正）》（以下簡稱《刑法》）第二百五十三條之一規定的侵犯公民個人信息罪，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。經過《刑法修正案（七）》《刑法修正案（九）》的兩次增補，計算機犯罪罪名體系已較為完善，除《刑法》第二百八十七條的提示性規定外，還包括七個具體罪名：非法侵入計算機信息系統罪，非法獲取計算機信息系統數據、非法控制計算機信息系統罪，提供侵入、非法控制計算機信息系統程序、工具罪，破壞計算機信息系統罪，拒不履行信息網絡安全管理義務罪，非法利用信息網絡罪，幫助信息網絡犯罪活動罪。

即便現階段法律規定的計算機犯罪相關條款能夠應對絕大多數針對計算機信息系統和系統內數據的犯罪，我們也應認識到，伴隨著網絡向圍繞數據處理的數據網絡轉變，大數據時代數據犯罪的指向，不再僅僅是對于計算機信息系統中存儲、處理，傳輸數據的增加、修改、刪除和干擾，而是演變為以大數據對象為中心，縱向侵害技術與現實雙層法益，形成的一個多行為方式，危害后果橫向跨越個人、社會、國家各層面與政治、軍事、財產、人身和民主權利各領域的大犯罪體系。換言之，針對數據安全的犯罪已經滲透至犯罪體系的方方面面，傳統的犯罪形式也可能對數據安全造成侵害。例如，在大數據時代，偽造身份證件除了需要偽造紙本的證件之外，還需要侵入后臺系統對數據庫進行修改，否則在處處聯網、實時查驗的當下，單純的紙質證件與白紙無異。因此，必須將刑事合規也納入數據安全合規的大框架中，認識到針對數據安全的犯罪行為方式，不僅體現為技術破壞、非法獲取的行為，也體現為大規模數據監聽、監控、竊取、過度挖掘、惡意濫用等一系列行為；犯罪的危害后果，除了破壞計算機信息系統功能，還危害個人的財產、隱私、人身、人格安全，嚴重的則危害經濟秩序、國防利益與國家安全。