三、行政法規與部門規章

（一）行政法規

1.全國一體化政務大數據體系建設指南

經過多年的探索，政務數據管理職能基本明確、政務數據資源體系基本形成、政務數據基礎設施基本建成，政務數據在調節經濟運行、改進政務服務、優化營商環境等方面發揮了重要作用。但同時，政務數據體系仍存在統籌管理機制不健全、供需對接不順暢、共享應用不充分、標準規范不統一、安全保障不完善等問題。為更好整合構建標準統一、布局合理、管理協同、安全可靠的全國一體化政務大數據體系，加強數據匯聚融合、共享開放和開發利用，促進數據依法有序流動，充分發揮政務數據在提升政府履職能力、支撐數字政府建設以及推進國家治理體系和治理能力現代化中的重要作用，國務院于2022年9月頒布了《全國一體化政務大數據體系建設指南》。

該指南分兩個階段提出了全國政務大數據體系的建設目標：第一階段為2022年9月至2023年底，全國一體化政務大數據體系初步形成，基本具備數據目錄管理、數據歸集、數據治理、大數據分析、安全防護等能力，數據共享和開放能力顯著增強，政務數據管理服務水平明顯提升。第二階段為2024年初至2025年底，全國一體化政務大數據體系更加完備，政務數據管理更加高效，政務數據資源全部納入目錄管理。政務數據質量顯著提升，“一數一源、多源校核”等數據治理機制基本形成，政務數據標準規范、安全保障制度更加健全，政務數據共享需求普遍滿足，數據資源實現有序流通、高效配置，數據安全保障體系進一步完善，有效支撐數字政府建設。為此，必須做到統籌管理一體化、數據目錄一體化、數據資源一體化、共享交換一體化、數據服務一體化、算力設施一體化、標準規范一體化、安全保障一體化。

該指南指出，全國政務發數據的總體架構為 “1+32+N”框架結構。“1”是指國家政務大數據平臺，是我國政務數據管理的總樞紐、政務數據流轉的總通道、政務數據服務的總門戶；“32”是指31個省（自治區、直轄市）和新疆生產建設兵團統籌建設的省級政務數據平臺，負責本地區政務數據的目錄編制、供需對接、匯聚整合、共享開放，與國家平臺實現級聯對接；“N”是指國務院有關部門的政務數據平臺，負責本部門本行業數據匯聚整合與供需對接，與國家平臺實現互聯互通，尚未建設政務數據平臺的部門，可由國家平臺提供服務支撐。

2.關鍵信息基礎設施安全保護條例

《關鍵信息基礎設施安全保護條例》對關鍵信息基礎設施的認定、運營者的責任義務、網絡安全工作的保障和促進，以及法律責任作出了規定。

關鍵信息基礎設施，是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。實踐中，某一企業是否屬于關鍵信息基礎設施運營者，還需要由保護工作部門結合本行業、本領域實際，綜合考量企業的網絡設施、信息系統等對于本行業、本領域關鍵核心業務的重要程度；網絡設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度；以及對其他行業和領域的關聯性影響三個因素后作出評定，并報國務院公安部門備案。

一旦某一企業被認定為關鍵信息基礎設施運營者，則需要以更高標準進行數據安全合規管理。一是企業的安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用。二是運營者應當建立健全網絡安全保護制度和責任制，保障人力、財力、物力投入，并由企業主要負責人對關鍵信息基礎設施安全保護負總責。三是應當設置專門安全管理機構，專門安全管理機構履行建立健全網絡安全管理、評價考核制度，擬訂關鍵信息基礎設施安全保護計劃；組織推動網絡安全防護能力建設，開展網絡安全監測、檢測和風險評估；按照國家及行業網絡安全事件應急預案，制訂本單位應急預案，定期開展應急演練，處置網絡安全事件；認定網絡安全關鍵崗位，組織開展網絡安全工作考核，提出獎勵和懲處建議；組織網絡安全教育、培訓；履行個人信息和數據安全保護責任，建立健全個人信息和數據安全保護制度；對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理；按照規定報告網絡安全事件和重要事項等八項職責。四是運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估，對發現的安全問題及時整改，并按照保護工作部門要求報送相關情況。五是關鍵信息基礎設施發生重大網絡安全事件或者發現重大網絡安全威脅時，運營者應當按照有關規定向保護工作部門、公安機關報告。六是運營者應當優先采購安全可信的網絡產品和服務，采購網絡產品和服務可能影響國家安全的，應當按照國家網絡安全規定通過安全審查，并按照國家有關規定簽訂安全保密協議。

（二）部門規章

《數據安全法》《網絡安全法》《個人信息保護法》等法律雖然構建起了數據安全的整體框架，但僅有框架性的宏觀立法并不足以指導場景多樣的數據安全合規工作，保障數據安全。因此，國家互聯網信息辦公室、工業和信息化部、公安部等部門在本部門的職責范圍內，結合實踐需要，制定了一批部門規章。截至2022年12月31日，各部委制定的涉及數據安全的部門規章中較為典型的有：國家互聯網信息辦公室制定的《網絡安全審查辦法》《數據出境安全評估辦法》《個人信息出境安全評估辦法（征求意見稿）》；工業和信息化部制定的《工業數據分類分級指南（試行）》《網絡安全漏洞管理規定（征求意見稿）》《移動互聯網應用程序個人信息保護管理暫行規定（征求意見稿）》；公安部制定的《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》《網絡安全等級保護條例（征求意見稿）》。^[9]由于征求意見稿尚未正式通過，可能根據數字經濟的發展進行修改，因此本節僅對已正式通過的《網絡安全審查辦法》《數據出境安全評估辦法》《工業數據分類分級指南（試行）》《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》進行概述。

1.《網絡安全審查辦法》

《網絡安全審查辦法》規定的審查對象為當事人影響或者可能影響國家安全的網絡產品和服務采購行為和數據處理活動。^[10]若當事人經過預判，發現采購的產品和服務投入使用會帶來國家安全風險；掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市；或網絡安全審查工作機制成員單位認為存在影響或者可能影響國家安全的網絡產品和服務以及數據處理活動，可向網絡安全審查辦公室申報，進行網絡安全審查。網絡安全審查主要依據以下七種國家安全風險因素對相關對象和情形進行重點評估：

（1）產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或者破壞的風險；

（2）產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害；

（3）產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；

（4）產品和服務提供者遵守中國法律、行政法規、部門規章情況；

（5）核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險；

（6）上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險，以及網絡信息安全風險；

（7）其他可能危害關鍵信息基礎設施安全、網絡安全和數據安全的因素。

2.《數據出境安全評估辦法》

近年來，隨著數字經濟的蓬勃發展，數據跨境活動日益頻繁，數據處理者的數據出境需求快速增長。同時，由于不同國家和地區法律制度、保護水平等的差異，數據出境安全風險也相應凸顯。數據跨境活動既影響個人信息權益，又關系國家安全和社會公共利益。為進一步規范數據出境活動，保護個人信息權益，維護國家安全和社會公共利益，促進數據跨境安全、自由流動，國家網信辦于2022年7月7日公布了《數據出境安全評估辦法》。

辦法所稱數據出境活動主要包括數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外，以及數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以訪問或者調用兩種行為。當數據處理者向境外提供重要數據、關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息、自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息或存在國家網信部門規定的其他需要申報數據出境安全評估的情形時，需要申報數據出境安全評估。

數據出境安全評估重點評估數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險，主要包括以下事項：一是數據出境的目的、范圍、方式等的合法性、正當性、必要性。二是境外接收方所在國家或者地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響；境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求。三是出境數據的規模、范圍、種類、敏感程度，出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險。四是數據安全和個人信息權益是否能夠得到充分有效保障。五是數據處理者與境外接收方擬訂立的法律文件中是否充分約定了數據安全保護責任義務。六是遵守中國法律、行政法規、部門規章情況。七是國家網信部門認為需要評估的其他事項。

辦法強調，通過數據出境安全評估的結果有效期為2年，自評估結果出具之日起計算。有效期屆滿，需要繼續開展數據出境活動的，數據處理者應當在有效期屆滿60個工作日前重新申報評估。同時，在有效期內出現以下情形之一的，數據處理者應當重新申報評估：

（一）向境外提供數據的目的、方式、范圍、種類和境外接收方處理數據的用途、方式發生變化影響出境數據安全的，或者延長個人信息和重要數據境外保存期限的；

（二）境外接收方所在國家或者地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形、數據處理者或者境外接收方實際控制權發生變化、數據處理者與境外接收方法律文件變更等影響出境數據安全的；

（三）出現影響出境數據安全的其他情形。

3.《工業數據分類分級指南（試行）》

《工業數據分類分級指南（試行）》由工業和信息化部在2020年公布，適用于工業和信息化主管部門、工業企業、平臺企業等開展工業數據分類分級工作。對數據進行分類分級保護是平衡數據利用與數據保護的基礎制度之一，《數據安全法》也明確規定，不僅在國家層面，要建立數據分類分級保護制度、制定重要數據目錄，各地區、各部門均應按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。

在數據分類層面，《工業數據分類分級指南（試行）》并沒有制定詳細的數據分類表和重要數據目錄，而是給出了一些可供企業參考適用的工業數據分類維度，同時規定有關行業、領域主管部門可參考本指南，指導和推動本行業、本領域工業數據分類工作，企業可在考慮行業要求、業務規模、數據復雜程度等實際情況的基礎上，對本企業生產過程中產生的工業數據進行分類梳理和標識，形成企業工業數據分類清單。

在數據分級層面，《工業數據分類分級指南（試行）》根據不同類別工業數據遭篡改、破壞、泄露或非法利用后，可能對工業生產、經濟效益等帶來的潛在影響，從低到高將工業數據分為一級、二級、三級三個級別。對于不同級別的數據，企業應采取的防護措施的要求不同，數據利用和保護的傾向也有所不同。對于一、二級數據，要充分釋放數據的潛在價值，根據不同的權限進行開放共享，而三級數據原則上不共享，確需共享的應嚴格控制知悉范圍。企業針對三級數據采取的防護措施，應能抵御來自國家級敵對組織的大規模惡意攻擊；針對二級數據采取的防護措施，應能抵御大規模、較強惡意攻擊；針對一級數據采取的防護措施，應能抵御一般惡意攻擊。三級數據遭篡改、破壞、泄露或非法利用時，還應將事件及時上報數據所在地的省級工業和信息化主管部門，并于應急工作結束后30日內補充上報事件處置情況。

4.《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》

為深入貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度，健全完善國家網絡安全綜合防控體系，公安部制定了《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》。在數據合規問題上，該意見指出，運營者應建立并落實重要數據和個人信息安全保護制度，對關鍵信息基礎設施中的重要網絡和數據庫進行容災備份，采取身份鑒別、訪問控制、密碼保護、安全審計、安全隔離、可信驗證等關鍵技術措施，切實保護重要數據全生命周期安全。運營者在境內運營中收集和產生的個人信息和重要數據應當在境內存儲，因業務需要，確需向境外提供的，應當遵守有關規定并進行安全評估。