四、國家標準與行業標準

在“安全保障、技術為基、標準先行”這一技術治理主義的影響下，近幾年我國制定了大量的國家標準和行業標準，指導數據安全合規與個人信息保護工作。標準，是指通過標準化活動，按照規定的程序經協商一致制定，為各種活動或其結果提供規則、指南或特性，供共同使用和重復使用的文件。^[11]標準并非規范性法律文件，其本質是一種技術制度。雖然標準與法律在性質、制定程序和效力上均有所不同，但在數據安全領域，標準與法律呈現出“你中有我”和“我中有你”的融合狀態。一方面，法律實施需要依托標準的細化技術性規定，《數據安全法》第十七條規定：“國家推進數據開發利用技術和數據安全標準體系建設。國務院標準化行政主管部門和國務院有關部門根據各自的職責，組織制定并適時修訂有關數據開發利用技術、產品和數據安全相關標準……”另一方面，標準也成為監管機構判斷數據安全是否得到保障的依據之一，如2018年國家互聯網信息辦公室因“支付寶年度賬單事件”約談支付寶（中國）網絡技術有限公司、芝麻信用管理有限公司的有關負責人時便指出“支付寶、芝麻信用收集使用個人信息的方式，不符合剛剛發布的《個人信息安全規范》國家標準的精神”。^[12]

與法律法規等法律規范性文件相比，偏技術性標準在指導數據安全工作方面主要有以下優勢：首先，標準制定與修改程序相對靈活，能夠在數據安全合規實踐發生較大變化時，及時進行調整，提供更符合時代的合規指引。其次，標準規定更為細化，更能滿足數據安全合規的多場景需求。根據場景進行數據安全合規已成為共識，因此抽象性的法律只能提供原則和歸責上的宏觀指導，數據安全合規需要更為明晰的指導，而與數據安全合規相關的標準中，有相當大的篇幅是用來對法律中未曾出現的針對互聯網領域新生業態的各類新興行為作出規定，滿足了數據安全合規的多場景需求。^[13]最后，標準作為技術制度，能夠在技術層面延伸法律規范，便于數據安全合規在技術層面的實現。數據安全合規采取的具體措施可分為組織與技術兩部分，當數據安全合規涉及具體技術性問題時，通過援引標準，可起到更好的規范作用，否則法律就很難發揮對具有技術性的行為的規范。^[14]

市場監督管理部門作為標準制定部門和檢驗檢測管理部門，依法承擔強制性國家標準制定與授權發布工作；負責統一管理檢驗檢測工作。不僅牽頭制定并發布了一系列與數據安全緊密相關的國家標準，指導制定了一批數據安全領域的行業標準，而且依據《網絡安全法》成立了中國網絡安全審查技術與認證中心，負責實施網絡安全相關審查和認證工作，承擔網絡安全審查技術與方法研究；開展網絡安全認證評價及相關標準技術和方法研究；承擔網絡安全審查人員和網絡安全認證人員技術培訓工作；在批準范圍內開展網絡安全相關產品、管理體系、服務、人員等認證業務。

我國與數據安全合規直接相關的第一個國家標準為2013年2月1日正式實施的《信息安全技術 公共及商用服務信息系統個人信息保護指南》（GB/Z 28828—2012），將個人信息劃分為一般個人信息和敏感個人信息，并分別進行規制。此后，全國信息安全標準化技術委員會又組織人員制定了一系列“信息安全技術”領域的國家標準。比較重要的有數據安全領域的《信息安全技術 大數據安全管理指南》（GB/T 37973—2019）；個人信息保護領域的《信息安全技術 個人信息安全規范》（GB/T 35273—2020）、《信息安全技術 個人信息安全影響評估指南》（GB/T 39335—2020）、《信息安全技術 個人信息去標識化指南》（GB/T 37964—2019）、《信息安全技術 個人信息處理中告知和同意的實施指南》（GB/T 42574—2023）；網絡安全等級保護領域的《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239—2019）、《信息安全技術 網絡安全等級保護實施指南》（GB/T 25058—2019）、《信息安全技術 網絡安全等級保護測評要求》（GB/T 28448—2019）、《信息安全技術 網絡安全等級保護安全設計技術要求》（GB/T 25070—2019）。這些與《數據安全法》《網絡安全法》《個人信息保護法》相配套的國家標準，在實踐中為數據安全合規提供了更為詳細和具體的指引，已成為企業進行數據安全合規的重要參考和監管部門進行認證與監管的重要依據。