2.2?全球數據安全立法現狀

隨著企業數字化轉型的不斷推進與深入，數據安全與個人隱私問題日益嚴峻，加強現代化的數據安全與隱私保護立法已成為全球趨勢。根據聯合國貿易和發展組織截至2021年11月26日的統計，包括美國、中國、俄羅斯、印度、澳大利亞、加拿大和日本等在內的全球77%的國家，已完成數據安全和隱私保護立法或者已經提出法律草案。

2.2.1　國外典型數據安全法律法規

1．歐盟GDPR

歐盟于2018年5月25日正式實施了《通用數據保護條例》（General Data Protection Regulation，GDPR）。GDPR是全世界第一部面向個人隱私的法律，由11章99個條款組成，是一個“大而全”的個人數據保護框架。該法旨在保護歐盟公民個人隱私和數據，其適用范圍既包括歐盟成員國境內企業所掌握的個人數據，也包括歐盟境外企業所掌握的歐盟公民的個人數據。GDPR明確、詳盡地提出了隱私合規要求，例如在個人信息管理方面，要求消費者有同意權、訪問權、更正權和被遺忘權等權利；在泄露事件響應方面，若企業發現了嚴重的數據泄露事件，則必須在72小時內通知監管當局及受影響的個人；在處罰方面，GDPR更是規定了在第二級罰款中，違規行為將被處以最高2000 萬歐元或企業全球年收入4% 的罰款，以較高者為準。

GDPR賦予了用戶（數據主體）知情權、訪問權、修正權、刪除權（被遺忘權）、限制處理權（反對權）、可攜帶權、拒絕權，以及與自動決策和特征分析有關的權利等8項基本權利。例如關于刪除權（被遺忘權），以下是兩個生動的例子。

例子1：假定用戶加入一個社交網站，但過了一段時間，用戶決定離開這個社交網站。此時用戶可以行使“被遺忘權”，即要求社交網站刪除屬于用戶的個人數據。

例子2：假設當用戶使用搜索引擎搜索自己的名字時，出現一個很久以前與他有關的債務償還協議，但現在已無關緊要。此時用戶有權要求刪除這些網絡信息。

數據主體還擁有除被遺忘權之外的其他諸多權利。但筆者認為，被遺忘權是GDPR賦予用戶的一項非常重要的權利。假設某用戶平均一年要在多個網站或App上注冊，但后續總是低頻訪問或者處于一直不登錄的狀態，如果該用戶的個人數據被互聯網公司收集、存儲和處理，那么該用戶就會認為自己的個人數據“擴散不可控”。筆者就對一些公司網站的“注冊”有一種恐懼感，擔心自己的個人數據被販賣給第三方，從而遭受騷擾電話或廣告郵件的轟炸。另外，一些缺乏維護的小網站因黑客攻擊造成數據泄露的風險也很高。若這些網站或App提供“一鍵刪除注冊信息”的功能，筆者肯定樂于使用該功能。

2.3.2節會對數據主體的各項權利進行更詳細的介紹。

2．美國CCPA

受歐盟GDPR的影響，美國各州也在個人隱私上紛紛立法，包括加利福尼亞州、佛蒙特州、夏威夷州、馬里蘭州、馬薩諸塞州、密西西比州和華盛頓州等。其中最具代表性的是加利福尼亞州于2018年6月通過的《加利福尼亞消費者隱私法案》（CCPA），由于美國絕大部分的知名科技公司，如惠普、Oracle、Apple、Google、Meta等都坐落于加利福尼亞州，該法從立法到頒布備受各界人士的關注。2019年10月，美國加利福尼亞州州長正式簽署最終的CCPA，該法于2020年1月1日正式生效。

CCPA與GDPR類似，同樣對企業提出了更高的數據合規性要求，IAPP和OneTrust于2019年的調查結果顯示[36] ，僅有大約2%的受訪者認為他們的企業已經完全做好了應對CCPA的準備。CCPA規定了企業在收集、使用、共享、出售消費者個人數據時必須遵循的行為規范，同時賦予消費者對其個人數據的更多控制權，這些權利包括知情權、刪除權、拒絕出售個人信息的權利、平等服務和價格的權利、訪問權等。

2.2.2　中國數據安全法律法規

1．發展歷程

我國于2017年6月1日正式實施《中華人民共和國網絡安全法》（后文簡稱《網絡安全法》）。它是我國首部較為全面地規范了網絡空間安全管理問題的基礎性法律，不僅包括網絡運行安全、關鍵信息基礎設施運行安全，也給出了數據安全與個人信息保護的基本規定。

自2019年以來，我國數據安全相關立法進程明顯加快。根據《網絡安全法》，國家互聯網信息辦公室（后文簡稱“網信辦”）于2019年10月1日正式實施《兒童個人信息網絡保護規定》，對兒童個人信息安全進行特殊和更加嚴格的保護。2020年5月我國發布《中華人民共和國民法典》，于2021年1月1日實施，其首次在我國法律中明確且具體地提出了“隱私權”的概念，并確立了隱私權范圍和個人信息保護的一些基本規范。

2021年6月10日，我國正式通過《中華人民共和國數據安全法》（后文簡稱《數據安全法》）；同年8月20日，我國通過了《中華人民共和國個人信息保護法》（后文簡稱《個人信息保護法》）。這兩部法律已經分別于2021年9月1日和11月1日正式實施。作為數據安全與個人信息領域的兩部綜合性法律，《數據安全法》強調總體國家安全觀，對國家利益、公共利益和個人、組織合法權益方面給予全面保護，《個人信息保護法》則側重于對涉及公民自身安全的個人信息和隱私進行保護。從國家層面來說，《數據安全法》對我國的國家安全建設有著至關重要的意義，同時促進了以數據為關鍵要素的數字經濟的健康發展；從企業層面來說，《數據安全法》和《個人信息保護法》是企業從事與數據有關的活動所必須遵循的“行為規范”，這兩部法律也是執法機構的重要監管依據。

2．《數據安全法》簡介

作為我國關于數據安全的首部法律，《數據安全法》受到社會各界人士的廣泛關注。自2020年6月28日以來，《數據安全法》經歷了三次審議與修改，于2021年9月1日正式施行，標志著我國在數據安全領域有法可依，為行業數據安全治理提供了監管依據。

按照國家安全觀的總體要求，《數據安全法》明確了數據安全主管機構的監管職責，建立健全了數據安全協同治理體系，提高了數據安全保障能力，促進了數據出境的安全和自由流動，推動了數據的開發利用，保護了個人和組織的合法權益，維護了國家主權、安全和發展利益，讓數據安全有法可依、有章可循，為數字化經濟的安全健康發展提供了有力支撐。

《數據安全法》遵循以下幾個要點。

（1）堅持以數據開發利用和產業發展促進數據安全

當前數字經濟的蓬勃發展正成為我國在國際環境中的核心競爭力。《數據安全法》鼓勵數據依法合理有效利用，保障數據依法有序自由流動，促進以數據為關鍵要素的數字經濟發展。如圖2-4所示，數據交易是數據開發、利用、共享過程中的重要環節，《數據安全法》也對從事數據交易中介服務的機構明確了數據安全保護義務。

圖2-4　數據交易中介服務機構的義務

（2）數據安全監管制約

《數據安全法》明確了數據管理者和運營者的數據保護責任，對承擔數據保護義務的不同主體，包括數據處理者、關鍵信息基礎設施運營者、從事數據交易中介服務的機構，提出了不同的要求。

對于數據處理者，《數據安全法》規定其要組織開展數據安全教育培訓。事實表明，組織的決策層、管理層、執行層都可能造成數據泄露；內部IT建設中業務邏輯混亂、網絡策略錯誤和設備配置故障也可能造成數據泄露。我們將在本章的后半部分梳理近年來發生的數據安全事件。

在技術層面，《數據安全法》規定數據處理者必須采取相應技術措施和其他必要措施，保障數據安全。數據處理者需要采取“網絡與數據并重的新安全建設”的防護思路，并采取分類分級、存儲加密、數據審計等技術手段。

（3）深度覆蓋的全場景數據安全評估與防護要求

《數據安全法》特別指出：“關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。”國家核心數據的安全監督與管理、評估與防護建設刻不容緩。

如圖2-5所示，《數據安全法》提出了對數據全生命周期各環節的安全保護義務，包括數據的采集、傳輸、存儲、處理、交換和銷毀等階段。《數據安全法》要求加強風險監測與身份核驗，結合業務需求，從數據分類分級到風險評估、從身份鑒權到訪問控制、從行為預測到追蹤溯源、從應急響應到事件處置，全面建設有效防護機制，保障數字產業蓬勃、健康發展。

圖2-5　數據全生命周期的各個環節

（4）加強政務數據開放共享中的安全保障

《數據安全法》首次針對政務數據的開發利用做出了明確的指示，要求省級以上人民政府將數字經濟發展納入本級國民經濟和社會發展規劃，加強數據開放共享中的安全保障，建立統一規范、互聯互通、安全可控的機制，利用數據安全運營，提升數據服務對經濟社會穩定發展的貢獻。

（5）加大違法處罰力度

《數據安全法》對數據安全違法行為設立了多項處罰規定。對于違反國家核心數據管理制度，危害國家主權、安全和發展利益的行為，由有關主管部門處以200萬元以上、1000萬元以下的罰款，并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或營業執照；構成犯罪的，則依法追究刑事責任。

3．《個人信息保護法》簡介

2021年8月20日，第十三屆全國人民代表大會常務委員會第三十次會議正式表決通過《個人信息保護法》，并于2021年11月1日正式實施。

從企業視角來看，《個人信息保護法》是企業處理個人信息活動所必須遵循的“行為規范”。從國家監管視角來看，《個人信息保護法》是主管單位對企業個人信息違法違規案件處罰的法規監管依據。該法規定最高可罰款5000萬元或者企業上一年度營業額的5%，同時還有責令暫停相關業務、停業整頓和吊銷營業執照等嚴厲的行政處罰。企業（尤其是面向大量用戶服務的互聯網企業）的隱私合規建設變得迫切且重要。

《個人信息保護法》分為8個章節共74個條款。如表2-2所示，從企業合規的視角，我們從該法中挑選出若干企業必須遵循的法律條款，并相應地做了應對技術與合規措施的解讀。一方面，我們希望為企業在隱私合規方面的規劃提供技術層面的參考；另一方面，我們希望拋磚引玉，與廣大數據安全從業者交流，共同探討個人隱私保護的最佳實踐。

表2-2　《個人信息保護法》解讀

《個人信息保護法》中涉及的隱私合規需求分為顯式合規需求和隱式合規需求。其中，顯式合規需求有明確的規定，可以顯式地進行驗證，有成熟的技術實現手段；隱式合規需求則是要達成的效果和目標，可運用不同的技術手段來降低合規風險。

對于顯式合規需求（如“告知-同意”機制以及為用戶提供行使個人信息權利的申請受理機制），企業須在用戶交互的入口（App/網站）嵌入各類受理交互窗口與按鈕；同時須完善隱私聲明，對個人信息的安全風險與各項個人信息權利進行解釋；在App/網站的后端，則需要使用更多的自動化技術，包括使用知識圖譜賦能，以實現快速響應（可能的）高并發的用戶權利請求。

對于隱式合規需求，可以通過不同的技術與管理措施來降低合規風險，比如采取必要措施保護個人信息安全、防止個人信息泄露，以及確保個人信息免遭竊取和篡改等。企業可以根據2.1節中的《信息安全技術　個人信息安全規范》《信息安全技術　個人信息去標識化指南》等國家標準，同時根據企業自身數據安全與個人信息保護的建設水平，在不同的業務場景中采取技術與管理措施以確保個人信息安全，包括數據脫敏與匿名化（6.2節）、加密（4.5節）、數字水印（5.4節）等常規技術措施，以及同態加密、安全多方計算和聯邦學習等隱私計算技術（第7章）。企業還可以指定個人信息保護負責人，進行個人信息安全培訓、評估檢查等。