邮发代号 2-786
征订热线:010-82341063
文 | 中国互联网协会互联网法治工作委员会副秘书长 方禹2023年,以网络安全法为基础的网络安全立法体系基本完成,网络安全各项活动实现有法可依。3 月,国务院新闻办公室发布首部有关网络法治建设的白皮书——《新时代的中国网络法治建设》充分总结和介绍了中国在网络法治建设方面的经验和成果。白皮书指出,网络安全是国家安全的新课题和新内容,已成为关乎全局的重大问题。我国已经初步形成了相对完备的网络法律体系,为推动互联网持续健康发展提供了法律保障。通过制定国家安全法、网络安全法、数据安全法等法律,中国系统构建了网络安全法律制度,增强了网络安全防御能力,有效应对了网络安全风险。对于网络安全领域,乃至于整个网络法领域来说,2023 年都是巩固、落实的一年,网络安全法治全面走向纵深。关键词一:“发展”——安全的内涵发生了新的深刻变化
党的二十大报告鲜明提出“以新安全格局保障新发展格局”的战略要求,充分体现了以习近平同志为核心的党中央面向新时代新形势统筹发展和安全的重要部署安排。2023 年,新冠肺炎疫情所带来的严重冲击正在逐步消退,然而,世界各国仍面临着不稳定性和不确定性的增加趋势,需要摆脱疫情冲击带来的负面影响,快速恢复和提振国民经济增长。在此过程中,安全问题仍然承载着国家利益、公众利益和产业利益,但其内涵已经发生了深刻的改变,安全不再是绝对的,而是相对的。可以认为,安全是达成目标的手段而非目的。特别是在网络领域,很难保证绝对的安全,而是需要确保处于安全的状态,以保证产业健康有序发展。正如数据安全法中所规定,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。不发展是最大的不安全,这正在成为安全领域的最广泛共识,以及保障新发展格局的重要理念基础。
2023 年 1 月,工业和信息化部等十六部门联合发布了《关于促进数据安全产业发展的指导意见》,该指导意见从技术、服务、标准、应用、产业、人才、国际合作和保障措施等八个方面提供了规范,旨在推动数据安全产业这一新兴行业的高质量发展。2月,中共中央、国务院印发了《数字中国建设整体布局规划》,其中将“筑牢可信可控的数字安全屏障”作为“强化数字中国关键能力”的一部分,无疑为数字安全产业的发展注入了新的动力。网络安全作为广义的范畴,自然也包含了数据安全。数据安全源自网络安全,又在实践层面与之并行。数据安全与网络安全同出而异名,其治理逻辑和实现路径不同。网络安全主要规范一般运行安全和关键信息基础设施安全。而数据安全则采取目录管理方式,通过“中央领导+统筹协调+分业监管”的方式进行管理。中央国家安全领导机构负责国家数据安全工作决策和议事协调,国家网信部门负责统筹协调网络数据安全和相关监管工作,主管部门承担本行业、本领域数据安全监管职责。数据产生于行业,亦使用于行业。因此,主管部门基于行业管理来开展数据安全监管工作,既具有当然性,又具有关键性。
2023 年,在数据安全法的指引下,多个部门制定了行业数据安全管理规定。一是金融行业。1月,银保监会发布了《银行保险监管统计管理办法》,明确了开展监管统计数据安全保护相关工作的管理部门,要求银行保险机构加强流程管理,确保监管统计资料的完整性、连续性、安全性和可追溯性。同时,将银行保险机构的监管统计数据安全保护情况作为监督检查的要点之一。二是快递行业。2 月,国家邮政局发布了《寄递服务用户个人信息安全管理规定》,要求寄递企业建立健全寄递服务用户个人信息安全保障制度和措施,实行统一的信息安全保障管理,并采取相应的技术措施和人员管理手段,落实寄递服务用户个人信息安全责任制等。三是证券行业。2 月,证监会发布了《证券期货业网络和信息安全管理办法》,明确了核心机构、经营机构网络和信息安全运行义务。除了上述几个行业,其他行业也在积极推动数据安全管理工作。11 月,财政部和国家网信办联合起草了《会计师事务所数据安全管理暂行办法(征求意见稿)》。该办法拟加强会计师事务所数据安全管理,规范会计师事务所数据处理活动。同月,工业和信息化部起草了《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》。该指引衔接细化了数据安全法的相关罚则规定,明确了工业和信息化领域数据安全处罚情形和裁量基准等。关键词三:“跨境数据流动”——深入平衡数据保护与数据利用
跨境数据流动近年来引发了数据产业的高度关注,截至 2023 年,我国已经全面构建了“3+3”跨境数据流动制度框架,该框架以网络安全法、数据安全法、个人信息保护法为依据,同时配备了安全评估、标准合同、保护认证等规定,形成了一个完整的体系。
2 月,国家网信办发布了《个人信息出境标准合同办法》。这是我国以网络安全法为基础的跨境数据流动制度设计的最后一部规定,也是对个人信息保护法的切实落实。该办法对个人信息出境方式之一的标准合同提供了详细规定及范本。从 3 月 1日起,《数据出境安全评估办法》的过渡期届满,安全评估工作全面启动。跨境数据流动的法律规定最早来源于网络安全法第三十七条,其中明确规定了关键信息基础设施的运营者在中华人民共和国境内收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。自 2016 年网络安全法颁布以来,我国历经七年时间,已构建并形成了以网络安全法、数据安全法、个人信息保护法为顶层设计,以及《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施细则》为补充的配套规则的“3+3”法律制度体系。网络安全法、数据安全法、个人信息保护法这三部顶层立法,为我国数据跨境流动构建了基本原则和主要路径。它们确立了数据流动的安全性、规范性和合法性,为数据的出境提供了坚实的法律保障。而《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》这三部配套规定,则进一步明确了不同数据出境路径的适用情况与具体要求。这些规定细化了数据出境的流程和标准,为数据出境提供了更为具体的操作指南。与此同时,我国在跨境数据流动管理制度框架之下,积极探索创新举措,在保护数据的同时促进数据进一步利用。9 月,国家网信办起草了《规范和促进数据跨境流动规定(征求意见稿)》。诚然,我国直到 2023 年才完成“3+3”法律制度体系的构建,有关跨境数据流动工作也刚刚起步。然而,各界普遍对跨境数据流动管理的预期性和柔韧性抱有较高的期待。该规定充分体现了发展理念,回应了各方关于跨境数据流动的强烈诉求。总体来看,该规定主要涵盖了两个方面的内容。一方面,该规定进一步澄清和释明了“3+3”法律制度体系的应有之义,明确了不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境情形。另一方面,该规定进行了重大的制度创新,即部分下放了中央事权,放宽了需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据范围。其中,第七条规定,自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。负面清单外的数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。根据该规定,自贸区所在地省级网信委即可制定负面清单,决定哪些数据可以自由出境。而根据“3+3”法律制度框架,相关事权均在中央。该规定目前尚在制定之中,后续出台后如保留自贸区较大事权,则可能对“3+3”事项进行了较大幅度的调整,这将进一步重构我国的跨境数据流动监管体制。12 月,国家互联网信息办公室、香港创新科技及工业局联合发布公告,发布了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》。该指引明确了香港和粤港澳大湾区内地部分(即广东九个城市)之间的跨境数据流动,可以通过订立标准合同的方式进行。这一措施对促进粤港澳大湾区个人信息跨境流动具有重要意义,也标志着我国在跨境数据流动领域探索创新迈出的关键一步。关键词四:“新技术安全”——人工智能立法成为新时代议题
新兴领域立法已正式写入了党的二十大报告,并成为网络安全领域的重要立法问题。近年来,以 ChatGPT 为代表的生成式人工智能迅猛发展,引发了广泛关注。其中的数据安全、个人信息保护、信息内容管理、知识产权保护等问题成为焦点。为了应对这些问题,国家网信办等七部门联合发布了《生成式人工智能服务管理暂行办法》。该办法对生成式人工智能服务作出了较为全面的规定,为该行业提供了重要的政策利好。
该办法强调发展和安全并重、促进创新和依法治理相结合的原则,鼓励生成式人工智能创新发展,并对生成式人工智能服务实行包容审慎和分类分级监管。该办法明确了生成式人工智能的信息内容管理要求,与网络安全法、《网络信息内容生态治理规定》等要求相一致。对于各界广泛关注的数据使用问题,该办法作出了较为妥善的处理,要求生成式人工智能服务提供者依法开展预训练、优化训练等训练数据处理活动。同时,应当使用具有合法来源的数据,不得侵害他人依法享有的知识产权,并遵守个人信息保护法、数据安全法、网络安全法等有关数据安全、个人信息保护等相关要求。此外,该办法要求生成式人工智能服务提供者采取有效措施提高训练数据质量,以增强训练数据的真实性、准确性、客观性、多样性。相较于此前的征求意见稿,正式出台的办法对数据的要求更为科学合理,符合产业发展实际。在准入方面,该办法根据生成式人工智能服务的特征,将其纳入算法备案管理体系。根据《互联网信息服务深度合成管理规定》的规定,具有舆论属性或者社会动员能力的深度合成服务提供者,应按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。而根据《生成式人工智能服务管理暂行办法》的规定,提供具有舆论属性或者社会动员能力的生成式人工智能服务者,应按照国家有关规定开展安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。9 月,国家网信办公布的第二批深度合成服务算法备案信息显示,共有 110 个算法信息完成了备案。网络安全法和数据安全法对网络安全和数据安全的定义均强调了对状态和能力的维持。这表明了网络安全和数据安全都不能“毕其功于一役”,而是需要开展持续性活动,以确保网络安全和数据安全不被破坏。随着网络安全体系构建逐渐完备,法律规定逐步走向落实,需要行政执法监督、行业自治自律、企业主动合规等各方努力。其中,合规更具主动性、实践性和灵活性。
合规,一直以来都是网络法领域的主要实践之一。通过必要、常态的合规操作,企业得以确保自身业务活动与法律规定保持高度一致。相关立法也把合规作为了一项法律义务,例如个人信息保护法中明确了合规审计的具体要求。8 月,国家网信办起草了《个人信息保护合规审计管理办法(征求意见稿)》,该办法对个人信息保护合规审计的频次、方式、具体内容等作出了全面规定,对个人信息保护合规审计工作具有很强的指导意义。其中,该办法还附有《个人信息保护合规审计参考要点》,对个人信息处理的合法性基础、告知义务、共享信息、权利响应、处理特殊类型个人信息、内部治理结构等逐一作出了详细规定,极具参考意义。习近平总书记强调:“发展是安全的基础,安全是发展的条件。”2023 年对于网络安全领域来说既是安全的一年,又是发展的一年。可以预见,未来的网络安全领域法律规定将更加注重实践,在实务中谋求安全与发展的平衡。通过产业的深入发展,形成两者之间的互动互强关系,更好地服务于网络强国和数字中国建设的目标。(本文刊登于《中国信息安全》杂志2023年第12期)
文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664204958&idx=1&sn=4ca965939b73e97898b34fa52c65c042&chksm=8b598867bc2e01715e85ff4abdad46d2cb54aa9e6bee9a8f6702c23f2386194d1c0bd817b826&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh