随着全球数字经济的快速发展,数据已上升为国家战略资源,而对数据的掌控和应用能力也成为各行业发展的核心竞争力。与此同时,海量数据在产生、传输、存储和使用过程中所衍生出的安全问题也日益凸显。新时代、新形势、新发展和新业态背景下,将数据安全纳入法治化轨道极具必要性和迫切性。
2021年4月29日,《中华人民共和国个人信息保护法(草案二次审议稿)》发布;2021年6月10日,《中华人民共和国数据安全法》已获表决通过,于2021年9月1日起实施。此次立法将数据和个人信息区分开来,《数据安全法》更加强调总体国家安全观,对国家利益、公共利益和个人、组织合法权益给予全面保护;而《个人信息保护法》侧重于对个人信息、隐私等涉及公民自身安全的保护。
《个人信息保护法》将之前相关法律、法规、标准中的实施经验和成熟措施上升为法律规范,完善了个人信息保护法律保护体系,提升了个人信息保护标准,有利于促进我国数字经济的良性发展。其主要内容包括:一是优化并完善了个人信息处理原则与规则,充分体现对个人权益的尊重;二是基于个人信息跨境风险差异的考量建立了多元的个人信息跨境传输机制,并就跨境传输协议提出了规范性要求;三是明确个人信息处理者的主体责任及合规义务,明确事前风险评估、事中合规和保障措施、事后审计及突发事件应急处置的全程保障义务;四是对个人信息保护的违法行为构建了从信用公示到刑事惩处一个全方位、多维度的法律责任体系。
《数据安全法》构建了“一个顶点、多维度配合”的监管体系,精确界定适用对象范围,实现了对监管与适用对象及其活动的闭环管理。其主要内容包括:一是确立了数据分类分级保护以及风险评估、监测预警和应急处置等数据安全管理各项基本制度;二是明确了开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;三是明确重要数据目录认定及其出境管理的相关规定,以及境外执法机构要求调取存储于中国境内数据的法律依据;四是进一步强化了数据责任主体的法律责任及违反相关条款行为的罚则。
2021年4月26日,在国家互联网信息办公室的统筹指导下,工信部会同公安部、市场监管总局起草了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》并向社会公开征求意见。规定明确界定了监管主体及其职责,确立了“知情同意”和“最小够用”两项重要原则,细化了APP五类相关方的主体责任和义务,提出投诉举报、监督检查、处置措施和风险提示四个方面的规范要求。
除了立法工作之外,两高也以案例的形式对个人信息保护提供了指引。2021年4月22日,最高人民检察院发布11件检察机关个人信息保护公益诉讼典型案例,对就诊者、快递单、手机APP等领域的个人信息保护问题提供案例指引。
2020年以来,随着数据安全与隐私保护相关立法进程的推进,监管要求及行业标准也密集出台。
2020年9月23日,中国银保监会印发《监管数据安全管理办法》(试行),适用于银保监会及其受托机构,旨在建立健全监管数据安全协同管理体系,明确归口管理职责,并从数据采集和使用、监督检查以及数据安全事件应急处置等方面明确管理规定。
2020年2月13日,中国人民银行发布《个人金融信息保护技术规范》(JRT 0171-2020)适用于提供金融产品和业务的金融业机构。标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。
2021年4月8日,中国人民银行发布《数据生命周期安全规范》(JR/T 0223-2021),适用于指导金融业机构开展电子数据安全防护工作。规范定义了金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求,以金融数据生命周期各阶段安全防护框架为主线,对数据安全管理体系建设明确要求,并以附录形式对数据采集、传输,数据脱敏和数据水印相关领域最佳实践提供指导。
以上各类法律法规的正式出台表明网络安全和数据合规领域将迎来强监管时代,法律更为完备和严谨。金融业也需要及时进行调整,针对性地识别合规风险点,才能有效应对突发危机,在合规与商业利益最大化之间寻求最佳平衡点。