第一节现行数据合规立法体系_数据合规：入门、实战与进阶-QQ阅读男生历史网

上QQ阅读APP看书，第一时间看更新

第一节　现行数据合规立法体系

1.立法概况

数据作为满足企业生产和运营需求的重要生产要素已经成为许多企业关注的核心，自中国共产党中央委员会（简称中共中央）、国务院把“数据”列为五大生产要素之一的口号响起时，数据的时代就已经到来。

（1）我国数据合规立法体系的总体特点

我国网络安全和个人信息保护的总体特点大致有以下3点。

1）我国的数据保护具有综合性。我国法律规定，企业不应当仅仅保护数据本身的安全，还应当承担保护网络运营安全的义务。在网络数据安全方面，公司在存储数据以及与第三方进行数据交互时，能够保证整体数据的安全。在网络运营安全方面，公司要保证数据在通过网络进行相应流转过程中（即数据全生命周期）的安全可控。

2）我国的数据保护具有创新性。我国提出的“网络安全等级保护制度”“关键性基础设施”“重要数据”“国家核心数据”等概念，都是我国立法机关结合国情首创的数据保护新思路。网络安全等级保护制度更是已经作为法定义务被各个网络运营者普遍接受，其中，网络安全等级保护三级认证已经成为行业内各企业证明自身合规水平的通用标准。

3）我国的数据保护具有多层级性。我国的数据保护体系是以多层级的法律法规、规范性法律文件、部门规章以及国家标准共同建立的。需要特别注意且比较容易引发误区的是国家标准的效力问题，多数企业会认为国家标准仅是推荐性的标准，并不具备法律的强制执行效力，即使不按该标准执行，也不会受到处罚。其实，这种理解是不准确的，通过综合2018—2021年的执法案例可以发现，许多违规情形在国家标准中都已经明确规定了。我国目前在数据保护方面的立法相对缓慢，而现有法律法规多以概况性的表述居多。因此，与国际接轨的标准会先于法律出台，且为了支撑法律法规的表述或者为新法的出台做铺垫，国家标准会在法律法规既定的基调之下细化法规表述、明确具体的违规场景。因此，执法机关在执法时也会将相应的标准作为重要的参考依据，企业应当予以密切关注并熟悉相关的重要标准，并在条件允许的情况下，按标准要求做好内部合规工作。

（2）我国数据合规立法机构概况

按立法机构位阶的不同，我国数据保护立法大致可以分为4个层级。

最高层级是由全国人民代表大会及其常务委员会制定的法律，如《网络安全法》《数据安全法》《个人信息保护法》《刑法》《电子商务法》《消费者权益保护法》《民法典》等。

第二层级是国务院制定的行政法规。其中占据核心位置的国家网信办非常特殊，它是由国务院派出协调其他11个部委并专门负责网络安全治理的机构。该机构也会颁布一些法规，包括行政法规和部门规章，但大多数时候颁布的是部门规章，它的立法层级介于国务院与各部委中间。目前涉及的行政法规有《征信业管理条例》《关键信息基础设施安全保护条例》《网络数据安全管理条例（征求意见稿）》《网络安全等级保护条例（征求意见稿）》等。

第三层级是各个部委制定的部门规章。这些部委包括公安部市场监管总局、工信部、国家保密局，还有一些司法机构，但这里的司法机构主要是负责制定司法解释。目前涉及的部门规章包括《儿童个人信息网络保护规定》《网络交易监督管理办法》《网络安全审查办法》等。而且随着《数据安全法》《个人信息保护法》的正式出台，作为下位支持性文件的各部委规章和规范性文件也势必会发生非常大的变化。

此外，在技术规范及标准方面也有一些相应的机构，比如大家比较熟悉的全国信息安全标准化技术委员会（又称“TC260”）、国家标准化管理委员会、国家认证认可监督管理委员会，另外中国信息通信研究院也会制定一些行业标准，除此之外还有一些其他的第三方机构等。

我国立法情况从总体看机构层级较多，且现阶段立法较为分散，主要是以下位阶支撑上位阶，但随着近期上位法频频正式出台，数据合规领域立法体系逐渐趋于完善与系统化，许多国家标准的细节规定将以具有强制执行力的法律法规作为支撑，相应处罚也会更重，建议企业早做准备。

2.立法时间轴与核心法规概况

自2017年始，我国逐渐加强对网络运营安全、数据（含个人信息）安全的保护力度，《民法总则》《网络安全法》及相应的配套法规、标准陆续出台，2018—2020年数据合规领域的立法及监管体系更是发展迅速，以多频次、多维度的立法和专项严格的执法规制了当时社会环境下数据滥收滥用、安全事件频发的乱象。现通过表3-1～表3-5对我国近几年数据合规相关的核心立法情况进行梳理，供读者参考。

表3-1　2017年数据保护相关立法情况