文丨天元律师事务所 刘瑛 王玄
2017年6月1日《中华人民共和国网络安全法》（“《网络安全法》”）实施以来，其中与数据安全和个人信息保护有关的规范要求尤为引人关注。特别是近两年来数据安全事件、个人信息泄露事件频发，欧盟《通用数据保护条例》（“GDPR”）、美国加州《消费者隐私法案》（“CCPA”）等域外监管要求提升的背景下，对于作为网络运营者的企业，就所处行业、不同的业务和平台下在数据安全和个人信息保护方面有哪些问题，如何在《网络安全法》框架下结合行业特点和企业特性积极有效地应对、进而搭建与本企业相适应的数据合规体系。值《网络安全法》实施两年之际，天元将推出数据合规系列文章，从不同维度归纳和分享我们对问题的思考及实务经验。
本文为该系列第一篇，我们对《网络安全法》实施以来的配套立法、标准化文件等制度性文件进行梳理和回顾，对未来一段时间数据安全和个人信息保护的焦点和趋势加以分析。进而，我们将分别聚焦电商、教育、医疗、互联网金融等不同领域，针对网站、APP、智能终端等不同类型的互联网平台，深化数据合规话题。
一、《网络安全法》配套制度梳理与回顾
在数据和个人信息合规方面，《网络安全法》主要从“个人信息保护”“数据存储与跨境安全”“数据（信息）内容安全”和“数据系统、平台、设施安全”等几方面予以规制。
在个人信息保护方面，《信息安全技术 个人信息安全规范》（国家标准GB/T 35273-2017，“《个人信息安全规范》”）于2018年5月1日实施后，成为实践中最为普遍参照和执行的制度性文件，《APP违法违规收集使用个人信息自评估指南》《移动互联网应用程序（App）安全认证实施规则》亦将《个人信息安全规范》作为APP自评估及安全认证的标准。今年1月，《个人信息安全规范》修订版草案征求意见稿发布，预计不久将有进一步修订更新。
在数据存储与跨境安全方面，《网络安全法》要求，关键信息基础设施的运营者在中国境内的个人信息和重要数据应当在境内存储，确需向境外提供的，应当进行安全评估。该要求的实践和落地，有赖于配套制度确立关键信息基础设施、重要数据的范围，并明确安全评估的方法和程序。《个人信息和重要数据出境安全评估办法（征求意见稿）》《关键信息基础设施安全保护条例（征求意见稿）》在2017年相继发布，受到高度关注，部分内容也引发了各行业的广泛讨论和争议，但始终未能正式出台。根据公开报道，《个人信息和重要数据出境安全评估办法》仍在研究制定中，《关键信息基础设施安全保护条例》则有望出台。
在数据（信息）内容安全方面，相关部门在《网络安全法》发布、实施后的一系列规定对网络运营者、特别是信息服务经营者提出了更高、更细化地要求，包括但不限于《区块链信息服务管理规定》《微博客信息服务管理规定》《互联网用户公众账号信息服务管理规定》《互联网群组信息服务管理规定》《互联网跟帖评论服务管理规定》《互联网论坛社区服务管理规定》《互联网新闻信息服务新技术新应用安全评估管理规定》《互联网新闻信息服务单位内容管理从业人员管理办法》等。加之《网络安全法》出台前已有的《互联网直播服务管理规定》《移动互联网应用程序信息服务管理规定》《互联网信息搜索服务管理规定》等。这些内容监管要求基本实现了对主流互联网平台类型的全覆盖，监管体系基本形成。
在数据系统、平台、设施安全方面，《网络安全法》从网络安全等级保护、网络产品和服务管理等角度予以规制。网络产品和服务管理方面，《网络产品和服务安全审查办法（试行）》和《网络关键设备和网络安全专用产品目录（第一批）》均已正式施行。网络安全等级保护制度方面，《网络安全等级保护条例（征求意见稿）》区分五个网络安全保护等级，对不同等级的网络运营者分别提出一般安全保护义务和特殊安全保护义务，但是该条例并未正式出台，其与《网络安全法》实施之前业已存在的《信息安全等级保护管理办法》之间的关系如何协调亦需关注。
二、数据与个人信息合规趋势与展望
（一）《个人信息保护法》《数据安全法》专门立法的推进
2018年9月，十三届全国人大常委会立法规划发布，《个人信息保护法》《数据安全法》均在“条件比较成熟、任期内拟提请审议的法律草案”之列。今年两会期间，两会新闻发言人表示将尽快推动两法的立法工作。
对个人信息的保护，从2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》首次明确提出保护公民个人信息，到《电信和互联网用户个人信息保护规定》等规定相继出台，再到《网络安全法》作为网络基本法确立个人信息保护的原则，可谓是一步一个台阶，但是各类规定零散、操作性有待加强的问题一直存在。而“数据”概念则是在《网络安全法》中首次出现，就其内涵和监管要求也需要厘清和明确。这些使得《个人信息保护法》和《数据安全法》专门立法成为我国个人信息保护和数据安全监管体系发展到现阶段的合理选择，但对于其中尚有不同认识、未形成共识的话题，例如如何在个人信息保护、数据安全与数据产业发展、数据资源利用等多重价值中平衡和取舍，仍然需要充分讨论。   
（二）数据安全和个人信息保护核心配套制度落地
除了前述专门立法，对于《网络安全法》中已经明确提及的、有待制定的配套制度，其中为数不少在过去两年公开征求意见后并未正式出台。特别是《关键信息基础设施安全保护条例（征求意见稿）》《个人信息和重要数据出境安全评估办法（征求意见稿）》《网络安全等级保护条例（征求意见稿）》等核心配套制度，涉及《网络安全法》中的重要概念、重要规范，在经过了长期的讨论和研究后，可能会相继出台和实施。网络运营者需要及时跟进，适时调整、应对。
（三）数据安全执法加强
个人信息保护和数据（信息）内容安全是目前执法较为活跃的领域。对于过去两年中频发的个人信息不当收集、数据泄露等数据安全事件，工信部、网信办或者行业主管部门采取了轻则约谈整改、重则行政处罚的执法手段，部分执法个案产生了较强的社会影响和警示作用。在个人信息保护方面，中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，以工作组的形式开展专项治理，是近期的监管和执法重点。在数据（信息）内容安全方面，经过两年的执法实践，网信部门按照《互联网信息内容管理行政执法程序规定》进行执法的模式已较为成熟，其中关于管辖、立案、调查取证、听证、约谈、决定、执行等各环节的具体程序要求可供网络运营者参考。数据安全执法的加强要求网络运营者准确、深入理解监管要求并快速应对，企业需要有内部相关制度、程序的构建予以支撑。
综上，下一阶段将会成为《网络安全法》下数据安全和个人信息保护配套立法和执法全面落地的时期。这无疑对企业的数据合规工作提出了更高、更细的要求，包括但不限于应监管要求对业务模式进行论证、调整，完善数据和网络安全管理体系、合规体系，制度化地应对数据安全执法和数据安全事件，等等。
数据安全和个人信息保护在不同行业中有特定化的表现，不同的企业也有个性化的困扰。接下来，我们将分别聚焦电商、教育、医疗、互联网金融等不同领域，针对网站、APP、智能终端等不同类型的互联网平台涉及的主要数据合规问题进行梳理，敬请期待。
天元数据合规服务
天元团队连续二十余年为TMT行业提供法律服务，对通信及互联网产业政策、行业发展和变迁历程、以及业务有着深刻的理解和感受。从2012年底全国人大常委会关于公民个人信息保护的第一个专门性法律颁布至今，天元持续为行业内领先的企业客户提供数据合规、用户个人信息保护、网络和信息安全方面的法律服务。天元数据合规服务包括：对企业的业务模式、业务规则、业务流程以及业务方案中涉及的用户个人信息保护、数据使用与安全、数据跨境等问题进行合规性审查和论证；为企业审查和起草用户个人信息协议、授权文件、隐私政策等文件；协助企业搭建数据业务合规体系，制订相关文件；以及数据合规培训。天元数据合规服务涵盖数据及个人信息的收集、使用、存储、管理、合作、经营以及数据跨境等业务及安全管理的全链条。