二、重要监管部门职能概述
大数据时代,在推动国家治理体系和治理能力现代化的过程中,数据安全已嵌入所有行业与领域,最为传统的农业、建筑业也有了相当高的数字化水平。因此除国家数据局对数据经济发展事项进行归口管理外,网信部门、工信部门、公安部门、国安部门负责多领域的数据安全监管工作外,每一行业、每一领域的主管部门对本领域的数据处理活动进行合规监管,防止数据丢失、毁损、泄露和篡改。受限于篇幅,本书无法对所有行业主管部门的数据安全监管职能一一进行介绍,仅就国家数据局和《数据安全法》第六条提及的行业主管部门之监管职能展开探讨。
(一)国家数据局
根据《国务院机构改革方案》,国家数据局由国家发改委进行管理,将原中央网信办承担的研究拟订数字中国建设方案、协调推动公共服务和社会治理信息化、协调促进智慧城市建设、协调国家重要信息资源开发利用与共享、推动信息资源跨行业跨部门互联互通等职责,国家发改委承担的统筹推进数字经济发展、组织实施国家大数据战略、推进数据要素基础制度建设、推进数字基础设施布局建设等职责划入国家数据局。
国家数据局的主要任务是推动数字经济的发展,建设数据基础制度,并不直接承担数据安全监管职责。但安全与发展是息息相关的,数字经济的发展,数据基础制度的构建离不开安全的数据环境,有学者指出,国家数据局成立后,我国可能形成“宏观发展—安全监管—具体领域”的“1+1+n”三元协同治理格局。具体而言,其中第一个“1”代表国家数据局负责数据宏观发展职责,第二个“1”代表国家网信部门负责数据安全和个人信息保护方面监管职责,而“n”代表了各领域主管部门在对应领域内的数据管理职权。国家数据局主要负责数据基础制度、基础设施与基础性规划的统筹设计与建设,既不涉及数据安全的监管,也不涉及对某一具体行业与领域的治理,其核心特征是基础性与宏观性。换言之,国家数据局的职权范围具有一般性和基础性,可以对各个领域与行业普遍产生影响,例如,国家数据局负责的数据基础制度,未来将是各个领域均应遵守的基础制度。[16]
(二)网信部门
网信部门在中央层面包括“中共中央网络安全和信息化委员会办公室”和中华人民共和国国家互联网信息办公室,前者前身是“中央网络安全和信息化领导小组”,在2018年根据中共中央印发的《深化党和国家机构改革方案》改为中共中央网络安全和信息化委员会,并设立中央网信办作为其办事机构。后者于2011年经国务院批准设立,“国家网信办和中央网信办,一个机构两块牌子,列入中共中央直属机构序列”。[17]
根据《数据安全法》第六条、《网络安全法》第八条和《个人信息保护法》第六十条的规定,国家网信部门同时负责统筹协调数据安全、网络安全、个人信息保护工作和相关监督管理工作,在数据安全监管体系中居于核心地位。除统筹协调外,网信部门还主要负责以下几项数据安全监管工作:
一是数据出境监管。数据跨境传输带来的数据安全风险不言而喻,不论是境外数据处理者的不当数据处理活动,数据在跨境传输过程中泄露,还是境外政府对出境数据未经允许的处理都可能给数据安全与国家安全带来威胁。网信部门作为数据安全领域最主要的监管机构,必须履行对出境数据的监管义务。具体而言,网信部门需要会同国务院有关部门制定重要数据的出境安全管理办法;为企业制定数据跨境传输的标准合同,并组织数据跨境传输安全评估;当发现存在来源于中华人民共和国境外的法律、行政法规禁止发布或者传输的信息时,应要求网络运营者停止传输,采取消除等处置措施,保存有关记录,并通知有关机构采取技术措施和其他必要措施阻断传播;若在执法过程中发现,存在侵害国家安全、公共利益或公民个人信息权益的境外组织或个人,应将这些实体列入限制或者禁止个人信息提供清单,予以公告,限制或者禁止境内企业向其传输数据。
二是关键信息基础设施与网络安全设备的安全认证与安全审查。数据安全、网络安全的保障离不开网络硬件环境的安全,因此,网信部门需要会同国务院有关部门,制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认。在网络安全设备中,关键信息基础设施关系国计民生,其采购的网络产品与服务需要经过更为严格的安全审查,而且网信部门还需统筹协调有关部门,采取多种措施,对关键信息基础设施进行安全保护。
三是推动建立健全数据安全保护机制。网信部门需推动建立健全网络安全风险评估和应急工作机制,制订网络安全事件应急预案,并定期组织演练,按照规定统一发布网络安全监测预警信息。
2022年,网信系统进一步加大执法力度,依法查处各类违法违规案件,取得显著成效。据统计,全国网信系统全年累计依法约谈网站平台8608家,警告6767家,关闭违法网站25233家,移送相关案件线索11229件。[18]
(三)工信部门
工信部门是指中华人民共和国工业和信息化部,是根据2008年3月11日公布的国务院机构改革方案,在原国防科工委、信息产业部和国务院信息办的基础上组建的国务院部门,是我国工业和电信领域的主管机构。工业和信息化部的数据安全监管职能主要由内设的网络安全管理局承担,具体而言,网络安全管理局承担电信和互联网行业网络安全审查相关工作,组织推动电信网、互联网安全自主可控工作;指导督促电信企业和互联网企业落实网络与信息安全管理责任,配合打击网络犯罪和防范网络失泄密;拟订电信网、互联网网络安全防护政策并组织实施;承担电信网、互联网网络与信息安全监测预警、威胁治理、信息通报和应急管理与处置;承担电信网、互联网网络数据和用户信息安全保护管理工作。[19]当收到组织和个人有关危害网络安全行为的举报时,工信部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。在数据安全保护问题上,工业和信息化部提出要重点整治企业在数据收集、传输、存储及对外提供等环节,未按要求采取必要的管理和技术措施等问题,包括数据传输时未对敏感信息加密、向第三方提供数据前未征得用户同意等场景。[20]
在关键信息基础设施安全保护工作中,工信部门应当根据保护工作部门的需要,及时提供技术支持和协助。任何组织和个人对基础电信网络实施漏洞探测、渗透性测试等活动,都应事先向工信部门报告并取得批准。在电信领域关键信息基础设施安全运行的情况下,若其他行业和领域的关键信息基础设施安全遭到冲击,工信部门应提供重点保障。
(四)公安部门、国家安全部门
公安部门与国家安全部门在数据安全监管领域扮演着双重角色。一方面,在数据安全、网络安全深度嵌入公共安全、国家安全,已形成密不可分统一体的情况下,作为安全部门的公安部门与国家安全部门在数据安全监管问题上需承担更多的行政监管职责;另一方面,当出现严重危及数据安全、网络安全犯罪活动时,应进行刑事侦查。
在行政监管领域,公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。任何个人和组织开展对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动,均需经过公安部门批准。收到任何个人和组织有关数据安全、网络安全举报的,公安机关或国家安全机关应当及时依法做出处理,不属于本部门职责的,应当及时移送有权处理的部门。任何个人和组织从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,或者设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关没收违法所得,并根据情节轻重,处以行政拘留和罚款。
在刑事领域,公安机关主要负责侵犯公民个人信息案件,非法侵入计算机信息系统案件,非法获取计算机信息系统数据案件,非法控制计算机信息系统案件,提供侵入、非法控制计算机信息系统程序、工具案件,破坏计算机信息系统案件,拒不履行信息网络安全管理义务案件,非法利用信息网络安全案件和帮助信息网络犯罪活动案件的侦查。国家安全机关主要负责通过窃取重要数据、攻击国防领域数据等方式进行的危害国家安全案件的侦查。
考虑到公安机关和国家安全机关工作的特殊性,《数据安全法》《网络安全法》《个人信息保护法》等法律规定了行刑衔接和职能保障机制。履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据或者对关键信息基础设施进行网络安全检查时,有关组织、个人应当予以配合,并提供技术支持和协助。拒不提供技术支持和协助的,由有关主管部门责令改正或处以罚款。
(五)交通主管部门
随着大数据产业的蓬勃发展,网约车已成为人们生活的一部分,自动驾驶技术也越发成熟。基于这一背景,交通运输部在《交通运输信息化“十三五”发展规划》中提出“没有信息化,就没有交通运输现代化”。信息化是实现智慧交通的重要载体和手段,智慧交通是交通运输信息化发展的方向和目标。无论是公路领域的动态监测数据、收费数据,还是水路领域的港口运行数据、船舶位置数据,抑或是城市交通领域的车辆通行数据、流量监测数据,民航、铁路领域的旅客数据、购票数据,邮政领域的包裹数据、物流数据,出行领域的用户数据、行程数据等,共同形成了交通运输领域的大数据资源。不难发现,交通领域的数据来源众多、数量极大,且对于实时性的要求也较高,同样地,交通领域的数据安全也面临极大的风险,且交通领域的系统数据一旦受到攻击,轻则导致交通拥堵,重则引发大范围交通事故,导致大量人员伤亡。因此,《网络安全法》第三十一条也明确将交通领域的数据安全保护纳入可能危及国家安全、国计民生、公共利益的关键信息基础设施的重点保护领域。考虑到交通领域以交通工具为核心的监管特点,交通主管部门一般将权限下放至各地区而非进行统一管理。交通运输部下发的《网络预约出租汽车监管信息交互平台运行管理办法》中规定,各地交通运输主管部门应对网络安全实施等级保护,及时整改数据安全风险漏洞以防数据信息泄露、毁损或丢失,并且也鼓励联合监管、数据共享的高效模式。
交通领域数据安全监管的另一特点是与其他领域紧密结合,因此交通主管部门经常与其他部门合作对数据安全进行监管。交通运输部印发的《交通运输政务数据共享管理办法》中第四条明确提到了对于交通运输政务数据的职责划分问题,其中科技主管部门要负责管理、监督和评估政务数据共享工作,组织管理交通运输政务数据目录编制工作,组织推进数据共享交换平台政务数据接入,组织开展相关制度文件、标准规范的制修订和宣贯实施,监督部门共享平台的运行。交通运输部、工业和信息化部、公安部、商务部、国家工商总局、国家质检总局、国家互联网信息办公室共同发布的《网络预约出租汽车经营服务管理暂行办法》第二十九条至第三十三条更是进一步对各部门的监管职责进行了详细明确的规定:首先,出租车行政主管部门应当加强对网约车的市场监管,并应当协同政府部门共同完成车辆和驾驶员基本信息、服务质量、乘客评价信息、服务质量测评结果、乘客投诉处理情况、运营和交易等数据监督管理;其次,通信主管部门和公安、网信部门应当按照各自职责,对非法收集、存储、处理和利用个人信息的行为依法监督、处置;最后,发展改革、价格、通信、公安、人力资源社会保障、商务、人民银行、税务、工商、质检、网信等部门按照各自职责,对网约车经营行为实施相关监督检查,并对违法行为依法处理。
(六)金融主管部门
金融领域涉及社会经济层面的大量数据,如客户身份数据、交易数据、消费数据。金融数据不仅因其高度敏感性与私密而与个人人身、财产权益密切相关,而且一旦金融领域的关键信息基础设施遭到破坏,导致功能丧失或者数据泄露,就可能严重危害到国家安全、公共利益,因此对于金融领域的数据网络安全必须进行重点保护。金融业的数据化水平在所有行业中名列前茅,银行业、保险业、证券业和征信业四大主要的金融领域均已实现数字化,因此也面临多样化的数据安全风险,如银行业面临账户被窃取风险、保险业面临保险人身体健康数据泄露风险、证券业面临交易偏好数据泄露风险、征信业面临征信数据被篡改风险。2006年修正的《银行业监督管理法》第三十四条规定,银行业监督管理机构根据审慎监管的要求,可以检查银行业金融机构运用电子计算机管理业务数据的系统,以确保金融数据安全。
为更好地应对金融领域的数据安全风险,作为金融主管部门的中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会先后单独或与其他行业主管部门一同发布了《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》《关于促进互联网金融健康发展的指导意见》《中国人民银行金融消费者权益保护实施办法》《银行业金融机构数据治理指引》等规范性文件。其中,2015年7月中国人民银行等十部门出台的《关于促进互联网金融健康发展的指导意见》(银发〔2015〕221号)第二条明确提出:“加强互联网金融监管,是促进互联网金融健康发展的内在要求。同时,互联网金融是新生事物和新兴业态,要制定适度宽松的监管政策,为互联网金融创新留有余地和空间。通过鼓励创新和加强监管相互支撑,促进互联网金融健康发展,更好地服务实体经济。互联网金融监管应遵循‘依法监管、适度监管、分类监管、协同监管、创新监管’的原则,科学合理界定各业态的业务边界及准入条件,落实监管责任,明确风险底线,保护合法经营,坚决打击违法和违规行为。”《银行业金融机构数据治理指引》则设专章对网络金融数据安全的治理作出了详细规定,银行业监督管理机构应当通过非现场监管和现场检查对银行业金融机构数据治理情况进行持续监管。在监管中,可根据实际情况要求银行业金融机构通过内部审计机构或委托外部审计机构对其数据治理情况进行审计,并及时报送审计报告。对数据治理不满足相关法律法规或者审慎经营规则要求的银行业金融机构,银行业监督管理机构可要求其制订整改方案,责令限期改正,将数据治理与公司治理评价结果或监管评级挂钩或采取其他行政处罚措施。
(七)自然资源主管部门
为了更好地开发与保护自然资源,自然资源主管部门依托信息技术,对土地、矿产、森林、草原、海洋等自然资源开展了系统的统计与数据化工程。自然资源部网站上设立了专门的数据服务栏目,在栏目下发布了第三次全国国土调查主要数据公报、中国矿产资源报告、全国矿产地数据库等诸多与自然资源相关的数据化报告。除了这些能够公开,并且积极鼓励科研机构、企业进行利用的数据外,自然资源领域还包含大量涉及国家秘密的数据,如地图数据、特定导航数据、特殊测绘数据、重点目标地理信息等涉及地理信息的数据,以及水利、地震、气象、环保检测等方面的数据。这些数据均属于重要数据甚至核心数据,一旦泄露将对国家安全造成巨大影响,因此必须由自然资源主管部门对此类数据进行严格监管。例如,为保障国家安全,所有的电子地图、导航设备,都需要加入国家保密插件。地图公司测绘地图,测绘完成后,送到国家测绘局,将真实坐标的电子地图进行加密,这样的地图才是可以出版和发布的,然后才可以让GPS公司处理。若真实的测绘数据被泄露,敌对国家便可通过获取少数控制点的精准坐标,结合卫星遥感找到同名控制点,对影像进行纠正,从而获得可直接用于导弹制导的矢量地图数据,对重要军事基地、国家政府所在地实施精准轰炸。因此,自然资源主管部门将自然资源与地理数据测绘,以及国家地理数据安全保密作为其核心任务之一。自然资源部监督管理民用测绘航空摄影与卫星遥感,拟订测绘行业管理政策,监督管理测绘活动、质量,管理测绘资质资格,审批外国组织、个人来华测绘,并负责审核国家重要地理信息数据与地图管理,审查向社会公开的地图,监督互联网地图服务,提供地理信息应急保障,指导监督地理信息公共服务。
(八)卫生健康主管部门
卫生健康领域包含大量的重要数据,如基因数据、遗传资源等非公开的人口普查相关数据,以及涉及国家战略安全的药品在审批过程中提交的药品实验数据、各种医疗信息、《医疗器械分类规则》中第二类和第三类医疗器械临床实验数据等。我国的健康医疗领域数据量巨大,目前全国已有20多个省市申请了医疗健康大数据中心或产业园,医疗健康行业大数据占国内大数据市场规模的比重约为20%。[21]随着“互联网+”的发展,网上问诊、网上医院不断发展,其中隐含着泄露患者隐私、个人敏感数据的风险,同时医疗大数据也属于国家重要的基础性战略资源,因此相关监管部门对于健康数据的收集、存储、使用、共享、公开等过程应实行全方位、全流程监管,包括事前监管互联网医疗数据的收集是否遵循合法、正当、必要的原则,有没有对收集、使用的规则进行公开,明确告知手机用户收集、使用信息的目的、方式和范围,是否征得用户同意。此外,医疗数据中存在许多涉及个人隐私的敏感数据,应当监管相关组织对数据进行分类、分级、脱敏处理,严格落实最小化使用规则。
2018年国务院办公厅印发的《关于促进“互联网+医疗健康”发展的意见》(国办发〔2018〕26号)第三部分明确规定了加强行业监管和安全保障,由国家卫生健康委员会联合国家互联网信息办公室等部门负责健全相关机构准入标准,加强事中事后监管,确保医疗健康服务质量和安全;监管互联网医疗健康服务平台等第三方机构提供服务人员的资质符合有关规定要求,并对所提供的服务承担责任;研究制定健康医疗大数据确权、开放、流通、交易和产权保护的法规;加强医疗卫生机构、互联网医疗健康服务平台、智能医疗设备以及关键信息基础设施、数据应用服务的信息防护,定期开展信息安全隐患排查、监测和预警。
(九)教育主管部门
教育领域的数据保护重点在于教学科研数据和师生个人信息等数据收集、传输、使用、共享等过程中的保密,尤其是在国家智慧教育推进的大背景之下,关于教育数据资源的风险评估、安全审计、保密审查、日常监测、应急处置等都需要有关部门对此进行指导、监督和管理。
教育部办公厅、国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、民政部办公厅、市场监管总局办公厅发布的《关于做好现有线上学科类培训机构由备案改为审批工作的通知》,要求严格落实《网络安全法》和《数据安全法》等法律法规相关要求,教育移动互联网应用程序(教育App)对于数据收集、储存、传输、使用等环节,满足条件的需要进行个人信息保护影响评估、认证或合规审计,并且需要由教育部门牵头、有关部门参与的协同工作机制,建立起常态化的管理和监督制度;网信、公安、电信部门要做好违规培训平台和应用软件(含App)的关停、下架等工作;明确对相关单位及负责人的问责考核机制。
(十)科技主管部门
科技领域的数据安全涉及自然科学、工程技术科学等领域在基础研究、应用研究、试验开发等过程中产生的数据,以及通过观测监测、考察调查、检验检测等方式取得并用于科学研究活动的原始数据及其衍生数据。对于科技领域的数据安全监管实行国家统筹、各部门与各地区分工负责的机制。国务院办公厅于2018年3月17日发布的《科学数据管理办法》中第七条至第十条明确规定了国务院科学技术行政部门、国务院相关部门、省级人民政府相关部门、有关科研院所、高等院校和企业等法人单位以及由主管部门委托有条件的法人单位建立的科学数据中心的分别职责。