一、法律法规_数据安全合规实务-QQ阅读中文青春网

书名：数据安全合规实务
作者名：李怀胜主编
本章字数：7247字
更新时间：2025-05-15 09:44:31

一、法律法规

（一）《数据安全法》

《数据安全法》作为数据安全领域的基础性法律，在我国的数据安全立法体系中处于核心地位，确立了我国数据安全立法和合规的基本架构。

《数据安全法》共七章五十五条，主要规定了数据安全工作职责、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、数据安全相关法律责任等内容。

1.数据安全工作职责

数据已经嵌入社会生活的方方面面，涉及各行业、各领域，对数据安全进行监管涉及多个部门的职责。《数据安全法》规定数据安全工作由中央国家安全领导机构总负责，履行决策和统筹协调等职责，并建立国家数据安全工作协调机制，有关行业部门和有关主管部门在此协调机制下各自分工，相互配合，负责各自领域内的数据安全监管工作。

2.数据安全与发展

数字经济的发展以及治理能力和治理体系现代化既离不开数据的开发和利用，也离不开数据安全，因此，《数据安全法》以法律规范的形式为这对关系定下了基调——国家要统筹数据发展和安全。为此，《数据安全法》规定了一系列支持、促进数据安全与发展的措施：一方面，要坚持以数据开发利用和产业发展促进数据安全，要实施国家大数据战略，鼓励和支持数据在各行业、各领域的创新应用，鼓励通过数据开发提升公共服务水平，加强数据技术研究，培育数据产品、产业体系，建立健全数据交易管理制度，培养数据人才；另一方面，要通过加强数据安全技术研究，推进数据安全标准体系建设，促进数据安全检测评估、认证等服务的发展，鼓励行业组织、企业和科研机构等专业机构参与数据安全协同保障，培养数据安全人才等方式，实现以数据安全保障数据开发利用和产业发展的目标。

3.数据安全制度

有效应对已从个人、组织延伸到社会、国家安全层面的境内外数据安全风险，必须在国家层面建立健全国家数据安全制度，完善国家数据安全治理体系。因此，《数据安全法》规定了以下重要数据安全制度，搭建起我国数据安全制度的基本框架：一是建立数据分类分级保护制度，制定重要数据目录，对包含国家核心数据在内的列入目录的数据进行重点保护。二是建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制，统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。三是建立数据安全应急处置机制，发生数据安全事件时应当依法启动应急预案，采取相应的应急处置措施，并及时发布警示信息。四是建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。五是对属于管制物项的数据依法实施出口管制。六是在与数据有关的投资、贸易方面对我国采取歧视性措施的国家或地区，采取对等反歧视措施。

4.数据安全保护义务

以企业为代表的数据处理者对数据的掌控力远超其他主体，因此，数据安全的保障离不开落实数据处理者的数据安全保护义务。《数据安全法》规定的数据安全保护义务主要有：第一，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。第二，开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施，并及时告知用户、向主管部门报告。第三，重要数据的处理者应当定期开展风险评估，并向有关主管部门报送风险评估报告。第四，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，应适用《网络安全法》的相关规定。第五，收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。第六，从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。第七，需依法取得行政许可的数据处理相关服务，必须在取得许可后开展。第八，应配合公安机关和国家安全机关依法进行数据调取活动。第九，非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

5.政务数据安全与开放

发展电子政务是国家治理体系和治理能力现代化的重要支撑，政府数据应用不断深化，数据在电子政务开展中的中心作用不断凸显，因此《数据安全法》就政务数据的安全和开放作出了专门规定。推进电子政务建设，就要提高政务数据的科学性、准确性和时效性，提升运用数据服务经济社会发展的能力。通过制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台等方式，及时、准确地公开除依法不予公开外的政务数据。

6.数据安全相关法律责任

对于需要进行数据安全合规的数据处理者而言，违反《数据安全法》相关规定引发的法律责任也是需要关注的重点。《数据安全法》针对不同的违法情况，规定了责令改正、警告、罚款，责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等行政处罚。较为严苛的法律责任和行政责任标准，既体现了立法层面对数据安全问题的重视，也对组织和个人进行了相应的威慑。^[4]

（二）《网络安全法》

《网络安全法》于2016年11月7日由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议正式审议通过。考虑到数字时代，数据安全与网络安全密不可分，《网络安全法》在制定时便将维护网络数据的完整性、保密性和可用性纳入网络安全的体系框架内。《网络安全法》作为我国网络安全领域的基础性法律，不仅最早在法律层面对网络数据的概念进行了明确，而且《数据安全法》的某些立法理念及具体制度，均滥觞于《网络安全法》，并在数据安全实践工作中逐步发展完善。

例如，数据利用与数据安全保护并重这一理念在《网络安全法》中便已有所体现，该法第十八条第一款规定：国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。具体制度层面，《网络安全法》的以下规定与数据安全直接相关：一是将“采取数据分类、重要数据备份和加密等措施，防止网络数据泄露或者被窃取、篡改”作为构建国家网络安全等级保护制度的重要措施与目标；二是与刑法相衔接，规定任何组织和个人不得从事窃取网络数据等危害网络安全的活动，不得提供专门用于窃取网络数据的程序和工具；三是规定关键信息基础设施的运营者要对重要系统和数据库进行容灾备份，并要求关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息与重要数据在境内存储，经监管部门审批才可出境。

大数据时代，绝大多数数据以电子方式记录的特征决定了数据安全合规与网络安全合规是不可分割的。《数据安全法》规定，利用互联网等信息网络开展数据处理活动时履行的数据安全保护义务应建立在网络安全等级保护制度的基础上。关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据，应按照《网络安全法》的规定在境内存储，因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。因此，没有数据安全就没有网络安全，同样，没有网络安全就没有数据安全，在实践中开展数据安全合规工作时，要将两部法律有机结合，不能仅依据《数据安全法》而忽略了《网络安全法》的相关要求。

（三）《个人信息保护法》

1.《个人信息保护法》与《数据安全法》的联系

2021年8月20日，《个人信息保护法》由第十三届全国人民代表大会常务委员会第三十次会议表决通过。《个人信息保护法》是我国个人信息保护领域的基础性法律，在《民法典》和《网络安全法》的基础上，进一步完善了我国个人信息保护的基本框架。

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，数据是任何以电子或者其他方式对信息的记录。这表明，信息和数据是构成同一事物的不同侧面，前者是符号的社会、语言意义，后者是形式化的符号本身。^[5]两者是内容和载体的关系，因此在实践中往往结合在一起，难以完全分割。而在众多信息中，价值最高、被滥用或泄露后风险最大的便是个人信息，绝大多数的数据处理者同时是个人信息处理者。因此，在开展数据合规工作时，需要依据个人信息处理规则对数据进行处理，并履行个人信息处理者义务。

2.《个人信息保护法》与数据安全合规

《个人信息保护法》共八章七十四条，主要规定了《个人信息保护法》适用范围、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门等内容。其中，与数据安全直接相关的是个人信息处理规则、个人信息跨境提供的规则与个人信息处理者的义务。

（1）个人信息处理规则

如前所述，从被动层面来看，企业数据安全合规是企业为避免或减轻在经营过程中，因违法违规处理数据而受到行政处罚、刑事处罚，或避免受到更大的经济或其他损失而采取的一种公司治理方式。因此，当需要处理的数据中包含个人信息时，只有满足以下条件才可对数据进行处理：一是必须有处理个人信息的合法理由，具体包括取得个人的同意；为订立、履行个人作为一方当事人的合同，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；为履行法定职责或者法定义务所必需；为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；或存在法律、行政法规规定的其他情形。二是在处理数据前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知数据处理者的名称、联系方式、处理目的、处理方式，处理的个人信息种类、保存期限以及个人行使权利的方式和程序等事项。三是数据处理者向他人提供其处理的数据的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意；公开数据的，应取得个人的单独同意。四是利用包含个人信息的数据进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。五是只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，数据处理者方可处理包含敏感个人信息的数据，并取得个人的单独同意。

（2）个人信息跨境提供的规则

个人信息跨境提供的规则与重要数据出境安全管理规则有共通之处，但包含个人信息的数据在跨境传输时所受到的限制更多，安全评估与审核也更为严格。首先，因业务需要向境外提供包含个人信息的数据的，应当通过国家网信部门组织的安全评估或按照国家网信部门的规定经专业机构进行个人信息保护认证或按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务。其次，数据处理者应当采取必要措施，保障境外接收方处理包含个人信息的数据时能达到《个人信息保护法》规定的个人信息保护标准。最后，数据处理者向中华人民共和国境外提供包含个人信息的数据的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《个人信息保护法》规定权利的方式和程序等事项，并取得个人的单独同意。

（3）个人信息处理者的义务

当数据中包含个人信息时，数据处理者同时是个人信息处理者，因此必须履行个人信息处理者的义务。具体而言，要制定内部管理制度和操作规程，对个人信息实行分类管理，采取相应的加密、去标识化等安全技术措施，合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训，制订并组织实施个人信息安全事件应急预案，以及采取法律、行政法规规定的其他措施，确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。此外，当数据中包含个人信息时，需定期进行合规审计，当处理敏感个人信息、利用个人信息进行自动化决策委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息等对个人权益有重大影响的个人信息处理活动时，应事前进行个人信息保护影响评估，并对处理情况进行记录。一旦发生或者可能发生个人信息泄露、篡改、丢失的，应立即采取补救措施，并通知履行个人信息保护职责的部门和个人。

提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，还应当履行下列义务：按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；定期发布个人信息保护社会责任报告，接受社会监督。

（四）《民法典》

若采用公法、私法的划分，《数据安全法》无疑属于公法，数据安全合规也更多依据公法的相关规定开展。《民法典》作为私法，虽然并未直接就数据安全合规问题作出规定，但诞生于大数据时代的《民法典》仍然通过规范电子商务交易模式、完善网络侵权责任制度、兼顾个人信息保护与数字流通使用等方式，夯实了数字经济的基石，作为民事基本法规范了数字经济的安全有序发展，间接保障数据安全。这种保障可分为三个层次：一是将数据纳入民法保护范围。《民法典》沿袭了原《民法总则》第一百二十七条的规定，在私法层面对数据保护进行了原则性规定，将数据纳入民事保护的大框架中。二是将个人信息保护纳入人格权编，作为一种民事权益进行保护。《民法典》中关于个人信息保护的规定与《数据安全法》《个人信息保护法》《网络安全法》中的个人信息保护规定形成有效衔接，推动个人信息保护与数据安全领域民事和行政法律协同治理体系的构建。三是规范数字经济活动和行为。《民法典》侵权责任编在原《侵权责任法》第三十六条关于网络侵权行为规制的基础上，进一步完善了“通知—删除”规则和网络侵权制度，使得发生数据安全侵权案件时，进行民事救济有了基本法依据。^[6]

（五）《电子商务法》

依托于四通八达的道路交通体系和完善的物流体系，电子商务在我国迅猛发展，并表现出渗透性，对数字支付、流通、消费均产生了巨大影响。^[7]电子商务的发展离不开对姓名、电话、家庭住址等个人信息的收集，也离不开安全、稳定的数据收集、传输和存储环境，因此《电子商务法》制定时围绕电子商务经营者、电子商务消费者以及相关行政监管部门的权利义务对数据安全和个人信息保护内容进行了规定。

在个人信息的收集、使用、保存和用户权利等与个人信息保护相关的问题上，一方面，《电子商务法》在《网络安全法》的基础上，结合电子商务运营的实际情况，对电子商务经营者在具体场景下收集、使用个人信息的规则进行了细化；另一方面，《电子商务法》考虑到交易数据的重要价值，明确要求电子商务平台经营者应当记录、保存平台上的商品和服务信息、交易信息，保存时间自交易完成之日起不少于3年。

在个性化推荐问题上，考虑到电子商务与个性化推荐以及“大数据杀熟”的密切联系，《电子商务法》规定电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或服务的搜索结果的，应当同时提供不针对其个人特征的选项，以保护消费者的合法权益。从数据安全合规角度来看，这一规定本质是在电子商务领域对数据利用进行限制，以避免数据滥用对用户的权益造成侵害。

（六）《刑法》

与民法和行政法相比，刑法的调整对象更广，制裁严厉性和用于保障执行的强制力也远超其他法律。正因如此，在保护数据安全、网络安全和个人信息权益方面，刑法发挥着其他法律部门所不能替代的作用。在《民法典》《数据安全法》《个人信息保护法》等前置法律均已生效，数据安全体系已初步建立的情况下，“刑事先行”问题能够在很大程度上得到解决，面对日益严峻的数据安全形式，应充分发挥刑法的保障作用，构建起数据安全的坚实屏障。

在现行刑法中，与数据安全直接相关的罪名主要可分为个人信息犯罪和计算机犯罪两类。个人信息犯罪即《中华人民共和国刑法（2020年修正）》（以下简称《刑法》）第二百五十三条之一规定的侵犯公民个人信息罪，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。经过《刑法修正案（七）》《刑法修正案（九）》的两次增补，计算机犯罪罪名体系已较为完善，除《刑法》第二百八十七条的提示性规定外，还包括七个具体罪名：非法侵入计算机信息系统罪，非法获取计算机信息系统数据、非法控制计算机信息系统罪，提供侵入、非法控制计算机信息系统程序、工具罪，破坏计算机信息系统罪，拒不履行信息网络安全管理义务罪，非法利用信息网络罪，帮助信息网络犯罪活动罪。

即便现阶段法律规定的计算机犯罪相关条款能够应对绝大多数针对计算机信息系统和系统内数据的犯罪，我们也应认识到，伴随着网络向围绕数据处理的数据网络转变，大数据时代数据犯罪的指向，不再仅仅是对于计算机信息系统中存储、处理，传输数据的增加、修改、删除和干扰，而是演变为以大数据对象为中心，纵向侵害技术与现实双层法益，形成的一个多行为方式，危害后果横向跨越个人、社会、国家各层面与政治、军事、财产、人身和民主权利各领域的大犯罪体系。换言之，针对数据安全的犯罪已经渗透至犯罪体系的方方面面，传统的犯罪形式也可能对数据安全造成侵害。例如，在大数据时代，伪造身份证件除了需要伪造纸本的证件之外，还需要侵入后台系统对数据库进行修改，否则在处处联网、实时查验的当下，单纯的纸质证件与白纸无异。因此，必须将刑事合规也纳入数据安全合规的大框架中，认识到针对数据安全的犯罪行为方式，不仅体现为技术破坏、非法获取的行为，也体现为大规模数据监听、监控、窃取、过度挖掘、恶意滥用等一系列行为；犯罪的危害后果，除了破坏计算机信息系统功能，还危害个人的财产、隐私、人身、人格安全，严重的则危害经济秩序、国防利益与国家安全。