网络安全丨这些法律你知道吗？

《中华人民共和国网络安全法》

是互联网领域、网络安全的基础性法律。是党的十八大以来的又一部重要法律。

保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织合法权益，促进经济社会信息化健康发展。

在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。

2016年11月7日发布 

2017年6月1日起施行

《网络安全法》第二章至第五章分别从网络安全支持与促进、网络运行安全一般规定、关键信息基础设施的运行安全、网络信息安全、监测预警与应急处置五个方面，对网络安全有关事项进行了规定，勾勒了我国网络安全工作的轮廓：以关键信息基础设施保护为重心，强调落实运营者责任，注重保护个人权益，加强动态感知快速反应，以技术、产业、人才为保障，立体化地推进网络安全工作。

《中华人民共和国网络安全法》将原来散见于各种法规、规章中的规定上升到法律层面，对网络运营者等主体的法律义务和责任做了全面规定，包括守法义务，遵守社会公德、商业道德义务，诚实信用义务，网络安全保护义务，接受监督义务，承担社会责任等，并在“网络运行安全”、“网络信息安全”、“监测预警与应急处置”等章节中进一步明确、细化。在“法律责任”中则提高了违法行为的处罚标准，加大了处罚力度，有利于保障《网络安全法》的实施

《数据安全法》

1.适用范围：在中国境内开展数据活动的组织和个人。

2.定义：数据是指任何以电子或者非电子形式对信息的记录。

3.保护要求：釆取必要措施，对数据进行有效保护和合法利用，并持续保持其安全能力。

4.责任任务：工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主要行业会落地数据保护行业规范，并且落地本部门的数据安全规范。公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。网信部门负责统筹协调和监管。

5.特别的对行业组织提出了制定安全行为规范，加强行业自律，指导会员加强数据安全保护的要求。这项法规有效的消灭了灰色地带，对各行业都形成了法律约束，杜绝了数据的随意共享和流转。

1.发展原则：国家统筹发展和安全，坚持保障数据安全与促进数据开发利用并重。

2.战略要求：省级以上人民政府应制定数字经济发展规划。进一步细化了国家数据战略的执行主体。

3.标准体系：国家主管部门负责相关标准和体系的制定。

4. 评估认证：国家促进数据安全检测评估、认证等服务的发展，支持专业机构依法开展服务。

5.人才培养：要釆取多种方式培养数据开发利用技术和数据安全专业人才。

6.公共服务的要求：应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。

1.分类分级：国家建立数据分类分级保护制度，对数据实行分类分级保护，并确定重要数据目录，加强对重要数据的保护。

2.风险评估：要建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。

3.应急处置：要建立数据安全应急处置机制。

4.安全审查：要建立数据安全审查制度。

5.出口管制：对属于管制物项的数据依法实施出口管制，可以根据实际情况对该国家或者地区对等采取措施。这项法规进一步明确了国家对中国数据的主权，即我国数据是否在境内，依然受到中国法律的保护。

1.管理制度:在网络安全等级保护制度的基础上，建立健全全流程数据安全管理制度，组织开展教育培训。重要数据的处理者应当明确数据安全负责人和管理机构，进一步落实数据安全保护责任主体。

2.风险监测：对出现缺陷、漏洞等风险，要釆取补救措施；发生数据安全事件，应当立即采取处置措施，并按规定上报。

3.风险评估：定期开展风险评估并上报风评报告。

4.数据收集：任何组织、个人收集数据必须釆取合法、正当的方式，不得窃取或者以其他非法方式获取数据。

5.数据交易：数据服务商或交易机构，要提供并说明数据来源证据，要审核相关人员身份并留存记录。

6.经营备案：数据服务经营者应当取得行政许可的，服务提供者应当依法取得许可。

7.配合调查：要求依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据，未经批准，不得提供。

8.特别的，对关基信息基础设施的运营在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

1.管理制度:建立健全全流程数据安全管理制度，落实数据安全保护责任。

2.存储加工：委托他人存储、加工或提供政务数据，应当经过严格审批，并做好监督。受托方不得擅自留存、使用、泄露或向他人提供政务数据。

3.数据开放：构建统一政务数据开放平台，发布数据开放目录，推动政务数据开放利用。

4.适用主体：法律、法规授权的具有管理公共事务职能的组织。

1.不履行规定保护义务：责令改正和警告，给予单位5万至50万元罚款，给予负责人1万至10万元罚款；拒不改正或造成大量数据泄漏等严重后果的，给予单位50万至200万元罚款，最高责令吊销相关业务许可证或者吊销营业执照，给予负责人5万至20万元罚款。

2.危害国家安全和损害合法权益的：给予200万至1000万元罚款，责令停业整顿、吊销相关业务许可证或者吊销营业执照，构成犯罪的，追究刑事责任。

3.向境外提供重要数据的：由有关主管部门责令改正，给予警告，可以并处10万至100万元罚款，对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。情节严重的，给予100万至1000万元罚款，责令停业整顿、吊销相关业务许可证或者吊销营业执照，对负责人给予10万至100万元罚款。

4.交易来源不明的数据：没收违法所得，对违法所得一至十倍罚款。没有违法所得或违法所得不足10万元的给予10万至100万元罚款，最高责令吊销营业执照；对主管和直接责任人1万至10万元罚款。

5.拒不配合数据调取的：由有关主管部门责令改正，给予警告，可以并处5万元至50万元罚款，对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。

6.国家机关不履行安全保护义务：对负责人和直接责任人员依法处分。

7.未经审批向境外提供组织数据的：由有关主管部门给予警告，可以并处10万至100万元罚款，对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。造成严重后果的，给予100万至500万元罚款，责令停业整顿、吊销相关业务许可证或者吊销营业执照，对负责人给予5万至500万元罚款。

8.国家工作人员违法：因玩忽职守、滥用职权、徇私舞弊，依法给予处分。

9.窃取或非法获取数据的：依照有关法律、行政法规的规定处罚。

10.给他人造成损害：依法承担民事责任，构成犯罪的，依法追究刑事责任。

七、附则要点

1.涉及国家秘密的数据：依据《中华人民共和国保守国家秘密法》以及相关法律法规执行。

2.涉及军事秘密的数据：由中央军事委员会依据本法另行制定。

数安法是继《网络安全法》提出数据的概念后，国家在数据安全立法层面的一个重大里程碑，注定了是中国数字经济高速发展的压舱石和定海神针。

《个人信息保护法》

个人信息保护法借鉴国际经验并立足我国实际，确立了个人信息处理应遵循的原则，强调处理个人信息应当遵循合法、正当、必要和诚信原则，具有明确、合理的目的并与处理目的直接相关，采取对个人权益影响最小的方式，限于实现处理目的的最小范围，公开处理规则，保证信息质量，采取安全保护措施等。

 “这些原则应当贯穿于个人信息处理的全过程、各环节。”杨合庆说。

个人信息保护法紧紧围绕规范个人信息处理活动、保障个人信息权益，构建了以“告知-同意”为核心的个人信息处理规则。

 “‘告知-同意’是法律确立的个人信息保护核心规则，是保障个人对其个人信息处理知情权和决定权的重要手段。”杨合庆说。

个人信息保护法要求，处理个人信息应当在事先充分告知的前提下取得个人同意，个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。同时，针对现实生活中社会反映强烈的一揽子授权、强制同意等问题，个人信息保护法特别要求，个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意，明确个人信息处理者不得过度收集个人信息，不得以个人不同意为由拒绝提供产品或者服务，并赋予个人撤回同意的权利，在个人撤回同意后，个人信息处理者应当停止处理或及时删除其个人信息。

当前，越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销。有一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息，对消费者在交易价格等方面实行歧视性的差别待遇，误导、欺诈消费者。其中，最典型的就是社会反映突出的“大数据杀熟”。

 “‘大数据杀熟’行为违反了诚实信用原则，侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利，应当在法律上予以禁止。”杨合庆说。

 对此，个人信息保护法明确规定：个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。个人信息保护法要求，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，同时应当事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。

“这主要是考虑到此类信息一旦泄露或者被非法使用，极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害，因此，对处理敏感个人信息的活动应当作出更加严格的限制。”杨合庆说。

 值得关注的是，为保护未成年人的个人信息权益和身心健康，个人信息保护法特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。同时，与未成年人保护法有关规定相衔接，要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意，并应当对此制定专门的个人信息处理规则。

个人信息保护法将个人在个人信息处理活动中的各项权利，包括知悉个人信息处理规则和处理事项、同意和撤回同意，以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权，明确个人有权限制个人信息的处理。

同时，为了适应互联网应用和服务多样化的实际，满足日益增长的跨平台转移个人信息的需求，个人信息保护法对个人信息可携带权作了原则规定，要求在符合国家网信部门规定条件的情形下，个人信息处理者应当为个人提供转移其个人信息的途径。

此外，个人信息保护法还对死者个人信息的保护作了专门规定，明确在尊重死者生前安排的前提下，其近亲属为自身合法、正当利益，可以对死者个人信息行使查阅、复制、更正、删除等权利。

个人信息处理者是个人信息保护的第一责任人。据此，个人信息保护法强调，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

在此基础上，个人信息保护法设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务，要求个人信息处理者按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，指定负责人对其个人信息处理活动进行监督，定期对其个人信息活动进行合规审计，对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估，履行个人信息泄露通知和补救义务等。

“在个人信息处理方面，互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则，是个人信息保护的关键环节。”杨合庆指出，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力，因此在个人信息保护方面应当承担更多的法律义务。

据此，个人信息保护法对这些大型互联网平台设定了特别的个人信息保护义务，包括：按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；遵循公开、公平、公正的原则，制定平台规则；对严重违法处理个人信息的平台内产品或者服务提供者，停止提供服务；定期发布个人信息保护社会责任报告，接受社会监督。个人信息保护法的上述规定是为了提高大型互联网平台经营业务的透明度，完善平台治理，强化外部监督，形成全社会共同参与的个人信息保护机制。

“个人信息保护法构建了一套清晰、系统的个人信息跨境流动规则，以满足保障个人信息权益和安全的客观要求，适应国际经贸往来的现实需要。”杨合庆介绍说：

一是明确以向境内自然人提供产品或者服务为目的，或者分析、评估境内自然人的行为等，在我国境外处理境内自然人个人信息的活动适用本法，并要求符合上述情形的境外个人信息处理者在我国境内设立专门机构或者指定代表，负责个人信息保护相关事务；

二是明确向境外提供个人信息的途径，包括通过国家网信部门组织的安全评估、经专业机构认证、订立标准合同、按照我国缔结或参加的国际条约和协定等；       三是要求个人信息处理者采取必要措施保障境外接收方的处理活动达到本法规定的保护标准；

四是对跨境提供个人信息的“告知-同意”作出更严格的要求，切实保障个人的知情权、决定权等权利；

五是为维护国家主权、安全和发展利益，对跨境提供个人信息的安全评估、向境外司法或执法机构提供个人信息、限制跨境提供个人信息的措施、对外国歧视性措施的反制等作了规定。

个人信息保护涉及的领域广，相关制度措施的落实有赖于完善的监管执法机制。

根据个人信息保护工作实际，个人信息保护法明确，国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作，同时，对个人信息保护和监管职责作出规定，包括开展个人信息宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。

此外，为了加强个人信息保护监管执法的协同配合，个人信息保护法还进一步明确了国家网信部门在个人信息保护监管方面的统筹协调作用，并对其统筹协调职责作出具体规定。

南通职业大学

微信号：ntzydx

投稿邮箱：ntvuwx@mail.ntvu.edu.cn