2.2 全球数据安全立法现状

随着企业数字化转型的不断推进与深入，数据安全与个人隐私问题日益严峻，加强现代化的数据安全与隐私保护立法已成为全球趋势。根据联合国贸易和发展组织截至2021年11月26日的统计，包括美国、中国、俄罗斯、印度、澳大利亚、加拿大和日本等在内的全球77%的国家，已完成数据安全和隐私保护立法或者已经提出法律草案。

2.2.1　国外典型数据安全法律法规

1．欧盟GDPR

欧盟于2018年5月25日正式实施了《通用数据保护条例》（General Data Protection Regulation，GDPR）。GDPR是全世界第一部面向个人隐私的法律，由11章99个条款组成，是一个“大而全”的个人数据保护框架。该法旨在保护欧盟公民个人隐私和数据，其适用范围既包括欧盟成员国境内企业所掌握的个人数据，也包括欧盟境外企业所掌握的欧盟公民的个人数据。GDPR明确、详尽地提出了隐私合规要求，例如在个人信息管理方面，要求消费者有同意权、访问权、更正权和被遗忘权等权利；在泄露事件响应方面，若企业发现了严重的数据泄露事件，则必须在72小时内通知监管当局及受影响的个人；在处罚方面，GDPR更是规定了在第二级罚款中，违规行为将被处以最高2000 万欧元或企业全球年收入4% 的罚款，以较高者为准。

GDPR赋予了用户（数据主体）知情权、访问权、修正权、删除权（被遗忘权）、限制处理权（反对权）、可携带权、拒绝权，以及与自动决策和特征分析有关的权利等8项基本权利。例如关于删除权（被遗忘权），以下是两个生动的例子。

例子1：假定用户加入一个社交网站，但过了一段时间，用户决定离开这个社交网站。此时用户可以行使“被遗忘权”，即要求社交网站删除属于用户的个人数据。

例子2：假设当用户使用搜索引擎搜索自己的名字时，出现一个很久以前与他有关的债务偿还协议，但现在已无关紧要。此时用户有权要求删除这些网络信息。

数据主体还拥有除被遗忘权之外的其他诸多权利。但笔者认为，被遗忘权是GDPR赋予用户的一项非常重要的权利。假设某用户平均一年要在多个网站或App上注册，但后续总是低频访问或者处于一直不登录的状态，如果该用户的个人数据被互联网公司收集、存储和处理，那么该用户就会认为自己的个人数据“扩散不可控”。笔者就对一些公司网站的“注册”有一种恐惧感，担心自己的个人数据被贩卖给第三方，从而遭受骚扰电话或广告邮件的轰炸。另外，一些缺乏维护的小网站因黑客攻击造成数据泄露的风险也很高。若这些网站或App提供“一键删除注册信息”的功能，笔者肯定乐于使用该功能。

2.3.2节会对数据主体的各项权利进行更详细的介绍。

2．美国CCPA

受欧盟GDPR的影响，美国各州也在个人隐私上纷纷立法，包括加利福尼亚州、佛蒙特州、夏威夷州、马里兰州、马萨诸塞州、密西西比州和华盛顿州等。其中最具代表性的是加利福尼亚州于2018年6月通过的《加利福尼亚消费者隐私法案》（CCPA），由于美国绝大部分的知名科技公司，如惠普、Oracle、Apple、Google、Meta等都坐落于加利福尼亚州，该法从立法到颁布备受各界人士的关注。2019年10月，美国加利福尼亚州州长正式签署最终的CCPA，该法于2020年1月1日正式生效。

CCPA与GDPR类似，同样对企业提出了更高的数据合规性要求，IAPP和OneTrust于2019年的调查结果显示[36] ，仅有大约2%的受访者认为他们的企业已经完全做好了应对CCPA的准备。CCPA规定了企业在收集、使用、共享、出售消费者个人数据时必须遵循的行为规范，同时赋予消费者对其个人数据的更多控制权，这些权利包括知情权、删除权、拒绝出售个人信息的权利、平等服务和价格的权利、访问权等。

2.2.2　中国数据安全法律法规

1．发展历程

我国于2017年6月1日正式实施《中华人民共和国网络安全法》（后文简称《网络安全法》）。它是我国首部较为全面地规范了网络空间安全管理问题的基础性法律，不仅包括网络运行安全、关键信息基础设施运行安全，也给出了数据安全与个人信息保护的基本规定。

自2019年以来，我国数据安全相关立法进程明显加快。根据《网络安全法》，国家互联网信息办公室（后文简称“网信办”）于2019年10月1日正式实施《儿童个人信息网络保护规定》，对儿童个人信息安全进行特殊和更加严格的保护。2020年5月我国发布《中华人民共和国民法典》，于2021年1月1日实施，其首次在我国法律中明确且具体地提出了“隐私权”的概念，并确立了隐私权范围和个人信息保护的一些基本规范。

2021年6月10日，我国正式通过《中华人民共和国数据安全法》（后文简称《数据安全法》）；同年8月20日，我国通过了《中华人民共和国个人信息保护法》（后文简称《个人信息保护法》）。这两部法律已经分别于2021年9月1日和11月1日正式实施。作为数据安全与个人信息领域的两部综合性法律，《数据安全法》强调总体国家安全观，对国家利益、公共利益和个人、组织合法权益方面给予全面保护，《个人信息保护法》则侧重于对涉及公民自身安全的个人信息和隐私进行保护。从国家层面来说，《数据安全法》对我国的国家安全建设有着至关重要的意义，同时促进了以数据为关键要素的数字经济的健康发展；从企业层面来说，《数据安全法》和《个人信息保护法》是企业从事与数据有关的活动所必须遵循的“行为规范”，这两部法律也是执法机构的重要监管依据。

2．《数据安全法》简介

作为我国关于数据安全的首部法律，《数据安全法》受到社会各界人士的广泛关注。自2020年6月28日以来，《数据安全法》经历了三次审议与修改，于2021年9月1日正式施行，标志着我国在数据安全领域有法可依，为行业数据安全治理提供了监管依据。

按照国家安全观的总体要求，《数据安全法》明确了数据安全主管机构的监管职责，建立健全了数据安全协同治理体系，提高了数据安全保障能力，促进了数据出境的安全和自由流动，推动了数据的开发利用，保护了个人和组织的合法权益，维护了国家主权、安全和发展利益，让数据安全有法可依、有章可循，为数字化经济的安全健康发展提供了有力支撑。

《数据安全法》遵循以下几个要点。

（1）坚持以数据开发利用和产业发展促进数据安全

当前数字经济的蓬勃发展正成为我国在国际环境中的核心竞争力。《数据安全法》鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。如图2-4所示，数据交易是数据开发、利用、共享过程中的重要环节，《数据安全法》也对从事数据交易中介服务的机构明确了数据安全保护义务。

图2-4　数据交易中介服务机构的义务

（2）数据安全监管制约

《数据安全法》明确了数据管理者和运营者的数据保护责任，对承担数据保护义务的不同主体，包括数据处理者、关键信息基础设施运营者、从事数据交易中介服务的机构，提出了不同的要求。

对于数据处理者，《数据安全法》规定其要组织开展数据安全教育培训。事实表明，组织的决策层、管理层、执行层都可能造成数据泄露；内部IT建设中业务逻辑混乱、网络策略错误和设备配置故障也可能造成数据泄露。我们将在本章的后半部分梳理近年来发生的数据安全事件。

在技术层面，《数据安全法》规定数据处理者必须采取相应技术措施和其他必要措施，保障数据安全。数据处理者需要采取“网络与数据并重的新安全建设”的防护思路，并采取分类分级、存储加密、数据审计等技术手段。

（3）深度覆盖的全场景数据安全评估与防护要求

《数据安全法》特别指出：“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。”国家核心数据的安全监督与管理、评估与防护建设刻不容缓。

如图2-5所示，《数据安全法》提出了对数据全生命周期各环节的安全保护义务，包括数据的采集、传输、存储、处理、交换和销毁等阶段。《数据安全法》要求加强风险监测与身份核验，结合业务需求，从数据分类分级到风险评估、从身份鉴权到访问控制、从行为预测到追踪溯源、从应急响应到事件处置，全面建设有效防护机制，保障数字产业蓬勃、健康发展。

图2-5　数据全生命周期的各个环节

（4）加强政务数据开放共享中的安全保障

《数据安全法》首次针对政务数据的开发利用做出了明确的指示，要求省级以上人民政府将数字经济发展纳入本级国民经济和社会发展规划，加强数据开放共享中的安全保障，建立统一规范、互联互通、安全可控的机制，利用数据安全运营，提升数据服务对经济社会稳定发展的贡献。

（5）加大违法处罚力度

《数据安全法》对数据安全违法行为设立了多项处罚规定。对于违反国家核心数据管理制度，危害国家主权、安全和发展利益的行为，由有关主管部门处以200万元以上、1000万元以下的罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或营业执照；构成犯罪的，则依法追究刑事责任。

3．《个人信息保护法》简介

2021年8月20日，第十三届全国人民代表大会常务委员会第三十次会议正式表决通过《个人信息保护法》，并于2021年11月1日正式实施。

从企业视角来看，《个人信息保护法》是企业处理个人信息活动所必须遵循的“行为规范”。从国家监管视角来看，《个人信息保护法》是主管单位对企业个人信息违法违规案件处罚的法规监管依据。该法规定最高可罚款5000万元或者企业上一年度营业额的5%，同时还有责令暂停相关业务、停业整顿和吊销营业执照等严厉的行政处罚。企业（尤其是面向大量用户服务的互联网企业）的隐私合规建设变得迫切且重要。

《个人信息保护法》分为8个章节共74个条款。如表2-2所示，从企业合规的视角，我们从该法中挑选出若干企业必须遵循的法律条款，并相应地做了应对技术与合规措施的解读。一方面，我们希望为企业在隐私合规方面的规划提供技术层面的参考；另一方面，我们希望抛砖引玉，与广大数据安全从业者交流，共同探讨个人隐私保护的最佳实践。

表2-2　《个人信息保护法》解读

《个人信息保护法》中涉及的隐私合规需求分为显式合规需求和隐式合规需求。其中，显式合规需求有明确的规定，可以显式地进行验证，有成熟的技术实现手段；隐式合规需求则是要达成的效果和目标，可运用不同的技术手段来降低合规风险。

对于显式合规需求（如“告知-同意”机制以及为用户提供行使个人信息权利的申请受理机制），企业须在用户交互的入口（App/网站）嵌入各类受理交互窗口与按钮；同时须完善隐私声明，对个人信息的安全风险与各项个人信息权利进行解释；在App/网站的后端，则需要使用更多的自动化技术，包括使用知识图谱赋能，以实现快速响应（可能的）高并发的用户权利请求。

对于隐式合规需求，可以通过不同的技术与管理措施来降低合规风险，比如采取必要措施保护个人信息安全、防止个人信息泄露，以及确保个人信息免遭窃取和篡改等。企业可以根据2.1节中的《信息安全技术　个人信息安全规范》《信息安全技术　个人信息去标识化指南》等国家标准，同时根据企业自身数据安全与个人信息保护的建设水平，在不同的业务场景中采取技术与管理措施以确保个人信息安全，包括数据脱敏与匿名化（6.2节）、加密（4.5节）、数字水印（5.4节）等常规技术措施，以及同态加密、安全多方计算和联邦学习等隐私计算技术（第7章）。企业还可以指定个人信息保护负责人，进行个人信息安全培训、评估检查等。