2021年8月20日《中华人民共和国个人信息保护法》经人大常务会议表决通过,将于2021年11月1日开始实施。与此同时《数据安全法》也将于今年9月1日施行。可以欣喜地看到,国内将迎来网络空间治理规范集中完善、更新的一轮浪潮,显示出我国从规范监管层面顺应信息时代的系统设计,为世界提供充满借鉴意义的中国方案。

本文将分析中国网络空间治理“四位一体”的监管思路与多维互联的监管体系。在此基础上,通过梳理欧盟、美国在网络层、软件层与数据层的监管规范,阐明中国网络空间治理的特点。最后,本文将对国内网络空间治理三大核心法律(《网络安全法》《数据安全法》《个人信息保护法》)的框架、规制对象以及重点内容进行概述与比较,为企业由表及里、由浅至深地呈现我国网络空间治理全貌。

  • 中国网络空间治理体系概述
  • 新信号:信息技术的发展催发数据价值,数据成为新的监管重点

从用户端的网络购物、在线结算,到企业端的云计算服务、信息化管理,再到国家层面的贸易政策、安全战略——不同主体的关注焦点都与信息技术息息相关。同样,电子商务、生物制药、互联网金融等行业热点也全部围绕信息技术展开。毫无疑问,步入21世纪,信息技术正以前所未有的速度更新迭代,并在市场经营、社会治理等方面迅速铺开,由此成为国家监管的核心。然而,与金融、资源、粮食、生态和核等具体领域的安全不同,信息安全的特殊性在于:它自成一个领域,同时也是信息时代所有领域的基础。对此,有学者明确指出:信息安全中“安全”对应的是事关一国生死存亡的“security”,而不仅仅是“safety”,信息安全不应只被视为网络领域或信息系统的安全,而应是信息时代的国家安全。[1]

数据作为记录信息的主要载体之一,随着信息技术的发展,其商业和社会价值被广泛认可,但同时,由信息安全延伸的数据安全问题上升到新的高度。中共中央 国务院在2020年5月发布的《关于新时代加快完善社会主义市场经济体制的意见》中明确指出,要加快培育发展数据要素市场,完善数据权益界定、开放共享、交易流通等标准和措施。而在今年7月14日举办的中国互联网大会数据安全论坛上,中国信息通信研究院安全所信息安全部主任魏薇表示,展望未来,2023年中国数据安全行业市场规模有望达到97.5亿元;回顾过去,2020年全球数据泄露超过去15年总和。其中政务、医疗及生物识别信息等高价值特殊敏感数据泄露风险加剧,云、端等数据安全威胁居高不下,数据交易黑色地下产业链活动猖獗。各国纷纷将信息与数据安全上升至国家安全高度,优化相关安全政策,加快设立统一的安全保护机构,加强对重点主体、重要数据类型、重要数据处理活动的安全监管。[2]

新框架:安全监管思路纵深发展

基于现有立法文本与政策文件,我们理解目前中国网络空间治理的监管思路呈现出纵深发展、逐层细化的特点。

具体来看,网络安全成为信息时代国家安全的重点内容已自不待言。而在网络安全中,信息是最核心的部分,对于信息的操纵、破坏和应用已是当代政治经济和文化统治的重要领域,也是引起国际安全格局发生重大变化的重要因素之一。[3]同时,尽管信息的存在形式多种多样,但其能够在网络空间中高效传播,离不开数据这一重要载体。由此,数据一跃成为国家的基础性战略资源,对于数据安全的重视也使得“数据主权”成为了相关立法的基本立场。[4]综上,我国目前网络空间的治理思路可以概括为“四位一体”,即“国家安全——网络安全——信息安全——数据安全”。

上述“四位一体”的监管思路体现在不同时期的立法活动中,比如中共中央政治局于2015年1月23日审议通过了以“总体国家安全观”为指导的《国家安全战略纲要》,就国家安全各领域做出宏观协调部署。2015年7月1日,全国人大常委会高票通过了《国家安全法》,通过基本法律形式确立了“总体国家安全观”的指导地位。2016年11月7日《网络安全法》(以下简称《网安法》)在全国人大常委会通过,成为网络空间安全治理的重要法律依据。而即将在今年9月1日实施的《数据安全法》(以下简称《数安法》)则进一步明确数据处理活动中的监管规范。

值得特别注意的是,此次表决通过的《个人信息保护法》(以下简称《个信法》)表明个人信息已成为信息安全中的重要内容。《个人信息保护法》第一条开宗明义:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”,表明我国将个人信息受保护的权利提升至更高的高度。与此相应,《民法典-人格权编》、《刑法》、《电子商务法》和《消费者权益保护法》也都补充个人信息保护条款。[5]

在今年年底《数安法》《个信法》相继实施后,将以《网安法》、《数安法》、《个信法》为核心,各领域法律法规相互衔接补充,形成覆盖各行各业的网络空间安全保护网。

新体系: 多维互联,网络、软件、数据多层发力

除去《网安法》、《数安法》和《个信法》,在上述监管思路的指导下,我国政府相继出台《网络安全审查办法》、《关键信息基础设施安全保护条例》等一系列法律法规,多维度、全方位治理网络空间。

从实务的角度分析,我国网络空间治理的法律法规可划分为:网络层、软件层、数据层[6]。具体来看,“网络层”多指基础物理设备,即众多提供关键服务的服务器、路由器、交换机、终端接入设备以及将这些设备连接起来的有形或者无形的线缆。将于今年9月1日实施的《关键信息基础设施安全保护条例》即为此层级的典型规范;“软件层”可理解为运行于网络层之上的软件,这些软件构成并限定了用户使用网络的方式和限度。除非具备特定的能力,否则最终用户只能在软件层限定的权限内,接入网络并使用相关的资源;最后则是由众多互联网用户所创造的“数据层”,即通过网络层与软件层传播的具体内容,比如《数安法》明确将保护对象划分为一般数据、重要数据、核心数据。[7]面对这种多层发力、多维互联的立法体系,企业合规应当注重理解不同法律规范的基础定位及相互联系,从而在运营全过程中甄别风险,及时调整。

域外网络空间治理比较研究

根据国际电联定义,网络空间可以描述为“由计算机及其系统、网络及其软件、各种数据以及用户在内的所有要素或部分要素组成的物理和非物理领域”。[8]作为全球新兴安全领域及治理领域,国际上在网络空间治理领域已有诸多尝试及努力,例如,联合国等国际组织寻求在全球网络安全规范制定中发挥作用,中国和美国等大国积极寻求发展关于网络安全的双边对话和合作,欧盟区域性网络安全治理不断走向规范化发展。

基于上文分析,我们认为,网络基础设施安全是网络安全的物质基础,保障网络层及软件层的安全,是确保通过网络层及软件层传播的数据安全的必由之路。有鉴于此,下文将以网络层、软件层、数据层三个维度为出发点,梳理域外主要国家和地区的网络空间治理体系,综观全球视野下的中国网络空间治理架构。

美国网络空间治理概述

美国是现代计算机技术和互联网的诞生地,美国在利用法律和政策工具治理网络空间方面拥有丰富的经验。目前,美国已形成包括立法、司法和行政三大领域以及联邦与州两个层次在内的网络空间治理体系。美国的互联网法规涉及面较为宽广,虽尚无联邦层面普遍适用的网络安全法,但已有诸多针对互联网的宏观整体规范以及微观的具体规制,其中囊括了行业准入规则、电话通信规则、数据保护规则、消费者保护规则、版权保护规则、反欺诈与误传法规等诸多方面。美国网络空间的治理,也主要通过执行关于互联网领域的各项法律来实现的。早在1977年,美国便颁布了《联邦计算机系统保护法》,开创了网络空间法制治理的先河;美国《1987年计算机安全法》将计算机自身的安全以及计算机系统内数据的安全上升到国家高度。伴随互联网发展的每一步前进,美国的相关立法都会紧随其后,据统计,相关法律法规多达130多部,涵盖联邦立法及各州立法,囊括网络空间治理的方方面面,美国也因此成为世界上拥有互联网法律最多的国家。

在治理理念层面,美国前国务卿希拉里·克林顿曾对美国《网络空间国际战略》的评价中明确指出,美国网络空间治理的目标为“确保互联网的开放、安全和自由”。美国在保障基本安全和公民权利的前提下,采取了更为积极主动的治理理念。网络空间安全实质上已成为国家安全的核心范畴之一,美国政府认识到掌控网络空间的重要性,从战略层面做出规划,不断加大规制力度,主动肩负保障国家网络空间安全的责任。

在网络层方面,通过法律途径保护一国关键信息基础设施的安全,已成为各国网络空间治理的重点。美国最先开启关键网络基础设施领域的相关信息立法,先后制定了《国家信息基础设施保护法》、《关键基础设施信息保护法》和《增强联邦政府网络与关键性基础设施网络安全》等多部法律政令,美国国家标准与技术研究院(NIST)于2018年4月发布了改善关键基础设施网络安全的框架文件。美国的网络安全政策战略始终以网络空间内关键基础设施的保护为中心,着力于与其有关的三个重点方面,即政府部门和私营部门之间的公私合作、网络安全信息的共享以及个人隐私和公民自由的保护,并构建了以国土安全部为领导的信息监管体系,相关部门各司其职,共同维护美国关键信息基础设施领域的安全。此外,美国联邦法律《计算机欺诈和滥用法案》(CFAA)禁止未经授权访问或使用受保护的计算机,违反该法的处罚相当严格,部分违法行为最高可被判处20年监禁。除此之外,该法同样将黑客行为定义为犯罪。美国《电子通讯隐私法》(ECPA)规定,未经授权(或超出授权)故意访问提供电子通信服务(ECS)设施的行为是一种刑事违法行为,个人计算机则不被视为提供ECS的设施。此外,美国总统拜登于近日签署了一份国家安全备忘录,要求联邦机构制定关键基础设施的网络安全性能目标。

同时,美国高度重视信息系统安全防护及保障工作,2002年出台的《联邦信息安全管理法案》(FISMA)[9]定义了全面的框架以保护政府信息、操作和财产免于自然及人为威胁。FISMA把责任分配到各个机构,以确保联邦政府的数据安全。该法案要求程序员和每个机构的负责人对信息安全计划执行年度评审,目的是为了以一种低开销、及时和有效的方式来把风险控制在可接受的范围之内。NIST概括了遵守FISMA的九个步骤:(1)保护信息分类;(2)底线控制;(3)采用风险评估程序以重新修改控制;(4)在系统安全计划中记录控制;(5)在合适的信息系统中实施安全控制;(6)一旦安全控制付诸于实施,评估安全控制的有效性;(7)决定任务和商业案例的风险等级;(8)赋予信息系统处理权;(9)持续监视安全控制。此外,为提升信息系统安全,配合FISMA法案的实施,FISMA给联邦机构、美国国家标准技术研究院(NIST)和预算与管理办公室(OMB)指派了特定的职责。明确NIST的职责是研制信息安全标准(联邦信息处理标准)和非国家安全信息系统指南(特别出版物800系列)。[10]为有效实现FISMA下的各项目标,NIST通过一整套涵盖信息系统规划、风险管理、安全意识培训和教育以及安全控制措施的信息安全标准体系,为确保信息安全提供了有效的框架和机制,特别出版物SP 800系列是其中的重要组成部分。迄今为止,美国大部分网络安全框架都是由行业最佳实践指南推动形成的,美国NIST此前制定的诸多信息安全框架更多针对联邦机构,但其他机构特别是行业组织,也可自愿采用其发布的信息系统指南。

在软件层方面,美国已针对移动恶意软件、间谍软件等破坏性应用程序出台相关规定,相关政府部门及标准组织已就互联网应用程序开发及安全审查出台了相关标准及规定,其中,针对软件层的个人信息保护方面,美国采取补充既有法律体系和行业自律模式,多强调企业与政府合作。该层面主要立法包括《间谍软件控制法》、CFAA等法案中针对间谍软件等应用程序的相关规制。该层面指南如近期由NIST发布的《开发者软件验证最低标准指南》,2021年5月12日,美国总统签发第14028号行政令,要求NIST在60天内推荐针对软件验证的最低标准,在此背景下发布的《开发者软件验证最低标准指南》推荐可广泛应用的构成最低标准的技术,包括“建立查找设计层安全问题的威胁建模”、“采用静态代码扫描查找重要漏洞”、“模糊测试”等十一条技术建议;早先于2016年美国国土安全部发布的《移动安全研发项目指南》则从移动设备安全、基于移动可信根的软件、移动恶意软件分析、移动应用安全等方面提供了实现移动安全的研发技术指南。除在立法及标准层面出台相关法律及指南之外,美国网络安全和基础设施安全局(CISA)和NIST于2021年上半年联合发布《防御软件供应链攻击》报告,其中提供了与软件供应链攻击相关的信息、关联风险以及缓解措施。

在数据层方面,美国国会颁布了一系列旨在为个人信息提供法定保护的联邦法律,与中国和欧盟采用的统一立法模式不同,美国的联邦法律则是“拼凑”起来规范组织机构的数据保护实践,而非单一的综合性法律。美国联邦层面的数据保护立法诸如《儿童在线隐私保护法》,其针对在线运营商收集的儿童信息提出了相关数据保护要求;《电子通信隐私法》,其中包括禁止未经授权访问或拦截储存或运输中的电子通信信息;《公平信用报告法》涵盖了与消费者信誉相关的信息的收集和使用的相关规定;《联邦证券法》规定了针对数据安全控制以及数据泄露报告责任;《健康保险可携带性和责任法案》包括了医疗保健提供者收集和披露受保护健康信息的相关规定;《联邦贸易委员会法》则通过禁止“不公平或欺骗性的行为或做法”以有效填补其他法案未涉及的立法空白;《格雷姆-里奇-比利雷法案》(GLBA)中存在金融机构使用、披露和保护客户个人信息的相关规定;《电话消费者权益保护法》(TCPA)限制电话和短信招揽顾客;《存储通信法》保护电子通信中所涉及的个人隐私信息;《家庭教育权利和隐私法》中存在有关学生记录保护的规定;2018年3月,美国国会通过《澄清海外合法使用数据法》(“CLOUD法案”),为美国数据领域的“长臂管辖”规则提供了基础。《国家数据销毁法》《国家社会保障号码保护法》《国家保险信息和隐私保护法》《反垃圾邮件法》中同样存在个人信息保护的相关规定。此外,美国51个司法辖区要求向消费者和/或监管机构报告自身违反个人信息保护规范的行为。

除联邦层面的法律之外,美国各州层面也出台了相关数据隐私法案。如2020年1月1日起正式实施的《加利福尼亚州消费者隐私保护法案》(CCPA),该法案建立了全面的数据保护制度。CCPA适用范围为在美国加利福尼亚州开展业务的任何公司,该法案为消费者提供了三项主要权利:首先,消费者有权知悉企业收集或出售的消费者信息,即要求企业将收集的个人信息告知消费者;其次,CCPA为消费者提供了“opt-out”的权利;再次,CCPA在某些情况下赋予消费者权利以要求企业删除所收集的消费者的任何信息(即“删除权”)。此外,CCPA要求网站进行隐私披露;《伊利诺伊州生物特征信息隐私法》(BIPA)也存在个人信息保护的相关规定。

欧盟网络空间治理概述

欧盟在网络空间治理体系建设方面成效显著,已形成包括立法、战略、实践三大部分的网络空间治理。立法体系包含决议、指令、建议、条例等,欧盟有关网络安全的重要立法有三:网络与信息安全(Network and Information Security,NIS)指令、一般数据保护条例(General Data Protection Regulation,GDPR)和欧盟网络安全法案(EU Cybersecurity Act);战略体系包含长期战略与短期战略,如欧盟于2013年发布的《欧盟网络安全战略:开放、安全和可靠的网络空间》,提出有效减少网络犯罪、制订欧盟网络防御政策、发展网络安全产业和技术以及建立欧盟统一的网络空间国际政策等战略要点,力图在欧盟建成世界上最安全的网络环境。实践体系则包含机构建设、培训、合作演练等多项内容,如欧盟委员会于2013年1月在荷兰正式成立的欧洲网络犯罪中心,该中心连通所有欧盟警务部门的网络,整合欧盟各国的资源和信息,支持犯罪调查,旨在保护欧盟范围内企业和民众不受网络犯罪威胁。

在治理理念层面,欧盟范围内,任何可能导致公民权利遭到侵犯的政府职能扩张都会遭到质疑,其行为合法性亦会遭到削弱。虽然近年来欧盟不断加大网络空间监管力度,但同时政府对于信息审查和监控权利也被加以严格限制,防止网络审查损害公众利益和网民利益。欧盟“不要求为网络问题建立新的国际法律文书”,相反,它建议把重点放在如何促进和执行现有的法规,以及如何制定新的行为规范。

在网络层方面,作为欧盟数字单一市场(Digital Single Market,DSM)一系列举措的重要组成部分,NIS指令是欧盟层面第一部综合性网络安全立法,NIS指令于2016年7月6日在欧盟议会二读程序中通过,其目的在于在欧盟范围内实现统一的、较高水平的网络与信息系统安全,它还为基础服务的运营者制定了强制性的安全和通知要求,并涵盖了许多其他与网络安全相关的主题,该指令建立的网络层法治框架包括以下内容:

  1. 欧盟成员国须提高网络安全能力,制定网络与信息系统安全的国家战略

NIS指令要求欧盟成员国制定网络与信息系统安全的国家战略以明确战略目标、合理政策以及相应监管措施,具体应囊括:一是NIS国家战略的目标和优先工作,以及与之相应的治理框架,其中应涵盖政府机构以及相关参与者各自的角色与责任;二是网络与信息系统安全相关的防范、应对以及恢复措施,包括政府机构与私营部门之间的合作;三是与NIS国家战略有关的教育以及培养项目;四是研究与发展计划;五是相关风险评估计划。此外,欧盟成员国应确定至少一个计算机安全事故响应小组(Computer Security Incident Response Team,CSIRT),负责欧盟成员国国家层面的网络安全事故监测,就网络安全风险和事故相关利益方提供预警、警报、通知、信息传递等,应对网络安全事件,提供动态网络安全风险和事故分析。

  1. 增强欧盟层面各成员国之间的网络安全战略合作与信息共享

为增强欧盟层面各成员国之间的网络安全战略合作与信息共享,NIS指令要求建立一个合作团体和一个国家CSIRT网络,合作团体由成员国代表、欧盟委员会、欧盟网络与信息安全局(ENISA)组成。合作团体主要作用包括制定工作计划,指导网络安全相关工作开展,分享网络安全风险信息等。

除此之外,2016年通过的NIS指令还适用于基础服务运营者以及部分数据服务提供商的信息系统。首先,NIS指令适用于基础服务运营者(Operators of Essential Services),基础服务包括交通、能源、银行业、金融市场基础设施、饮用水供给、数字基础设施(包括IXP、DNS服务提供者、顶级域名注册)。根据NIS指令第14条的规定,基础服务运营者需要履行三项义务:第一,应采取适当的技术和组织措施管理网络安全风险,这些措施应确保一定程度的网络安全;第二,应采取恰当措施防止和削弱网络安全事件的影响;第三,应将具有重大影响的网络安全事件通知主管机构。在确定网络安全事件影响的程度时,应考虑以下因素:一是受影响的用户数量;二是事故持续时间;三是事故影响的区域范围。此外,为督促基础服务运营者履行义务,主管机构可以要求基础服务运营者提供网络安全评估信息,并提供相关证据证明其已采取有效安全措施。其次,NIS指令还适用于部分数据服务提供者(Digital Service Providers)的信息系统,包括网络搜索引擎、云计算、网络交易市场,且NIS指令不适用于小微企业和前述三类数字服务提供者之外的企业。数字服务提供者同样需要履行NIS指令第14条规定的三项义务。综上,对于数字服务提供者,NIS指令遵循“轻监管”的思路,欧盟成员国不得对数字服务提供者施加其他更为严格的安全和通知义务,也仅在有证据证明数字服务提供者未履行义务时才展开相关监管活动。

在软件层方面,1995年,欧洲理事会出台了“计算机软件法律保护”指令和“数据库法律保护”指令。其后,2019年6月生效的《欧盟网络安全法》主要制度创新即指定ENISA作为欧盟网络安全的常设机构。该法规定了ENISA的任务目标:即采用欧洲网络安全认证体系框架,确保欧盟ICT产品、ICT服务或ICT流程的网络安全达到足够的水平。《欧盟网络安全法》的特色制度设计包括网络安全认证制度以及界定合格评定机构的资格标准,其中,《欧盟网络安全法》最终确定网络安全认证框架需要的两项基本要素:其一,必须是国家级评估机构,以确保该机构具备评估产品的技术能力;其二,必须由明确定义的评估标准和准则,以监控产品是否符合要求,再授予和更新网络安全认证。网络认证框架还要求能够报告和处理以前未检测出的漏洞。《欧盟网络安全法》还界定了合格评定机构的性质:合格评定机构是根据国家法律设立、具有法人资格、独立于其评估的组织或ICT产品、ICT服务或ICT流程之外的第三方机构。

聚焦欧盟近期网络空间治理动态,软件层相关动态包括欧盟委员会于2021年3月2日在其官网公布《2021年管理计划:通信网络、内容和技术》(以下简称《计划》),《计划》包括数据、人工智能、网络信息安全和网络内容管理四部分,其中,围绕网络和信息安全,《计划》将修订NIS指令,实施网络安全认证计划,加强对个人隐私和通信机密的保护。

在数据层方面,GDPR在《1995年个人数据保护指令》的基础上增设了一系列的数据主体权利,同时也大幅度强化了数据控制者的义务。GDPR具有在欧盟成员国直接适用的法律效力,且高于成员国的国内法,促进了欧盟范围内个人数据保护立法的统一;GDPR还将适用范围扩展至了“未在欧盟境内设立营业地,但向欧盟提供商品或服务”的机构。其构建了个人信息跨境提供制度框架,规定了允许个人数据转移的两种场景和八种例外情况。GDPR的目标是统一和协调欧盟范围内所有数据隐私法,为数据保护设定高标准,并对不遵守规定的人处以高额罚款。一方面,GDPR强化了用户的个人数据权利,要求数据主体在知情的情况下自愿做出授权,同时明确了用户被遗忘权、删除权等权利的具体含义;另一方面,GDPR明确了相关主体的责任机制,首次设立数据保护专员制度,明确了数据泄密事件发生时,相关主体应尽快通知数据主体并上报监管机构,监管机构可对违法者处以最高达总营业额的4%的罚款。概言之,GDPR从个人信息权利、数据收集和处理原则、监管机制和责任处罚等方面对个人数据提供了全面保护机制。

全球视野下的中国网络空间治理

中国网络空间治理体系是由网络安全及数据安全相关的法律、行政法规和部门规章等多层次规范所构筑的治理架构,涵盖网络主权维护、关键信息基础设施保护、网络运行安全、网络监测预警与应急处置、网络安全审查、网络数据安全以及网络空间各行为主体权益保护等制度。

第一,在法律体系构成方面,中国网络空间治理法律体系分为法律、行政法规、部门规章三层次,与欧盟相类似,中国网络空间治理架构也包括战略和多层次立法体系,但有别于欧盟的是,中国网络空间治理体系架构中,立法构成了相对于战略更为主要的部分。此前中国网络空间治理领域的规范文件大都集中在规章和行政文件上,法律层面的立法较少,整体而言,立法主体多元和立法层级较低。美国网络空间治理体系则分为法律和法规两个层次。美国对网络空间治理的具体政策指令来自美国历届总统颁布的总统令,管理实践中坚持以国家安全战略报告为指导思想。从宏观层面看,中国网络空间治理法律体系具有与其他国家所不同的法律层次,以美国为例,美国关于网络安全的规范主要由具有较高效力等级的法律构成,而我国则以专项立法和行业立法为基础,相关规范指引为补充,但随着《网安法》、《数安法》、《个信法》和《电子签名法》等法律的颁布及执行,我国的法律体系基础将更为扎实。

第二,在治理理念方面,中国网络空间治理以保护人格权益为基本价值,注重政府治理。美国宣称信息自由为网络空间治理的首要原则,强调信息公开的优先性;其次,中国既往的网络空间治理侧重事后纠正,针对既有问题制定规章,美国则强调事前预防,随着网络空间治理的法律体系逐步搭建完成,中国网络空间的治理将有望建立事前、事中和事后的治理框架。从平衡网络安全与经济发展的角度来看,欧盟注重在切实保护并提高网络安全的同时,避免给互联网企业发展带来过分负担,例如NIS指令明确了适用主体以及豁免主体,如前所述,NIS指令明确规定只针对基础服务运营者和部分数字服务提供者(包括网络交易市场、搜索引擎以及云计算)提出相关义务性要求,而豁免小微企业以及前述类型之外的数字服务提供者,中国网络空间治理体系中则暂未明确提出此类豁免。

其三,在中央治理机构方面,之前中国网络空间治理的职能较为分散,未采用统一的协调机构进行网络空间治理,但随着中央网络安全和信息化委员会的成立,中国将建立网络空间治理的中央统一协调机制,在中央网络安全和信息化委员会领导下,国家网信部门发挥统筹协调职能,不断强化网络空间治理工作的顶层设计、总体布局、统筹协调、整体推进、督促落实。国务院公安部门加强对网络安全保护工作的指导监督,国务院电信主管部门和其他有关部门根据法律法规各司其职。对于政府各个部门而言,美国于1996年通过的《信息技术管理改革法修正案》中确立了首席信息官制度(CIO),联邦政府的各部门都设有CIO,CIO的核心职能是为本部门开发、维护一个稳妥的、整体的信息化架构。值得注意的是,近年来,中国许多省市相继成立或组建政府大数据局或政府大数据发展管理局等类似机构,显示出中国网络空间治理方式与相应组织运行体系的变化,其中蕴含的是中国政府数据管理从单一化行业管理迈向整体化功能管理,并通过配套工作机制加以落实,具有鲜明的制度价值。此外,根据近日各地相继发布的《广州市推行首席数据官制度试点实施方案》、《深圳市推行首席数据官制度试点实施方案》、《佛山市首席数据官制度试点工作实施方案》等首席数据官制度方案,其中,广州首席数据官职责主要侧重于数据要素配置流通和数据资源共享开放、开发利用等数据治理工作;深圳首席数据官职责为推进智慧城市和数字政府建设、完善数据标准化管理、推进数据融合创新应用等。通过首席数据官制度,将助力政府“数据孤岛”问题的解决,最大程度发挥数据价值。

第四,在治理模式方面,中国在网络空间治理中主要采取政府主导和行业自律相结合的方式。首先,政府主导强调政府的作用贯穿网络监管的全过程,具体包括事前资质审查及监管,事中依法依规监管,事后整改或取缔。对于互联网服务平台在运营过程中的违法行为,相关执法部门将视乎情节轻重程度予以限期整改或依法取缔。其次,行业自律则基于网络空间治理相关立法有时滞后于网络技术及实践发展。由于网络社会的快速发展,网络空间的技术革新速度使得政府难以及时预测和规范网络社会的未来发展。因此,中国政府鼓励互联网行业自律,以此避免国家对网络领域的过度管控。美国采用的则是由联邦通信委员会(FCC)专门管理,法律、技术、道德三方面共同推进的治理模式。

第五,在治理程度方面,以数据层面为例,中国新出台的《个信法》的严厉程度实际已基本与欧盟GDPR相当,美国最具代表性的隐私法案CCPA相较则更为宽松。在适用地域范围上,《个信法》相对欧盟和美国的类似立法显现出了克制的立场。具体来看,欧盟GDPR采取机构成立地标准(境内)与目标指向标准(境外);中国《个信法》采取信息处理活动发生地标准(境内)和目标指向标准(境外);美国加州CCPA&《加州隐私权与执法法案》(CPRA)最有限,仅针对在加州进行的商业活动。在排除适用的范围上,CCPA&CPRA排除范围最广,GDPR次之,《个信法》最有限。具体来看,CCPA&CPRA的排除适用范围为:所有要素都完全发生在加州以外的商业活动;履行法定义务的数据处理;医疗、征信、驾驶、金融、政府公开信息、雇员信息、车辆信息以及财产所有权信息;GDPR的排除适用范围为:欧盟管辖之外的数据处理活动;欧盟成员国因为履行《欧盟基本条约》第二章第五款所规定的活动而进行的个人数据处理;自然人在纯粹个人或家庭活动中所进行的个人数据处理;刑事犯罪和公共安全相关的个人数据处理;而《个信法》的排除范围仅包括:自然人因个人或者家庭事务处理个人信息;法律对各级人民政府及其有关部门组织实施的统计、档案活动中的个人信息处理另有规定的。此外,在规制的数据活动方面,《个信法》和GDPR调整范围更宽泛,CCPA&CPRA更为限缩。而在受规制的对象类型、信息主体的反对权、删除权、发生数据安全事件时的通知义务等方面,GDPR最严格,《个信法》次之,CCPA&CPRA最宽松。[11]

当然,在某些重点问题上,中国仍存在立法尚待完善之处。例如在数据跨境流动方面,现行法律中虽已确立关键信息基础设施中个人信息和重要数据境内存储的相关要求,但有关数据跨境流动的法律体系尚未健全,现有规定仍较为简单,《网安法》中的相关要求还需要配套规定进一步细化,韩国在此方面建立的相关制度可作为立法经验进行参考,如区分不同数据类型,并在此之上明确相应数据跨境流动要求以及例外规定。

总体而言,中国网络空间治理在治理思路、规制主体、责任机制等方面与上文分析的主要国家和地区具有相似之处,但治理机构、治理模式、治理程度、具体规制等仍存在差异,中国网络空间治理尚有许多领域有待具体规范出台。伴随整体制度框架纵深化发展,中国网络空间治理将承接《网安法》、《数安法》、《个信法》等法律规范继续向前迈进。

我国网络空间治理领域核心立法概览及企业合规启示

基于以上,我们在下附表格内简要总结目前我国网络空间治理三大核心法律《网安法》、《数安法》以及《个信法》的重点内容并为企业在我国网络空间治理领域下的合规义务进行提示与说明。

由此,在三法下,企业往往具备网络运营者、数据处理者以及个人信息处理者的多重身份,在数据处理活动过程中,企业应当根据其数据处理身份识别、厘清并履行所适用的法律义务,建立完善业务开展以及内部数据管理过程中所涉及的网络安全、数据安全以及个人信息保护三大方面的合规举措,包括但不限于:网络系统等级保护测评与认证、数据及网络安全事件响应、数据全生命周期管理、个人信息与重要数据出境安全评估机制等。

在《数安法》、《个信法》生效在即,我国日益完善的网络空间治理的法律框架下,如何有效平衡正当商业需求与新法带来的合规要求,提前进行有关合规工作,进行必要的业务调整,将成为企业无法回避的一个问题。由此,我们将在后续系列文章中对《数安法》、《个信法》的重点内容一一进行阐述与解读,以帮助企业更好地进行网络与信息安全管理,实现数据治理以及数据商业化。