本文梳理了中国目前基于“三大基本法”而初步构建的网络安全、数据安全和个人信息保护监管体系。

　　近年来，中国政府加强了对网络安全、数据安全和个人信息保护的监管。自2016年以来，有三部重要的法律（以下简称 “三大基本法”），即：（i）《中华人民共和国网络安全法》（“《网安法》”），(ii) 《中华人民共和国数据安全法》（“《数安法》”）和 (iii) 《中华人民共和国个人信息保护法》（“《个保法》”）相继颁布，使相关领域的法律监管有据可循。

　　一些监管部门，例如国家互联网信息办公室（“国家网信办”），已经出台了系列法规及规范性文件来贯彻落实“三大基本法”。此外，其他政府监管部门和相关机构，如全国信息安全标准化技术委员会，也发布了许多国家标准以提供更详细的合规指引。与此同时，更多的实施细则和国家标准也在筹备中。

　　本文梳理了中国目前基于“三大基本法”而初步构建的网络安全、数据安全和个人信息保护监管体系。

　　根据《网安法》，在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，都将适用网安法。即使运营者仅为了内部管理目的而建设、运营内部网络，也会被认定为属于受到《网安法》规制的“网络运营者”。

　　根据《网安法》，所有网络运营者都需要按照等保制度的要求，履行安全保护义务，包括等保定级和评估。

　　一旦网络系统遭到破坏后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度。

　　对拟定为第二级以上的网络，其运营者应当(i)组织专家评审定级合理性；(ii)在评审后报请主管部门核准（如有）；(iii)将结果报公安部门核准。如果核准不通过，需要重新认定。

　　等保评估的目的在于检验网络运营者的保护措施是否能够满足相应级别的保护要求。

　　网络运营者应该聘请由政府部门授权的测评机构进行检测评估，并出具评估报告。

　　二级或更高级别的网络系统运营者需要向相应的公安机关备案，并提交评估报告，如果该报告被核准，主管部门将颁发备案证书。

　　关键信息基础设施是指与国家安全和公共利益相关的、重点行业的重要网络设施和信息系统。

　　关键信息基础设施运营者是经营关键信息基础设施的实体。关键信息基础设施运营者需要根据适用的法律和法规实施特别保护措施，以保护其关键信息基础设施。

　　根据《关键信息基础设施安全保护条例》的要求，重点行业主管部门需结合本行业实际，制定本行业的关键信息基础设施认定规则。

　　典型的重点行业包括公共通信服务、信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等。

　　在实践中，被认定为关键信息基础设施运营者的实体可能会收到主管部门的通知。一旦被确定为关键信息基础设施运营者，该实体需根据相关法律法规实施更严格的安全保护措施。

　　如果在中国境外进行的数据处理活动危及（i）中国的国家安全；（ii）中国的公共利益，或（iii）中国公民、组织的合法权益，也将适用《数安法》。

　　根据《数安法》，“数据”不仅包括电子数据，还包括以非电子形式记录或存储的数据（如纸质文件中记录的数据）。

　　数据分类分级保护制度要求相关部门根据数据的重要程度以及发生泄漏或遭滥用后所造成的损害程度对其进行分级分类。

　　在工业制造、金融、电信等行业，相关行业主管部门已经发布了具有行业针对性的数据分类和分级指南。

　　2021年11月，国家网信办发布了《网络数据安全管理条例（征求意见稿）》（“《管理条例》”），向公众征求意见。《管理条例》将数据分为三类，即（i）一般数据，（ii）重要数据，以及（iii）核心数据。然而，《管理条例》并没有提供这三类数据的详细目录。

　　在2021年12月，《网络安全标准实践指南-网络数据分类分级指引》（“《数据分类分级指引》”）发布。《数据分类分级指引》将数据分为三个类别和四个等级。

　　《管理条例》与《数据分类分级指引》的内容存在不一致之处。截至本文发布之日，《管理条例》仍是一个征求意见稿，尚未正式生效。《数据分类分级指引》业已生效，然而它是一个推荐性标准，并不具备法律强制力。因此，对于数据分类和分级规则的最终方案，我们尚无法得知。

　　《数安法》要求中央政府在数据分类分级制度的基础上制定重要数据目录，而各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

　　重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。

　　重要数据的处理者需要（i）明确数据安全负责人；（ii）明确数据安全管理机构；（iii）对其数据处理活动定期开展风险评估以及（iv）向有关主管部门报送风险评估报告。

　　根据《网络安全法》的要求，关键信息基础设施运营者原则上应将重要数据存储在中国。如果需要将重要数据转移到境外，则需要（i）通过国家网信办组织的安全评估；（ii）自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并（iii）将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的主管部门。

　　2022年7月7日，国家网信办发布了《数据出境安全评估办法》（“《安全评估办法》”）。《安全评估办法》要求除关键信息基础设施运营者之外的其他数据处理者在向境外传输重要数据前也应当向国家网信办申请进行安全评估。

　　如处理者需要将数据传输至境外司法或执法机构，其必须事先获得来自主管部门的批准。但是，截至本文发布之日，相关批准程序和“主管部门”的具体指代仍然不明。此外，关于“外国司法或者执法机构”的定义也尚未得到明确。

　　《个保法》也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动，有下列情形之一的，也适用本法：

　　境外的个人信息处理者，应当在中国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。

　　为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

　　为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

　　依照《个保法》规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；或

　　值得注意的是，如果是基于个人的同意而进行处理的，在对同意的有效性产生争议时，个人信息处理者应承担举证责任。

　　个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。 处理行为对个人合法权益的影响也应被控制在最小范围内。

　　个人信息处理者应向个人明确披露：（i）收集个人信息的范围，（ii）处理活动的规则和目的，（iii）处理者的名称和联系方式，以及（iv）个人行使《个保法》项下权利的行权方式。

　　有下列情形之一的，个人信息处理者应当主动删除个人信息。个人信息处理者未删除的，个人有权请求删除。

　　如果法律和法规要求长期存储个人信息，处理者应采取相应措施，确保这些个人信息不会被用于存储以外的任何目的。

　　处理者应告知个人（i）接收方的名称或者姓名和联系方式；（ii）接收方的处理方法和目的；（iii）将要传输的个人信息的类型，以及（iv）个人向接收方行使权利的方式。除此之外，处理者应当依照《个保法》规定取得个人的单独同意。

　　如果处理者是关键信息基础设施运营者，它应该事先通过国家网信办组织的安全评估。

　　如果处理者不是关键信息基础设施运营者，根据其需要转移的个人信息的数量和性质，有可能需要通过国家网信办的安全评估。具体来说，根据《安全评估办法》的规定，如果处理者并非关键信息基础设施运营者，且（i）处理一百万人以上的个人信息或（ii）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的，应当在向境外传输个人信息前向国家网信办申请进行安全评估。

　　如果处理者不是关键信息基础设施运营者，且无需接受国家网信办的安全评估，则应满足以下要求之一：（i） 获得专业机构颁发的个人信息保护认证；（ii） 按照国家网信办的标准合同模板与接收方签订标准的数据保护合同；或（iii） 满足法律、行政法规或者国家网信部门规定的其他要求。

　　2022年6月24日，全国信息安全标准化技术委员会发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》（“《安全认证规范》”）。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但《安全认证规范》仅为推荐性的指南文件，并不具有强制力。

　　2022年6月30日，国家网信办发布了《个人信息出境标准合同规定（征求意见稿）》（“《标准合同规定》”）以及标准合同模板。但是，《标准合同规定》以及标准合同模板目前均为征求意见稿，尚未正式实施。

　　可携权。个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信办规定条件的，个人信息处理者应当提供转移的途径。

　　更正和补充的权利。个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。

　　请求删除的权利。如果满足法律规定的条件，个人有权要求处理者删除其个人信息。

　　撤回同意的权利。基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

　　要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

　　中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中，众多问题仍亟待解决。据美国科技媒体Protocol报道，在过去的几个月里，国家网信办平均每个月发出40份官方通知。[2]

　　《国家网信办比以往任何时候都要活跃——该部门这两年来发布的文件数量是疫情前的两倍以上》

　　在2022年及今后的一段时期，预计将会有更多的专项法规、国家标准和规范性文件陆续出台。为了能够充分准备，以应对不确定性带来的诸多挑战，网络运营者和数据处理者应密切关注国内立法动态，必要时向专业人士寻求法律意见。

　　以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。