合规中心 | 网络安全与数据合规法律体系解读

《网络安全法》《数据安全法》《个人信息保护法》构成我国网络安全和数据保护领域立法的“三驾马车”，是合规监管所依据的基础性法律。

最早实施的《网络安全法》是我国网络领域的基础性法律，填补了我国在网络安全方面的法律空白，为网络产品和服务提供者、网络运营者规定了安全义务，制定了个人信息保护规则，建立了关键信息基础设施安全保护制度，确立了关键信息基础设施重要数据跨境传输的规则。主要内容包括七大方面：维护网络主权与合法权益；支持与促进网络安全；强调网络运行安全；保障网络信息安全；监测预警与应急处置；完善监督管理体制；明确相关利益者法律责任。该部法律侧重于网络安全等级保护制度、网络关键设备和网络安全专用产品检测与认证体系、关基保护、网络安全审查、信息网络内容安全及网络安全监测预警和信息通报制度等。

《数据安全法》于 2021 年 9 月 1 日正式实施，是我国数据安全领域的基础性、框架性法律，以总体国家安全观为指导，坚持统筹发展与安全的原则，明确了一系列数据安全制度，规定了数据处理主体的数据安全义务，并就政务数据安全与开放提出了相关要求，此外还明确了主管部门的职责及违规的法律责任。

具体来说，数据安全法明确了6项数据安全制度：1.数据分类分级与核心数据保护制度。确立了依据对国家安全、公共利益或者个人、组织合法权益造成的危害程度进行分类分级的原则。2.数据安全风险评估与工作协调机制。规定国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制，建立工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。3. 数据安全应急处置机制。要求对于发生数据安全事件的，主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患。4. 数据安全审查制度。要求对影响或者可能影响国家安全的数据处理活动进行国家安全审查。5. 数据出口管制制度。要求对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。6. 歧视反制制度。规定对我国采取相关歧视性的禁止、限制或者其他类似措施的国家和地区，我国可以对其采取对等措施。

与数据安全制度相对应，数据安全法规定了4类数据安全义务：1.数据处理者的安全义务。2.数据交易中介服务机构义务。3.有关组织、个人的数据支持义务。4.跨境司法或执法机构数据提供审批义务。

2021 年 11 月 1 日正式实施的《个人信息保护法》全面规定了个人信息的保护，包括个人信息范围的界定、个人信息处理基本原则及具体规则、个人信息跨境流动规则、个人信息主体权利及保护、处理者的安全义务等，规制个人信息全生命周期的保护和处理活动，即企业应在个人信息的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期落实合规义务。《个人信息保护法》与欧盟《通用数据保护条例》（General Data Protection Regulation，下称“GDPR”）对个人信息保护水准基本相当，而处罚措施种类更多，为企业合规工作带来更大挑战。

其中，第四章全面规定了个人在个人信息处理活动中的十大法定权利。的相关规定类似，明确了在个人信息处理活动中个人的各项权利。个人信息保护法规定的十大法定权利包括知情权、决定权、限制权、拒绝权（第44条）、查阅权、复制权、可携带权（第45条）、更正权（第46条）、删除权（第47条）、自动化决策相关权利（第24条）。规定“任何组织、个人不得非法买卖、提供或者公开他人个人信息。”新设了数据主体的可携带权，数据控制者和处理者不仅无权干涉，数据处理者和控制者无权拒绝用户行使，而且有义务为符合国家网信部门规定条件的数据主体提供转移的途径。由此构成了数据处理者的重要合规义务。