网络安全与数据保护法律大全.pdfVIP

网络安全与数据保护法律大全

一、立法观察

2020年的疫情并未阻碍网络安全和数据保护的立法进程，基于国家安全、数字化

转型的现实需要，2020年进入了立法快车道。

(一）基础性法律框架雏形初现

2020年，《中华人民共和国民法典》正式颁布，《中华人民共和国数据安全法（草

案）》和《中华人民共和国个人信息保护法（草案）》发布并征求意见，结合2017年生

效的《中华人民共和国网络安全法》，中国网络安全与数据保护的基础性法律架构逐渐成

型。

《民法典》构建数字时代隐私和个人信息保护的民法基础。2020年5月28日，

《民法典》经全国人大表决通过，并于2021年1月1日正式实施。《民法典》人

格权以独立形式成编，并以“隐私权和个人信息保护”专章方式，对隐私权和个人

信息定义、保护原则、法律责任、主体权利、信息处理等问题作出规定，开启了隐

私权及个人信息法律保护的新时代。

《个人信息保护法（草案）》亮点多。2020年10月21日，全国人民代表大会常

委会审议后的《个人信息保护法（草案）》（“个保法草案”）对外发布并征求意

见。个保法草案采用了“目标指向标准”设定域外适用效力，使得该法具有了“长

臂管辖”的效果。个保法草案确立了个人信息处理的七大基本原则，赋予了个人在

个人信息处理活动中的九大法定权利。值得关注的是，个保法草案借鉴欧盟《通用

数据保护条例》（“GDPR”）的经验，拓宽了处理个人信息的合法基础。除《网

络安全法》确定的知情同意之外，个保法草案将合同所必需、履行法定职责或法定

义务、保护自然人的重大利益、公共利益等纳入个人信息处理的合法基础，并结合

疫情防控的需要，突出了突发公共卫生事件的规定。对于数据处理的敏感场景，个

保法草案专门规定了此前未曾明确规定过的单独同意的要求。回应AI技术的发

展，个保法草案设定专门条款规制公开数据利用和自动化决策行为。为了响应限制

公权力机构对于个人信息处理的呼声，个保法草案特设专节对于国家机关处理个人

信息行为进行规制，此乃立法中的一大进步。关于个人信息跨境传输的监管，个保

法草案也揭开了面纱，包括：国家网信部门组织的安全评估、经专业机构进行个人

信息保护认证、与境外接收方订立合同等。为了增强对个人信息违法行为处罚的威

慑力，个保法草案规定了情节严重时可高达五千万元以下或者上一年度营业额百分

之五以下罚款的严厉惩罚措施，体现了监管机构整肃个人信息滥用风气，打造良好

的个人信息保护生态的决心。

《数据安全法（草案）》确立数据安全监管的基础。《数据安全法（草案）》

（“数安法草案”）于2020年7月3日对外公布并征求公众意见。数安法草案明

确我国数据安全工作由中央国家安全领导机构决策和统筹协调，坚持“维护数据安

全”与“促进数据开发利用”并重的立法与监管理念。数安法草案重点关注数据安

全保障制度方面的建设，包括数据分类分级保护、重要数据保护目录、数据安全风

险预警机制、数据安全应急处置机制、数据活动的国家安全审查机制等。需要关注

的是，数安法草案规定了针对数据活动的国家安全审查要求，并将数据纳入到特定

场景下实施出口管制的物项。数安法草案对重要数据的界定仍不够清晰，无法弥补

现有体系下对重要数据范围认定的不足。同时，数安法草案将重要数据保护目录的

制定权限下放至地方与部门，权力配置缺乏科学性，容易导致重要数据认定范围过

于宽泛。针对频频发生的境外执法机构要求调取境内数据的案件，数安法草案规定

了中国版的“阻断条款”，有关主体应向主管机关报告并获其批准后方可进行。

三驾马车分工协作。按照中国的立法程序，一部法律草案一般要经过三审才得以颁

布实施，我们预计在2021年的年中，数安法草案及个保法草案两部重要的草案能

够得以通过，且在2021年生效实施。之后，《网络安全法》《数据安全法》和

《个人信息保护法》将构成我国网络空间管理和数据保护的三驾马车。在三部法律

的分工上，《网络安全法》将主要负责网络安全等级保护制度、网络关键设备和网

络安全专用产品检测与认证、关键信息基础设施安全保护、网络安全审查及网络安

全监测预警和信息通报制度等；《个人信息保护法》将负责个人信息的保护，包括

个人信息范围的界定、个人信息处理基本原则、个人信息跨境流动规则、个人信息

主体权利及保护、处理者的安全义务等；《数据安全法》监管的主要对象为数据活

动，包括数据安全标准体系建设、数据安全检测评估和认证服务、数据分类分级保

护、重要数据目录清单和管理、数据安全风险预警机制及应急处置机制、数据国家