公安部专家谈大数据安全与政策法规

admin

CSDN：您的演讲题目是《从数据合规到网安法的全面遵从》，现在我国大数据的行业背景是什么？

黄道丽：数据已成为国家基础性战略资源，大数据对我国经济运行机制、社会生活方式和国家治理能力正产生重要影响。现在我国在大数据发展和应用方面已具备一定基础，拥有市场优势和发展潜力，但同时也呈现技术利用程度不高、行业发展不充分、政府监管偏失等不足。

尤其在数据安全方面，数据基础设施频受攻击、数据丢失及泄露风险加大、新型网络威胁层出不穷、数据跨境流动监管机制待完善、数据资源开放共享与安全保护矛盾等问题突出，个人信息遭受泄露、披露或公开或是被不当使用、非法使用的风险也是相当高，这些问题影响到了我国掘取大数据红利，同时也不利于大数据行业的健康发展，亟待解决。

CSDN：在数据合规及法律问题方面，现在遇到了哪些挑战？

黄道丽：合规，是指使不同主体的活动与法律、规则和准则相一致。大数据合规是使得大数据行业的一系列活动与法律法规、标准规范等相符合，不侵犯其他权益，合理使用数据。

总体来看，我国数据合规的立法已经基本确立，包括不限于《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《消费者权益保护法》、《网络安全法》、《民法总则》、《刑法修正案（九）》以及法释〔2017〕10号等，初步构建了民事、行政和刑事保护相结合的立体框架，与此同时，基础立法有待指引和标准化落地，在实施过程中接受实践检验。

目前遇到的挑战我想可以分为三方面：

一、从立法层面来看，我国确立了与全球水准持平并具有鲜明特点的合规原则，配套制度和标准正处于制定过程中，尚待正式出台，这主要是受限于技术立法的特点和限制；
二、从执法层面来看，所谓的宽严相济、张弛有度的“良性”执法尚未完全建立，企业如何合规产生不确定性；
三、相关诉讼、案例尚不丰富，对立法的效果无法进行有效的度量和改进，《网络安全法》《刑法修正案（九）》相关条款的实施和有效性也有待观察。

CSDN：从政府部门的角度，网络安全法针对企业数据安全保护提出了哪些具体的要求？

黄道丽：《网络安全法》在网络运行安全部分的数据安全和网络信息安全部分的个人信息安全中分别强调了企业数据安全保护问题，保障网络数据的完整性、保密性、可用性的能力即保护数据安全仍是《网络安全法》的核心价值之一。在网络运行安全部分，《网络安全法》在传统保护方式基础上（数据分类、重要数据备份和加密）（第21条），从关键信息基础设施保护（第34条）、网络安全审查（第35条）、数据本地化留存与跨境流动（第37条）等方面强化数据全生命周期安全的要求。在网络信息安全部分，《网络安全法》第40条到第45条规定了网络运营者对个人信息的全生命周期保护义务，要求网络运营者建立健全用户信息保护制度、信息安全投诉及举报制度，合法、正当、必要并经收集者同意后收集、使用其个人信息，强化个人信息安全保障，履行泄露告知、补救和报告等义务，保障个人的删除更正权，不得非法侵犯个人信息等。对于以上义务，《网络安全法》法律责任部分都明确了对违法行为的行政处罚，包括警告、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等，并实行对直接负责人员和单位的双罚制。

值得一提的是，《网络安全法》确立了新的网络安全行政监管体制，形成了网信、电信、公安等部门各司其职并在网信部门统筹协调下开展网络安全保护和监督管理工作的职责布局，数据安全监管职责和监督检查权等应该概括在其中但并没有具体明晰，数据安全监管的具体实施上还有待下位配套规则的落实。

此外，个人认为，从目前业界的争议来看，个人信息主体的利益如何设计和实现，可能是一个重要的关注，《网络安全法》设置的是基线保护，但其体现的是在大数据产业发展和共赢中的动态保护，而不是一味的限制和产业抑制。

CSDN：从企业的角度，企业日常应如何控制数据风险，确保网络安全？

黄道丽：对企业来说，数据即是资产又是资料，因此，控制数据风险确保网络安全一个层面是数据资产的网络安全保护问题，另一个层面则是数据资料的内外合法合规应用问题。企业应根据自身的行业性质、规模、投入，定位其在《网络安全法》中的角色比如网络运营者或关键信息基础设施运营者，明确应该履行的数据安全保护义务、个人信息保护义务、数据本地化留存和跨境评估义务等，做好自评估，把握风险点，做好合规应对和内部控制。

对于此问题的回答，在我演讲中发布的《大数据安全合规白皮书》里都有详细阐述。

CSDN：通过您的演讲，最希望参会者能获得哪些收益？了解哪些政策观点？

黄道丽：我主要是作为执法研究的一个角度，和企业等责任主体做一个互动，随演讲发布的《大数据安全合规白皮书》致力于国家监管思路解读和企业风险防范两个角度推动企业数据合规的工作。希望参会者能通过我的演讲，建立体系化的解读和实施思路，特别是管理层应引入风险意识，在企业数据合规流程、员工培训和管理等方面强化安全意识，做好网络安全管理。这也是我们一直强调的观点，自上而下，以人为本，数据安全管理上，人是最大的风险，也是最好的尺度。

CSDN：从个人介绍中了解到您在数据安全领域有着诸多的研究成果，未来在网络安全法律方面有哪些研究规划？

黄道丽：我们中心未来几个研究规划如下：

网络安全行政立法研究，涵盖《网络安全法》与其他网络安全管理法律的衔接协调，在行政法规、部门规章等不同渊源层面的落地实施与行政执法等。
大数据安全合规，涵盖个人信息保护、数据安全保障、数据本地化与跨境评估等内容。
安全漏洞法律规制研究，涵盖安全漏洞管控的最佳实践和立法管控机制等。
等级保护与关键信息基础设施立法研究，涵盖网络安全等级保护制度的完善与落地、关键信息基础设施保护的构建与完善、两者的差异与协调等内容。
应该讲，网络安全法律研究领域问题没有孤岛，彼此交织错综。数据安全是一条线索，可以串联这些研究领域。
————————————————
版权声明：本文为CSDN博主「七得隆冬强」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/well_2000_82/article/details/80132904