消息 促进数字经济的高质量发展,必须坚持总体国家安全观,统筹数字经济的发展和安全,构建维护数字经济安全的法律保障体系。2022年政府工作报告和2021年政府工作报告均强调,“强化(加强)网络安全、数据安全和个人信息保护”。
2021年12月,国务院关于发布的《“十四五”数字经济发展规划》(以下称:《发展规划》明确提出,着力强化数字经济安全体系的构建,一是增强网络安全防护能力;二是提升数据安全保障水平;三是切实有效防范数字经济带来的各类风险。《发展规划》强调,要进一步强化个人信息保护,规范身份信息、隐私信息、生物特征信息的采集、传输和使用,加强对收集使用个人信息的安全监管能力。
2017年6月1日,《中华人民共和国网络安全法》(以下称:《网络安全法》)正式施行,这是我国首部网络安全领域的基础性立法。我国《“十四五”规划和2035年远景目标纲要》提出,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护。在我国“十四五”的开局之年,《中华人民共和国数据安全法》(以下称:《数据安全法》)和《中华人民共和国个人信息保护法》(以下称:《个人信息保护法》)分别于2021年9月1日和2021年11月1日起施行。《网络安全法》《数据安全法》和《个人信息保护法》为数字经济的安全与发展提供了坚实的基础性法律保障,是维护数字经济安全的三大法治基石。
首先,数字经济是以现代信息网络为主要载体,信息网络已经深刻地融入了经济社会生活的各个方面,网络安全已经成为关系国家安全和发展、关系广大人民群众切身利益的重大问题,网络安全的威胁正在向经济社会的各个层面渗透。实践表明,我国网络安全法为维护数字经济安全、社会公共利益,保护公民、法人和其他组织的合法权益,提供了坚实的法律保障。
《网络安全法》确定了十大法律制度,一是确立了维护网络空间主权法律制度;二是明确了网络安全标准体系法律制度;三是完善了网络安全等级保护法律制度;四是明确了网络运营者安全义务法律制度;五是构建了个人信息保护法律制度;六是建立了关键信息基础设施安全保护法律制度;七是确定了培养网络安全人才法律制度;八是确立了关键信息基础设施重要数据跨境传输法律制度;九是建立了监测预警与应急处置法律制度;十是确立了网络通信管制法律制度。
现代信息网络安全的核心是维护关键信息基础设施的安全,这是数字经济安全的底座。2021年7月30日,国务院公布的《关键信息基础设施安全保护条例》(以下称:《条例》)明确了“关键信息基础设施”的定义,即“关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施和信息系统等。”
我国《“十四五”规划和2035年远景目标纲要》明确提出,建立健全关键信息基础设施保护体系,提升安全防护和维护政治安全能力。目前,围绕《网络安全法》的基本框架,国家网信办、工信部、公安部、市场监管总局、中国人民银行以及国家标准化管理委员会等部门相继发布了多部与《网络安全法》配套的规定和标准,但是《条例》是所有配套规定中法律效力位阶最高的一部国务院行政法规,“网络安全”一词在这部条例中就出现了63次。
其次,数字经济,是以数据资源为关键生产要素,数字经济安全的核心是数据安全,数据要素的保护与治理不仅关乎数据本身作为数字经济的重要生产要素的安全与利用问题,而且与国家主权、国家安全、社会秩序、公共利益等休戚相关。《数据安全法》体现了总体国家安全观的立法目标,聚焦了数据安全领域的突出问题,确立了数据分类分级管理制度,建立了数据安全风险评估、监测预警、应急处置制度,构建了数据安全审查等基本制度,规范数据采集、传输、存储、处理、共享、销毁全生命周期管理,推动数据使用者落实数据安全保护责任,这是我国首部有关数据安全的基础性法律。
《数据安全法》明确提出:“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”该条明确了国家对个人、组织与数据有关权益保护的基础上,鼓励数据的依法合理有效利用,特别是首次在国家法律层面确立了“促进以数据为关键要素的数字经济发展”。
第三,2021年11月1日正式施行的《个人信息保护法》,是我国第一部在个人信息保护领域的基础性、综合性立法,该部法律对于保障个人信息权益,推动数字经济发展,促进网络文明建设将产生重大和积极作用。
我国高度重视个人信息保护的立法,早在2012年,第十一届全国人民代表大会常务委员会第三十次会议通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》就明确了个人信息保护的法律制度,2017年实施的《网络安全法》专章设定了个人信息保护制度,2021年实施的《民法典》人格权编和《数据安全法》也先后规定了涉及个人信息保护的法律制度。
《个人信息保护法》是社会关注度极高的一部法律,该部法律总体上坚持了“以人民为中心”的法治理念,突出了国家尊重和保障人权的宪法原则,规范了个人信息处理的规则,强化了对个人敏感信息的保护,充分保障了个人信息权益的行使,强化个人信息处理者的义务等,抓住了当前个人信息保护的主要矛盾和平衡点,是我国个人信息保护领域的一部重要基础性法律。
国务院《“十四五”数字经济发展规划》强调,要重点规范个人身份信息、隐私信息、生物特征信息的采集、传输和使用,加强对收集使用个人信息的安全监管能力。在学习和贯彻《个人信息保护法》时,建议重点把握以下七大要点:一是个人信息保护应遵循的基本原则,尤其是处理个人信息应当遵循合法、正当、必要和诚实信用,以及“最小方式”和“最小范围”原则;二是个人信息处理的规则体系,重点掌握个人信息处理的核心规则—“告知-知情-同意”,自动化决策的透明度和公平性,严格禁止“大数据杀熟”,尤其是强化对敏感个人信息和未成年个人信息的保护,以及规范国家机关的个人信息处理活动等;三是个人信息跨境提供的规则,重点掌握关键信息基础设施运营者以及处理个人信息达到规定数量的个人信息处理者,应当将在中国境内收集和产生的个人信息存储在境内,向境外提供的,应当接受国家的安全评估;四是保障个人信息权利的行使,包括知情权、决定权、查阅与复制权、个人信息可携带权以及个人信息的更正、补充和删除权等;五是个人信息处理者的义务,重点关注对个人信息保护影响的评估机制和大型网络平台的主体责任;六是个人信息保护的工作机制,熟悉和了解国家网信部门统筹协调下的个人信息保护工作机制和相关监督管理工作;七是对不履行个人信息保护义务应承担的法律责任,重点把握对企业的董事、监事、高级管理人员和个人信息保护负责人的法律责任,以及个人信息处理者侵权责任的过错推定等。
作者简介:王春晖,浙江大学教授,网络空间治理与数字经济法治〈长三角〉研究基地主任,工信部信息通信经济专家委员会委员,南京邮电大学数字经济战略与法治研究中心主任。