面臨新一輪數據監管浪潮，如何做好個保法、數安法與網安法三法合規聯動_風聞

走出去智庫觀察

8月20日，第十三屆全國人大常委會第三十次會議第三次審議通過了《中華人民共和國個人信息保護法》（以下簡稱“個保法”），為數據產業的市場參與者提供了更為具體的合規指引。

走出去智庫（CGGT）特約法律專家、中倫律師事務所顧問賈申認為，個保法正式發佈後，與《數據安全法》、《網絡安全法》共同構成我國網絡安全與數據合規領域的三部基礎性法律。但由於三法各有側重又相互交叉，企業在合規工作中對三部基礎性法律所構建的合規體系均需給予重視，應當將三者進行一體化數據合規管理，從而在促進全面合規、防止合規漏洞的前提下進一步節約合規成本。

**企業如何做好三法的合規管理？**今天，走出去智庫（CGGT）刊發中倫律師事務所李瑞、賈申、鍾俊鵬、李夢涵的文章，供關注數據合規管理的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、個保法適用於個人信息保護，數安法適用於所有主體處理網絡數據和非網絡數據的行為，網安法適用於境內所有網絡運營者的包括處理個人信息及數據在內的行為，屬於網絡空間治理的基本法。

**2、**除對境內數據的提供者提出上述要求，個保法還指出，處理者應當採取必要措施，保障境外接收方處理個人信息的活動也應達到個保法的保護標準，加重了境內數據的提供者的後續監督義務。

**3、**企業應當建立個人信息保護合規體系，對企業全局、全域、全時段和全流程的業務進行穿透式管理，不忽視任何一個環節、不放過任何一個領域。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/李瑞 賈申 鍾俊鵬 李夢涵

中倫律師事務所

個保法與數安法、網安法的聯繫與銜接

《中華人民共和國個人信息保護法》（以下簡稱個保法）一經出台，即與《中華人民共和國數據安全法》（以下簡稱數安法）、《中華人民共和國網絡安全法》（以下簡稱網安法）作為“三駕馬車”並駕齊驅，互相銜接，共同構成我國網絡安全與數據合規領域的三部最重要的基礎性法律。

在適用範圍上，個保法適用於個人信息保護，數安法適用於所有主體處理網絡數據和非網絡數據的行為，網安法適用於境內所有網絡運營者的包括處理個人信息及數據在內的行為，屬於網絡空間治理的基本法。

數安法與網安法相互交叉又各有側重，共同建構數據安全與網絡空間的“保護傘”；個保法又重點細化完善了關於個人信息的處理準則與保護界限。

三部法律從不同的角度與維度，護航我國網絡空間的有序發展，對數據安全和個人信息予以保護。具體而言：

·個保法聚焦個人信息保護：個人信息是指以電子或者其他方式能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等，不包括匿名化處理後的信息。個保法對個人信息保護全鏈條進行了細緻全面的規定。

**·****數安法以數據安全為核心，重點保護重要數據和國家核心數據：**重要數據是指經相關認定主體認定，與國家安全、經濟發展，以及社會公共利益密切相關的數據，國家核心數據屬於重要數據中涉及利益更重大、保護要求更嚴格的核心數據。作為數安法管轄客體的數據並不僅限於網絡數據。

**·****網安法保護網絡安全：**網安法就網絡空間的整體安全、合規、有序發展制定了總綱領，其中也涵蓋了關於個人信息保護和網絡數據安全的基礎性原則，與配套實施條例、部門規章和規範性文件共同構建了網絡空間的合規框架。

由於三法各有側重又相互交叉，企業在合規工作中對三部基礎性法律所構建的合規體系均需給予重視。為此，我們簡單歸納了一些三法之間的共性及個性，企業可在合規工作的不同環節中予以關注：

**（1）**個人信息處理原則：個保法確立的“最小必要+知情同意”原則比網安法和數安法中的有關原則更加明確、具體，且規範了個人信息管理全流程

在個人信息處理的環節中，企業應當遵守個保法確立的“最小必要+知情同意”原則，相較於網安法中“收集和使用信息應當合法、正當、必要、公開並經被收集者同意”的規定、以及數安法中收集數據應“採取合法、正當的方式”的要求，這一原則更加明確、具體。

“最小必要+知情同意”原則要求企業在處理個人信息時，應當限於實現處理目的所必要的最小範圍、採取對個人權益影響最小的方式，並要求個人在充分知情的前提下自願、明確作出同意，處理者方可處理個人信息的決定。與網安法和數安法的規定相比，個保法明確規定這一原則要覆蓋個人信息處理的全流程，包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等，這對企業設置了更高的要求。

**（2）**個人信息泄露報告制度：個保法沿襲和補充了網安法規定的個人信息泄露報告制度

在個人信息泄露報告制度方面，個保法沿襲和補充了網安法的規定。網安法規定，個人信息泄露、毀損、丟失時，應立即採取補救措施，及時通知用户並向有關主管部門報告；個保法沿襲這一制度，並對個人信息發生“泄露、篡改、丟失”情形的處理措施進行了細化，規定處理者能夠採取措施有效避免信息泄露造成損害的可以不通知個人，以減輕處理者的負擔。

**（3）**國家安全保護：個保法、數安法和網安法均關注網絡安全與數據合規領域的國家安全保護

個保法、數安法和網安法對於網絡安全與數據合規領域的國家安全保護問題均有所涉及和關注。

·個保法規定，從事損害公民個人信息權益或國家安全、公共利益的個人信息處理活動的境外組織或個人，國家網信部門可以將其列入限制或者禁止個人信息提供清單並予以公告，對於境內從事危害國家安全、公共利益的個人信息處理活動的組織和個人可以進行處罰。

·網安法和數安法則分別建立了國家安全審查制度框架下的網絡安全審查制度和數據安全審查制度。網安法明確規定，相關部門對CIIO採購網絡產品和服務的行為有權進行網絡安全審查；而數安法明確規定，相關部門對影響或者可能影響國家安全的數據處理活動有權進行數據安全審查。這兩方面制度也體現在近期出台的《網絡安全審查制度（修訂草案徵求意見稿）》中。

**（4）**數據境內存儲義務

三法均規定，由於CIIO的特殊性和重要性，CIIO應將在中國境內收集和產生的個人信息和重要數據存儲在境內，確需對外提供的應進行安全評估。同時，個保法將“處理個人信息達到國家網信部門規定數量”的處理者也納為數據境內存儲義務主體；並要求國家機關處理的個人信息原則上應在境內存儲，確需對外提供的應進行安全評估。

**（5）**數據跨境流動：三法針對不同主體提出不同要求

三法就CIIO、處理個人信息達到國家網信部門規定數量的處理者和其他數據處理者三類主體提出了不同要求；數安法還強調了對於屬於管制物項的數據依法實施出口管制（如商務部海關總署發佈的《兩用物項和技術進出口許可證管理目錄》中的商用密碼、部分軟件或加密密鑰代碼等）。具體如下：

除對境內數據的提供者提出上述要求，個保法還指出，處理者應當採取必要措施，保障境外接收方處理個人信息的活動也應達到個保法的保護標準，加重了境內數據的提供者的後續監督義務。

**（6）**司法協助方面：非經批准不得為外國司法或執法機構提供境內數據

個保法第四十一條和數安法第三十六條均為我國提供了應對外國機構長臂管轄的封阻法令，所有向外國司法或者執法機構提供境內存儲的包括個人信息在內的數據的行為，應當經國內主管機關批准。

**（7）**評估制度：評估機制在三法中都具有重要地位，針對不同場景設置不同評估要求

個保法提出，處理者在特定活動中需自行進行事前個人信息保護影響評估，特定活動包括處理敏感個人信息，利用個人信息進行自動化決策，委託處理個人信息、向他人提供個人信息、公開個人信息，向境外提供個人信息和其他對個人權益有重大影響的處理活動，個人信息保護影響評估報告和處理情況記錄應當至少保存三年；數安法規定，重要數據的處理者應自行對數據處理活動定期開展風險評估，並報送主管部門；網安法要求CIIO應當自行或者委託網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估，並報送主管部門。

**（8）**負責人制度：明確網絡安全/數據安全/個人信息保護的負責人

個保法要求，處理個人信息達到國家網信部門規定數量的處理者應明確信息保護負責人，負責監督對個人信息處理活動以及採取的保護措施等，並公開其姓名與聯繫方式；網安法要求，網絡運營者應確定網絡安全負責人，對CIIO的安全負責人及管理機構還應進行安全背景審查和定期能力考核；數安法則要求，重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。

**（9）**統一的工作協調與統籌機制：包括個人信息保護在內的數據安全領域均採“三階層”監管架構

三法明確，國家網信部門負責統籌協調信息數據安全的保護工作和監管工作，國務院有關部門在各自職責範圍內負責信息數據安全保護和監督管理工作，縣級以上地方人民政府有關部門將按照國家有關規定履行信息數據安全保護和監督管理職責。

企業數據保護的合規指引

新法出台後，企業將面臨新一輪數據保護監管浪潮。在個保法、網安法和數安法三法聯動的背景下，我們在此提供數據保護的相關合規指引，以期幫助相關企業完善合規應對。

**（1）**明確企業數據合規整體義務，通過合規表單（checklist）進行業務合規分類篩查

合規表單的起草應以風險為導向並列明各項合規義務的優先級，更應結合最新立法進展和合規實踐中發現的盲點及時更新合規表單。

**（2）**與第三方合同中增加數據合規條款

一方面直接概括性地約定遵守個人信息保護領域的相關法律規定並在附件中單獨明確列舉；另一方面明確加入保證條款、信息安全義務條款、免責條款、責任限制條款以及監督條款等，並使用附件或説明書對協議涉及的信息安全問題進行規範和指導。

**（3）**增設數據合規的崗位和人員，制訂業務版個人信息保護指引，並做好對相關人員的宣傳培訓

根據個保法的要求，企業在個人信息達到規定數量時，應當明確內部個人信息保護安全負責人，公開其信息並報送主管機構；大型互聯網平台企業在處理個人信息時，還應設置相對獨立的監督機構。類似地，數安法和網安法也有設置數據安全負責人或管理機構與網絡安全負責人的要求。因此，我們建議，企業適當增設網絡安全委員會和數據合規官（DigitalProtectionOfficer,“DPO”）或首席數據官（ChiefDataOfficer,“CDO”），負責人建議由副總裁以上的高管人員擔任，下設網絡數據安全和個人信息保護專員根據三法及其配套規則各司其職，分工合作，依法守護企業數據合規紅線。

此外，企業可以與專業的數據合規團隊合作，制定業務版個人信息保護指引，對內部數據合規工作進行全面梳理，並對相關工作人員及時開展個人信息保護和數據合規方面的培訓，增強合規負責人員與各業務和行政職能部門的協同。

**（4）**將個人信息保護合規要求嵌入產品全生命週期管理，包括產品開發、數據導入、數據存儲、數據傳輸以及第三方合規審計等

企業應當建立個人信息保護合規體系，對企業全局、全域、全時段和全流程的業務進行穿透式管理，不忽視任何一個環節、不放過任何一個領域。此外，企業也應對數據存儲、數據跨境傳輸以及敏感個人信息等重大合規問題進行專項管理，以防範化解重大合規風險。

**（5）**協調網絡安全、數據安全和個人信息保護管理，形成一體化數據管理體系

面對個保法、網安法和數安法三者的聯動管理和共同規制，企業應當將三者進行一體化數據合規管理，從而在促進全面合規、防止合規漏洞的前提下進一步節約合規成本，而非單純開展單一領域下割裂零散的、運動式的合規項目。