网络安全法≈中国版的GDPR？格局小了！

点击法嘉LAWPLUS关注我们

法嘉LAWPLUS的老读者们对“寒阳奶爸”这个名字一定不会陌生。他带我们学过会计，领我们读过报表，今天他又带着他的《网络安全法》学习笔记与各位读者一起探讨。让我们跟着他的步伐，一起走进个人信息保护和数据安全的世界吧……

欧盟的个人信息保护法（《一般数据保护条例》，俗称“GDPR”）于2018年5月25日起正式施行。中国有类似的立法吗？于是奶爸一头扎进常常和GDPR做类比的《网络安全法》（俗称“《网安法》”）中，才发现里面水还挺深。晦涩难懂的IT术语比比皆是；推荐性国家标准大行其道；各种草案、指引、指南、征求意见稿、红头文件不是已公布就是在公布的路上。法规条文盘根错节，让人无从下手。于是奶爸四处求学，得到不少老师指点，然后整理了一些学习笔记以供探讨…

看《GDPR》，侧重于公民个体的隐私权利。

读《网安法》，着眼于国家利益和国家安全。

——奶爸学习《GDPR》和《网安法》有感

自打川建国上台以来，“去全球化”这个词出现得越来越频繁。喊着让美国伟大复兴的口号四处挑起贸易战、举着出口管制合规的旗帜多次阻挠我科技巨头发展、又借着国家安全之名频频对我互联网企业走出去发起安全审查… 各种关税和非关税壁垒已让“去全球化”变得不再遮遮掩掩，无形的网络空间渐渐隐现出大国们正在描绘的边界。此为外部环境。

在国内，“十三五”纲要把大数据定为“基础性战略资源”。既然是资源而不是个人的权利，就要加以利用，而不是单纯的限制和保护。作为对资源的保护，既要保护数据的生产者（个人）的权利，也要保护数据的挖掘者和使用者（企业）的利益，还要兼顾社会利益和国家安全。因此，对个人数据的保护，整个立法过程也是在个人权利、企业利益、社会和国家利益的多方博弈和权衡中进行的，和GDPR较纯粹地从个人权利出发很不同。此为内部环境。

《网安法》就这样在国内外各种矛盾和冲突中诞生了，在混沌中探索、在未知中前行。

网络空间

《网安法》首先描绘了一个网络空间的概念。网络空间是国家领土从海、陆、空向虚拟空间的延伸，因此《网安法》保护着国家主权和国家安全，同时进一步平衡社会利益、公民个人权利、企业权益之间的关系。既然描绘出了网络空间，这个空间中的国与国必然是会有边界的，数据跨境传输问题便站在了风口浪尖。此处先按下不表。

《网安法》的体系结构

《网安法》最难啃的有两部分，第三章涉及的“网络安全等级保护”和第四章涉及的“个人信息保护”。“网络安全等级保护”横跨IT、信息安全、内控、法律等专业领域，企业内部没有一个部门能够独立地进行解读并实施，需要跨部门高度合作，对合规是一种极大的挑战。而“个人信息保护”部分更接近传统的法律领域，其内容也更接近欧洲GDPR，可以与国际上个人信息保护立法进行对标学习。两部分内容又分别有一系列配套的立法和标准。

安全等级保护（俗称“等保”）是什么鬼？

其实早在1994年，国务院就颁布了《计算机信息系统安全保护条例》，规定计算机信息系统实行安全等级保护。随后的20几年，从计算机信息系统安全等级保护→信息安全等级保护→网络安全等级保护，“等保”在律师们眼皮底下悄无声息地实施着，但真正让等保进入广大律师视野的是《网安法》。

为什么需要等保？

等保并非中国特有。企业希望向客户证明自己的网络系统很安全，光靠自己吹还不行，最好的办法是请独立第三方进行认证，证明其系统的安全性。第三方进行认证也不能无凭无据，还需要一套大家公认的体系作为标准。于是就有了欧洲的国际标准化组织(International Organization for Standardization, ISO)和美国国家标准技术研究所(National Institute of Standards and Technology, NIST)这类的组织制定网络安全领域的安全标准和企业内控体系，供企业和政府机构参照执行，也便于认证机构有客观的评价标准。以NIST制定的《NIST SP 800-53 Security and Privacy Controls for Federal Information Systems and Organizations》[1]为例，从管理、技术和运行三个方面为不同级别的系统推荐了不同强度的安全控制措施。

中国的标准化管理委员会参考了NIST的安全框架标准，也制定了包括《GB/T22239信息系统安全等级保护基本要求》在内的一系列国家标准，为等保体系奠定基石。所以如果要跟老外解释什么是等保，NIST SP 800的框架标准是个不错的类比。此后，相关的国标又经历了一系列更新，增加了云计算、移动互联、物联网、工业控制系统等安全标准和措施，形成了我们现在所谓的等保2.0标准体系。

[1] https://csrc.nist.gov/publications/detail/sp/800-53/rev-4/final

简而言之，等保就是做两件事：

1.  按照信息系统受到破坏后对公民、法人、国家可能造成的损害程度，把信息系统划分为不同安全等级。可能造成的损害越大，则信息系统需要的安全等级越高。

2.  对于不同安全保护等级的信息系统，分别实施不同强度的安全保护措施。安全保护等级越高，需要采取的保护措施越严格。

在《网安法》体系中，等保系列无论从制度建设还是实践操作方面都相对完善。对信息系统进行分级和采取保护措施，不仅保护网络安全，还能带动上下游安全产品产业链的发展，利国利民，因此有关部门正极力推进。

等保体系的另一创新是利用一部概括性的行政法规，在实际执行时配上一系列的推荐性国家标准（而不是法规实施细则）。执法时既有具体的执行标准作参考，又由于推荐性国标的性质为处理具体情况留有相当大灵活度。进可攻，退可守。这种骚操作后来被用在了个人信息保护上。

个人信息安全规范

《网安法》以较大篇幅对个人信息保护作出了规定，但仍相对概括，在执行层面缺少具体指引。

2018年5月，即GDPR生效的当月，又一个推荐性国家标准《个人信息安全规范》横空出世。无论从生效时间的巧合，还是内容的契合度，《个人信息安全规范》都堪比中国版GDPR。别小看是个推荐性国标，其意义和影响程度不可小觑：

▪    监管部门左手握着《网安法》的原则性规定，右手举着《个人信息安全规范》的具体要求，胸口画着“一切为了消费者利益”的赤诚之心，执起法来有理有据，风生水起。

▪    在《个人信息保护法》尚不成熟时，推出《个人信息安全规范》，既体现了国家勤政爱民保护公民个人信息的急迫心情，又不至于把企业一棍子打死。监管用《个人信息安全规范》进行执法，从实践中检验条款的可行性。如果大家都做得到，那就曝光那些做不到的；如果大家都做不到，那就回过头看规定是否合理。于是，生效后一年就有了《个人信息安全规范》更新版的征求意见稿。

▪    《个人信息安全规范》给了企业在实践中与法规进行磨合的机会，用实践检验哪些条款可被执行、哪些又不切实际，也为今后的《个人信息保护法》和《民法典》相关章节提供了素材。

数据跨境传输

网信办分别于2019年5月和6月发布了《数据安全管理办法（征求意见稿）》和《个人信息出境安全评估办法（征求意见稿）》，对重要数据和个人信息的跨境传输提出了很高的前置要求。

奶爸窃以为国家不希望数据出境，理由有二：

▪     中国的数据能出去，前提是外国的数据能进来，这是大国间对等原则。以欧盟GDPR为例，欧盟个人数据传到第三国的前提是该国对个人信息有和欧盟相当力度的充分性保护。GDPR侧重于保护公民个人权利，对公权力获取个人信息的限制不亚于对企业的要求。而我国的立法兼顾公民个人权利及社会公共利益，行政机关收集个人信息限制较少，很难满足GDPR的要求。别人家数据不进来，咱自个儿的也甭想出去。

▪     数据还有一个特性——可复制性。一旦出境，哪怕只有0.1秒，数据就握在别人手上了。《数据安全管理办法（征求意见稿）》就有这么一条“境内用户访问境内互联网的，其流量不得被路由到境外”，其立法初衷可能就是防止重要数据在境外被瞬间截留复制。结合我们把大数据作为战略资源的考量，不可能轻易就把资源拱手送人。

《个人信息保护法》、《数据安全法》箭在弦上；网络信息系统等级保护实施如火如荼；技术创新和立法进程你追我赶，谁领先谁太多都不是好事。未来充满想象！

以上主题，奶爸仍有很多困惑和不解之处，希望此篇分享能引出同道中人，共同学习和探讨。

作者介绍

寒阳奶爸

    五角场文秘职业技术学院会计学本科；芝加哥West Adams大街排名No.1的法学院LLM；英国top商学院（南京西路教学点）MBA。

      现任职于运动界最时尚、时尚界最运动的品牌公司法律部。

*本文插图来源于网络，仅作学习交流使用。如涉及侵权问题，请及时联系我们删除。