中华人民共和国数据安全法理解适用与案例解读

第十七条【数据标准体系建设】 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责，组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。 【条文主旨】 本条是关于数据开发利用和数据安全相关的标准体系建设的规定。 【条文理解】 标准是经济活动和社会发展的技术支撑，是国家治理体系和治理能力现代化的基础性制度。数据安全法通过统一立法的形式强调推进数据开发利用技术和数据安全标准体系建设，倡导确立共同遵循的准则，建立稳定的数据发展秩序。根据《中华人民共和国标准化法》的规定，标准（含标准样品），是指农业、工业、服务业以及社会事业等领域需要统一的技术要求。标准的类型包括：国家标准、行业标准、地方标准和团体标准、企业标准。其中国家标准又分为强制性标准、推荐性标准，而行业标准、地方标准属于推荐性标准。推荐性国家标准、行业标准、地方标准、团体标准、企业标准的技术要求不得低于强制性国家标准的相关技术要求。国家鼓励社会团体、企业制定高于推荐性标准相关技术要求的团体标准、企业标准。 《中华人民共和国标准化法》对各类标准进行了总体性规定：（1）强制性标准：强制要求必须执行的标准，一般而言，对保障人身健康和生命财产安全、国家安全、生态环境安全以及满足经济社会管理基本需要的技术要求，应当制定强制性国家标准，强制性国家标准由国务院批准发布或者授权批准发布，强制性标准文本免费向社会公开，同时国家还建立了强制性标准实施情况统计分析报告制度和定期复审机制。（2）推荐性标准：国家鼓励推荐采用的标准，对满足基础通用、与强制性国家标准配套、对各有关行业起引领作用等需要的技术要求，可以制定推荐性国家标准，推荐性国家标准由国务院标准化行政主管部门制定。（3）行业标准：对没有推荐性国家标准、需要在全国某个行业范围内统一的技术要求，则可以制定行业标准。行业标准由国务院有关行政主管部门制定，报国务院标准化行政主管部门备案。（4）地方标准：为满足地方自然条件、风俗习惯等特殊技术要求，则可以制定地方标准。地方标准由省、自治区、直辖市人民政府标准化行政主管部门报国务院标准化行政主管部门备案，由国务院标准化行政主管部门通报国务院有关行政主管部门。（5）团体标准：国家鼓励学会、协会、商会、联合会、产业技术联盟等社会团体协调相关市场主体共同制定满足市场和创新需要的团体标准，由本团体成员约定采用或者按照本团体的规定供社会自愿采用。（6）企业标准：企业根据自身需求自行制定或者与其他企业联合制定的标准。 对于标准工作的主管机构，根据《中华人民共和国标准化法》的规定，国务院标准化行政主管部门统一管理全国标准化工作。国务院有关行政主管部门分工管理本部门、本行业的标准化工作。县级以上地方人民政府标准化行政主管部门统一管理本行政区域内的标准化工作。县级以上地方人民政府有关行政主管部门分工管理本行政区域内本部门、本行业的标准化工作。数据安全法第十七条规定：“……国务院标准化行政主管部门和国务院有关部门根据各自的职责，组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准……”这里的“国务院标准化行政主管部门”即是指中华人民共和国国家标准化管理委员会（简称标委会），标委会是中华人民共和国国务院授权履行行政管理职能、统一管理全国标准化工作的主管机构，负责参与起草、修订国家标准化法律、法规的工作；拟定和贯彻执行国家标准化工作的方针、政策；拟定全国标准化管理规章，制定相关制度；组织实施标准化法律、法规和规章、制度。 标准是以科学技术和实践经验为基础，经相关利益主体协商一致，由主管机构批准，以特定形式发布作为共同遵守的准则和依据。因此，标准的制定应当遵循开放、透明、公平的原则，保证各参与主体获取相关信息，反映各参与主体的共同需求。国家鼓励企业、社会团体和教育、科研机构等开展或者参与标准化工作。本条关于这一点的表述，在起草过程中有过变动，修改的主要原因，是对标《中华人民共和国标准化法》的规定，保持立法的一致性和统一性。企业、社会团体和教育、科研机构等不仅可以积极参与到国家标准和行业标准的制定工作中去，同时也可以根据自身需要，自行或者结合其他成员一起制定和推广团体标准或者企业标准。相较于前者，团体标准和企业标准，具有灵活性高、针对性强、制定效率高、可自愿选择的特点。对于诸如数据等新类型的标准化工作而言，由于其新颖性和复杂性，不易在短时间内形成行业标准或者国家标准的，团体标准或企业标准则可以成为优选，例如2021年4月发布的《数据安全治理能力评估方法》，以及于同月发布的《个人信息处理法律合规性评估指引》等通过团体标准形式发布的标准，不仅推进了数据标准化的整体建设，也可以通过“以点带面”、循序渐进的方式逐步完善行业标准和国家标准，甚至也为我国相关主体加入和参与国际标准的制订打下了扎实的基础。 【适用指南】 对于本条的适用，主要涉及两个维度的合规工作： 一、正向维度 本条涉及的适用主体包括：国家、国务院标准化行政主管部门和国务院有关部门、企业、社会团体和教育、科研机构等。从正向维度来看，本条的规定是积极的，主要都是“鼓励”、“推进”和“支持”的态度，相信接下来国家也会进一步出台具体政策和执行措施。因此，相关主体应当积极加入数据利用技术和数据安全标准体系建设的工作，协同努力，建言献策，共同致力于发挥标准对促进经济转型升级、数据引领创新驱动的支撑作用。能够参与国家标准和行业标准的起草，既是对企业行业地位和市场影响力的肯定，也是企业获得竞争优势、商业机会的助推剂。当然，在标准化工作参与的过程中，也应当遵守相关法律法规的规定，在科学技术研究成果和社会实践经验的基础上，深入调查论证，广泛征求意见，保证标准的科学性、规范性、时效性，提高标准质量。此外，制定标准应当有利于科学合理利用资源，推广科学技术成果，增强产品的安全性、通用性、可替换性，提高经济效益、社会效益、生态效益，做到技术上先进、经济上合理。不能利用标准实施妨碍商品、服务自由流通等排除、限制市场竞争的行为。 二、反向维度 从反向维度来看，本条的规定也意味着，在数据开发利用和数据安全领域，除了法律法规、各类规范文件以及国家政策之外，与数据相关的标准也是数据合规工作中不可忽视的重要组成部分。可以预见的是，数据开发利用和数据安全领域的相关标准将会不断出台，而这些标准也将成为数据主体开展合规工作的重要依据，尤其是强制性标准，是必须参照执行的。虽然推荐性标准可以自愿选择参加，但需特别留意的是，在某些特殊情况下，推荐性标准也仍有可能转化具备法律效力，例如当推荐性标准被相关法律、法规、规章纳入时，或者如民法典第五百一十一条的规定，在当事人对质量要求约定不明，且若无强制性国家标准时，按照推荐性国家标准认定质量要求。此外，在一些法律法规尚且空白的领域，行业标准、地方标准、团体标准在司法实践中也可能成为法院裁判说理的依据。因此，数据主体在开展相应合规工作时，切记不要忽略相关标准的规定，以免产生合规漏洞。 【相关规定】 《中华人民共和国民法典》第五百一十一条；《*高人民法院关于裁判文书引用法律、法规等规范性法律文件的规定》第六条；《中华人民共和国标准化法》第二条至第十九条、第二十一条至第二十二条、第二十七条、第二十九条、第三十一条；《中华人民共和国标准化法实施条例》；《全国专业标准化技术委员会管理办法》；《工业通信业行业标准制定管理办法》；《地方标准管理办法》；《强制性国家标准管理办法》；《数据安全治理能力评估方法》。 案例解读 银行因未履行数据安全保护义务被银保监会处罚 （《中国银行保险监督管理委员会行政处罚信息公开表》（银保监罚决字〔2021〕1号），载中国银保监会官网，http://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=963387&itemId=4113&generaltype=9，*后访问时间：2021年10月18日。） 【案情简介】 2021年1月19日，银行因数据安全、网络安全等方面存在漏洞而被中国银保监会处罚，罚款420万元人民币。 【案例焦点】 根据银保监会开出的罚单显示，银行的违法违规事实主要包括六项，具体如下： （一）发生重要信息系统突发事件未报告； （二）制卡数据违规明文留存； （三）生产网络、分行无线互联网络保护不当； （四）数据安全管理较粗放，存在数据泄露风险； （五）网络信息系统存在较多漏洞； （六）互联网门户网站泄露敏感信息。 【专家评析】 随着互联网技术在金融领域的不断融合发展，互联网金融信息的覆盖范围、种类、数量都呈指数级增长，其中蕴含着大量的公民身份、财产、职业、家庭等敏感数据，与公民财产安全、国家社会稳定息息相关。因此，互联网金融数据也逐渐成为网络黑客的重点攻击对象，许多金融机构被黑客攻击，大量金融数据遭到严重泄露，互联网金融领域的数据安全漏洞给电信诈骗、信用卡盗刷等违法犯罪活动提供了基础。 除上述××银行被行政处罚的案件外，近年来各类金融机构数据泄露并因此而被处罚的案件层出不穷。2018年1月，有47家金融机构受到行政处罚，罚款金额达716万元，既包括国有银行及全国股份制银行，又包括21家地方农商行和农信社、7家村镇银行以及2家城商行，同时还包括6家保险公司、1家资产管理公司和1家涉及金融服务的网络科技公司。(《瞒报数据泄露信息47家违规金融机构被罚716万元》，载中国法院网，https://www.chinacourt.org/article/detail/2018/01/id/3148223.shtml，*后访问时间：2021年10月19日。) 纵观以上金融机构行政处罚案件，*为重要的处罚原因为数据安全管理不善：有些金融机构未有效建立数据分类分级保护制度，金融数据作为事关公民生命财产安全的重要数据，一旦遭到篡改、破坏、泄露或者被非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，应与其他数据之间按照不同类别、不同级别采取不同的存储与保护措施，切实保障重要数据与核心数据的安全无风险；有些金融机构未建立完善的风险评估、报告、信息共享、监测预警机制，未加强数据安全风险信息的获取、分析、研判、预警工作，一旦发生数据安全事件，不能及时启动应急预案和采取相应的应急处置措施和向社会发布与公众有关的警示信息，具有极大的安全隐患；有些金融机构未尽到主动报告义务，没有按照规定向有关主管部门报告；有些金融机构则没有建立完善的内部防控管理机制，未定期开展培训以提高工作人员数据安全意识；更有甚者出现了内部员工利用职权窃取、倒卖数据的严重现象，带来了极大的数据安全隐患。2018年5月，银保监会印发《银行业金融机构数据治理指引》，该文件严格要求银行业金融机构加强数据资料统一管理，建立全面严密的管理流程、归档制度，明确存档交接、口径梳理等要求，保证数据可比性。应当建立数据安全策略与标准，依法合规采集、应用数据，依法保护客户隐私，划分数据安全等级，明确访问权限，监控访问行为，完善数据安全技术，定期审计数据安全。 如今，随着数据安全法的出台和落地实施，以往我国不同主管部门仅在各自职权范围内和主管领域内建立数据安全制度、落实数据安全保护责任的“九龙治水”现象将有所改观，填补了监管空白。不论什么行业、什么领域，在收集、存储、使用、加工、传输、提供、公开数据资源时，都应该根据本法的要求依法建立健全数据安全管理制度，采取相应技术措施保障数据安全，如数据分类分级保护、国家核心数据安全管理、数据跨境流动许可、数据安全监测预警报告、配合数据调取、数据交易中介服务等制度，否则将被有关部门按照本章规定采取措施并承担法律责任。