從《網絡安全法》看企業數據合規框架_MER

我國《網絡安全法》作為規范網絡安全包括信息安全的基本法律，針對包括個人信息在內的數據合規要求的主要問題有哪些？我們以《網絡安全法》為基本框架，并結合其他法律法規相關規定來簡要分析一下。

一、數據信息的定義

我國《網絡安全法》第七十六條規定，“網絡數據，是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據。”對企業而言，很多數據可能并非通過網絡收集或存儲、利用，很多數據從內容或性質角度看可能屬于商業秘密或知識產權，可以通過反不正當競爭法或知識產權相關法律進行保護。

《網絡安全法》第七十六條規定，個人信息“是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”

根據國家網信辦于2017年發布的《個人信息和重要數據出境評估安全辦法》，重要數據是指與國家安全、經濟發展，以及社會公共利益密切相關的數據，具體范圍參照國家有關標準和重要數據識別指南，在《網絡安全法》中指關鍵信息基礎設施運營者所控制掌握的數據。對于重要數據，按規定需要采取更高要求的數據安全保護措施，重要數據的存儲、出境均需依法依規。

2020年全國人大公布的《數據安全法》第三條規定，本法所稱數據，是指任何以電子或者非電子形式對信息的記錄。

二、數據信息安全目標

《網絡安全法》第十條規定網絡安全內容時明確，“建設、運營網絡或者通過網絡提供服務，應當依照法律、行政法規的規定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網絡安全、穩定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性。”

澳大利亞的銀行被要求報告其對加密貨幣和初創企業的敞口:金色財經報道，據三名消息人士表示，澳大利亞審慎監理局已要求銀行改進有關加密資產的報告，并每天向該機構提供最新情況，以期更深入地了解系統中的風險敞口和漏洞。盡管目前沒有跡象表明澳大利亞的銀行已經或將遭受存款外逃，因為它們資本充足且盈利豐厚，但人們擔心與初創企業有關的越來越多的監督和合規活動會凍結該行業，并影響他們獲得銀行服務的能力。Barrenjoey分析師Jonathan Mott表示，澳大利亞銀行業的\"形勢保持穩定\"，但他警告稱，信心可能很快受到侵蝕，銀行利潤率將受到壓力。[2023/3/21 13:17:03]

也就是說，任何行為影響到網絡數據的完整性、保密性和可用性，都屬于使數據安全受到了威脅。

所謂完整性，即數據未被未授權的更改/篡改。數據的完整性，要求數據保持準確而且正確、未篡改、有意義且能用的，僅能以被認可的方法更改、僅能被授權人員或過程更改。

所謂保密性，即數據未被未授權者訪問。未授權者可能包括自然人、非自然人實體或者是程序/應用；泄露途徑包括口頭泄露、通過網絡，或通過其他設備打印機、復印機、USB存儲設備等泄露。保密性意味著，只有經過授權才能訪問受保護的數據。

所謂可用性，即數據處于合法用戶隨時可按照要求使用的狀態。數據被認為是可用的，應該以能用的方式呈現；有滿足服務要求的能力；有清晰的流程，如果合理的等待時間，服務在可接受的時間段內可以完成。如出現拒絕訪問和系統中斷等是屬于不可用的重要體現。

《數據安全法》第三條規定，“數據活動，是指數據的收

集、存儲、加工、使用、提供、交易、公開等行為。數據安全，是指通過采取必要措施，保障數據得到有效保護和合法利用，并持續處于安全狀態的能力。”

知情人士：Friktion關閉用戶平臺源于創始人之間的項目路線圖分歧:金色財經報道，據CoinDesk援引消息人士報道，Solana生態投資組合管理平臺Friktion關閉用戶平臺是因為項目創始人在如何推進Friktion的產品路線圖上存在分歧與摩擦，但兩位創始人均拒絕就內部沖突問題置評。[2023/1/31 11:37:52]

三、公共數據開放與信息數據共享利用

《網絡安全法》第十七條在規定國家網絡安全的產業政策時明確，“國家鼓勵開發網絡數據安全保護和利用技術，促進公共數據資源開放。”

我國一直重視數據資源的開放和利用。2015年9月國務院印發的《促進大數據發展行動綱要》指出，“數據已成為國家基礎性戰略資源，大數據正日益對全球生產、流通、分配、消費活動以及經濟運行機制、社會生活方式和國家治理能力產生重要影響。”2016年3月發布的“十三五規劃綱要”提出“實施國家大數據戰略”，明確我國將“把大數據作為基礎性戰略資源，全面實施促進大數據發展行動，加快推動數據資源共享開放和開發應用，助力產業轉型升級和社會治理創新。”

《促進大數據發展行動綱要》還要求“2018年底前建成國家政府數據統一開放平臺，率先在信用、交通、醫療、衛生、就業、社保、地理、文化、教育、科技、資源、農業、環境、安監、金融、質量、統計、氣象、海洋、企業登記監管等重要領域實現公共數據資源合理適度向社會開放”，截止2019年，已經有50多個地市建設了公共數據開放平臺，開放了約15個領域數據，包括教育科技、民生服務、道路交通、健康衛生、資源環境、文化休閑、機構團體、公共安全、經濟發展、農業農村、社會保障、勞動就業、企業服務、城市建設、地圖服務。

安全團隊：Lymex發生RugPull，合約部署者獲利約30萬美元:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Lymex項目方發生Rug Pull，通過白名單地址的資金，通過合賣出大量的LYM代幣，合約部署者獲利約30萬美元。Beosin Trace將持續對資金流向進行監控。此前消息，去中心化金融衍生品交易平臺Lymex于4個小時前在推特上表示：“Lymex網絡出現嚴重異常失誤導致大量的LYM已經被轉移到0x00e6開頭的地址，這一這一事件是由一個“技術錯誤”引起,已經完全耗盡了資金池。”[2022/12/5 21:23:43]

《數據安全法》規定了國家堅持維護數據安全和數據開放并重的原則，實施大數據戰略，加強數據開發利用基礎技術研究，推進數據開發利用技術和數據標準體系建設，促進數據安全檢測評估和認證服務，建立健全數據交易管理制度，并支持學校和企業開展數據開發利用技術和數據安全培訓。

《數據安全法》還規定了國家大力推進電子政務建設，國家機關在數據收集、使用數據的原則和程序，國家機關應建立健全數據安全管理制度，國家機關對政務數據的處理要求，對政務數據的公開要求等。

在數據共享、轉讓方面，根據《網絡安全法》、《個人信息安全規范》等法律法規、國家標準等規定，個人信息經過數據脫敏即匿名化處理后可以進行共享、傳輸，但是對于未經脫敏處理的個人信息需滿足下述合規要求，一是征得個人同意原則，即向個人信息主體告知共享、轉讓個人信息的目的、數據接收方的類型，并事先征得個人信息主體的授權同意。涉及個人敏感信息的，還應告知個人敏感信息的類型、數據接收方的身份和數據安全能力；二是安全影響評估原則，即轉讓前開展個人信息安全影響評估，并依評估結果采取有效的保護個人信息主體的措施；三是準確記錄原則，準確記錄和保存個人信息的共享、轉讓的情況，包括共享、轉讓的日期、規模、目的，以及數據接收方基本情況等；四是保護義務延伸原則，即幫助個人信息主體了解數據接收方對個人信息的保護義務及其履行情況，和及時反饋個人信息主體相關權利包括訪問、更正、刪除、注銷賬戶等。

CZ回應：將會邀請第三方審計師對儲備金證明結果進行審計:11月26日消息，幣安首席執行官CZ在就Kraken首席執行官Jesse Powell此前發推提出的問題回應表示，將會邀請第三方審計師對儲備金證明（PoR）結果進行審計，并表示“瓶頸是審計員要等上幾周，我們循序漸進地前進。而且絕對不涉及負債總額，這將會在上述儲備金證明的審計中進行驗證，實際上，我第一次聽說儲備金證明（PoR）的‘負債總額’”。

此前報道，Kraken首席執行官Jesse Powell發推表示，完整的儲備金證明審計必須包括客戶負債總額、用戶可驗證的密碼證明（表明每個賬戶都包含在總額中）以及證明保管人對錢包的控制權的簽名，“默克爾樹儲備金證明沒有包含客戶負債總額，否則就毫無意義”。[2022/11/26 20:48:23]

四、數據信息安全保護義務

《網絡安全法》第二十一條在規定網絡安全等級保護制度時明確，“國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：采取數據分類、重要數據備份和加密等措施；...”

《網絡安全法》第二十七條在規定維護網絡安全的義務時明確，“任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動；不得提供專門用于從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具；明知他人從事危害網絡安全的活動的，不得為其提供技術支持、廣告推廣、支付結算等幫助。”

《網絡安全法》對個人信息的保護主要體現于第四十條至第四十四條，規定通過網絡收集、存儲、傳輸、處理和產生的個人信息，需要尊重個人的同意權、知情權、選擇權、更正權、刪除權等權利，其整合并發展了我國現有法律中關于個人信息保護的主要內容，如第四十條明確將收集和使用個人信息的網絡運營者是個人信息保護的責任主體；第四十一條規定了個人信息收集的最少夠用原則；第四十二條規定了個人信息共享的條件；第四十三條規定了個人在一定情形下刪除、更正其個人數據的權利；第四十四條在法律層面給予個人信息交易一定的合法空間。《網絡安全法》這些關于個人數據的規定，在維護網絡安全的框架下，把保障個人作為數據主體對個人信息的自主權和支配權與現行國際規則及美歐個人信息保護方面的立法，雖然具體規定上有差異，但總體上理念是相通的。

Merkle Manufactory完成3000萬美元融資，a16z領投:金色財經報道，Merkle Manufactory在由Andreessen Horowitz (a16z) 領投的一輪融資中籌集了3000 萬美元，將用于開發名為 Farcaster 的去中心化社交網絡協議。 Standard Crypto、Elad Gil、1confirmation、Scalar Capital、First Round Capital、Volt Capital等參投。據悉，Merkle Manufactory由前Coinbase高管 Dan Romero創立，并正在努力推出Farcaster，這是一種用于構建社交網絡的“充分去中心化”協議。（The Block）[2022/7/13 2:10:53]

根據《網絡安全法》規定，另外《消費者權益保護法》第二十九條、《個人信息安全規范》3.2、5.5條等均規定，企業在收集個人信息時，應當制定并對外公開個人信息收集處理規則即隱私政策并獲得客戶的同意(個人敏感信息還需獲得明示同意)。隱私政策的內容應當包含對個人信息包括收集、使用、存儲、處理、共享、交換、刪除、自主管理等環節的規定，遵守合法、正當、必要、保密、通俗的原則。專家們普遍認，個人信息的概括授權和一攬子授權屬于不符合《個人信息保護規范》的要求，未來的隱私政策將更加貼近應用場景、更具體，更能尊重用戶選擇權、操作更方便。另外根據《兒童信息保護規定》如涉及兒童個人信息保護還需要企業單獨制定保護政策并確定負責人。

個人信息的使用應遵循合法性、必要性、授權同意的原則，并需要按照法律行政法規以及與用戶之間的約定收集、保存、使用用戶個人信息，這是個人信息保護的核心要求，也是監管機關重點關注的合規內容。合法性原則要求運營者使用個人信息不得違反法律、行政法規規范性文件的規定；必要性原則要求網絡運營者不得使用與其提供的服務無關的個人信息；授權同意原則則要求使用個人信息需要獲得被收集者的同意，如果因業務需要，確需超出范圍使用個人信息的，應再次征得被收集者的明示同意。如果企業違反上述個人信息的使用要求，將可能面臨警告、罰款、吊銷相關業務許可證等的行政處罰。

《網絡安全法》第四十二條提出網絡運營者采取技術措施和其他必要措施以確保其收集的個人信息安全的原則性規定。包括員工接觸用戶信息、使用、處理用戶信息的內部管理規程等。若運營者要保證用戶數據安全，需要在組織制度、技術措施上同時保障。企業除需要制定完備的個人信息保護制度作為內控制度，還需要確保制度有效執行并且做好個人信息安全事件的應對。

另外值得注意的是，我國將于2021年1月1日實施的《民法典》第一千零三十二至一千零三十八條，分別對具體侵害個人隱私、個人信息以及收集處理個人信息等作出了詳細的規定。

《網絡安全法》第四十五條在規定監管部門及其工作人員的信息保護義務時明確，“依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密，不得泄露、出售或者非法向他人提供。”

《網絡安全法》第五十條在規定相關監管部門相關職責時明確，“國家網信部門和有關部門依法履行網絡信息安全監督管理職責，發現法律、行政法規禁止發布或者傳輸的信息的，應當要求網絡運營者停止傳輸，采取消除等處置措施，保存有關記錄；對來源于中華人民共和國境外的上述信息，應當通知有關機構采取技術措施和其他必要措施阻斷傳播。”

為了維護網絡安全也包括數據安全，《網絡安全法》第五十一條規定國家建立網絡安全監測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分析和通報工作，按照規定統一發布網絡安全監測預警信息。《網絡安全法》第五十二條規定各行業各領域的網絡安全預警和信息通報制度。負責關鍵信息基礎設施安全保護工作的部門，應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度，并按照規定報送網絡安全監測預警信息。

《數據安全法》關于數據安全制度，規定了數據分級分類保護制度，建立統一、高效、權威的數據安全評估、報告、信息共享和監測預警機制，建立數據安全應急處置機制，建立數據安全審查制度，對與履行國際義務和維護國家安全相關的數據實施出口管制，以及對數據和數據開發相關的投資、貿易活動采取對等措施等。

五、關鍵信息基礎設施、數據境內存儲和數據跨境傳輸

《網絡安全法》第三十一條在規定關鍵信息基礎設施時明確，“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。”

《網絡安全法》第三十四條規定關鍵信息基礎設施的安全保護義務時明確，“除本法第二十一條的規定外，關鍵信息基礎設施的運營者還應當履行下列安全保護義務：對重要系統和數據庫進行容災備份；...”

《網絡安全法》第三十七條規定關鍵信息基礎設施的數據存儲義務時明確，“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。”

值得注意的是，關于個人信息的出境，《個人信息和重要數據出境評估安全辦法》并未將義務主體僅限制于關鍵信息基礎設施，其第四條規定，個人信息出境，應向個人信息主體說明數據出境的目的、范圍、內容、接收方及接收方所在的國家或地區，并經其同意。未成年人個人信息出境須經其監護人同意。同時企業數據的跨境傳輸不僅需要遵守我國數據傳輸的法律要求，同時也需要遵守有關國家和地區對于數據跨境要求，例如歐盟的《一般數據保護條例》(“GDPR”)、美國的加州消費者隱私法(“CCPA”)等。

目前國內按照網信部門要求，原則上允許數據因業務需要在經安全評估后可以出境。2019年出臺的《個人信息出境安全評估辦法(征求意見稿)》要求網絡運營者向境外提供在中國境內運營中收集的個人信息應當按照該辦法進行安全評估。雖然該辦法尚未生效，但企業還是應參照其規定做好安全評估，并參照《信息安全技術數據出境安全評估指南》(征求意見稿)的規定根據類別、傳輸數量、目的范圍、技術處理情況四大要素，向監管部門報備、通知等，并評估接收方網絡安全保障能力和法律環境。

《數據安全法》關于數據保護義務，規定數據活動應當建立健全全流程數據安全管理制度，數據活動以及開發新數據技術應遵循的基本原則，加強數據風險監測，重要數據活動的定期風險評估，收集數據的要求，數據交易中介服務的安全義務，專門在線數據服務提供者應備案，以及配合有權機關對數據的調取和數據出境的報批義務。

Tags：LYMIONMEXMERLYM價格UNION FinanceSMEX幣MERCE價格

BNB