本文在梳理各国持续强化数据战略及相关立法动态的基础上,展示我国已建立的数据安全法律法规体系框架,以及我国教育系统数据安全的管理政策要求。
《中华人民共和国数据安全法》已于2021年9月1日正式生效,这标志着我国将数据安全以法律的形式上升到国家安全。作为数据安全领域最高位阶的专门法,该法律与2017年6月1日起施行的《网络安全法》一起补充了《国家安全法》框架下的安全治理法律体系,更全面地保障了国家安全在各行业、各领域保障的有法可依。
在数字经济时代,面对日益严峻的数据安全威胁,世界各国高度重视数据安全问题,本报告在梳理各国持续强化数据战略及相关立法动态的基础上,展示我国已建立的数据安全法律法规体系框架,以及我国教育系统数据安全的管理政策要求。
各国持续强化数据战略及相关立法
美国数据战略焦点从“技术”转移到“资产”
2012年3月,美国白宫科技政策办公室发布《大数据研发倡议》,提出发展前沿核心技术、推动科学工程领域发明创造以及储备人力资源三大目标,以满足发展大数据技术的需求。这标志着美国在全球率先将大数据上升为国家战略。
2016年5月,总统行政办公室和国家科技委员会印发《联邦大数据研发战略计划》,提出聚焦新型技术、数据质量、基础设施、共享价值、隐私安全、人才培养和加强合作七大战略,拟建成有活力的国家大数据创新生态系统。
2019年12月,美国管理和预算办公室发布《联邦数据战略与2020年行动计划》。以政府数据治理为主要视角,描述了联邦政府未来十年的数据愿景和2020年要推行的关键行动,“将数据作为战略资源开发”成为美国新的数据战略的核心目标。该战略的出台意味着美国对于数据的重视程度继续提升,并出现了聚焦点从“技术”到“资产”的转变。
欧盟数据战略致力于发展数据敏捷型经济体
2016年-2018年,欧盟针对政府数据开放、数据流通、发展数据经济发布《迈向繁荣的数据驱动型经济》《打造欧洲数据经济》《迈向通用的欧洲数据空间》等多部战略文件
2020年2月,欧盟委员会发布《欧洲数据战略》,从国际环境而言,该战略其实是对其数据主权的一个宣示与捍卫,明确地将建立欧盟单一数据市场作为其核心,其中的9大公共数据空间的建设是其建立单一数据市场的关键性举措。强调提升对非个人数据的分析利用能力。以数字经济发展为主要视角,概述了欧盟委员会在数据方面的核心政策措施及未来5年的投资计划。
欧盟委员会《欧盟数据法案》即将出台,该法案总体上有三大目标:
第一,增加单一市场中数据的可用性;
将促进企业与政府之间的数据共享,以实现公共利益。同时,其还将支持企业对企业之间的数据共享,特别是解决共同生成数据使用权有关的问题。
第二,确保大量数据的互操作与质量;
将建立1个生态系统供经济参与者,在部门内与部门间集合不同的高价值数据源。
第三,赋权个人行使权利。
将会增强数据主体的能力去行使权利。
英国借助数据价值释放推动经济复苏
各国强化数据与个人信息保护相关的立法
目前全球已有近100个国家和地区制定了数据安全保护的法律,数据安全保护专项立法已成为国际惯例。
图 全球数据安全保护立法情况(部分)
图片来源:安恒信息
我国数据安全法律法规体系框架
我国数据安全进入有法可依、依法建设的新发展阶段
2017年12月
习近平在中共中央政治局第二次集体学习时指出,推动实施国家大数据战略,加快完善数字基础设施,推进数据资源整合和开放共享,保障数据安全,加快建设数字中国,更好服务我国经济社会发展和人民生活改善。
2019年11月
党的十九届四中全会在《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》中首次明确数据作为生产要素参与社会分配。
2021年6月
《中华人民共和国数据安全法》正式颁布,标志着我国将数据安全以法律的形式上升到国家安全。
■《数据安全法》作为数据安全领域最高位阶的专门法,与2017年6月1日起施行的《网络安全法》一起补充了《国家安全法》框架下的安全治理法律体系,更全面地保障了国家安全在各行业、各领域保障的有法可依。
2021年8月
《中华人民共和国个人信息保护法》颁布,并将于2021年11月1日起施行,解决了个人信息层面法律法规散乱不成体系的问题,与《数据安全法》、《网络安全法》、《密码法》共同构建了我国的数据治理立法框架。
目前我国建立的数据安全法律法规体系框架
我国现行的数据安全执行需参照国家/行业现行标准
《数据安全法》要点概览
《数据安全法》明确了政府、企业、社会相关管理者、运营者和经营者的数据安全保护责任,消除了数据要素交易中的灰色地带,对各行各业都形成了制约机制。该法一共七章五十五条,其中 “总则”、“法律责任”及“附则”三章属于常规章节,另外四个章节围绕着“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”来提出要求。
1、适用范围
■ 在中华人民共和国境内开展数据处理活动及其安全监管;在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
■ 数据,是指任何以电子或者其他方式对信息的记录。
■数据种类:
✓包括国家核心数据、重要数据、非个人信息的数据;
✓不包括个人隐私、个人信息、商业秘密、保密商务信息、国家秘密等。
■ 数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
■ 保护要求:釆取必要措施,对数据进行有效保护和合法利用,并持续保持其安全能力。
■ 特别对行业组织提出制定安全行为规范,加强行业自律,指导会员加强数据安全保护的要求。
2、主管部门职责与权限
■ 中央国家安全领导机构:决策、制定重大方针政策
■ 各地区、各部门:对本地区、本部门数据安全负责
■ 工业、电信等行业主管部门:负责本行业、本领域数据安全监管
■ 公安机关、国家安全机关:负责数据安全监管
■ 国家网信部门:统筹协调网络数据安全和相关监管工作
■ 国务院标准化行政主管部门和国务院有关部门:负责组织制定标准
3、要建立健全的制度体系
《个人信息保护法》要点概览
《个人信息保护法》共八章七十四条。在有关法律的基础上,该法进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作体制机制。
1、适用范围
借鉴《通用数据保护条例》及多数国家与地区相关法律的立法思路,以属地原则、属人原则为基础,首次将适用范围扩展至域外:
■ 在中华人民共和国境内处理自然人个人信息的活动,适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
■ 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
■ 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
■ 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
2、履行个人信息保护职责的部门
■ 国家网信部门:负责统筹协调个人信息保护工作和相关监督管理工作。
■ 国务院有关部门:依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
■ 县级以上地方人民政府有关部门:个人信息保护和监督管理职责按照国家有关规定确定。
3、十大要点
我国教育系统数据安全管理要求
《教育部机关及直属事业单位教育数据管理办法》(教发厅〔2018〕1号)
为加强教育部机关及直属事业单位教育数据管理工作,确保数据安全,更好地服务教育改革发展,推进教育数据的采集、储存、共享、公开和安全管理等环节的规范管理。
《教育部关于加强新时代教育管理信息化工作的通知》(教科信函〔 2021〕13 号)
7.加强教育数据规范管理。开展数据分类分级工作,形成数据溯源图谱,明确各类数据的数据源。按照“一数一源”的原则,根据实现处理目的最小范围,规范数据收集使用范围,优先通过共享获取数据,避免重复采集。
17.提升安全保障能力。全面加强数据安全保障,建立覆盖全生命周期的数据安全保障机制,重点保护广大师生和家长,特别是未成年人的个人隐私信息。
《教育部办公厅等六部门关于做好现有线上学科类培训机构由备案改为审批工作的通知》(教监管厅〔2021〕2号)
(7)网络安全标准。严格落实《中华人民共和国网络安全法》和《中华人民共和国数据安全法》等法律法规要求,达到网络安全保护三级(含)以上防护标准。
(8)教育移动互联网应用程序(教育APP)管理。教育移动应用提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制,储存100万人以上个人信息的线上校外培训APP,应通过个人信息保护影响评估、认证或合规审计。
《高等学校数字校园建设规范(试行)》——数据安全
2021年3月,教育部发布《高等学校数字校园建设规范(试行)》,提出“数字校园相关系统产生的数据量大,且关系到师生的隐私,因此针对数字校园相关系统产生的数据应具备保护措施。”
《关于加强教育系统数据安全工作的通知》
2021年4月,教育部等七部门印发《关于加强教育系统数据安全工作的通知》(教科信函〔2021〕20号)提出五大工作目标和五项重点任务。
五大工作目标
建立教育系统数据安全责任体系和数据分类分级制度,形成教育系统数据资源目录。
健全覆盖数据收集、传输存储、使用处理、开放共享等全生命周期的数据安全保障制度。
探索建立个人生物识别信息审查制度、数据安全评估制度,开展常态化的数据安全监测预警通报。
构建数据安全协同治理的新格局,有效遏制数据安全违法违规活动。
全面加强数据安全保护能力, 提升数据安全合法合规管理水平,有力支撑教育事业发展。
五项重点任务
各部门职责分工
高校重要数据安全保护建议
当前,教育部门面向教育高质量发展需要,正在大力推进以信息化为主导的教育新型基础设施建设。教育信息化的高速发展必然产生大量数据,涉及教学科研数据、师生个人数据等,其中不乏重要数据,这对高校数据安全提出了更高的要求。
为贯彻实施好《数据安全法》等法律法规,建议重点做好以下几方面工作:
第一,抓紧出台教育领域重要数据目录
教育主管部门应当在国家数据安全工作协调机制统筹协调下,按照数据分类分级保护的要求,在现有的教育系统数据资源目录的基础上,确定教育领域的重要数据具体目录,各高校应确定本校的重要数据目录,为高校重要数据安全保护工作提供依据,明确数据保护范围。
第二,建立健全全流程数据安全管理制度,明确数据安全负责人和管理机构
■在开展高校信息化建设的同时,应当高度重视数据安全保护工作,将数据安全保护纳入网络安全与信息化重点工作范畴。
■应建立健全数据收集、存储、使用、加工、传输、提供、公开等全流程数据安全管理制度,严格数据访问和使用权限,实现规范化、制度化管理;■应明确数据安全负责人和管理机构,落实数据安全岗位责任和考核机制,从管理、技术、运营多维度保障数据安全。
第三,定期开展风险检测评估,制作风险评估报告
各高校应当对其数据处理活动定期开展风险检测、评估,并形成评估报告。在检测中发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施;对面临的数据安全风险采取应对措施。
第四,做好数据出境安全管理
当前许多高校开展了中外合作办学,对外交流也越来越频繁。在对外办学和交流中,特别要注意重要数据出境安全管理问题。国家主管部门应当尽快出台《重要数据出境安全管理办法》。各高校应谨慎处理数据出境问题,重要数据原则上不出境。
第五,组织开展数据安全教育培训,提高数据安全意识
数据安全为人民,数据安全靠人民,保障数据安全需要多方共同参与。高校应当积极开展数据安全教育和培训,提高广大师生的数据安全意识和维护数据安全的自觉性,共同维护数据安全。
资料来源:中国教育网络《从<数据安全法>视角探讨重要数据保护》