2.2.4 法律法规

2003年，国务院信息化办公室已经开始展开个人信息保护法立法研究工作，并于2005年形成专家意见稿。2016年11月7日，十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》（以下简称《网络安全法》），并于2018年1月正式实施。《网络安全法》第三十七条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。《网络安全法》对个人信息保护做出规定，明确了对个人信息收集、使用及保护的要求，并规定了个人对其自身信息进行更正或删除的权利。2017年12月29日，全国信息安全标准化技术委员会正式发布《信息安全技术个人信息安全规范》，从信息权利保护的角度全面规定了公民个人信息的收集、保存、使用、委托处理、共享、转让、公开披露及个人信息安全的处置等。

近年来，全国人大及其常委会、中央网信办、工业和信息化部、公安部、工商局、银保监会、商务部、市场监管总局、最高人民法院、最高人民检察院等机关发布了一系列与个人信息和数据保护相关的法律法规。除前文发布的与国家安全及跨境数据传输有关的法律法规外，与个人信息与数据保护相关的法律法规还包括2部法律、1个常委会决定、11部部门规章和2部司法解释（见表2.14），内容包括电信与互联网、电子商务、App、快递、银行、教育等领域的数据收集、使用、管理要求及侵犯公民个人信息案件的处理方法。

表2.14 个人信息和数据保护相关的法律法规

（续表）

《中华人民共和国密码法》（以下简称《密码法》）于2020年1月1日起施行。《密码法》作为总体国家安全观框架下国家安全法律体系的重要组成部分，也是一部技术性、专业性较强的专门法律。《密码法》中的密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务，主要功能是加密保护和安全认证。《密码法》规定，任何组织或者个人不得窃取或者非法侵入他人的加密信息或者密码保障系统，不得利用密码从事违法犯罪活动。《密码法》的出台为加强新时代密码工作提供了强大的法律武器。《密码法》的颁布实施将极大地提升密码工作的科学化、规范化、法治化水平，有力地促进密码技术进步、产业发展和规范应用，切实维护国家安全、社会公共利益，以及公民、法人和其他组织的合法权益，同时也将为密码部门提高“三服务”能力提供坚实的法治保障。

从《密码法》出台的必要性来看，其一，核心密码和普通密码维护国家安全方面的基本制度、密码管理部门和密码工作机构及其工作人员开展核心密码和普通密码工作的保障措施等，需要通过国家立法予以明确，进一步提升法治化保障水平；其二，近年来密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥越来越重要的作用，国家对重要领域商用密码的应用、基础支撑能力的提升及安全性评估、审查制度等不断提出明确要求，需要及时上升为法律规范；其三，传统对商用密码实行全环节许可管理的手段已不适应职能转变和“放管服”改革要求，亟须在立法层面重塑现行商用密码管理制度。

另外，在数据资产管理上，地方政府也出台了相关的管理办法。例如，2017年的贵州省大数据发展领导小组办公室印发了《贵州省政府数据资产管理登记暂行办法》，贵州省成为全国首个出台政府数据资产管理登记办法的省份；2019年11月27日，《山西省政务数据资产管理试行办法》由山西省人民政府第51次常务会议通过。

在数据安全方面，我国颁布了《数据安全法》，并且在不同层面的法律法规也均有涉及关于保护个人信息的相关规定。但是与国外相比，我国尚缺乏专门的数据保护、数据产权和数据资产治理的基本法。美国、英国、澳大利亚等西方发达国家结合本国国情，在数据标准、质量及数据资产的组织、管理和安全等方面做出详细的明确性规定，形成了覆盖数据流程、前后环节呼应的一体化法律制度体系。缺乏专门的数据安全和个人隐私保护基本法成为制约我国数据资产安全、高效流通的瓶颈。在没有统一认可的行业标准和权威法律的情况下，政府也很难采取有效的措施积极监管和引导数据资产流通市场的发展，这导致我国数据交易黑市猖獗，违规交易频发，数据资产安全问题难以解决。与西方发达国家相比，我国有关数据资产评估方面的法律法规建设相对落后，目前尚未建立针对数据资产流通和应用的专门性法律法规，对多大限度地赋予个人对数据的财产权益、数据的估值和定价问题，以及如何确保流通过程中的数据安全，并无明确的法律依据。而欧盟、澳大利亚和日本则通过对法律法规的不断修订，使法律法规更加严谨、不断完善。因此，在制定新的法律法规的同时，也应该注重对已有法律的修订完善，以适应现状需求与发展趋势。