数据资产的法律与监管

2022年6月22日,中央全面深化改革委员会第二十六次会议审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》进一步强调了数据基础制度建设之于国家发展和安全大局的重要意义,明确要求建立数据产权制度、建立合规高效的数据要素流通和交易制度、完善数据要素市场化配置机制,同时要将安全贯穿数据治理全过程。随着中国企业数据相关的法律框架逐步成型，并集中形成了数据安全、个人信息保护算法治理数据竞争、数据跨境、数据交易等方面的重点合规领域。

一、数据资产之法律框架

以下就现行的法律规范，在法律与司法解释、行政法规规章、国家行业标准三个层面分别简要说明。

1. 法律与司法解释

我国现行规范相关数据资产的主要法律包括：《数据安全法》、《网络安全法》、《数据安全法》、《个人信息保护法》、《电子商务法》。

要知晓的是，数据安全法律制度体系的立法目的并不是为了强行施加各类义务限制数据流动和数据处理，而是在保障数据安全的前提下，促进数据开发利用，不得以不合理、不合法的理由侵害个人、组织的合法权益。例如，在个人信息数据处理方面，均规定了数据处理者、网络运营者等义务主体应当承担的个人信息保护义务。对于个人信息处理者的法定义务和自然人在信息处理活动中的相应权利。持有、处理数据的企业应当设置清晰、简洁且易懂的个人信息保护协议告知用户其收集和处理个人信息的目的、范围和方式，不得超范围、超目的地处理用户个人信息。

2. 行政法规和部门规章

我行政法规和部门规章层面主要包括《关键信息基础设施安全保护条例》、《网络信息内容生态治理规定》、《网络安全审查办法》、《算法推荐管理规定》、《移动互联网应用程序信息服务管理规定》、《网络直播营销管理办法（试行）》、《互联网用户公众账号信息服务管理规定》、《国务院关于在线政务服务的若干规定》、《汽车数据规定（试行）》等规范性文件。

若企业在其涉及的公共数据资产中，符合“关键信息基础设施”认定标准，则需要在维护重要数据、核心数据完整性保密性和可用性的基础上，落实更为严格的数据安全保障义务、应急响应制度、网络安全等级保护制度、数据泄露通知义务。其中，“公共数据“主要是指上行政机关以及履行公共管理和服务职能的事业单位在依法履职过程中，采集和产生的各类数据资源。

3. 国家标准与行业标准

在国家标准和行业标准层面，全国信息安全标准化技术委员会发布了基础标准、技术与机制标准、安全管理标准、安全测评标准、产品与服务标准、网络与系统标准、数据安全标准、组织管理标准、新技术信用安全标准九大类技术标准，用以明确数据处理者应当或者可以采取的技术安全措施。

二、数据合规之监管机构

由于当前技术、法律认定等实际因素仍处于发展阶段，对于数据资产的执法活动中，时常出现九龙治水之困境，多个监管部门共同管理、协同执法的情况。我国网络安全和数据保护监管工作主要由网信部门负责统筹和协调相关监督管理工作。此外，工信部门、公安部门和市场监督管理部门等其他有关机关依照有关法律法规的规定，也在各自职责范围内负责部分网络安全和数据保护的监督管理工作。另外，具体到各个细分行业，不少行业主管部门也逐渐承担起所在行业的数据管理工作的监督管理职能。

在国家层面，网信管理的最高部门是中共中央网络安全和信息化委员会办公室和中华人民共和国国家互联网信息办公室，两者分别简称“中央网信办“和“国家网信办＂，官网网址https://www.cac.gov.cn/。

在中央部委层面，工业信息化部与其下属的地方工信部门，官网网址https://www.miit.gov.cn/，共同承担网络和数据安全的部分职责，其主要负责部门为设信息通信管理局和网络安全管理局，监管负责关键信息基础设施安全保护和监督管理工作。

公共安全层面，公安部门负责查处危害公共安全或侵犯公众合法权益的违法行为，并在职责范围内负责网络安全保护和监督管理工作，对危害网络安全、侵犯个人信息的行为进行行政处罚。

市场行政管理方面，市场监督管理部门与市场主体联系密切，需要对涉及网络安全、数据保护的群众投诉、消费者举报案件作出回应，其主要由各地市场监督管理部门受理并进一步调查处理。

行业自律方面，各个细分行业，不少行业主管部门也逐渐承担起对所在行业的数据合规工作的监督管理职能。例如，金融行业，银保监会、中国人民银行等。

用心传递法律的温度