【全文】
01
政务数据合规治理的法律依据及政策背景
2020年4月9日,中共中央、国务院印发的《关于构建更加完善的要素市场化配置体制机制的意见》,指出土地、劳动力、资本、技术、数据五大生产要素的改革方向和相关体制机制的建设要求。同时提出要加强数据资源整合和安全保护,探索建立统一规范的数据管理制度,提高数据质量和规范性,推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。
2021年6月10日通过并于2021年9月1日起施行的《数据安全法》第三十九条规定:国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全;第四十条规定:国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据;第四十九条规定:国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。
2021年12月24日,国家发展改革委印发《“十四五”推进国家政务信息化规划》的通知,指出强化政务数据安全管理,避免政务数据被违规截留和商业化使用,建立健全政务信息化工程全过程安全监督机制,明确安全责任边界,落实网络安全工作责任制,形成跨部门、跨地区条块融合的安全保障工作联动机制。健全完善政务云服务评估制度,强化政务数据安全保障。
2022年1月12日,国务院发布《“十四五”数字经济发展规划》的通知,提出要强化政府数字化治理和服务能力建设,依法依规加强政务数据安全保护,做好政务数据开放和社会化利用的安全管理。依法依规做好网络安全审查、云计算服务安全评估等,有效防范国家安全风险。
基于以上,随着政府数字化转型,从政策趋势来看政务数据既要“开放和社会化利用”又要实现“安全管理”。为满足依法依规履行好数据安全保护义务。本所律师建议:凡涉及应承担政务数据合规义务的各方均应积极开展政务数据合规治理,严格遵守法律规定、国家标准等制度规范,通过构建政务数据合规治理体系,切实防范化解数据风险,具体如何落实请参照本文中的路径梳理。
02
政务数据合规治理面临的挑战
政务数据事关国家政治经济运行、国防和社会稳定,具有敏感程度高、经济价值高、数据量庞大、数据关联关系复杂等特点1。依据目前已经颁布实施的《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,对政务数据合规治理做了框架性的指导。同时,密集出台的国家政策及标准,对政务数据合规治理提出了更高的要求。除此以外,还面临如下挑战:
挑战一:数据量大且分散,普遍存在数据孤岛现象,不利于数据的协同与治理。
政务数据广泛存储于各地、各级政府等不同单位、不同部门、不同系统中,以及第三方服务提供方的系统;政府各部门相互独立,产生以各自利益为中心的数据分割问题,往往引发大量数据孤岛现象2;同时,还存在数据主管部门职责和定位不清晰、不准确,数据治理机构力量分散、难以形成合力,数据运营机构的权责利益不清晰等问题。
挑战二:大量有价值的数据缺乏安全管理。
政务数据中储存大量个人信息,包括身份信息、信用信息、教育信息、健康信息等,以及经济信息、交通信息等,这些信息是有价值的。但涉及到具有政务数据合规义务的各方在《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律出台之前,尚未建立完善的规则制度。现有法律法规、国家标准等均已提出了对于数据分类分级保护、重要数据目录管理、重要数据出境安全管理等各项要求,因此,亟需具有政务数据合规义务的各方落实法律法规中涉及到的数据合规责任。
03
政务数据合规治理体系的参照依据及标准
基于上文政策和法律责任的要求,涉及到具有政务数据合规义务的各方亟需构建数据合规治理体系。本所律师认为,首先严格依据《网络安全法》《关键信息基础建设安全保护条例》《数据安全法》《个人信息保护法》等法律法规,明确各方应承担的政务数据合规责任,并将相关责任落实为工作制度和行为规范;其次按照国家标准、行业标准、地方标准以及相关指南文件等进行细化,明确工作流程和工作规范,形成工作文件;最后需配备相应技术人员比如律师、工程师等,实现快速落地和治理监管。
本所律师,就政务数据安全及合规领域相关的标准规范类文件整理如下:
04
政务数据合规治理体系构建
(一)
政务数据合规治理应是全生命周期的
依据《数据安全法》第三条中对“数据处理”的定义来看,“数据处理”可包含数据收集、存储、使用、加工、传输、提供、公开等环节。而《数据安全法》第二十七条的规定强调了,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全及合规管理制度。
为保障政务数据安全,进行合规治理,需准确把握每一个数据处理环节的风险点,通过制定管理规范、运营规则、岗位职责、权限要求等,同时运用安全技术为政务数据提供安全保障。如果涉及委托他人建设、维护电子政务系统,存储、加工政务数据的,还应当依据《数据安全法》第四十条的规定经严格的批准程序且履行好监督受托方履行相应数据安全保护的义务。为了便于履行政务数据合规的相关责任主体理解,本所律师整理完成了具有政务数据合规义务的各方应完善的数据合规管理体系:
政务数据面临的安全风险来源于数据处理的全过程,涉及到具有政务数据合规义务的各方。因此在政务数据合规治理中,应着重识别并防控来自于数据收集、存储、交换、传输、使用、销毁等环节的风险。
本所律师依次就以上环节提出如下解决方案的建议:
(二)
政务数据合规治理应有相关的制度保障
依据国家发展改革委印发《“十四五”推进国家政务信息化规划》的要求,各级政府部门应全面落实信息安全和信息系统等级分级保护制度,实现政务数据全生命周期安全保护。同时要求落实责任制,健全标准规范体系强化政务数据安全管理,形成与数字经济发展相适应的数字治理能力;为此,本所律师结合法律法规、国家标准等建议具有政务数据合规义务的各方建立如下主要制度:
总之,就政务数据合规治理而言,本所律师认为:涉及到具有政务数据合规义务的各方需依据相关法律法规、政策、国家标准等建立相应的制度规范和行为准则,落实相关合规义务。具有政务数据合规义务的各方可参考本文中提及的步骤全面深入地梳理政务数据资产并掌握数据风险情况;建立和完善各项数据合规制度;综合利用数据源验证、加密传输、加密存储、隐私保护、数据防泄漏、追踪溯源、数据销毁等技术,来满足政务数据合规治理的各项要求。
