GPT:從《網絡安全法》看企業數據合規框架

我國《網絡安全法》作為規范網絡安全包括信息安全的基本法律，針對包括個人信息在內的數據合規要求的主要問題有哪些？我們以《網絡安全法》為基本框架，并結合其他法律法規相關規定來簡要分析一下。

一、數據信息的定義

我國《網絡安全法》第七十六條規定，“網絡數據，是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據。”對企業而言，很多數據可能并非通過網絡收集或存儲、利用，很多數據從內容或性質角度看可能屬于商業秘密或知識產權，可以通過反不正當競爭法或知識產權相關法律進行保護。

《網絡安全法》第七十六條規定，個人信息“是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”

根據國家網信辦于2017年發布的《個人信息和重要數據出境評估安全辦法》，重要數據是指與國家安全、經濟發展，以及社會公共利益密切相關的數據，具體范圍參照國家有關標準和重要數據識別指南，在《網絡安全法》中指關鍵信息基礎設施運營者所控制掌握的數據。對于重要數據，按規定需要采取更高要求的數據安全保護措施，重要數據的存儲、出境均需依法依規。

2020年全國人大公布的《數據安全法》第三條規定，本法所稱數據，是指任何以電子或者非電子形式對信息的記錄。

二、數據信息安全目標

《網絡安全法》第十條規定網絡安全內容時明確，“建設、運營網絡或者通過網絡提供服務，應當依照法律、行政法規的規定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網絡安全、穩定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性。”

AzukiDAO：已關閉代幣申領窗口，擬將所有代幣轉移至DAO金庫:7月3日消息，AzukiDAO 發布公告稱，已關閉治理代幣的申領窗口，并計劃提出將所有代幣轉移至 DAO 金庫的提案，隨后將從社區中選出多簽貢獻者。

此前報道，據 MetaSleuth 監測顯示，AzukiDAO 的治理代幣合約因存在漏洞受到攻擊，已有兩名攻擊者利用該漏洞獲利 35 ETH。[2023/7/3 22:15:29]

也就是說，任何行為影響到網絡數據的完整性、保密性和可用性，都屬于使數據安全受到了威脅。

所謂完整性，即數據未被未授權的更改/篡改。數據的完整性，要求數據保持準確而且正確、未篡改、有意義且能用的，僅能以被認可的方法更改、僅能被授權人員或過程更改。

所謂保密性，即數據未被未授權者訪問。未授權者可能包括自然人、非自然人實體或者是程序/應用；泄露途徑包括口頭泄露、通過網絡，或通過其他設備打印機、復印機、USB存儲設備等泄露。保密性意味著，只有經過授權才能訪問受保護的數據。

所謂可用性，即數據處于合法用戶隨時可按照要求使用的狀態。數據被認為是可用的，應該以能用的方式呈現；有滿足服務要求的能力；有清晰的流程，如果合理的等待時間，服務在可接受的時間段內可以完成。如出現拒絕訪問和系統中斷等是屬于不可用的重要體現。

《數據安全法》第三條規定，“數據活動，是指數據的收

集、存儲、加工、使用、提供、交易、公開等行為。數據安全，是指通過采取必要措施，保障數據得到有效保護和合法利用，并持續處于安全狀態的能力。”

三、公共數據開放與信息數據共享利用

區塊鏈開發平臺Alchemy啟動對ZK Rollup StarkNet的支持:金色財經報道，區塊鏈開發平臺 Alchemy 啟動對 ZK Rollup StarkNet 的支持，Starknet 現已在 Alchemy 上公開發布，通過向公眾開放，Alchemy 正在為 Starknet 的開發者社區提供基礎設施和工具，構建者可以創建功能豐富、突破性的 dapp，starknet 用戶可以在本地使用智能合約賬戶，而無需將他們的錢包重新編程為智能合約。雖然新產品僅代表 Alchemy 支持的 39 個區塊鏈之一，但該公司表示，StarkNet集成是關鍵，因為它的“快速發展的開發者社區”和該項目的“零知識rollups的開創性方法”。[2023/5/5 14:43:29]

《網絡安全法》第十七條在規定國家網絡安全的產業政策時明確，“國家鼓勵開發網絡數據安全保護和利用技術，促進公共數據資源開放。”

我國一直重視數據資源的開放和利用。2015年9月國務院印發的《促進大數據發展行動綱要》指出，“數據已成為國家基礎性戰略資源，大數據正日益對全球生產、流通、分配、消費活動以及經濟運行機制、社會生活方式和國家治理能力產生重要影響。”2016年3月發布的“十三五規劃綱要”提出“實施國家大數據戰略”，明確我國將“把大數據作為基礎性戰略資源，全面實施促進大數據發展行動，加快推動數據資源共享開放和開發應用，助力產業轉型升級和社會治理創新。”

《促進大數據發展行動綱要》還要求“2018年底前建成國家政府數據統一開放平臺，率先在信用、交通、醫療、衛生、就業、社保、地理、文化、教育、科技、資源、農業、環境、安監、金融、質量、統計、氣象、海洋、企業登記監管等重要領域實現公共數據資源合理適度向社會開放”，截止2019年，已經有50多個地市建設了公共數據開放平臺，開放了約15個領域數據，包括教育科技、民生服務、道路交通、健康衛生、資源環境、文化休閑、機構團體、公共安全、經濟發展、農業農村、社會保障、勞動就業、企業服務、城市建設、地圖服務。

OpenAI宣布開放API，開發人員可將ChatGPT集成到自己的產品中:3月2日消息，OpenAI宣布允許第三方開發者通過API將ChatGPT集成到他們的應用程序和服務中。OpenAI總裁兼董事長Greg Brockman表示，ChatGPT API由“gpt-3.5-turbo”支持，是GPT-3.5的優化版本，定價為 0.002 美元/每1000 token（這里提到的“Token”是指系統將句子和單詞分解成的文本塊，以便預測接下來應該輸出什么文本）。根據OpenAI官網的解釋token可以理解為一個一個非結構化的單詞，而1000個token大概對應750個詞。這個價格也要比目前的GPT 3.5模型便宜90%。[2023/3/2 12:37:54]

《數據安全法》規定了國家堅持維護數據安全和數據開放并重的原則，實施大數據戰略，加強數據開發利用基礎技術研究，推進數據開發利用技術和數據標準體系建設，促進數據安全檢測評估和認證服務，建立健全數據交易管理制度，并支持學校和企業開展數據開發利用技術和數據安全培訓。

《數據安全法》還規定了國家大力推進電子政務建設，國家機關在數據收集、使用數據的原則和程序，國家機關應建立健全數據安全管理制度，國家機關對政務數據的處理要求，對政務數據的公開要求等。

在數據共享、轉讓方面，根據《網絡安全法》、《個人信息安全規范》等法律法規、國家標準等規定，個人信息經過數據脫敏即匿名化處理后可以進行共享、傳輸，但是對于未經脫敏處理的個人信息需滿足下述合規要求，一是征得個人同意原則，即向個人信息主體告知共享、轉讓個人信息的目的、數據接收方的類型，并事先征得個人信息主體的授權同意。涉及個人敏感信息的，還應告知個人敏感信息的類型、數據接收方的身份和數據安全能力；二是安全影響評估原則，即轉讓前開展個人信息安全影響評估，并依評估結果采取有效的保護個人信息主體的措施；三是準確記錄原則，準確記錄和保存個人信息的共享、轉讓的情況，包括共享、轉讓的日期、規模、目的，以及數據接收方基本情況等；四是保護義務延伸原則，即幫助個人信息主體了解數據接收方對個人信息的保護義務及其履行情況，和及時反饋個人信息主體相關權利包括訪問、更正、刪除、注銷賬戶等。

數據：NEAR生態TVL已從2.47億美元降至1.36億美元:金色財經報道，據DeFiLlama數據顯示，自從DAO Decentral Bank（DCB）從Ref Finance的USN池中提取流動性以兌現USN贖回以來，NEAR生態的TVL已從2.47億美元下降到1.36億美元，降幅達44.92%。[2022/10/25 16:38:00]

四、數據信息安全保護義務

《網絡安全法》第二十一條在規定網絡安全等級保護制度時明確，“國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：采取數據分類、重要數據備份和加密等措施；...”

《網絡安全法》第二十七條在規定維護網絡安全的義務時明確，“任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動；不得提供專門用于從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具；明知他人從事危害網絡安全的活動的，不得為其提供技術支持、廣告推廣、支付結算等幫助。”

《網絡安全法》對個人信息的保護主要體現于第四十條至第四十四條，規定通過網絡收集、存儲、傳輸、處理和產生的個人信息，需要尊重個人的同意權、知情權、選擇權、更正權、刪除權等權利，其整合并發展了我國現有法律中關于個人信息保護的主要內容，如第四十條明確將收集和使用個人信息的網絡運營者是個人信息保護的責任主體；第四十一條規定了個人信息收集的最少夠用原則；第四十二條規定了個人信息共享的條件；第四十三條規定了個人在一定情形下刪除、更正其個人數據的權利；第四十四條在法律層面給予個人信息交易一定的合法空間。《網絡安全法》這些關于個人數據的規定，在維護網絡安全的框架下，把保障個人作為數據主體對個人信息的自主權和支配權與現行國際規則及美歐個人信息保護方面的立法，雖然具體規定上有差異，但總體上理念是相通的。

Moonriver眾貸獎勵分發已完成，此前質押的KSM已全部解鎖:5月16日消息，Moonbeam基金會宣布，分配給眾貸獎勵的3,000,000枚$MOVR（占Moonriver網絡創世供應量的30%）已于2022年5月16日6:30（香港時間）全部發放。

前5次Crowdloan獲勝平行鏈的KSM已同時解鎖，總計110萬KSM（約占KSM總供應量的10%）。[2022/5/16 3:18:14]

根據《網絡安全法》規定，另外《消費者權益保護法》第二十九條、《個人信息安全規范》3.2、5.5條等均規定，企業在收集個人信息時，應當制定并對外公開個人信息收集處理規則即隱私政策并獲得客戶的同意(個人敏感信息還需獲得明示同意)。隱私政策的內容應當包含對個人信息包括收集、使用、存儲、處理、共享、交換、刪除、自主管理等環節的規定，遵守合法、正當、必要、保密、通俗的原則。專家們普遍認，個人信息的概括授權和一攬子授權屬于不符合《個人信息保護規范》的要求，未來的隱私政策將更加貼近應用場景、更具體，更能尊重用戶選擇權、操作更方便。另外根據《兒童信息保護規定》如涉及兒童個人信息保護還需要企業單獨制定保護政策并確定負責人。

個人信息的使用應遵循合法性、必要性、授權同意的原則，并需要按照法律行政法規以及與用戶之間的約定收集、保存、使用用戶個人信息，這是個人信息保護的核心要求，也是監管機關重點關注的合規內容。合法性原則要求運營者使用個人信息不得違反法律、行政法規規范性文件的規定；必要性原則要求網絡運營者不得使用與其提供的服務無關的個人信息；授權同意原則則要求使用個人信息需要獲得被收集者的同意，如果因業務需要，確需超出范圍使用個人信息的，應再次征得被收集者的明示同意。如果企業違反上述個人信息的使用要求，將可能面臨警告、罰款、吊銷相關業務許可證等的行政處罰。

《網絡安全法》第四十二條提出網絡運營者采取技術措施和其他必要措施以確保其收集的個人信息安全的原則性規定。包括員工接觸用戶信息、使用、處理用戶信息的內部管理規程等。若運營者要保證用戶數據安全，需要在組織制度、技術措施上同時保障。企業除需要制定完備的個人信息保護制度作為內控制度，還需要確保制度有效執行并且做好個人信息安全事件的應對。

另外值得注意的是，我國將于2021年1月1日實施的《民法典》第一千零三十二至一千零三十八條，分別對具體侵害個人隱私、個人信息以及收集處理個人信息等作出了詳細的規定。

《網絡安全法》第四十五條在規定監管部門及其工作人員的信息保護義務時明確，“依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密，不得泄露、出售或者非法向他人提供。”

《網絡安全法》第五十條在規定相關監管部門相關職責時明確，“國家網信部門和有關部門依法履行網絡信息安全監督管理職責，發現法律、行政法規禁止發布或者傳輸的信息的，應當要求網絡運營者停止傳輸，采取消除等處置措施，保存有關記錄；對來源于中華人民共和國境外的上述信息，應當通知有關機構采取技術措施和其他必要措施阻斷傳播。”

為了維護網絡安全也包括數據安全，《網絡安全法》第五十一條規定國家建立網絡安全監測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分析和通報工作，按照規定統一發布網絡安全監測預警信息。《網絡安全法》第五十二條規定各行業各領域的網絡安全預警和信息通報制度。負責關鍵信息基礎設施安全保護工作的部門，應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度，并按照規定報送網絡安全監測預警信息。

《數據安全法》關于數據安全制度，規定了數據分級分類保護制度，建立統一、高效、權威的數據安全評估、報告、信息共享和監測預警機制，建立數據安全應急處置機制，建立數據安全審查制度，對與履行國際義務和維護國家安全相關的數據實施出口管制，以及對數據和數據開發相關的投資、貿易活動采取對等措施等。

五、關鍵信息基礎設施、數據境內存儲和數據跨境傳輸

《網絡安全法》第三十一條在規定關鍵信息基礎設施時明確，“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。”

《網絡安全法》第三十四條規定關鍵信息基礎設施的安全保護義務時明確，“除本法第二十一條的規定外，關鍵信息基礎設施的運營者還應當履行下列安全保護義務：對重要系統和數據庫進行容災備份；...”

《網絡安全法》第三十七條規定關鍵信息基礎設施的數據存儲義務時明確，“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。”

值得注意的是，關于個人信息的出境，《個人信息和重要數據出境評估安全辦法》并未將義務主體僅限制于關鍵信息基礎設施，其第四條規定，個人信息出境，應向個人信息主體說明數據出境的目的、范圍、內容、接收方及接收方所在的國家或地區，并經其同意。未成年人個人信息出境須經其監護人同意。同時企業數據的跨境傳輸不僅需要遵守我國數據傳輸的法律要求，同時也需要遵守有關國家和地區對于數據跨境要求，例如歐盟的《一般數據保護條例》(“GDPR”)、美國的加州消費者隱私法(“CCPA”)等。

目前國內按照網信部門要求，原則上允許數據因業務需要在經安全評估后可以出境。2019年出臺的《個人信息出境安全評估辦法(征求意見稿)》要求網絡運營者向境外提供在中國境內運營中收集的個人信息應當按照該辦法進行安全評估。雖然該辦法尚未生效，但企業還是應參照其規定做好安全評估，并參照《信息安全技術數據出境安全評估指南》(征求意見稿)的規定根據類別、傳輸數量、目的范圍、技術處理情況四大要素，向監管部門報備、通知等，并評估接收方網絡安全保障能力和法律環境。

《數據安全法》關于數據保護義務，規定數據活動應當建立健全全流程數據安全管理制度，數據活動以及開發新數據技術應遵循的基本原則，加強數據風險監測，重要數據活動的定期風險評估，收集數據的要求，數據交易中介服務的安全義務，專門在線數據服務提供者應備案，以及配合有權機關對數據的調取和數據出境的報批義務。

Tags：GPTNETSTARKSTARX-GPTAliceNetstarknet幣價分析ASTAR幣

NEAR