左晓栋:中国信息安全研究院副院长
摘录:
数据安全与《个人信息保护法》首先从个人信息处理规则来讲,有一些需要扩展,在明确个人信息处理规则的基础上原有规则进一步细化。另外,有些制度设计要通过条例来明确,比如说认证问题,《数据安全法》和《个人信息保护法》都涉及到了认证,下一步国家数据安全认证制度怎么建,要在条例层面上给出一个说法。
《个人信息保护法》中多个地方谈到了合规审计问题,谁来出合规审计的报告?出报告的机构要不要经过审批?将来是要设置一种行政许可还是搞一个注册制或是搞一个备案制,对于这种机构,对于审计师将来怎么管理?要不要相应的制度?这些问题随着《个人信息保护法》的印发马上提到议事日程了。所以将来条例要衔接的第二个问题就是对里面重大制度有一些落实。
第三个不排除针对个人信息保护实际工作中的需求再提一些新的要求,行政法规可以提,包括可以做授权,甚至一些行政许可,不排除创设一些新的制度。
《个人信息保护法》的解读工作涉及到政府工作布置的讨论比较少,下一阶段对一些工作层面的讨论、实施在解读、讨论的时候应作为重点。
以下为发言内容:
大家都在关注《网络安全法》之后,《数据安全法》、《个人信息保护法》,实际上还有一项正在开展的工作就是《数据安全管理条例》,前不久国务院已经公布了今年立法计划,由国家互联网信息办公室牵头制定《数据安全管理条例》,这个名字叫数据安全。我们还有一个《数据安全法》,这个名字有点接近,是国务院行政法规,是条例。我的一个理解,这个《数据安全管理条例》应该是《数据安全法》和《个人信息保护法》的实施细则,而不仅仅是《数据安全法》的实施细则,是两个法的实施细则。这是我的基本认识。另外它和《个人信息保护法》什么关系?这个问题也在实际工作中考虑过,首先从个人信息处理规则来讲,我认为有一些是需要扩展的,比如说在《个人信息保护法》里面明确的个人信息处理规则基础上可能在原有规则要进一步细化。另外一大类就是有些制度设计可能是要通过条例来明确,比如说认证问题,无论是《数据安全法》还是《个人信息保护法》,都涉及到了认证,将来下一步国家数据安全认证制度该怎么建,这个可能还是要在条例层面上给出一个说法。另外在《个人信息保护法》中多个地方谈到了审计,合规审计问题,谁来出这样一个合规审计的报告?出报告的机构要不要经过审批?将来是要设置一种行政许可还是搞一个注册制,还是搞一个备案制,就是对于这种机构,对于审计师将来怎么管理?要不要相应的制度?可能这些问题随着《个人信息保护法》的印发马上就提到议事日程了,所以我理解将来条例要衔接的第二个问题就是对里面重大制度有一些落实。第三个不排除针对个人信息保护实际工作中的需求再提一些新的要求,因为作为行政法规它是可以提的,包括可以做授权的,甚至有一些行政许可,甚至不排除创设一些新的制度。这些工作应该是前后脚的,在《个人信息保护法》印发之后马上就落实,而不是再等几年,然后再搞一些新的东西,不需要有一个专门的时间窗口,应该是马上就做了。这是我理解的国务院既然已经公布了,要制定《数据安全条例》,对于条例和《个人信息保护法》的关系可能要有一个说法。
这两天都在宣贯和解读《个人信息保护法》,关于《个人信息保护法》的解读应该把这个工作做好,因为《数据安全法》的解读目前看来遥遥无期,甚至不太可能会有了。但是大家都比较关心,《个人信息保护法》的解读应该由权威机构、权威部门尽快的出台。这两天大家的解读都很好,我一直在学习,但是有一些涉及到政府工作的,不是说个人信息处理规则方面,有些涉及到政府工作的布置现在讨论的比较少,下一阶段对一些工作层面的讨论、实施可能在解读、讨论的时候作为一个重点去讨论一下。