行业应用与数据融合，数据标准化管理机制解析汇总

一、数据标准化的背景

当前，各行业领域依靠大数据推动产业创新升级已经成为新的发展趋势，随着数据积累规模的扩大和数据处理技术的发展，如何促进数据共享实现跨行业跨领域的数据应用、数据交易是数字经济建设的重要议题。但由于目前市场上数据控制者或第三方处理者的数据管理水平和技术水平参差不齐，轻易将涉及用户个人信息的数据进行转移或共享，极易导致用户信息泄露的风险。因此，提出在数据采集、处理、分析、应用及安全管控和组织管理等环节进行标准化管理的要求，实现统一的行业数据标准，形成完善的行业标准和数据融合机制，有利于同行业同领域或跨行业跨领域之间的数据共享，形成更有效和更具规模的数据应用。

国务院《促进大数据发展行动纲要》和工信部《大数据产业发展规划（2016－2020年）》均将数据标准体系建设作为推动大数据发展的重要工作内容。《网络安全法》（以下简称“《网安法》”）第十条提出“建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施”，要求网络运营者依照国家强制性标准采取相应措施有效履行网络安全义务，维护数据的完整性、保密性和可用性。同时，《网安法》第二十二条、第二十三条分别从网络产品和服务、网络关键设备和网络安全专用产品两个方面提出网络运营者应当按照相关国家标准的强制要求提供、使用相关网络安全产品或服务。而《网安法》实施以来，相关的配套性文件多是以标准或行业指南的形式出现，因此了解大数据安全标准体系和相应标准的法律效力，对控制企业数据合规风险有着实质必要。

二、标准的效力

依据《标准化法》第二条，我国标准可以分为国家标准、行业标准、地方标准、团体标准和企业标准。按照是否具有强制力，国家标准可以进一步划分为强制性标准、推荐性标准，其他标准皆为推荐性标准（如下图所示）。而团体标准和企业标准则属于是市场主体自治标准，也不具有强制执行效力。我国采取“强制性标准必须执行，推荐性标准鼓励采用”的标准执行原则，即企业可以自愿选择是否实施推荐性标准，并不具有法律约束力。

根据《国家标准管理办法》（国家技术监督局令第10号文）规定，强制性国家标准的代号为“GB”，推荐性国家标准的代号为“GB/T”。为适应某些领域标准快速发展和快速变化的需要，于1998年规定在四级标准之外，增加一种“国家标准化指导性技术文件”，作为对国家标准的补充，其代号为“GB/Z”。即仅有代号为“GB”的标准文件或行业指南才具有强制执行力，其他代号的标准皆由企业自主选择，按实际情况采用。在网络安全领域，要求网络运营者强制适用代号为“GB”的强制性标准，可自愿选择采用代号为“GB/T”、“GB/Z”等推荐性标准。

三、合规要点

（一） 严格执行国家强制性标准

网络运营者在数据生命周期中的控制或处理应当满足国家强制标准的要求，依照数据安全标准体系中代号为“GB”的标准严格实施。在信息安全领域的国家标准大部分是推荐性标准（如附表所示），尚不属于《网安法》所说的“国标标准的强制性要求”。但依据《标准化法》第二十一条规定，推荐性国家标准的技术要求不得低于强制性国家标准的相关技术要求，则当网络运营者依据推荐性标准履行安全保障义务时，可以认定其所采用的各项安全保障措施符合《网安法》关于网络安全义务的要求。一定程度上，推荐性标准为各网络运营者实现《网安法》的合规要求提供了可参照标准。

（二）企业标准的制定

关于企业标准的制定，按该领域内是否已有国家标准可以分为两类，即有国家标准的企业标准的制定和无国家标准的企业标准的制定。

对于有国家标准的企业标准，其制定遵从自愿原则。即《标准法》第十九条规定，企业可以根据需要自行制定企业标准，或者与其他企业联合制定企业标准，没有制定的强制要求。但所制定的企业标准需要至少满足两个条件，即（1）技术要求不得低于强制性国家标准的相关技术要求；（2）标准不得有排除、限制市场竞争的实施效果。

对于无国家标准的企业标准制定则属于强制性要求。依据《标准化法实施条例》第十七条规定，企业生产的产品没有国家标准、行业标准和地方标准的，应当制定相应的企业标准，作为组织生产的依据。即当网络运营者提供的产品或服务尚未有国家标准、行业标准和地方标准时，企业必须制定相应的企业标准作为生产依据，严格执行。还值得注意的是，企业标准制定后应按所在地省级人民政府的相关规定进行备案。而且，依据《企业标准化管理办法》规定，标准实施后，还应当根据现实情况需要适时进行复审，复审周期一般不超过3年。

（三）实施情况的检查监督

网络运营者在进行数据产品或服务的提供时必须严格执行强制性标准，不符合强制性标准的产品禁止生产、销售。此外，企业生产执行国家标准、行业标准、地方标准或企业标准，应当在产品或其说明书、包装物上标注所执行标准的代号、编号、名称。对网络运营者来说，还需要关注数据安全管控方面的合规性标准化要求。例如，在数据安全管理方面，网络运营者应当制定完善的、切实可行的数据安全管理制度。可以参照《个人信息安全保护指引（征求意见稿）》“4.1 管理制度”的规范框架，从数据安全组织机制和人员管理配置方面对内部安全管理制度建设进行完善。

此外，网络运营者还可以建立数据管理标准合规制度，由网络安全负责人或设立专职标准化人员对数据管理标准合规的进行合规审查。注重在所提供产品或服务的用户协议、网页版头等显著位置，明确企业网络安全管理所采用和执行的标准及其代号、标号、名称。标准化管理人员还应统一管理网络运营者执行的各类标准，建立档案进行归档记录并及时更新。

四、法律责任

如附表汇总所示，网络数据安全管理领域的标准多是以推荐性标准或行业指南的形式呈现，并不具有法律强制力。但值得关注的是，根据国家标准化管理委员会对《标准化法》第二条的释义：“…但在有些情况下，推荐性标准的效力会发生转化，必须执行：（1）推荐性标准被相关法律、法规、规章引用，则该推荐性标准具有相应的强制约束力，应当按法律、法规、规章的相关规定予以实施…”，即一旦推荐性标准被法律法规等具有强制力的规范性文件所引用，该推荐性标准则会因此成为“强制性”标准。例如，《银行业金融机构数据治理指引》效力级别属于部门规章/文件，具有法律强制力，其第24条的规定要求银行业金融机构数据治理必须遵循个人信息相关的国家标准。这里的“国家标准”应包括国家强制性标准和国家推荐性标准，因此《个人信息安全规范》（GB/T 35273-2017）这样的国家推荐性标准，在银行业金融机构中具有法律强制力，一旦违反，相关机构可能因未尽相应网络安全保障义务而承担行政责任，甚至刑事责任。

此外，《标准化法实施条例》规定，企业生产执行国家标准、行业标准、地方标准或企业标准，应当在产品或其说明书、包装物上标注所执行标准的代号、编号、名称。依据《标准化法》第三十六条“企业生产的产品、提供的服务不符合其公开标准的技术要求的，依法承担民事责任”，以及《合同法》第十五条第二款“商业广告的内容符合要约规定的，视为要约”。因此，企业所提供的产品外包装上所公开的执行标准是与用户达成的交易合同的内容，虽然推荐性标准不具有法律强制力，但当网络运营者所提供的产品或服务未按标示标准执行时，还需要向用户承担违约责任，若因此使用户遭受人身或财产损失的，还应当承担相应的损害赔偿责任。

五、小结

数据安全管理标准化的执行，从企业个体层面上说，有利于引导网络运营者切实履行数据安全保护义务，规避法律风险；从国家产业发展层面上来看，则为实现将海量、多元的数据从封闭的单个数据环链中开放出来，进一步促进数据共享和产业开放，推动行业发展与数据的融合，建立市场数据应用的最佳秩序。

附表：部分网络安全标准体系文件

本文仅为我们对相关法律法规的一般解读，不能作为正式法律意见和建议，如果您有特定的问题，请与观韬中茂律师事务所联系咨询事宜。

作者简介：吴丹君律师，观韬中茂上海办公室合伙人，首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务，包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等，为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等，曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道，其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。 

吴丹君

合伙人

观韬中茂上海办公室

电话：（86-21）3135 9919 

传真：（86-21）3135 9929

电子邮箱：wudj@guantao.com