肖飒团队 | Web3技术之数据合规重要性

近年来，随着《数据安全法》《个人信息保护法》等法律的日臻完善，网络运行和数据要素的安全合规已经逐渐成为各大企业合规关注的重点，特别是对于数据驱动型的Web3行业来说，保障各类数据安全更是重中之重。那么，面对日趋严格的监管形势，Web3行业，应当怎样将数据合规做细做扎实，是一个需要长期研究的课题。在数据合规中，除了依据前文各项法律法规外，还得依据与之相配套的技术标准。

当今，网络安全法治化与网络安全标准化是保障网络安全的两种重要手段。既要坚持促进发展和依法管理相统一，又要大力培育人工智能、物联网、下一代通信网络等新技术新应用。飒姐团队认为，从摒弃单纯事后惩治的刑事立法理念来说，企业建立合规的技术安全标准化程序是突出“预防、控制与惩治相结合”的好思路，以达到预防、控制、合理分配安全风险的目的。今天飒姐团队就来与大家深度谈一谈，企业技术安全标准对自身网络数据安全合规建设的重要支撑性作用。

一、 何为网络安全标准？

在《网络安全法》《数据安全法》等涉及数据安全的框架性法律和行政法规中，均引入了网络安全标准的概念，设置了涉及技术标准的专门条款，“援引”了技术标准和认证认可，将网络和数据安全标准治理机制贯穿其中。

由于网络的科技性和专业性，技术标准与行政法规、部门规章等法的形式一直互动交替发展，共同发挥着保障网络安全的重要作用。以网络安全等级保护发展历程为例，1994年国务院颁布《计算机信息系统安全保护条例》，首次在行政法规中提到“国家标准”；1999年国家强制性标准《计算机信息系统安全保护等级划分准则》（GB 17859—1999）出台，并以此扩展出一系列网络安全技术国家推荐性标准；2007年《信息安全等级保护管理办法》出台并引入一批技术标准；2017 年《网络安全法》正式实行，以法律形式正式确立了网络安全等级保护制度，是多年来我国网络安全标准化与法治化融合的结晶。

其实，不仅是我国《网络安全法》中引入了网络安全标准体系及合格评定等概念，各国在网络安全立法中早已普遍重视标准化成果的应用。这种法律援引标准化成果的现象已经被很多学者关注，学界认识到标准化在网络安全法治发展中具有重要作用。

在没有技术法规概念的国情下，企业在技术的实操性与法律的抽象性方面存在模糊性，主要表现在技术的更新率与法律的滞后性之间存在矛盾，这一问题在实践中导致网络安全法适用的有效性降低。飒姐团队认为，网络安全标准是按照标准制定程序经过一系列标准化活动的产物，具有天然技术规范优势，因此，现阶段通常以网络安全标准之长，补法律之短。那么，我们下面就从网络安全技术标准的特征出发，与大家一起探讨企业如何在当前环境下，共筑我国网络安全的大堤。

二、 技术标准更具专业性

网络安全本身就是一个以网络技术为基础发展起来的专业领域，该领域法律问题的彻底解决自然离不开网络安全技术措施的设置。安全不仅是指一种没有任何危险的目标（safety），更是指一种受技术措施保护的状态(security)。

对于什么样的操作流程、技术措施是可以抵御网络安全威胁的，需要有一定的客观衡量尺度，根据当前科技发达水平来度量在当前一段时间内至少达到什么程度的防范水平。这是不具专业知识的立法人员难以判断的。例如，《网络安全法》作为一部网络安全领域的基础性法律，提出了网络安全主权战略、体系制度、监管职责、义务责任等法律框架，其基础性法律的功能是调整网络安全法律关系和设置权力与责任、权利与义务等，而不在于解决具体技术问题；至于“建设一个什么样的网络才是安全的”，这个问题法律给不了直接答案。

与之相对的，技术标准在规范科技问题方面更具有专业权威性。技术标准是由网络安全领域的专家起草，在科学论证的基础上，依据一定的程序经协商一致而制定的技术规范文件。国际上，网络安全标准主要由国际标准化组织ISO/IEC JTC1 SC27、美国NIST 、欧洲网络与信息安全局（ENISA）等专门机构制定。在我国，全国信息安全标准化技术委员会（简称信安标委），是专门从事信息安全标准化的工作组织，委员会分别由国内相关部门、研究所、企事业单位及高等院校等代表组成。技术专家比一般立法者更有技术话语权，这使技术标准在规范的科学性、客观性上更有专业权威。

三、技术标准更具实操性