2016年11月7日，全国人民代表大会常务委员会第二十四次会议通过了《网络安全法》（以下简称《网安法》），该法律是我国网络安全领域第一部基础性法律，是我国网络安全基本法，对我国网络安全保障工作作出了系统规定。而大数据安全是网络安全领域绕不开的话题，《网安法》也重点规范了大数据安全防护工作。《网安法》将于2017年6月1日起正式施行，因此，本文将重点阐述《网安法》对大数据安全提出的新规定和新要求，特别是其中涉及大数据安全的个人信息保护、跨境数据传输评估、网络安全等级保护等方面。

　　一、个人信息保护得到空前强化

　　《网安法》高度重视跟大数据安全紧密相关的个人信息保护，必将我国个人信息保护提升到新高度。首先，《网安法》单设一章“第四章网络信息安全”，重点规范个人信息保护。该章节11条规定里有7条是针对个人信息保护的，着墨分量之重，法律效力之高前所未有。2012年底通过《全国人民代表大会常务委员会关于加强网络信息保护的决定》虽也重点对个人信息进行规范，但该决定还没达到基本法的层级。其次，《网安法》率先在法律层面对个人信息进行了明确定义。《网安法》规定“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”这就为后续执法提供了明确的依据。最后，《网安法》及时对个人信息收集和使用范围作出了限制。在当今大数据时代，业界一贯秉持“数据是财富”、“收集一切能收集的信息”等理念，对很多没必要的数据也进行了收集。因此，《网安法》第41条提出了要求“网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”这就使得无论是政府还是企事业单位，不能再超范围收集不必要的个人信息，个人也可以依法追究信息收集者的违法行为。事实上，在《网安法》出台前，工信部已于2013年出台了《电信和互联网用户个人信息保护规定》对行业内用户个人信息保护进行了详细规定，未来《网安法》将成为更高层级的执法依据。

　　二、跨境数据传输安全评估将成为保障大数据安全的重要手段

　　在大数据安全领域，如何规范数据跨境传输一直是一个棘手的难题，也是大数据发展过程中必然要面对和解决的。从全球范围看，不少国家和地区对数据跨境传输作出了规定。最典型的是欧盟早期的“安全港协议”以及后来升级后的“隐私盾协议”。同时，在斯诺登事件之后，包括像俄罗斯、巴西、德国、印度、越南、印度尼西亚、韩国等国家都提出“数据存储本地化”的政策主张或者法律提案。我国《网安法》第37条规定的是“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。可以预见，拥有关键信息基础设施的行业将涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等领域。针对具体评估办法，在《网安法》要求下，国家互联网信息办公室已经于2017年4月11日发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》，要求“网络运营者应在数据出境前，自行组织对数据出境进行安全评估，并对评估结果负责。”该征求意见稿对数据出境应重点评估的内容作出了规定。关键信息基础设施涉及的行业非常广，涉及的信息系统和数据量极其庞大，未来这些行业凡是跨境的都要进行评估。因此，跨境数据传输安全评估将成为保障我国大数据安全的重要手段，成为各行业各领域的一项重要工作。例如，涉及关键信息基础设施的电信运营商、广电企业、互联网企业就需要在评估办法正式出台后，抓紧制定各自企业个人信息和重要数据出境安全自评估办法。

　　三、网络安全等级保护2.0版纳入大数据安全

　　由于《网安法》的出台，网络安全等级保护将进入2.0时代。在网络安全等级保护方面，《网安法》规定“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改”。国家对网络安全等级保护制度提出了新的要求，全新的《网络安全等级保护基本要求》将在完善后公开发布，基本要求涵盖了6个部分的内容：安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求以及大数据安全扩展要求。由此可见，等保2.0专门针对大数据安全提出了要求。这意味着在未来的网络安全等级保护实施过程中，大数据安全保护措施将得到强化，特别是关键信息基础设施的等级保护比须考虑大数据安全问题。

　　除了个人信息保护、跨境数据传输评估、网络安全等级保护之外，与大数据安全较相关的还包括公共数据资源安全开放、数据内容安全、大数据非法交易等方面。《网安法》还规定“国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放”、“任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息”、“依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。”

　　总体而言，《网安法》基本覆盖了大数据安全的各个面面，是当前大数据安全防护最重要的一部法律，改变了我国网络安全领域长期以来缺乏权威的、全面的、基础的上位法的现状。未来，面对物联网、人工智能、无人机等大量依靠大数据的各类技术的成熟和普及，我国应在适当时候继续不断修订完善《网安法》，以期不断促进和保障我国各行各业安全有序发展。