四、国家标准与行业标准

在“安全保障、技术为基、标准先行”这一技术治理主义的影响下，近几年我国制定了大量的国家标准和行业标准，指导数据安全合规与个人信息保护工作。标准，是指通过标准化活动，按照规定的程序经协商一致制定，为各种活动或其结果提供规则、指南或特性，供共同使用和重复使用的文件。^[11]标准并非规范性法律文件，其本质是一种技术制度。虽然标准与法律在性质、制定程序和效力上均有所不同，但在数据安全领域，标准与法律呈现出“你中有我”和“我中有你”的融合状态。一方面，法律实施需要依托标准的细化技术性规定，《数据安全法》第十七条规定：“国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责，组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准……”另一方面，标准也成为监管机构判断数据安全是否得到保障的依据之一，如2018年国家互联网信息办公室因“支付宝年度账单事件”约谈支付宝（中国）网络技术有限公司、芝麻信用管理有限公司的有关负责人时便指出“支付宝、芝麻信用收集使用个人信息的方式，不符合刚刚发布的《个人信息安全规范》国家标准的精神”。^[12]

与法律法规等法律规范性文件相比，偏技术性标准在指导数据安全工作方面主要有以下优势：首先，标准制定与修改程序相对灵活，能够在数据安全合规实践发生较大变化时，及时进行调整，提供更符合时代的合规指引。其次，标准规定更为细化，更能满足数据安全合规的多场景需求。根据场景进行数据安全合规已成为共识，因此抽象性的法律只能提供原则和归责上的宏观指导，数据安全合规需要更为明晰的指导，而与数据安全合规相关的标准中，有相当大的篇幅是用来对法律中未曾出现的针对互联网领域新生业态的各类新兴行为作出规定，满足了数据安全合规的多场景需求。^[13]最后，标准作为技术制度，能够在技术层面延伸法律规范，便于数据安全合规在技术层面的实现。数据安全合规采取的具体措施可分为组织与技术两部分，当数据安全合规涉及具体技术性问题时，通过援引标准，可起到更好的规范作用，否则法律就很难发挥对具有技术性的行为的规范。^[14]

市场监督管理部门作为标准制定部门和检验检测管理部门，依法承担强制性国家标准制定与授权发布工作；负责统一管理检验检测工作。不仅牵头制定并发布了一系列与数据安全紧密相关的国家标准，指导制定了一批数据安全领域的行业标准，而且依据《网络安全法》成立了中国网络安全审查技术与认证中心，负责实施网络安全相关审查和认证工作，承担网络安全审查技术与方法研究；开展网络安全认证评价及相关标准技术和方法研究；承担网络安全审查人员和网络安全认证人员技术培训工作；在批准范围内开展网络安全相关产品、管理体系、服务、人员等认证业务。

我国与数据安全合规直接相关的第一个国家标准为2013年2月1日正式实施的《信息安全技术 公共及商用服务信息系统个人信息保护指南》（GB/Z 28828—2012），将个人信息划分为一般个人信息和敏感个人信息，并分别进行规制。此后，全国信息安全标准化技术委员会又组织人员制定了一系列“信息安全技术”领域的国家标准。比较重要的有数据安全领域的《信息安全技术 大数据安全管理指南》（GB/T 37973—2019）；个人信息保护领域的《信息安全技术 个人信息安全规范》（GB/T 35273—2020）、《信息安全技术 个人信息安全影响评估指南》（GB/T 39335—2020）、《信息安全技术 个人信息去标识化指南》（GB/T 37964—2019）、《信息安全技术 个人信息处理中告知和同意的实施指南》（GB/T 42574—2023）；网络安全等级保护领域的《信息安全技术 网络安全等级保护基本要求》（GB/T 22239—2019）、《信息安全技术 网络安全等级保护实施指南》（GB/T 25058—2019）、《信息安全技术 网络安全等级保护测评要求》（GB/T 28448—2019）、《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070—2019）。这些与《数据安全法》《网络安全法》《个人信息保护法》相配套的国家标准，在实践中为数据安全合规提供了更为详细和具体的指引，已成为企业进行数据安全合规的重要参考和监管部门进行认证与监管的重要依据。