作者:兰台律师事务所 李海涛 指导律师:陈明涛
一、草案的出台背景
二、草案内容解读
1、总则 关于草案的适用范围
2、总则 关于数据安全工作职责
3、第二章 关于支持、促进数据安全与发展的措施
4、第三章 关于数据安全制度
5、第四章 关于数据安全保护义务
6、第五章 关于政务数据安全与开放
三、对草案的反思
2018年9月,全国人大常委会公布立法规划,《中华人民共和国数据安全法》被纳入其中;2020年6月28日至6月30日,十三届全国人大第二十次会议对《中华人民共和国数据安全法(草案)》(以下简称“草案”)进行了审议;7月2日,草案公布于人大网,面向社会公众征求意见。
一、草案的出台背景
草案的起草说明中提出,随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。
党中央对此高度重视,总书记多次作出重要指示批示,提出加快法规制度建设、切实保障国家数据安全等明确要求。党的十九大报告提出,推动互联网、大数据、人工智能和实体经济深度融合。党的十九届四中全会决定明确将数据作为新的生产要素。
诚然,信息时代人们在互联网的红利下享受着诸多便利,但是,数据作为信息的载体,如若被不法利用,也会给个人、社会、甚至国家都带来难以预料的打击。因此,草案第一条即明确指出,“为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益,制定本法”,将数据安全与国家主权挂钩,明确了数据在国家经济发展中的重要地位,力求充分发挥数据的经济价值。
二、草案内容解读
草案共七章,五十一条。其中,“总则”章、“法律责任”章以及“附则”章为常规法律章节,其余四章围绕“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”来展开。接下来,本文将对草案亮点部分作简要分析。
▇ 1. 总则 关于草案的适用范围
草案的适用范围包括内、外两个方面。对内,草案第二条第一款明确在我国境内开展的数据活动适用本法;对外,草案第二条第二款赋予本法必要的域外适用效力,规定:中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
那么,什么是数据,什么是数据活动?草案第三条给出了清晰的答案:数据是任何以电子或者非电子形式对信息的记录,数据活动是指数据的收集、存储、加工、使用、提供、交易、公开等行为。这一定义背后实际上涉及到《数据安全法》与《网络安全法》《个人信息保护法》等法律的适用边界与衔接。
《网络安全法》将网络数据定义为“通过网络收集、存储、传输、处理和产生的各种电子数据”;《民法典》将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。由此观之,草案相对科学、准确地理清了网络安全、数据安全与个人信息保护之间的法律关系:《数据安全法》中的数据囊括了网络数据与个人数据,体现了《数据安全法》是国家数据安全立法顶层设计,是我国数据安全法律体系的重大支柱之一。
▇ 2. 总则 关于数据安全工作职责
草案第六条和第七条明确了数据安全的监管单位和分工:以中央国家安全机关为统领,由中央行政各主管部门和地方行政主管部门共同参与,同时充分发挥各行业监管单位的作用,协力构建数据安全监管体系。这意味着数据安全监管的责任被分担到了各地区、各部门以及各行各业,打破了以往由公安、网安部门实际监管的局面,大大减少了两部门的监管负担,使得监管体系更加全面和合理。
▇ 3. 第二章 关于支持、促进数据安全与发展的措施
草案第二章确定了数据安全和数据开发利用的关系,即数据开发利用可以促进数据安全产业的发展,数据安全的发展可以保障数据开发利用。并且以专章对数据安全与发展的措施作了规定,体现了国家坚持安全与发展并重的原则。
具体措施包括:实施大数据战略,制定数字经济发展规划;支持数据相关技术研发和商业创新;推进数据相关标准体系建设,促进数据安全检测评估、认证等服务的发展;培育数据交易市场;支持采取多种方式培养专业人才等,力求提升数据安全治理和数据开发利用水平,保护个人、组织与数据有关的权益,促进以数据为关键要素的数字经济发展。
▇ 4. 第三章 关于数据安全制度
已经施行的《网络安全法》侧重于对技术安全的防护,对数据内部控制制度的构建有所缺失,从而导致实践中出现了相应问题。为此,草案第三章专门规定了数据安全制度,以弥补过度重视技术而忽略内部控制制度建设的情况,力求减少因内部控制制度缺失而导致的数据安全事件发生。
主要措施包括:对数据实行分级分类保护;建立数据安全风险评估、报告、信息共享、监测预警机制;建立数据安全应急处置机制;建立数据安全审查制度;对属于管制物项的数据实施出口管制。
▇ 5. 第四章 关于数据安全保护义务
草案第四章第一条(即草案第二十五条)规定,开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求…该条与第三章国家建立数据安全制度相衔接,设置了开展数据活动的主体的安全保护义务,对相关主体日常经营和合规建设具有重要的规范意义。
按照该章规定,开展数据活动的主体至少要履行下列合规义务:
(1)建立全流程数据安全管理制度;
(2)开展数据安全教育培训;
(3)建立数据及数据技术的伦理审查机制;
(4)建立风险监测和补救机制;
(5)建立面向主管部门和机关的数据协助、配合与报告机制;
(6)收集数据应当采取合法、正当的方式;
(7)数据交易所、交易平台等从事数据交易中介服务的机构应当建立完善的内控机制;
(8)大数据等专门提供在先数据处理服务的经营者应当持牌经营;
(9)重要数据的处理者还应当设立数据安全负责人和管理机构,定期开展风险评估并向主管部门报送…
上述明确的数据安全保护义务让数据流通变得规范化,这对数据从业者来说是一个挑战,需要提前做好规划,但更多的又是一种机遇。各数据活动主体应当有所为有所不为,充分利用良好的市场环境,为数字经济产业的良性发展贡献力量。
▇ 6. 第五章 关于政务数据安全与开放
为保障政务数据安全,并推动政务数据开放利用,草案主要作了以下规定:
首先对政务数据的特点做出概括,即“科学性、准确性、时效性”,要求提升运用数据服务经济社会发展的能力;
其次,规定国家机关收集、使用数据应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行,并落实数据安全保护责任,保障政务数据安全;
再次,对国家机关委托他人存储、加工或者向他人提供政务数据的审批要求和监督义务作出规定;
最后,要求国家机关按照规定及时准确公开政务数据,制定政务数据开放目录,构建政务数据开放平台,推动政务数据开放利用。
以上规定可以看出,草案意在构建一个统一规范、互联互通、安全可控的政务数据开放平台,这必将使得数据从业者获取数据更加科学方便,大大降低数据接入成本,拿出更多精力专注数据应用,从而以开放促进数字经济发展,同时又提升了政府的服务能力。
三、对草案的反思
《数据安全法》作为数据领域的基础性法律,重点是确立数据安全保护管理各项基本制度,并与《网络安全法》和正在制定的《个人信息保护法》等做好衔接。草案也的确规定了我国数据安全有关的几个重要制度和数据活动主体应承担的义务,对于规范数据环境,促进数据安全和数据开发利用良性循环具有重要意义。但是,上述制度更多的是一种倡导性和原则性的规定。
比如:
草案第十九条规定对数据实行分级分类保护,但对于不同类别、不同级别的数据采取何种形式的保护却并未规定。在此之前,数据分类制度在《网络安全法》中已有确立,但《网络安全法》也并未明确在平时网络安全维护中对于不同类别数据采取何种级别保护。
又如:
草案第三十三条规定境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。但并未规定应当什么情况下予以批准、批准时限等等。
……
由此可见,草案相关的配套细则及监管措施还有很多值得商榷的地方,具体措施亟待落地,才能进一步提升国家数据安全保障能力,有效应对数据这一非传统领域的国家安全风险与挑战。
(声明:本文系作者授权新浪网转载,文章仅代表作者观点,不代表新浪网立场。)
