《数据安全法》获通过,其中这些“首次”意义重大
发布时间:2021-06-15 14:37:21
6月10日,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式获得通过,并将于9月1日起施行。从体例结构上看,《数据安全法》共七章55条,是我国数据安全领域的基本法。如何通过立法保障数据安全,提升国家数据安全治理能力,有效应对数据领域的安全风险及挑战;如何发挥数据这一基础资源作用,推动数字经济发展,推进政务数据资源的开发和利用等问题,成为《数据安全法》重点规范的内容。
建构数据安全治理体系的基本框架
纵观整个《数据安全法》的条款内容,数据安全规范成为重中之重。不论是总则中对相关术语的界定、基本原则的阐述,还是数据安全制度的基本框架、数据安全保护义务的规范、政务数据的安全保障机制,都在表明我国数据安全治理框架的核心要义,即在坚持总体国家安全观基础上,构建我国数据安全治理体系,提高数据安全保障能力。
第一,区分了数据与信息,规范数据处理活动。
“数据”这一关键术语,是整个《数据安全法》立法的逻辑起点,其重要性不言而喻。然而,数据与信息二者的概念在我国现有规范及学理分析中经常发生混淆,给实务层面的适用带来极大困扰。《数据安全法》首次对“数据”本身进行了界定,即“本法所称数据,是指任何以电子或者其他方式对信息的记录”。应该说,上述定义在一定程度上区分了数据与信息,即信息是数据表达的内容,数据则为信息的载体和外在表现形式。与信息相比,显然数据涵盖的范围更为广阔。
同时,考虑到与《民法典》的衔接和协调,相比之前的征求意见稿,《数据安全法》对“数据处理”和“数据安全”的定义进行了微调,前者指“数据的收集、存储、使用、加工、传输、提供、公开等”,后者指“通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”,更加突出了数据的动态安全和持续安全状态的要求。
第二,构建了我国数据安全制度,对数据实行分类分级保护。
《数据安全法》第三章构建了我国数据安全基本制度,涵盖数据分类分级保护制度及重要数据保护目录;数据安全风险评估、报告、信息共享、监测预警制度;数据安全应急处置制度、数据安全审查和出口管制制度等。
其中,数据分类分级保护制度是整个数据安全制度的基础。从顺序上看,数据先分类再分级,即在不同数据类型的基础上按照一定标准再分级,以实现不同级别的数据匹配相应的数据安全保障措施的目的,可以将有限的数据监管力量聚焦到安全级别更高的重要数据,以最大限度地释放数据红利和提升监管效率。
重要数据的保护强度显然高于其他级别的数据,因此重要数据的确定、范围划分和监管,也是目前各方关注的焦点。《数据安全法》第21条规定,按照数据在经济社会发展中的重要程度和一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,作为分类分级的基础性标准。同时,《数据安全法》明确规定“国家建立数据分类分级保护制度”“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录”,即先由国家层面确定重要数据目录,在此基础上再由各地区、各部门确定本地区和本部门、本行业的重要数据保护目录,强调了重要数据目录的确定属于中央事权,应在国家层面建立数据分类分级保护标准,从而有效避免重要数据目录认定权下放到各个地方后,可能出现同一类数据不同地方认定的标准不一致等问题。此外,《数据安全法》还专门规定了“国家核心数据”的特别保护,即“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度”。
第三,明确数据安全保护义务,为开展数据处理活动的组织和个人提供行为指引。
在数据安全保护义务方面,《数据安全法》采用一般性义务与特别性义务相结合方式进行了规范。一方面,明确规定开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全;要求任何组织、个人收集数据,应当遵循合法、正当原则,在法定目的和范围内收集、使用数据。另一方面,加强风险监测,履行出现数据安全缺陷、漏洞等风险时的补救义务、发生数据安全事件时立即采取处置措施以及按照规定及时告知和报告义务等。
特殊性规范主要表现在重要数据和政务数据两个方面:(1)鉴于重要数据的特殊性,《数据安全法》对重要数据的处理者施以更重的保护义务,即不仅要求其明确数据安全负责人和管理机构,还要求定期开展风险评估,并向有关主管部门报送风险评估报告。(2)由于政务数据的收集使用主体为国家机关以及法律、法规授权的组织,具有法定性、公益性等特点,《数据安全法》对政务数据安全做了专项规定,要求国家机关建立健全数据安全管理制度,落实数据安全保护责任;委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并监督受托方履行相应的数据安全保护义务。而受托方则应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据,进一步强化了政务数据受托方的义务和责任。
此外,对于互联网、大数据、人工智能等新兴技术带来的风险及问题,《数据安全法》第28条也作了及时回应,指出“研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理”。
第四,构建了政府、行业组织、科研机构、企业、个人多元共治的数据安全管理体系。
在监管体系方面,《数据安全法》建立了纵横交错的双层构架:国家层面,由中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制;公安机关、国家安全机关在各自职责范围内承担数据安全监管职责;国家网信部门负责统筹协调网络数据安全和相关监管工作;工业、电信、交通、金融、自然资源、卫生健康、教育、科技等行业主管部门承担本行业、本领域数据安全监管职责。地方层面,各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
《数据安全法》还专设“行业自律”条款,要求“相关行业组织按照章程,制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展”。同时,《数据安全法》还赋予了个人、组织对违法行为的投诉、举报权,能够让监管机构及时发现违法线索、防控数据安全风险,有效激发了全社会参与数据安全治理的积极性,真正推动形成部门、行业组织、科研机构、企业、个人多元共治的社会环境。
促进数据开发利用,加快建立数据要素市场的保障机制
在保障数据安全的同时,《数据安全法》不仅将“促进数据开发利用”作为立法主旨之一,还建立了相应的数据流通、交易等数据要素市场的保障机制。
第一,保护数据权益,培育和完善数据要素市场,促进数据开发利用。
《数据安全法》首次以法律形式提出“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展”,为相关主体数据权益的保护、数据要素市场的培育和完善奠定了坚实的法律基础,也为后续地方性立法提供了上位法依据。地方立法机关可以并有权限结合本地区的具体情况和实际需要对“与数据有关的权益”“数据的利用方式”“数据处理活动”等事项进行立法。
面对目前存在的老年人、残疾人数字化需求被忽略,开发老年人数字产品的收益较小导致的企业动力不足,严重影响老年人对智能化产品和服务的使用体验等问题,《数据安全法》特别增加了对老年人、残疾人等数字弱势群体的关注,第15条明确规定“国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍”。
第二,建立统一的数据交易管理制度,推动形成公平、有序的数据交易秩序。
目前各地交易平台在交易规则、交易标准、交易对象等方面并不统一,一定程度上造成重复建设、资源浪费等问题。鉴于此,《数据安全法》第19条规定,国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。也就是说,从国家层面建立统一的数据交易管理制度,推动形成公平、有序的数据交易秩序,对于今后我国数据交易市场的健康发展具有积极意义。
同时,为切实保障数据交易活动,《数据安全法》还对数据中介服务机构以及提供数据处理相关服务的提供者进行了义务性规范,即从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录;法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
第三,对数据跨境流动作出相应的制度安排,维护国家数据主权。
《数据安全法》对于数据跨境流动并未做全面的禁止性规定,而仅对涉及国家安全的管制物项数据、重要数据出境等作出框架性安排,真正实现数据的依法有序自由流动。
《数据安全法》第31条对重要数据的出境安全管理作了二分法的规范:关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在中国境内收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
第26条规定,针对外国对中国采取与数据和数据开发利用技术等投资、贸易方面有关的歧视性的禁止、限制或者其他类似措施的,我国可以根据实际情况对等采取措施。对于诸如美国“云法案”赋予其执法机构直接从境外调取数据的做法,《数据安全法》第36条也做了正面回应,即“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”,明确宣示了我国的数据主权原则。
