浅析《数据安全法草案》.docx
《浅析《数据安全法草案》.docx》由会员分享,可在线阅读,更多相关《浅析《数据安全法草案》.docx(12页珍藏版)》请在冰点文库上搜索。
浅析《数据安全法草案》
《数据安全法(草案)》的出台背景与意义
(一)出台背景
在互联网时代背景下,信息技术的不断更新迭代在日常生活、企业发展、国家建设以及社会治理中发挥着深刻作用。
由于互联网无国界性,在我们享受互联网带来的服务与便利时,裂变式增长的用户数据及信息也在世界的各个角落不断积累、沉淀。
由于数据天然所附的信息属性与价值属性,一旦被不当利用,将会给个人、企业甚至国家带来不可逆转甚至无法估量的损失。
因此,如何在保证数据安全的同时促进数据的发展,成为事关国家安全与经济社会发展的重大问题。
近年来,我国不断完善对于数据与信息安全的法律保护及顶层设计。
2017年10月,党的十九大报告提出推动互联网、大数据、人工智能和实体经济深度融合。
2019年9月,按照党中央部署和贯彻落实总体国家安全观的要求,十三届全国人大常委会将制定数据安全法列入立法规划和年度立法工作计划。
今年3月30日,《中共中央、国务院关于构建更加完善的要素市场优化配置体制机制的意见》明确提出数据成为土地、资本、劳动力及技术之外的第五大基本市场要素。
5月28日,全国人民代表大会通过《民法典》,首次将数据和网络虚拟财产纳入保护范围,赋予数据一定的财产属性。
因此,数据安全与保护已成为我国经济发展战略布局必不可少的部分。
而2020年初新冠疫情的爆发也在一定程度上加速了数据与信息安全的立法进程。
一方面,除信息属性与价值属性外,数据的社会管理属性日益凸显。
为开展高效的防疫管理活动,政府通过随申码、健康码等方式收集自然人的基本信息及出行数据,对疫情的传播轨迹进行实时追踪,反映出政府基于大数据平台进行数字化社会管理的转型趋势。
就此问题,在疫情期间,笔者也曾根据上海市司法局的要求提出关于该等数据收集的合法性及合规性分析。
另一方面,新冠疫情推动线上产业全面加速发展。
但基于目前我国数据与信息安全立法尚不完善的现实情况,笔者认为,其中大量产业的崛起很可能是建立在贩卖数据、恶意利用数据等灰色产业链上。
在上述现实情况与社会背景下,经过多次座谈、专题调研及认真听取有关部门、企业及专家学者的意见,《中华人民共和国数据安全法(草案)》(以下简称“《数据安全法》”)最终成型,并经第十三届全国人大常委会第二十次会议初步审议,于7月2日在中国人大网公布,面向社会公众征求意见。
(二) 意义
《数据安全法》是数字安全领域一部基础性的法律,其确立了多元的立法目标,既重视对数据安全的保护,又重视对数据的开发利用,体现了“安全与发展并重”的理念。
《数据安全法》正式出台后,将成为以《国家安全法》为代表的国家安全法律体系的重要组成部分,也将与《网络安全法》、正在起草的《个人信息保护法》等其他法律法规共同构成信息领域更加完整的基础性法律体系。
《数据安全法(草案)》的主要内容及亮点
根据起草说明,《数据安全法》共七章五十一条,主要包括适用范围、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放以及法律责任等内容。
在此,笔者对以下重要章节及关键条款作进一步解读。
第一章总则
第一章作为《数据安全法》开篇,引入了立法目的、适用范围、相关概念的基本定义、对数据发展的鼓励、数据安全工作的领导机构与监管框架、开展数据活动的原则性要求、数据安全协同治理体系的建立、鼓励数据领域国际合作及投诉举报机制等主要内容,确立数据保护与合作的基调,明确数据安全工作的部门分工,为后续几章相关数据安全制度的建立做好铺垫。
就本章节的规定,笔者对以下条款作重点评析:
第二条在中华人民共和国境内开展数据活动,适用本法。
中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
【评析】
第二条在规定《数据安全法》域内适用效力外,亦明确规定了其域外适用效力,将境外主体开展的损害我国国家安全、公共利益或境内主体合法权益的数据活动纳入管辖。
在互联网时代,网络突破了地域限制,数据也随互联网技术突破了国界限制,数据跨境已成为日常生活中普遍且常见的现象。
但由于数据载有大量信息,从国际法的角度来看,数据跨境活动在相当大程度上关系着国家安全、公共利益与公民权益。
因此,在法律中确立对数据活动的长臂管辖具有历史必要性。
就域外数据安全管辖权问题,在先的立法范例有欧盟的《一般数据保护法规(GeneralDataProtectionRegulation)》(“GDPR”)及美国的《澄清域外合法使用数据法案(TheClarifyingLawfulOverseasUseofDataAct)》(“CLOUDAct”)。
其中,GDPR第三条[注1]确立了以属地原则为主、效果原则为辅的管辖原则。
根据效果原则,只要在客观效果上构成对本国或本地区自然人个人数据的处理,即落入GDPR的适用范围。
同样地,CLOUDAct通过“数据控制者标准”,要求服务提供者应当按照CLOUDAct所规定的义务保存、备份、披露通信内容、记录或其他信息,无论该通信、记录或其他信息是否存储在美国境内,只要上述通信内容、记录或其他信息为该服务提供者所拥有、监管或控制[注2]。
面对各国纷繁不一的数据保护原则,为促进我国互联网企业“走出去”,深度参与经济全球化发展的时代潮流,也为促进我国更加安全地参与国际数据交流与合作,《数据安全法》第二条给予最为必要原则,在国家安全、公共利益或者公民、组织合法权益方面明确确立了域外适用效力,是对《网络安全法》第七十五条[注3]的拓展和延续,为针对中国的非法数据活动提供了执法依据,也在立法层面切实维护了我国的数据主权。
第二章数据安全与发展
第二章明确了国家推动数据安全与发展的举措,包括将数字经济发展规划纳入政府国民经济和社会发展规划,鼓励数据开发利用技术基础研究、发展数据安全产品和产业体系、推进数据开发利用技术和数据安全标准体系建设以及促进数据安全检测评估、认证服务。
就本章节的规定,笔者对以下条款作重点评析:
第十二条国家坚持维护数据安全和促进数据开发利用并重,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。
【评析】
第十二条明确提出了数据安全和数据开发的关系——以数据开放利用和产业发展促进数据安全,以数据安全保障开发利用和产业发展。
我国对于个人信息和数据的保护的发展一直处在摸索前进过程中,对于个人信息和数据保护的立法持续性加强,但实践中亦存在对数据交易进行加强的执法趋向。
如2017年5月,相关监管部门曾经严厉打击违法开展数据活动的行为,被调查的公司名单高达30多家,其中不乏估值超过几十亿的大公司;又如2019年9月,大数据行业再次震荡,多家公司先后被爆出负责人被带走调查或公司已暂停、调整业务等消息,其中包括“爬虫公司”,亦包括数据交易公司、征信公司等。
第十二条从纲领性和原则性的角度规定了数据安全和大数据开发的关系,两者相辅相成、互相促进,不可为促进数据开发利用牺牲数据安全,亦不可因数据安全之考虑对数据开发畏手畏脚。
第十六条国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
【评析】
第十六条规定了数据安全检测评估和数据认证服务。
笔者认为,该等认证可能包括两个方面——“数据认证”和“数据安全认证”。
第一,数据认证。
第三方数据认证机构对于大数据行业的规范至关重要。
数据的无形性导致监管机关对于大数据交易活动之监管存在很多困难和障碍,但如能对数据所有权人、使用权人进行认证,建立起数据所有权、使用权人的权利清单,向相关所有权人和使用权人颁发认证证书,则对于监管机关的监管活动而言会带来极大便利,该等行业规范性措施亦将有力地促进数据安全保护。
第二,数据安全认证。
笔者理解,某些特殊行业的数据需要更加严格的安全标准和保护等级。
因此需要相关认证机构针对大数据交易平台数据安全保护状况的风险评估和安全进行认证活动,根据风险评估和安全认证结果发布大数据安全保护综合排名排序,督促行业企业做好大数据安全保护方面的自我约束工作,并且根据该等认证标准确认平台是否符合特殊数据安全保护的要求。
第十七条国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
【评析】
第十七条规定了国家原则上应建立数据交易管理制度,这符合《数据安全法》“保护数据安全”和“促进大数据平衡发展”的大原则和方向,亦与第五条“国家保护公民、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展,增进人民福祉”的原则性规定相呼应。
为把握大数据发展的时代机遇、确定执法尺度和框架,我国已在2019年十九届四中全会上首次明确数据是生产要素,2020年出台了《关于构建更加完善的要素市场化配置体制机制的意见》《关于新时代加快完善社会主义市场经济体制的意见》等国策,部署加快培育数据要素市场。
而《数据安全法》中规定的数据交易管理制度,亦属首次提出。
除第五条和第十七条之外,还有第三十条(数据交易中介服务机构义务)和第三十一条(在线数据服务经营者备案义务)。
除此之外,在第六章中的法律责任条款的部分第四十三条和第四十四条分别规定了数据交易中介服务机构和在线数据服务经营者违反法定义务的处罚责任,与前述规定共同构成了具有强制约束力的法律框架。
但笔者理解,《数据安全法》中对于数据交易管理制度的规定依然是比较原则性的规定。
在此之外,数据交易的制度规范体系尚未建立(如适用于大数据交易的数据所有权制度、数据经营权制度、数据认证赋权制度、数据估值赋值制度等);数据交易市场中的其他主体的义务并未规定(如其他与数据资源相关的权益主体、监管主体等)。
同时,对于各种不同的数据交易方式(在线数据交易、离线数据交易、数据托管交易)的法律规制,如何通过必要的强制性规则规定各方主体义务和责任,从而进一步促进数据交易行为的发展、构筑良好的数据交易市场秩序,需要进一步的立法支持,亦需要数据交易各方的长期共同努力。
第三章数据安全制度
第三章重点关注数据安全制度方面的建设,是本次《数据安全法》的制度性亮点,也为数据安全制度体系的发展构建了基本框架,包括数据分级分类保护,数据安全风险评估、报告、信息共享、监测预警机制,数据安全应急处置机制,数据安全审查制度及对属于管制物项的数据出口管制制度。
就本章节的规定,笔者就以下条款作重点评析:
第十九条国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。
各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。
【评析】
第十九条确定了数据分类分级的两条基本原则,并要求地方政府和行业监管机构确定本地区、本部门、本行业的重要数据保护目录。
但令人遗憾的是,第十九条并未提供数据分级或分类的具体标准,也未对“重要数据”作出定义。
首先,就数据分级分类保护,我国已在一些重点行业和领域进行了有益的尝试。
如,工业和信息化部2020年2月发布的《工业数据分类分级指南(试行)》[注4],中国人民银行2020年3月发布的《个人金融信息保护技术规范》[注5]。
该等文件均将数据或信息被不当利用后可能导致的危害程度作为划分数据级别或种类的依据,本次《数据安全法》也沿袭这一思路。
但前述文件还进一步解释了数据在各个级别或种类所对应的具体标准,因此,在这一问题上《数据安全法》有所缺失,建议在正式出台的《数据安全法》中能够明确数据分级分类的具体适用标准。
其次,就“重要数据”的定义,目前尚未有明确的界定,散见于多个政府部门出台且未生效的征求意见稿中,如国家互联网信息办公室2019年发布的《数据安全管理办法(征求意见稿)》第三十八条[注6],全国信息安全标准化技术委员会2017年发布的《信息安全技术数据出境安全评估指南(征求意见稿)》第3.5条[注7],均将能够影响国家安全、社会稳定、经济发展等公共利益的数据认定为“重要数据”。
此外,在“重要数据”的制定主体上,三者存在差别。
《数据安全管理办法(征求意见稿)》第五条[注8]将指导监督本行政区内重要数据安全保护工作的职责划归地(市)及以上网信部门,《信息安全技术数据出境安全评估指南(征求意见稿)》附录A《重要数据识别指南》在序言[注9]中将界定“重要数据”定义、范围及判定依据的职责划归各行业(领域)主管部门。
然而,《数据安全法》此处将重要数据名录的制定职责划归各地区、各部门。
这是否意味着《数据安全法》对《数据安全管理办法(征求意见稿)》及《信息安全技术数据出境安全评估指南(征求意见稿)》的《重要数据识别指南》的相关规定作出变更?
如是,笔者认为,《数据安全法》对将制定重要数据名录职责划归各地区、各部门的规定,可能导致职能主体认定不清晰。
现阶段,与数据安全有关的行业主管部门已经存在权责交叉、职能重叠的现象,如再将制定重要数据名录的权力下放到各地方政府,容易出现某一类数据在各个地区根据各主管部门的标准认定不一致,甚至同一地区地方政府与行业主管部门判定标准存在冲突的问题。
因此,考虑到数据种类和级别的多样性,建议由特定行业主管部门根据本行业实际情况与自身特点,统一制定并实时更新重要数据名录。
第二十二条国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。
依法作出的安全审查决定为最终决定。
【评析】
随着数据在国际竞争间发挥的价值效用越来越大,第二十二条提及建立数据安全审查制度实为必要。
但《数据安全法》并未在此对负责审查的机构、审查范围、应用场景、审查程序等作出具体规定。
此外,安全审查制度的身影也出现在其他法律法规中。
《外商投资法》第三十五条[注10]对外商投资安全审查的规定就与此处对数据安全审查的规定极为类似。
《网络安全审查办法》也要求对影响或可能影响国家安全的关键信息基础设施运营者采购网络产品和服务行为进行网络安全审查[注11]。
但在各种安全审查制度适用重叠时,各安全审查制度间是覆盖还是并行关系,并未作出明示。
因此,《数据安全法》规定的数据安全审查制度与其他法律法规规定的安全审查制度间融合与区别还需进一步厘清。
第二十三条国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制。
【评析】
就出口管制相关法律法规而言,《出口管制法(草案)(二次审议稿)》(“《出口管制法》”)第二条[注12]规定了对货物、技术、服务等物项的出口管制要求,并对“出口管制”进行了定义。
因此,如果数据属于国家履行国际义务或为维护国家安全而被限制出口的范围,将受到出口管制的限制。
但哪些级别或类别的数据应进行出口管制,数据的出口管制是否适用后续将正式出台的《出口管制法》,管制方式是否仍为由国家出口管制管理部门制定管制清单、实施出口许可等一些列问题,还需《出口管制法》及《数据安全法》正式稿出台以后作出进一步解答。
此外,除属于出口管制范围的数据外,对正常商业活动中数据跨境流动及传输的监管一直是业界热烈讨论的话题。
《网络安全法》第三十七条[注13]、《数据安全管理办法(征求意见稿)》第二十八条[注14]、《信息安全技术数据出境安全评估指南(征求意见稿)》附录B《个人信息和重要数据出境安全风险评估方法》及《个人信息出境安全评估办法(征求意见稿)》分别对关键信息基础设施运营者、网络运营者等不同主体将个人信息及重要数据传输出境提出了安全评估要求。
但本次《数据安全法》仅在第十条[注15]作出原则性规定,并未提及具体制度建设,数据出境安全评估与数据出口管制之间如何配合并不清晰。
因此,考虑到数据跨境流动每分每秒都在发生,明确数据出境安全评估与数据出口管制间的配套与衔接十分重要。
第四章数据安全保护义务
第四章对国家机关、组织、个人在开展数据活动时的数据安全保护义务作了原则性的规定,特别明确了企业的合规义务:
要求建立健全全流程数据安全管理的制度建设、落实重要数据处理者的数据安全责任主体;要求数据活动和数据新技术研发应符合经济发展和伦理公德;要求落实数据活动的风险监测、风险评估并向主管部门报告;要求数据的收集和使用应当符合法律法规规定的目的和范围且不得超过必要限度;要求从事数据交易的中介对数据来源及交易双方身份进行审核;要求在线数据处理服务商获得经营的备案许可。
此外,本章还规定对执法机关在执法活动中调取数据的审批作出明确规定,要求公安机关和国安机关在开展侦查活动需要调取数据经过严格审批并依法进行数据调取;要求境外执法机构调取境内存储的数据向主管机关报告并经审批后提供数据,并遵守签订的国际条约对数据调取的约定。
除第二十六条外,《数据安全法》在第六章法律责任中对违反第四章的相关条款的约定(特别是针对企业未遵守数据安全保护义务的),基本上都对相应的罚则作出规定,建议开展数据活动的企业对本章节的法定义务及第六章做重点关注。
就本章节的规定,笔者就以下条款作重点评析:
第二十五条开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。
【评析】
第二十五条对开展数据活动主体的数据安全管理制度提出了明确的要求,并且将制度建设要求细化到国际标准的强制性要求层面。
从目前与数据安全相关的国家标准绝大部分与数据安全相关的规范为推荐性国家标准(GB/T),包括近期颁布的与个人信息保护相关的《信息安全技术个人信息安全规范(GB/T35273-2020)》、与大数据安全管理相关的《信息安全技术大数据安全管理指南(GB/T37973-2019)》、与数据安全成熟度等级相关的《信息安全技术数据安全能力成熟度模型(GB/T37988-2019)》等来看,强制标准相对较少;而在法律法规层面,对数据安全的管理的规定分散于《网络安全法》《全国人大常委会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《儿童个人信息网络保护规定》等相关框架性规定中,且缺乏完备的体系;今年4月公布的《网络数据安全标准体系建设指南(征求意见稿)》也尚未正式生效。
从目前现行有效的法律法规及国家强制标准来看,对于数据安全管理的制度细则依据的规范性文件仍然处于相对“缺失”的状态。
建议加快配套法律法规和强制性标准的出台,或考虑在条文中进一步对推荐性国家标准在数据安全合规建制中的参考价值予以明确。
另外本条款第二段中明确了“重要数据的处理者”设立数据安全负责人和管理机构的法定义务。
如对第十九条的评析,“重要数据”的范围有待配套文件对此问题的进一步厘清;另外“重要数据的处理者”的概念是否指从事数据活动的主体,还是仅指对数据的加工者、使用者,建议在正式文件中作进一步的定义和解释,避免对主体范围产生歧义。
第二十七条开展数据活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。
【评析】
第二十七条对开展数据活动主体的风险监测作了明确规定,并要求企业及时将发生的数据安全事件告知用户并报告主管部门。
相比较《网络安全法》第四十二条第二段“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”的规定,是否可以将数据安全事件等同于“个人信息的泄露、损毁、丢失”?
发生的数据安全缺陷、漏洞等风险是否可以归为“数据安全事件”而需要向用户告知并向有关主管部门报告,还是仅需要采取补救措施而无报告/告知义务,对于告知及报告的“及时性”是否有具体明确的要求,是否应当按照《国家网络安全事件应急预案》的规定进行报告?
这些问题在目前《数据安全法》的措辞上来看,存在着一定的歧义和不确定性,建议在正式文件或后续出台的相关细则中予以进一步明确。
第三十三条境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。
中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的,依照其规定。
【评析】
本条款对境外执法机构调取存储于境内的数据要求进行报告和审批,但对于具体的审批的主管机关未在此进行明确。
根据《网络安全法》第三十七条的规定:
“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。
因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
”若境外执法机构拟调取的数据属于第三十七条规定的数据,是否可以理解为主管机关为国家网信部门和国务院相关部门?
此外,主管机关的审批是否适用第二十二条的安全审查,此处的安全审查与《网络安全法》第三十七条规定的安全评估是否属于同一审查?
或者本第三十三条规定的境外执法机构调取境内数据的情形属于《网络安全法》第三十七条的“法律、行政法规另有规定的,依照其规定”的除外情形?
这些问题在目前的《数据安全法》中未给予解答,若正式公布后,可能在实践中会产生条款解释上的歧义。
另外,对于具体的报告和批准是否有进一步的内容性和程序性的要求,也有待在后续进一步的细则中予以明确。
结语
整体来看,《数据安全法》充分反映出在数字经济蓬勃发展的时代背景下,国家在立法层面对数据安全及监管的高度重视,也在一定程度上对数据跨境的国际合作起到了积极推动作用,特别是在国际执法的数据跨境调取的协作上。
但《数据安全法》的内容较为原则性、制度性,并未提出关于数据安全标准体系、数据交易管理制度、重要数据保护目录、数据安全监测预警机制、数据安全审查制度、数据出口管制制度、企业数据安全管理制度等重点内容的具体要求,也未厘清与其他已生效、正在征求意见或正在起草的相关法律法规、指导性文件间适用关系。
因此,我们期待立法机关及政府部门在统筹现有多部草案、征求意见稿的基础上,厘清内部关系,制定更为清楚完备、具备可操作性与可执行性的《数据安全法》。
一方面,有利于企业在数据合规日益重要的行业背景下,根据法律法规的要求不断完善自身数据合规体系;另一方面,也有利于不断推动我国数据与信息安全领域的立法建设,进一步加强对数据活动的监管和数据基础设施的整合,最终实现促进我国数字经济发展的目标。
升级会员 