2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议表决通过了《中华人民共和国数据安全法》,将于2021年9月1日正式生效。自2017年《中华人民共和国网络安全法》生效并在网络信息安全章节中提出重点对个人信息以及重要数据的保护以来,国家已经相继出台了一系列法律法规和国家标准对个人信息的保护提出了高标准详细的要求,而对于重要数据的保护一直还缺乏进一步的指引。数安法的出台终于确定了重要数据保护的基调。
如图所示,数安法从数据安全与发展,安全制度,安全保护义务,政务数据安全与开放四大领域结合整体数字经济的发展提出了发展与安全并重的具体要求。
一、适用范围
《数据安全法》第二条规定,在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
第二条 第一款 对《数据安全法》在中国境内的适用效力作出规定,而第二款则明确了在中国境外开展的数据处理活动,若损害我国国家安全、公共利益或公民、组织的合法权益,也需要承担相关法律责任,此款规定首次明确了数据安全领域的长臂管辖原则。互联网的普遍发展将数据的流动范围扩展至全球领域,而数据的跨境流动极大影响了我国公民、组织以及国家的安全。因此,对数据的境外处理活动进行规制显得格外重要。
另外,近年来,数字经济在全球范围内快速发展,不少国家陆续发布并实施了数据安全与保护相关法律,例如欧盟通用数据保护条例(GDPR)、加州消费者隐私法(CCPA)、新加坡个人信息保密条款(PDPA)和日本个人信息保护法(PIPA)等等。
二、数据及相关概念定义
《数据安全法》第三条规定,本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
第三条对“数据”、“数据处理”以及“数据安全”等概念作出明确定义。对于数据的定义,理论界一直存在争议。《数据安全法》将数据定义为“任何以电子或者其他方式对信息的记录”,也即,数据不仅包括网络信息数据,也包括以书面或其他形式记载的信息。
然而,不同数据种类在法律适用方面也存在区别。《数据安全法》在第七章附则的第五十三条以及五十四条对涉及国家秘密的数据、统计与档案中涉及的数据以及军事数据的法律适用做出了规定,如在统计、档案中涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。而在实务中,不同类别数据的具体法律适用如何应用于企业的业务实践,还需要进一步明确。
第三条第二款对数据处理的行为方式作出较为全面的列举,形成了对数据处理各个环节形态的覆盖。但对于各环节在实务中的具体理解还需要在后续解释中进一步明确。
第三条第三款将数据安全定义为确保数据出于有效保护和合法利用的状态,以及保持数据持续安全状态的能力。结合《数据安全法》全文框架理解,数据安全包括宏观的国家安全层面,亦包括个人与组织在日常生活与经营中的数据处理活动的微观安全层面。
三、数据安全与发展并行
《数据安全法》第二章对数据安全与发展并行的原则作出明确。国家作为统筹数据安全与发展的主体(第十三条),通过推进数据基础设施建设(第十四条)、提升公共服务智能化水平(第十五条)、支持数据开发利用和数据安全技术研究(第十六条)、推进数据安全标准体系建设(第十七条)、促进数据安全检测评估与认证等服务的发展(第十八条)、建立健全数据交易管理制度(第十九条)、支持技术与数据安全相关培训教育(第二十条)等手段,保障数据安全与发展共行。
由此可见,《数据安全法》描述了国家主体的重点规划,希望通过发挥国家主体在重点数据制度的带头作用,完善保障数据安全以及数据开发利用与产业发展配套措施,以数据安全保障数据产业发展。
四、数据分类分级保护制度
《数据安全法》第二十一条规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
第二十一条第一款 明确了数据分类分级保护制度。以数据在经济社会发展中的重要程度,以及一旦被非法获取与利用可能对国家及社会造成的危害程度为标准,对数据进行分类分级保护。然而,上述标准在实务操作中仍显得较为宽泛,该款并没有明确数据分级分类的具体标准。
第二款与第三款提出了两个重要概念:“重要数据”与“核心数据”。第二款没有具体规定“重要数据”的概念,对于该概念的理解,可以结合相关监管机构所制定的规则加以理解。第三款则规定,国家核心数据是指关系国家安全、国民经济命脉、重要民生以及重大公共利益等数据。对于这两种数据,显然要实施更为严格的保护制度。
五、数据保护义务
《数据安全法》第四章对作为数据保护主体的个人以及组织的义务作出了详细规定。这些义务包括:
(1)第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
(2)第二十八条:开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。
(3)第二十九条:开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
(4)第三十条:重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
(5)第三十一条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
(6)第三十二条:任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
(7)第三十三条:从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
(8)第三十四条:法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
(9)第三十五条:公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
(10)第三十六条:中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
六、政务数据公开与安全
《数据安全法》在第五章单独对政务数据的安全与开放作出规定。大数据时代电子政务的发展极大提高了行政效率,进一步降低了行政成本,是我国国家治理能力提升的体现。作为保障政务数据安全与公开的义务主体,国家机关需要履行《数据安全法》第五章所规定的义务,如依照法定程序收集和使用数据、建立数据安全管理制度、及时准确公开政务数据,进一步提升政务数据的科学性、准确性、时效性。
七、观察与理解
作为数据安全领域的首部综合性基础性立法,《数据安全法》的出台标志着我国的数据治理进入新常态。尽管目前《数据安全法》的相关规定大多为原则性规定,暂时缺乏实务中的可操作性,但该法仍对数据安全领域长臂管辖原则、数据及数据活动定义、数据安全与发展并行原则、数据分类分级保护制度、各主体的数据保护义务作出了规定,在法律层面明确数据安全与发展并行、以数据安全保障数据发展的基本方向。
《数据安全法》的实施将会对各行业、各领域都产生影响,而各地方也会依据该法出台一系列具体条例以落实数据安全保护。各企业在密切关注数据安全领域法律法规与实施条例的同时,也需要结合立法,评估自身在数据安全领域的合规问题,建立自身数据分级分类制度,完善数据风险防范机制,建立数据安全紧急事件处理机制,防范相关法律风险。
#原点安全#
