立法拟规定:国家确定重要数据,不得擅自给境外司法机构数据
南方都市报 2021-06-11
4月26日,数据安全法草案二审稿提请十三届全国人大常委会第二十八次会议审议。草案二审稿拟规定,未经批准向境外司法或执法机构提供数据最高将被罚一百万元。
有专家表示,很多国家对于数据的跨境调取有相应的规则设计。从目前来看,这一点是各国在尊重主权原则下的一个普遍选择。
未经批准向境外司法机构提供数据最高可被罚一百万
随着各国之间数据资源竞争愈发激烈,数据主权成为各方博弈的焦点。美国“云法案”和欧盟《通用数据保护条例》的“长臂管辖”为其他各国数据主权带来了挑战,数据出境安全管理也显得愈发重要。
南都记者注意到,草案一审稿规定,境外执法机构要求调取境内的数据的,获得有关主管机关批准后方可提供。草案二审稿增加规定,未经主管机关批准向境外的司法或者执法机构提供数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处二万元以上二十万元以下罚款。
华东政法大学教授高富平介绍,新增的此条规定是公法领域的一个规范,主要从国家安全的角度出发。他举例表示,美国“云法案”规定,只要是美国公司控制的企业,有义务配合执法部门提供其控制范围的全球范围内的数据。
也就是说,美国执法部门要求苹果公司提供存储在中国境内的数据,苹果必须配合。而按照草案二审稿的新增规定,苹果提供存储在中国境内的数据,必须经过相关主管部门的同意,向中国政府报备,否则将被罚款。
对于处罚力度,北京师范大学网络法治国际中心执行主任、博导、中国互联网协会研究中心副主任吴沈括认为“还是比较适中和克制的”。“包括美国的‘云法案’在内,很多国家对于数据的跨境调取都有相应的规则设计。从目前来看,这一点是各国在尊重主权原则下的一个普遍选择。”
由国家建立数据分类分级保护制度
草案一审稿规定:各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。
“上述条款虽未明确‘重要数据’的内涵和外延,但其从程序角度确立了‘重要数据’的认定主体。”对外经济贸易大学互联网法治研究中心执行主任许可表示,“重要数据”一般具有攸关国家安全的高度敏感性和自身特有的流动性,若将其交由各地自行决定,不仅可能不当扩大或缩小重要数据范围,还可能导致数据跨地区流动和处理,引发法律规避。
南都记者注意到,草案二审稿作出修改,明确由国家建立数据分类分级保护制度,确定重要数据目录,加强对重要数据的保护;各地区、各部门按照规定确定本地区、本部门以及相关行业、领域的重要数据具体目录。
“这是一个比较好的修改。”许可还提醒,在数据快速迭代和爆发式增长的情况下,难以划定重要数据的范围,穷举所有的重要数据。他建议对中央国家机关划定的重要数据类型建立更新机制。同时,还建议建立协调机制,解决不同地区的重要数据目录出现冲突的问题。
补足网络安全法对重要数据管理制度的空白
据了解,草案一审稿发布后,有的地方、部门提出,网络安全法关于重要数据出境的安全评估等要求限于关键信息基础设施,应根据实践发展和数据安全管理工作的需要,相应扩大范围。
因此,草案二审稿规定,关键信息基础设施的运营者在我国境内运营中收集和产生的重要数据的出境安全管理,适用网络安全法的规定;其他数据处理者在我国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
吴沈括表示,该规定指向重要数据的管理制度,补足了网络安全法在这个领域的空白。也就是说,整体的立法思路是对于所有的重要数据都要有相应的管理制度。“这样就一网打尽了。”华东政法大学教授高富平强调。
不过,目前国内尚未出台针对重要数据出境的安全评估办法。南都记者注意到,2019年国家网信办对外发布《个人信息出境安全评估办法(征求意见稿)》。但高富平认为,重要数据是从国家安全的角度来定的,而个人信息是从个人相关的角度来定义,“两者并不是一回事儿”,而且重要数据的范围大于个人信息的范围。
吴沈括也认为,草案二审稿中“针对其他数据处理者的出境数据安全评估办法”不是指《个人信息出境安全评估办法》。“后续可能会出台的其他规则,但它指向的是个人数据以外的其他重要数据。”
新增与等保衔接规定,帮助企业开展合规工作
南都记者注意到,草案二审稿拟新增规定——开展数据处理活动应当“在网络安全等级保护制度的基础上”建立健全全流程安全管理制度,加强数据安全保护。
事实上,2016年11月颁布的网络安全法中已有过相关规定,要求网络运营者按照网络安全等级保护制度采取相应措施,保障数据安全。本次草案二审稿的新增内容是对网络安全等级保护制度的衔接。
南都记者了解到,网络安全等级保护制度是指对信息系统分等级进行安全保护和监管,对信息安全产品的使用实行分等级管理,对信息安全事件实行分等级响应、处置。
吴沈括认为,网络安全等级保护制度是网络安全法所规定的网络安全基本制度,数据安全法作为我国数据安全治理的顶层立法设计,通过这样的条款,在制度层面实现网络安全法与其他基本法律法规的制度衔接,有其必要性和需要。同时,这也是实际操作中能有效指导各方主体,实现合规风控的重要制度设计。
高富平也从企业的角度对草案二审稿的此条新增规定做出了进一步解释:“这样企业能遵循一套规则,容易开展合规工作。”
采写:南都记者尤一炜 见习记者孙朝 实习生樊文扬