《数据安全法》全解读
百度 2021-06-12
导读:最新出台的《数据安全法》是我国第一部有关数据安全的专门法律。与业已施行的《网络安全法》不同,《数据安全法》更强调数据本身的安全。而较之尚未出台的《个人信息保护法》,《数据安全法》主要关注数据宏观层面(而非个人层面)的安全。
生效之后,《数据安全法》将与《网络安全法》以及正在立法进程中的《个人信息保护法》一起,全面构筑中国信息及数据安全领域的法律框架。
其中,数据分级分类、加强核心数据治理、「数字鸿沟」、加强对向境外司法或执法机构提供存储于中国境内数据的监管、相应处
6月10日,《中华人民共和国数据安全法》(以下简称《数据安全法》)经十三届全国人大常委会第二十九次会议表决通过,这是我国第一部有关数据安全的专门法律。自2020年6月28日以来,《数据安全法》已经历三次审议与修改,确定将于2021年9月1日正式施行(法案原文见参考链接)。
随着数字经济的快速发展,全球进入数据爆炸时代,数据在社会发展、民众生活中扮演起了越来越重要的角色。与此同时,持续爆出的数据安全事件一直令各国政府和民众堪忧。
2018年4月,扎克伯格因Facebook泄漏8700万人数据,并将其用于美国总统大选,出席美国参众两院听证会;就在本周四,刚刚传出欧盟隐私监管机构因亚马逊违规收集和使用个人数据,而决议对亚马逊进行4.25亿美元处罚的消息。
数据安全与合规、经济与技术发展之间的博弈与冲突日益被置于媒体与舆论的风头浪尖。世界各国政府也相继出台数据保护法律法规。
欧盟于2016年审议通过《通用数据保护条例》(General Data Protection Regulation,GDPR),并于2018年正式实施的数据安全法律。以「属人」「属地」「保护性管辖」和「国际公法」等多个管辖原则相结合,被认为是最严格的数据保护法令。美国也在2018年出台《澄清域外合法使用数据法》。
2016年11月,我国立法机构审议通过《中华人民共和国网络安全法》并于次年6月正式施行。随着数字经济的蓬勃发展正成为我国在国际环境中的核心竞争力,2020年,我国先后发布了《关于构建更加完善的要素市场化配置体制机制的意见》《关于新时代加快完善社会主义市场经济体制的意见》等相关文件,明确将数据列为土地、劳动力、资本、技术之后的第五大生产要素并强调要加快数据要素市场的培育。提出加快数据要素市场培育,加强数据资源整合和安全保护。
《网络安全法》强调网络系统的安全,《数据安全法》强调数据本身的安全,而较之尚未出台的《个人信息保护法》,《数据安全法》主要关注数据宏观层面(而非个人层面)的安全。生效之后,本法也将与《网络安全法》以及正在立法进程中的《个人信息保护法》一起,全面构筑中国信息及数据安全领域的法律框架。
一
「为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。」《数据安全法》总则第一条开宗明义,表明立法目的。
本法共七章五十五条,主要内容包括数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等。
1、总则部分区分了「数据」和「信息」的概念,规定《数据安全法》所称数据,是指任何以电子或者非电子形式对信息的记录。
接着,新法规定了数据安全与发展的支持措施,以及促进以数据为关键要素的数字经济发展,其中包括:实施大数据战略,制定数字经济发展规划;培育数据交易市场等。
2、为有效应对境内外数据安全风险,法律要求建立数据安全制度。这一章也构成了本法的一大亮点。
首先,包括建立数据分级分类管理制度,确定重要数据保护目录。做好数据安全需要做很多事情,需要针对数据的收集、存储、使用、加工、传输、提供、公开等各个环节进行数据安全风险的监测、评估和防护等,也需要用到权限管控、数据脱敏、数据加密、审计溯源等多种技术手段。
只有做好了数据分类分级工作,才能做好的后续的数据安全建设。国家将建立数据分类分级保护制度不仅是数据安全治理的第一步,也是瞄准了当前数据安全治理的痛点和难点。
《数据安全法》特别强调,「关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。」对「重要数据」实施重点保护。
例如,对违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
其次,数字鸿沟问题。近年来,随着公共服务数字化,老年人、残疾人在运用智能技术方面的问题逐渐浮现。在草案基础上,《数据安全法》在「数据安全与发展」一章新增条款关注老年人、残疾人「数字鸿沟」问题:
「国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。」
3、加强对向境外司法或执法机构提供存储于中国境内的数据的监管。这一点对于企业来说,尤为重要。
例如,第三十六条规定,「非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。」
新法案扩大了向境外提供数据的监管适用情形。即只要中国境外的司法或者执法机构要求提供存储于中国境内的数据,均适用本条的规定,有助于更好地封堵境外机构的「长臂管辖」。
4、政务数据在数字化转型中起着重要作用(例如农业),本法也就政务数据开发利用作出明确指示。
比如,要求省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,加强数据开放共享的安全保障措施,建立统一规范、互联互通、安全可控的机制,利用数据安全运营,提升数据服务对经济社会稳定发展的效果。
5、相比《网络安全法》,本法规定了更为广泛的域外司法管辖范围(「属地」加「保护性管辖」的管辖原则,符合数字时代数据发展的客观情况),并将更为多样的数据种类和数据活动纳入其管辖范围内。
对组织和个人规定了一系列开展数据活动时需遵守的义务。较之草案,违反义务的处罚力度也提升了。法律后果,包括责令改正、警告、没收违法所得、取缔以及吊销业务许可证或营业执照等在内的处罚,且或将同时承担其他适用的刑事、行政及民事责任。
例如,本法新增第四十六条「违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。」
二
大数据和人工智能产业的快速发展,促使数据产业持续野蛮生长,然而由于市场发展速度快于法律。一直以来,数据采集、存储、管理、加工、应用和流通等环节都处在无法可依的无序发展状态。
《数据安全法》的推出,为国内的数据应用行业和整个市场提供了新的行为准则,也设立了行业的准入门槛,从法律角度促进了数据应用和交易规范化,也加强了全社会对数据安全防护的重视。
数据应用规范化。《数据安全法》为数据产业、数字经济划定了数据应用的边界。在数据收集、管理、应用方面,做到合规、合法将成为企业运营数据业务的新门槛。
规范数据应用,既约束了数据的非法采集和滥用,又保护了数据提供方和普通民众的信息,让数据真正成为数字经济发展的血液。以数据开放、数据保护、数据流动等为基础的数据规则或将构建并逐步完善,不断促进数字经济发展。
例如,数据分级制度有利于让数据公司放开手脚,明确「红线」。政府有关部门从源头上明确哪些数据属于重点保护,绝对不可触及;而其它数据可以有条件或者免费向公众开放。
数据交易规范化。数据资产化是近年来行业中的热点话题,随着数据的应用水平逐步提高,数据市场化交易、流通需求迅速扩大。然而,数据市场在交易过程缺乏相关的法律法规管理,交易机制不完善,中介服务商不规范,直接导致了市场中存在大量损害消费者及企业利益的违规、违法交易。同时,现存于市场中的数据中介服务机构在实际运营中也存在很大的法律风险。
目前,国内存在各种地方数据交易中心,例如贵阳数据交易中心、上海大数据交易中心等数据交易平台,在各地之间的数据交易呈现地域化特点。《数据安全法》将数据中介服务商纳入规范范畴,提出规范数据交易,并制定了中介服务商的问责制度,解决了长期以来,我国数据交易市场缺乏具体的管理制度的局面。
安全防护常态化。数字经济加速各行各业发展的同时,也带来了相应的数据安全问题。在过去的十年中,针对数据的安全事件不胜枚举,造成的损失小到工程停产、设备损坏,大到核设施停摆、国家能源运输瘫痪。《数据安全法》的出台,使数据安全保护有法可依,对威胁数据安全的不法分子起到了约束作用。
与此同时,《数据安全法》明确了企业在保护数据安全方面的责任,对企业的数据安全建设提出了要求。企业数据安全防护将逐步常态化,企业在整个企业的数字化安全防护方面的投入也将有所扩大,这也从一定程度上加速了国内数字化安全防护产业的整体发展。
三
新法案通过后,在中国陷于数据安全问题的特斯拉即在微博表态称:「数据隐私安全,关乎着每一个消费者。特斯拉将严格遵守《数据安全法》,保护消费者数据相关权益。努力促进行业和数字经济健康蓬勃发展。」
力推数字化转型的各大券商是数据安全产业的重点用户。《数据安全法》通过后,券商在数据安全治理、数据系统的流程体系建设及基础数据服务等多方面,即已做好相应的调整。有分析指出,目前,券商需要关注数据来源的合规性、合法性,新法规会让数据流程和商业变现变得更加规范,券商需要进一步专注数据应用,提升业务变现能力。
据南财全媒体报道,《数据安全法》落地后,各地会依据自身特点出台相应的具体条例与措施,目前,北京、上海、深圳、天津、贵州、安徽等地已启动数据立法,江苏也将公共数据管理办法列入省政府2021年立法工作计划。
隐私保护、数据确权、数据交易、数据垄断等议题未来将成为各地数据立法关注的焦点。不过,从抽象的法律文字到具体生动的案例,期间仍需跨越较大的鸿沟。
草案讨论期间,就有学者指出一些问题。例如,现在的大企业没有几个不涉及大规模的数据活动,将企业的数据活动完全置于政府的行政终局决定之下,显然不利于改善营商环境,应当把「安全审查决定为最终决定」的规定删去。
排除司法审查也违背法治政府的一般原则,如何正当化?
不过,正式通过的法律第二十四条并未予以采纳。「国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。