党的十九届四中全会决定明确将数据作为新的生产要素,数据安全与国家安全、经济发展息息相关,制定一部数据安全领域的基础性法律是发展数字经济所必不可少的。
《中华人民共和国数据安全法》于2021年9月1日正式实施,其适用于在中华人民共和国境内开展的数据收集、存储、使用、加工、传输、提供、公开等数据处理活动。但中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,亦将依法追究法律责任。很多观点认为,这是《数据安全法》以域外保护管辖应对欧美“长臂管辖”的表现。
一、数据安全制度
网络安全与数据安全皆为国家安全的重要维度,《网络安全法》并非《数据安全法》的上位法,两者共同的上位法应是《国家安全法》。《数据安全法》在第四条即强调,维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。《数据安全法》从国家角度构建了一个相对完整的数据安全制度体系。
在数据安全治理方面,《数据安全法》推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,从监管部门职责、数据类型、社会主体参与等多种角度,构建起一个多方参与的数据安全治理体系。
国家统筹 | 中央国家安全领导机构 负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作 | ||||
各部门职责 | 各地区、各部门 | 工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门 | 公安机关、国家安全机关 | 国家网信部门 | 国务院标准化行政主管部门和国务院有关部门 |
对本地区、本部门工作中收集和产生的数据及数据安全负责 | 承担本行业、本领域数据安全监管职责 | 在各自职责范围内承担数据安全监管职责 | 负责统筹协调网络数据安全和相关监管工作 | 组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标 准 | |
社会参与 | 相关行业组织 按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展 | ||||
个人,企业,社会团体,教育、科研机构,数据安全检测评估、认证等专业机构 | |||||
在事前保护方面,首先,《数据安全法》第二十一条要求建立数据分类分级制度。与2019年5月发布的《数据安全管理办法(征求意见稿)》不同,《数据安全法》没有对重要数据进行明确定义,而是将重要数据范围的界定交给各地区、各部门,要求各地区、各部门按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。《数据安全法》明确由国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,这一规定打消了之前《数据安全法(草案)》审议时部分观点对于将重要数据界定权力完全下放到地方而可能带来重要数据保护目录冲突的疑虑。[1]
第二十一条还特别强调,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,应实行更加严格的管理制度。
其次,《数据安全法》明确国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
此外,国家将建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查,以达到事前降低数据活动风险,切实保障数据安全的目的。
在事后应急处理方面,《数据安全法》第二十三条规定国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应依法启动应急预案,采取相应的应急处置措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。
在跨境数据流动方面,国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。此外,《数据安全法》在草案基础上,进一步明确非法向境外提供重要数据或非经中华人民共和国主管机关批准,境内的组织、个人向外国司法或者执法机构提供存储于中华人民共和国境内的数据的相应法律后果。这些举措对于保障国家安全,维护数据主权具有重要意义。
二、数字经济发展促进措施
数据安全与数据开发利用并非此消彼长的关系,国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。如《数据安全法》第十三条所规定,国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。《数据安全法》第二章更是以专章的形式展现了国家对于数据合理开发利用的支持态度。在地方层面上,省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。然而,第二章的规定多为原则性规定,还有待后续配套措施的进一步细化,近日,《深圳特区数据条例(征求意见稿)》《上海市数据条例(暂定名)》草案等地方立法动态引发社会关注。
同时,数字经济的发展不能失去人文温度,先进技术带来的效益不能抹消老年人、残疾人等弱势群体的需求。因此,《数据安全法》在第三次审议中明确,利用数据提升公共服务的智能化水平,应充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。数据处理者在日常运营中亦应将该要求合理纳入数据处理的开展过程中。
三、不同主体的数据安全保护义务
数据安全治理体系的构建除了国家的“强”监管外,还需开展数据活动的各主体的自我管理和通力配合。《数据安全法》的第四章至第六章针对开展数据活动的不同主体设置了相应的数据安全保障义务或需采取的安全措施,并规定了与之对应的法律责任。
开展数据活动的不同主体 | 数据安全保障义务/ 需采取的安全措施 | 未履行数据安全保障义务/未采取安全保障措施应承担的法律责任 | |
数据处理者 | 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。 (第二十七条) | 有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。 (第四十四条) 给他人造成损害的,依法承担民事责任。 构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 (第五十二条) | 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 (第四十五条) |
开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。 (第二十九条) | |||
收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。 法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。 (第三十二条) | 窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。 (第五十一条) | ||
法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。 (第三十四条) | |||
配合公安机关、国家机关的合法数据调取要求。 (第三十五条) | 拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 (第四十八条) | ||
非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。 (第三十六条) 【需注意,该条所指的“数据”不仅仅指重要数据。】 | 未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。 (第四十八条) | ||
重要数据的处理者 | 应当明确数据安全负责人和管理机构,落实数据安全保护责任。 (第二十七条) | ||
应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。 风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。 (第三十条) | 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。 (第四十五条) | ||
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。 (第二十一条) | 违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。 (第四十五条) | ||
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。 (第三十一条) | 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 (第四十六条) | ||
从事数据交易中介服务的机构 | 在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。 (第三十三条) | 从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 (第四十七条) | |
公安机关、国家安全机关 | 因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行。 (第三十五条) | 国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。 (第四十九条) 履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。 (第五十条) | |
国家机关 | 第五章 政务数据安全与开放 | ||
结语
《数据安全法》于第五十三条明确开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定,为后续《个人信息保护法》的出台和衔接留下空间。《网络安全法》《数据安全法》《个人信息保护法》的出台和正式实施将从网络安全、数据安全及个人信息保护等不同维度助力我国数字经济的蓬勃发展。但目前的《数据安全法》仍缺乏可实际操作落地的具体化规定,如何划分重要数据边界、构建数据安全审查制度、数据交易制度、跨境数据流动制度等等内容还有待进一步落实。但《数据安全法》的出台体现了国家对支持数字经济的决心与信心,相关法律制度的规范与完善值得期待。
[1]隐私护卫队:《数据安全法草案:明确区分数据和信息各地可建重要数据保护目录》[2020-07-03](2021-06-16).https://mp.weixin.qq.com/s/e1R9lCc8j9CswAH9NJTbYQ.
