《中华人民共和国数据安全法》七大亮点解读

来源:策略律师

文章摘要
前 言 2021年6月10日下午,十三届全国人大常委会第二十九次会议表决通过并公布《中华人民共和国数据安全法》,该法将于2021年9月1日起正式施行。

前 言
2021年6月10日下午,十三届全国人大常委会第二十九次会议表决通过并公布《中华人民共和国数据安全法》,该法将于2021年9月1日起正式施行。
近年来,随着人工智能、AIoT、云计算等技术的推动,全球数据量正在无限制地扩展与增加。国际数据公司IDC统计显示,全球近90%的数据将在这几年内产生,预计到2025年,全球数据量将比2016年的16.1ZB增加十倍,达到163ZB.(注:ZB,即十万亿亿字节)
数据发展与应用在创造价值的同时,也面临着复杂而严峻的安全挑战,如公民个人信息和隐私数据被泄露的风险大大增加;行业或企业在利用大数据获得信息价值时的风险持续累积;国家在海量数据的采集、传输、存储、处理过程中,增加了遭受信息攻击的可能性,进而威胁国家安全。对数据掌控、利用以及保护能力,已成为衡量国家之间竞争力的核心要素。
回顾2018年5月25日,欧盟《一般数据保护条例》(GDPR)正式实施。GDPR法案要求无论数据控制者、处理者及其处理行为在欧盟境内还是境外,只要处理的是欧盟境内居民的数据,均适用此法案,对数据实施长臂管理。目前全球已有近100个国家和地区制定了数据安全保护的法律,推动数据安全保护专项立法成为国际惯例。近日《中华人民共和国数据安全法》的发布,标志着我国将数据安全保护的政策要求,通过法律文本的形式进行了明确和强化,数据安全领域终于有法可依。
《中华人民共和国数据安全法》立法进程
《中华人民共和国数据安全法》自草案稿发布至正式稿出台,前后历经了三次修订:
(1)2020年07月03日,《中华人民共和国数据安全法(草案一次审议稿)》正式发布;
(2)2021年04月29日,《中华人民共和国数据安全法(草案二次审议稿)》正式发布;
(3) 2021年06月07日,《中华人民共和国数据安全法(草案三次审议稿)》提交审议;
(4)2021年06月10日,国家主席习近平签署了第八十四号主席令,《中华人民共和国数据安全法》由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过,现予公布,自2021年9月1日起施行。
《中华人民共和国数据安全法》修改对比
作为数据领域的基础性法律,第三次审议稿同前两次相比,作出的修改主要体现在以下方面:
一是,建立工作协调机制,加强对数据安全工作的统筹;
二是,明确对关系国家安全、国民经济命脉、重要民生、重大公共利益等数据实行更严格的管理制度;
三是,要求提供智能化公共服务应当充分考虑老年人、残疾人的需求,不得对老年人、残疾人的日常生活造成障碍;
四是,进一步完善保障政务数据安全方面的规定;
五是,加大对违法行为的处罚力度。
结合以上,笔者团队对本次《中华人民共和国数据安全法》(以下简称《数据安全法》)通过稿进行第一时间的亮点解读——
亮点解读一:加强协调、统筹发展、明确责任
《数据安全法》的出台,将维护数据安全作为总体国家安全的重大事项,由国家各地区、各部门对本地区、本部门工作中收集的数据负责,将数据要素的发展与安全统筹起来。这一举措将鼓励数据被依法、合理、有效利用,保障数据依法、有序、自由流动,促进以数据为关键要素的数字经济发展。
亮点解读二:涉及国家安全、重要民生、经济命脉
相较于《数据安全法》二审稿,通过稿对于《数据安全法》第二十一条进行了重大修订。明确提出“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度”,将安全作为首要前提。
亮点解读三:公共服务智能化,提升老年人、残疾人生活幸福感
伴随第七次全国人口普查结果出炉,截至2020年年底,我国60岁及以上老年人口达到1.85亿,占总人口的比重达13.7%,我国人口老龄化速度持续加快。
根据国务院办公厅《关于切实解决老年人运用智能技术困难的实施方案》要求,应持续推动充分兼顾老年人需要的智慧社会建设,坚持传统服务方式与智能化服务创新并行,切实解决老年人在运用智能技术方面遇到的困难,让老年人在信息化发展中有更多获得感、幸福感、安全感。《数据安全法》通过稿第十五条,特别对于老年人、残疾人的需求予以了考量,支持开发利用数据以提升公共服务的智能化水平。
亮点解读四:明确数据分类分级保护制度
《数据安全法》规定国家建立数据分类分级保护制度,对数据实行分类分级保护。数据分类分级工作作为数据分类分级保护制度的基础和核心,其不仅是数据安全治理的第一步,也是当前数据安全治理的痛点和难点。
而要做好数据安全将涉及多个方面、运用多重手段。需要针对数据的收集、存储、使用、加工、传输、提供、公开等各个环节进行数据安全风险的监测、评估和防护等,也需要采用权限管控、数据脱敏、数据加密、审计溯源等多种技术手段。
亮点解读五:完善数据出境规则
《数据安全法》明确规定了数据出境规则的主体为“国家网信部门会同国务院有关部门”,可以体现未来对于数据出境进行规制的法律文件,其法律位阶与效力基本是在部门规章的级别,从而强化了企业遵守相关义务的必要性。
除了《网络安全法》与《数据安全法》,一些重要数据的出境还需要重点关注行业监管的要求。如《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六条规定,在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行,且除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息;《国家健康医疗大数据标准、安全和服务管理办法(试行)》第三十条规定,健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。
亮点解读六:数据的收集与使用
《数据安全法》明确规定了任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。《数据安全法》第二十七条规定,利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
那么数据安全保护义务应如何履行,数据安全保护责任又当如何落实?如今,在《数据安全法》下各个领域,无论是数据安全、分级保护、个人信息保护等方面均有着重大进展。数据安全领域更是规则丰富,如欧盟的 《一般数据保护条例》(GDPR),由于其域外管辖效力,致使对欧盟的主体提供服务,只要送达到GDPR所管辖区域的个人,无论是在欧盟境内还是境外都可能受制GDPR管辖。
数据安全今已成法律领域热点,结合对近年来相关领域的实务与研究,策略律师事务所近期推出了“个人信息处理和合规评估事宜专项法律服务”,包括为客户提供与数据处理活动有关的产品或服务,进行合规评估服务与专项常年数据合规顾问服务。具体服务内容包括但不限于:
(一)企业业务流程及个人数据现状调研;
(二)开展个人信息处理与GDPR相关的文件的盘点和梳理工作;
(三)对现有数据进行合法性、合规性审查;
(四)进行个人信息安全影响评估,确定可行的实施方案;
(五)负责相关的法律咨询、出具法律意见书等服务。
亮点解读七:加大对违法行为的处罚力度
《数据安全法》通过稿加大了违法行为处罚力度,尤其是对于核心数据,违反国家核心数据管理制度,危害国家主权、安全和发展利益的,最高可罚一千万元,并可追究刑责。增加了对于“排除、限制竞争”的处罚情形,以凸显数据领域的垄断与不正当竞争执法的重要性,凸显社会热点,同时也意味着对国家、企业数据合规有更高的要求。
今年因维权事件备受舆论关注的企业特斯拉,在《数据安全法》通过后,随即表态称,将严格遵守《数据安全法》,保护消费者数据相关权益,努力促进行业和数字经济健康蓬勃发展。
诸如以上,国家机关、企事业单位须结合自身收集的数据类别情况、风险等级、技术手段与成本,落实数据技术和安全的保障制度,保证国家数据安全。
结 语
《中华人民共和国数据安全法》的发布,进一步完善了我国数据保护制度,也为企业未来数据合规指明了道路,明确了企业至少要采取的防控、应对方向,如企业数据现状评估及能力优化、个人信息评估等。站在律师角度,建议企业在关注相关立法动态、配套法规、标准的同时,提前布局,更加重视并确保合规,将合规要求落实在企业发展的初期。

技术驱动法律,专业成就未来