7月2日,中国人大网发布《数据安全法(草案)》(以下简称《草案》),共七章五十一条,包括:总则(立法主旨、适用范围、基本原则和价值理念、主管机关及责任主体、)数据安全与发展(大数据战略、数据开发技术和数据安全标准体系建设、数据安全检测评估和认证、数据交易管理制度、相关教育和培训及人才培养)、数据安全制度(数据分级分类保护及风险评估、数据安全应急处置机制和数据安全审查制度)、数据安全保护义务(全流程数据安全管理制度、重要数据处理者的安全保护义务、数据安全事件的告知和报告义务;组织、个人、从事数据交易中介服务机构、在线数据处理等经营者的数据安全义务;公安机关等国家公权机关依法调取数据、境外机构调取数据的法定要求)、政务数据安全与开放(电子政务建设;依法收集和使用的原则;政务数据公开所应遵守的基本原则)、法律责任及附则等。《草案》的公布,以法律的形式强化数据安全保护,确立了个人、组织、相关经营者以及有关国家机关的数据安全保护义务和职责,对于完善我国数据安全治理体系建设和提升国家数据安全保障能力具有重要意义。从本期开始,继红小馆将解读《数据安全法(草案)》的重点内容,供大家参考~~欢迎关注并转发。
进入物联网、大数据时代,数据与土地、技术、劳动力、资本等传统生产要素相并列,成为新的核心资源,被称为“新时代的石油”,迸发出巨大的价值潜力。《数据安全法(草案)》第3条对什么是“数据”做了界定,这也是第一次以立法形式对数据作出的概念阐释。
“数据”、“信息”与“资料”三者辨析
数据、信息与资料,三者概念经常出现混淆,特别是数据与信息,在我国现有法律规范及学理分析中经常性出现不同的表述和混用,也对实务层面的适用带来很大的困扰。
从信息科学的角度看,“资料”和 “数据”的英文均为“data”,是指用有意义的、可以识别的符号对事物加以表示的符号序列,是代表人、事、时、地的一种符号序列不以文字为限。无论是词源还是从实际应用上来看,两者并无根本性差异。至于“资料”这一说法,只是学者对“data”的另一种译法而已,英文中并无“资料”的专门译法。
信息的英文是“information”是指数据经过处理后可以提供为人所用的内容,它的功能是使事物的不确定性减少。数据侧重于客观形式,不以其反映的内容与人的互动关系为着眼点,而信息的着眼点正是在内容与人的互动关系上,即其作用于人的大脑形成的认识。简言之,信息是数据表达的内容,数据是信息的载体和外在表现形式。与信息相比,显然数据涵盖的范围更为广阔。
在《草案》出台之前,我国《网络安全法》《民法典》《护照法》《居民身份证法》《刑法修正案(九)》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《个人信息安全规范》等法律规范都基本适用了“个人信息”一词来指称与个人相关的信息资料内容。《数据安全法(草案)》所给出的“数据”定义,就是“以电子或非电子形式”“对信息的记录”,第一次明确区分了数据与信息。也就是说,“记录”是数据的根本性特征。只要是“对信息的记录”,无论以电子还是书面或其他形式,不论该数据上所承载的是个人信息、企业信息抑或政务信息,都是《数据安全法(草案)》所要规制的对象。
数据,不仅包括数据控制者利用网络、传感器等采集或生产的原始数据(未经加工的原始素材,基于事实和观察),还包括经过分析、加工、计算、聚合形成的衍生数据等数据产品。大数据时代,数据大都以电子形式出现。在网络空间和计算机系统中,物理空间中的多种表现都为“数据”所取代,即以二进制信息单位0和1表示。与传统的有体物相比较,数据特别是电子形式的数据本身具有无形性的特征,且可以借助互联网从一个节点到另一节点,甚至跨地域、跨国界的快速传输。
作为基础性战略资源,数据的开发、利用以及传输不当会引发相应的国家安全风险。因此,有必要通过立法建立全流程数据安全管理制度,完善我国数据安全治理体系,以应对来自国内国外数据安全风险的威胁。”
表1:我国现有法律规范对“数据”“个人信息”的定义比较
数据安全法(草案) | 第3条 | 数据,是指任何以电子或非电子形式对信息的记录。 |
民法典 | 第1034条 第2款 | 个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。 |
第1032条第2款 | 隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。 | |
个人信息安全规范(2020) | 第3.1条 | 个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。 包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 |
表2:国际组织及其他国家和地区定义比较
OECD 1980年 | 《关于隐私保护与跨境数据流动指南》 | 个人数据是指与一个已经被识别的或者可以被识别的人(数据主体)有关的任何信息。 |
欧盟 2016年 | 《通用数据保护条例》 | 个人数据指与一个已识别的或可识别的自然人(数据主体)有关的任何信息。“可识别的人”指可直接或间接识别的人,尤指借助诸如姓名、身份证号码、位置数据、在线识别码等标示或针对该自然人一个或多个与其身体、生理、遗传、精神、经济、文化的或社会身份有关的特殊因素来确定的人。 |
加拿大 2000年 | 《个人信息保护与电子文件法》 | 个人信息是指有关一个可识别的个人信息,但不包括其姓名、职务、公务地址或作为组织雇员的电话号码等。 |
俄罗斯 2006年 | 《信息、信息化及信息保护法》 | 信息意味着数据(消息、数据等),不论其呈现形式如何;包括大众信息、公民信息(个人信息)、保密信息、广告、文献信息(文件)、档案文件、信息资源等。 |
我国台湾地区 | “个人资料保护法” | 个人资料指自然人之姓名、出生年月日、身份证编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、健康、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动以及其他得以直接或间接方式识别该个人之资料。 |
我国香港特区 | 《个人资料(私隐)条例》 | 个人资料,是指指符合以下说明的任何资料:(a)直接或间接与一名在世的人有关的;(b)从该等资料直接或间接确定有关的个人的身份是切实可行的;及(c)该等资料的存在形式令予以查阅及处理均是切实可行的。 |
我国澳门特区 | 《个人资料保护法》 | “个人资料”是指与某个身份已确定或身份可确定的自然人有关的任何资讯,包括声音和影像,不管其性质如何以及是否拥有载体。所谓身份可确定的人是指直接或间接地,尤其透过参考一个认别编号或者身体、生理、心理、经济、文化或社会方面的一个或多个特征,可以被确定身份的人。 |
