Loading
2020-07-10 10:44:00
由于该草案是全国人大常委会发布的第一部规范数据合规与发展利用的法律文件,该草案一经发布,立即引起了广泛关注。笔者尝试对《数据安全法(草案)》的内容作出解读,希望能抛砖引玉,求教于方家。
第一 立法目的
第1条:
为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益,制定本法。
【解读】
首先,通观该草案,“促进”“发展”等字眼有十余处,与“安全”保持大体平衡,体现立法目的所言的不仅要“保障数据安全”,而且要“促进数据开发利用”。
其次,本草案较之2019年5月出台的《数据安全管理办法(征求意见稿)》,在立法目的上增加“维护国家主权和发展利益”,足见立意上已上升至国家战略层面,这点从第4条“坚持总体国家安全观”和第6条“中央国家安全领导机构”作为决策主体也可以看出。
最后,较之《国家安全法》和《网络安全法》,《数据安全法(草案)》着重规范数据的安全和发展利用,《网络安全法》着重保护网络空间安全,但网络空间安全难免产生网络数据,两部法律在立法技术上如何调和有待继续观察。与《网络安全法》和《数据安全法》不同的是,《国家安全法》坚持总体国家安全观,统筹规范多类型的国家安全。可以看出,网络安全和数据安全应均为国家安全体系中的一个环节。
第二 适用范围
第2条:
在中华人民共和国境内开展数据活动,适用本法。
中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
【解读】
如何理解此处的“境内”。《电子商务法》在立法范围上将原本的“境内发生或者有境内电子商务经营主体、消费者参与的电子商务活动”改为“境内的电子商务活动”,从而扩大了法律的适用范围。参照《电子商务法》,笔者认为该草案“境内”适用范围同样广泛,应理解为凡是涉及数据活动的,任何情况发生在境内的,都应适用该法律。
此外,有人质疑《数据安全管理办法(征求意见稿)》对于数据活动,将“纯粹家庭和个人事务”排除在外,以欧盟为代表的GDPR也将家庭和个人事务排除在适用范围外。而该草案未作该排除规定,是何作法?
笔者认为该问题要结合草案第49条规定理解,第49条规定“涉及国家秘密和个人信息的数据活动,遵照其他法律、行政法规的规定处理。”但本草案仅规范数据活动问题,而不处理个人信息问题,与《数据安全管理办法(征求意见稿)》的规范对象(个人信息和数据安全)不同。
在此之外,该草案规定特定域外效力,与境外的“长臂管辖”制度不同,该草案将域外效力限缩在境外主体使用数据损害中国公民、组织合法权益,有其独特性。
第三 概念界定
第3条:
本法所称数据,是指任何以电子或者非电子形式对信息的记录。
数据活动,是指数据的收集、存储、加工、使用、提供、交易、公开等行为。
数据安全,是指通过采取必要措施,保障数据得到有效保护和合理利用,并持续处于安全状态的能力。
【解读】
笔者认为该草案的一大亮点在于明确区分“数据”和“信息”的概念。所谓数据是对信息的记录,只是信息的载体而非信息本身。
以电子数据而言,计算机底层的数据语言是“0”和“1”,从“0”和“1”衍生出万物言语,比如“0001”代表“我们”这个词汇,“0002”代表“你们”这个词汇,“0001”和“0002”是数据,“我们”“你们”才是信息。
此外,值得注意的是,所谓的“数据安全”并不只为“保护”含义,还包含“合理利用”的意涵。因此,今后当谈论企业要保障“数据安全”时,不仅意味着企业要承担保护数据的义务,还有合理利用的权利。
第四 权力机关
第6条:
中央国家安全领导机构负责数据安全工作的决策和统筹协调,研究制定、指导实施国家数据安全战略和有关重大方针政策。
第7条:
各地区、各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任。
工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
【解读】
该条所指中央国家安全机构是指中国共产党中央国家安全委员会。“国安委”于中国共产党第十八届中央委员会第三次全体会议提出设立,中央国家安全委员会由中共中央总书记习近平任主席,中央政治局常委李克强、张德江任副主席,下设常务委员和委员若干名。
由习总书记亲自挂帅,三大常委督导的数据安全活动,足见数据安全已然引发高层关注,成为国家战略规划的一部分。在今后国家将采取“自上而下”的行政手段,全力推动数据产业的发展。
除了“国安委”的决策和统筹协调外,行业各分管部门,公安机关、国家安全机关和国家网信部门又各自具有监管权限。笔者认为之所以设置众多部门具有监管职权,原因在于数据产业方兴未艾,今后会如何发展并不确定,使用模糊字眼并设置诸多监管机构,能为今后机构的及时进场监管留下法律回旋的空间。
第五 促进数据开发利用
第13条:
国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用,促进数据经济发展。
省级以上人民政府应当制定数字经济发展规划,并纳入本级国民经济和社会发展规划。
第14条:
第15条:
第16条:
第18条:
国家支持高等学校、中等职业学校和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
【解读】
数据的发展仰赖于技术的突破创新,虽然法律数据圈不断向人描绘数据蓝海的宏伟蓝图,实际上除了引发焦虑外,并不能推动产业的兴勃发展。应该看到,法律仅是规范数据行业的手段,并不能代替行业本身的发展规律。从笔者近期的观察看来,数据行业仅是互联网巨头们的狂欢,前哨虽然吹响,全民数据合规的高潮时代还未到来。
从该草案中的“促进”“鼓励”“支持”,也可以看出对于数据活动,目前仍是鼓励创新阶段,为什么鼓励和促进,因为目前国家还未形成数据产业的生存土壤。“数据基础设施建设”尚未建立,“数据开发利用技术”正在研发,“数据安全标准体系”并未统一,“数据开发利用技术和数据安全专业人才”稀缺。
笔者认为,计算机领域知识是服务于网络安全和数据合规必不可少的技能。如果懂得计算机基础原理,应当知道互联网最终是从客户的诉求出发并考虑生产成本问题的,一直以来互联网基础设施的建设更多是服务于个体,最大范围也是服务于企业。
因此受制于算力资源的有限,网络协议的标准不同,各存储介质的区别,企业和企业之间的数据很难流动。要想打破壁垒,意味着需要打通不同的网络协议标准,促使存储介质统一化。但是网络协议标准和计算机软硬件是以美国为首发展起来的产业链,国际标准和核心技术仍然掌握在他人手里。
《数据安全法(草案)》规定要“推进数据开发利用技术和数据安全标准体系建设”,该技术的研发和标准的建立势必要挑战国际标准和他国核心技术,数据流动之路困难重重。目前阿里、腾讯、爱奇艺等互联网巨头会产生数据合规的需求,在于互联网巨头本身的池子够大,在自身同一套网络协议标准、同一存储介质上,不存在数据流动困难的问题。
然而应该看出,道路虽然是曲折的,但是前途仍是光明的。数据活动之路看似漫长,但在科技发展一日千里的互联网时代,数据产业也将持续蓬勃发展,特别是从事“数据基础设施建设”、“发展数据开发利用和数据安全产品和产业体系”、“数据安全检测评估、认证”等专业机构,或将享受新一轮的政策红利。
第六 数据分级分类制度
第19条:
国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。
各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。
第25条:重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。
第28条:
重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括本组织掌握的重要数据的种类、梳理、收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。
【解读】
《数据安全法(草案)》根据数据的重要程度不同,对数据实行分级分类保护,其中重要数据要着重保护,例如设立数据安全负责人和管理机构,定期进行数据风险评估等。
值得注意的是,之前有关部门下发文件所实施的分级分类制度主要采取的是自分级分类模式,主体更多的是规范对象本身。
例如,国务院2018年3月17日发布的《科学数据管理办法》第十条规定:“科学数据中心是促进科学数据开放共享的重要载体,由主管部门委托有条件的法人单位建立,主要职责是:(一)承担相关领域科学数据的整合汇交工作;(二)负责科学数据的分级分类、加工整理和分析挖掘。” 中国证券监督管理委员会2019年6月1日实施的《证券基金经营机构信息技术管理办法》(第152号令)第三十条规定:“证券基金经营机构应当将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排”。
本次《数据安全法(草案)》的分级分类制度的实施主体是国家,意味着接下来国家将“自上而下”颁布一系列规范数据分级分类的规范性文件,促进社会数据活动的合规运营。
第七 数据跨境流动
第22条:
国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。
依法作出的安全审查决定为最终决定。
第23条:
第24条:
任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区采取相关的措施。
【解读】
数据出境安全评估一直以来是社会各方关注的焦点问题,对数据采取严格的本地化存储模式还是允许数据跨境流通模式,不同国家有不同的做法。
本草案虽未明确规定数据出境的具体评估模式,但提出国家要建立数据安全审查制度、数据出口管制制度和数据出口反制措施。
笔者认为上述监管制度的提出,并非意味着我国采取严格的数据本地化存储模式,相反地,国家允许数据跨境流动,而所谓的数据出口管制制度和数据出口反制措施只是数据跨境流动的例外规定,体现我国对数据出境安全评估采取“原则允许,例外规定”的模式。
第八 数据交易制度
第17条:
国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
第30条:
从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
第43条:
数据交易中介机构未履行本法第30条规定的义务,导致非法来源数据交易的,由有关主管部门责令改正,没收违法所得,处违反所得一倍以上十倍以下罚款,没有违法所得的,处十万元以上一百万元以下处罚,并可以由有关主管部门吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
【解读】
近年来,国家大力培育数据交易所的生存土壤,以贵阳大数据交易所为代表的数据交易中介机构不断发展壮大。
该草案在法律位阶上肯定了数据交易所存在的合法性,但同时要求数据交易所要规范运营,例如数据交易时,要审核交易双方的身份,留存审核、交易记录,违法者处于没收违法所得,吊销营业执照或业务许可证。
实际上,贵阳大数据交易所在实践中已探索出一套较为成熟的数据交易方案,包括形成了30种类型的数据交易品种,制定了十大交易标准,设置了完善的数据供应商资质体系及成熟的数据交易方式等。
鉴于当前已有较为成熟的数据交易土壤,培育数据交易市场有一定的操作性。
第九 政务数据
第34条:
国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。
第35条:
国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行。
第36条:
国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据的安全。
第37条:
国家机关委托他人存储、加工政务数据,或者向他人提供政务数据,应当经过严格的批准程序,并应当监督接收方履行相应的数据安全保护义务。
第38条:
国家机关应当遵循公正、公平、便民的原则,依照规定及时、准确地公开政务数据,依法不予公开的除外。
第39条:
国家制定政务数据开放目录,构建统一规范,互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
【解读】
《数据安全法(草案)》规定要大力发展电子政务数据,规范电子政务数据在收集、使用、委托加工等各环节的运用,同时构建政务数据开放目录,构建共享平台。
实际上,《数据安全法(草案)》对电子政务数据的规定是将前期零散的部门规定上升为国家法律。例如国务院早在2015年就发布了《促进大数据发展行动纲要》,随后在2016年2月4日批准由国家发改委、工信部等多部门牵头,共同成立了“大数据发展部际联系会议”。该“部际联系会议”作为联系各个部门的枢纽和桥梁,通过几次会议的召开,下发了诸如《政务信息资源共享管理暂行办法》、《政务信息资源目录编制指南(试行)》等文件,电子政务数据通过硬件设施的建设、制度的推行,按照一套规范流程进行数据的整合。
具体的流程为:首先,各级政府部门进行政务信息资源的采集,在采集的政务信息资源中抽取出元数据,将其数据化。其次,将数据化的信息放入各类政府信息资源目录,例如“姓名”以编号01的方式放入人口基础信息库,“长江”以编号02的方式放入地理空间基础信息库。然后,再将政府信息资源目录统一存储在国家政务数据中心。最后,各级部门机构如有需要,可申请共享政务数据,公民如果有需要查询,政务数据中心可开放非涉密信息以供查询。
可见截至《数据安全法(草案)》发布前,政府已经搭建了一套较为成熟的国家电子政务内网和外网,并实现中央、省、市、县各级政府部门的多级覆盖。该草案是对实践操作的归纳总结。
小结
《数据安全法(草案)》是第一部在法律位阶层面对数据安全和发展作出规定的法律文件,在数据管理安全上具有里程碑式的意义。但是,出于《数据安全法(草案)》目前还未经全国人大常委会审议,正式通过的法律将对该草案做何改变和调整,有待进一步观察。