《中華人民共和國數據安全法》解讀
發布時間 2021-09-296月10日,十三屆全國人大常委會第二十九次會議通過了《中華人民共和國數據安全法》(簡稱《數據安全法》)。歷經兩次審議后,本次的《數據安全法》相比此前草案,強調了建立工作協調機制,加強對數據安全工作的統籌;明確對關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據實行更嚴格的管理制度。同時,新法案進一步完善保障政務數據安全方面的規定,并加大對違法行為的處罰力度。下面將對《數據安全法》進行重點提煉,進一步明確該法的要點。
一、價值維度:統籌總體國家安全觀
《數據安全法》作為數據安全領域最高位階的專門法,與2017年6月1日起施行的《網絡安全法》共同完善了《國家安全法》框架下的安全治理法律體系。《數據安全法》基于總體國家安全觀,將數據主權納入國家主權范疇,并進一步將數據要素的發展與安全統籌起來,為我國的數字化轉型,構建數字經濟、數字政府、數字社會提供法治保障。
《數據安全法》第一條和第四條提出保障數據安全應堅持總體國家安全觀,要維護國家主權、安全和發展利益。第二條則進一步明確了法律條款的適用范圍。值得注意的是,在我國境外從事有損中華人民共和國國家安全的數據處理活動也將以本法為依據追究責任。第十七條提出將從國家層面推進數據安全標準體系的建設,正式將數據安全提升至國家安全高度。
二、制度維度:消除灰色地帶,形成制約機制
《數據安全法》作為數據領域的“上位法”,明確了政府、企業、社會相關管理者、運營者和經營者的數據安全保護責任,消除了數據要素交易中的灰色地帶,對各行各業都形成了制約機制,及時遏制住了對于國計民生相關數據的隨意共享和流轉。
1.明確數據安全監管制約職責
《數據安全法》從數據全場景構建數據全監管體系,延續了《網絡安全法》生效以來的“一軸兩翼多級”的監管體系。“一軸”指國家安全機關,兩翼指公安機關和網信部門,多級在行業橫向范圍主要體現在工業、電信、交通、金融等行業主管部門的共同參與,在行政架構方面主要體現在各地區、各部門對工作中收集和產生的數據進行安全管理上。如第五條提出由中央國家安全領導機構作為主管部門對本行業、本領域的數據安全監管職責;第六條明確國家安全機關、公安機關在職權范圍內承擔的數據安全監管職責;明確各地區、各部門的主體責任,以全面的數據監管制度和切實可行的數據保護操作規范,落實數據安全保護責任,推動數據安全發展;第十四條提出省級以上人民政府應將數字經濟發展納入本級國民經濟和社會發展規劃中,并按需要制定數字經濟發展規劃。
2.完善數據分類分級保護制度
第二十一條提出,國家建立數據分級保護制度,依據不同的數據敏感程度制定不同的保護策略,通過建立重要數據目錄保護制度,保障重要敏感數據的安全,這將有助于防控數據風險、保障數據交易、釋放數據價值。這是繼《網絡安全法》首次提出數據分類分級保護制度后,《數據安全法》進一步明確相關部門在分類分級保護和重要數據保護中的職能。《數據安全法》原則性規定了數據分類分級的依據為在經濟社會發展中的重要程度和遭到篡改、泄露等情形時的危害程度。由于不同行業、不同地區數據分類分級的具體規則和考慮因素差異巨大,《數據安全法》將重要數據具體目錄和具體分類分級保護制度的制定權限下放到行業主管部門和各地區國家機關,充分平衡了法律規定的普適性和靈活性。
3.全局覆蓋數據安全風險評估機制
第二十二條提出要建立數據安全風險評估機制,從源頭預警數據安全風險,建立了全場景、集中統一的風險評估、報告、信息共享、檢測預警機制,充分識別對經濟社會發展產生影響的內外部潛在因素。第二十三條提出在風險識別基礎上確立數據安全應急處置機制,對已知安全風險及時進行應急處置。高效權威的數據安全風險評估機制能夠最大限度降低數據安全風險,而具體機制體制的主管機構、適用范圍、評估審查模式等配套制度也有望在后期逐步推出。
4.健全數據交易管理制度
第十九條提出國家建立健全數據交易管理制度,規范數據交易行為,培育數據交易市場。第三十三條規定了從事數據交易中介服務的機構要履行審核數據來源和交易雙方身份等義務的法律責任,這是首次在法律中提及數據交易中介機構,對于規范數據交易市場具有里程碑式的意義。
5.建立安全審查制度
第二十四條提出,國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。且依法作出的安全審查決定將為最終決定。值得注意的是,這里提到國家依法作出的數據安全審查決定為最終決定,意味著相關具體行政行為將無法通過行政復議、行政訴訟等形式進行復議。
6.實施數據出口管制
第二十五條明確國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制。第三十五條進一步提出,非經中華人民共和國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。《數據安全法》一方面明確維護國家安全和利益、履行國際義務可作為禁止相關數據出口的合法依據,另一方面強化了對境外司法執法機構提供數據的審批權,充分體現了我國在網絡數據空間主張數據主權的立法思想和主張。
7.推行行業牌照管理制度
《數據安全法》首次明文規定了從事數據服務的機構應獲取相關牌照。第三十四條明確,法律、行政法規規定提供數據處理相關服務應當取得行政許可的,服務提供者應當依法取得許可。這一點很有必要,因為一旦數據被視為和土地、資金一樣的生產要素,那么對于數據服務行業也應該和土地開發或者金融業一樣建立起準入牌照管理,從而進行全行業的準入審批與數據把控。
8.政府率先落實數據安全保護責任
政務數據安全與開發作為《數據安全法》的獨立章節,要求我國政府在落實數據安全保護責任的同時,推動政務數據開放利用。《數據安全法》針對政務數據開發利用作出了明確的指示,第三十七條提出要大力推進電子政務建設,提高政務數據的科學性、準確性、時效性,提升運用數據服務經濟社會發展的能力。第四十一條提出,除依法不予公開的數據外,國家機關要按照規定及時、準確地公開政務數據。第四十二條提出要制定政務數據開放目錄,構建統一規范、互聯互通、安全可控的政務數據開放平臺,推動政務數據開放利用。
同時,《數據安全法》也對政府的數據保護做出了明文規定。其中,第三十八條要求國家機關對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密。而第四十條要求國家機關委托他人建設、維護電子政務系統,存儲、加工政務數據,應當經過嚴格的批準程序,并應當監督受托方履行相應的數據安全保護義務。根據該條款,國家機關可以委托第三方開發電子政務系統,但必須建立嚴格的審批流程。
此外,第四十三條還將具有管理公共事務職能的組織納入到本章規定范圍中。可以預見,未來科研院所、行業協會以及認證、評估等專業機構的數據安全管理也將建立規范的審批程序。
9.強化違法行為處罰力度
《數據安全法》通過加大處罰力度,豐富處罰種類,對違法主體加以規制,以更高違法代價改善立法漏洞和數據活動主體的僥幸心理,促使其以良好的內部合規體系進行自我規制。
一是新增了對違反國家核心數據管理制度處二百萬元以上一千萬元以下罰款,并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照(第四十五條);
二是單獨增設對違反數據出境的處罰,最高一千萬元罰款,并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,并對相關責任人員處一百萬元以下罰款(第四十六條);
三是將擅自向境外執法/司法機構提供數據的處罰提高至最高五百萬元,對個人的處罰最高至五十萬元(第四十八條)。
三、發展維度:數據安全與開發利用并重
《數據安全法》更全面地保障了國家安全在各行業、各領域保障的有法可依,勢必驅動政府、機構和企業增加在數據安全領域的投資,完善安全防護體系,從而推動信息安全行業在數據安全領域的技術研發方面加快迭代,助力產品及服務不斷創新。如第七條就提出,國家保護個人、組織與數據有關的權益,鼓勵數據依法合理有效利用,保障數據依法有序自由流動,促進以數據為關鍵要素的數字經濟發展。第十三條提出堅持以數據開發利用和產業發展促進數據安全,以數據安全保障數據開發利用和產業發展。此外,在支持提升智能化的同時,應當充分發揮人文關懷,以人為本,照顧弱勢群體的需求,考慮老年人、殘疾人的需求,避免對老年人、殘疾人的日常生活造成障礙,讓智能化公共服務為更多人提供便利(第十五條)。充分體現了國家對弱勢群體需求的關注。
數據安全作為數據要素的基礎和保障,涉及國家經濟社會發展的全領域、全過程。《數據安全法》規定的數據安全保護責任和數據開發利用活動的全流程,數據伴隨著實際業務和應用,在不同載體間流動和留存,貫穿信息化和業務系統的各層面、各環節,這對數據安全防護提出了更高的要求。可以預見,這將是一個復雜的系統工程,前提是將安全能力和舉措深入到應用和業務中,與系統、應用和業務的每個層級全面覆蓋和深度結合,才能建成體系,實現數據行級別、列級別、單元級別的精準防護。
