2021年6月10日,历经三审,第十三届全国人大常务委员会第二十九次会议审议通过《中华人民共和国数据安全法》(以下简称《数据安全法》),自2021年9月1日正式实施。该法共七章55条,分为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则等章节。《数据安全法》统筹发展与安全,以基本法的形式明确了我国数据安全治理体系的顶层设计和“四梁八柱”,以安全保发展,助推数字中国建设,助力我国数字经济国际竞争。
坚持总体国家安全观,明确数据安全治理体系的顶层设计
《数据安全法》坚持总体国家安全观,明确我国数据安全治理采取最高决策、协同治理的顶层设计,应对数据这一非传统领域的国家安全风险。
一是数据安全事关国家安全,该法第5条从国家战略的高度,明确由中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制,实现最高决策。
二是数据安全风险广泛渗透至各行业、领域,数据安全治理在行业间既有共通性也有差异,该法第6条明确授权工业、电信、交通、金融等主管部门对本行业、本领域数据安全监管职责;同时,该法第21条、第22条分别明确由国家数据安全工作协调机制统筹协调各部门开展重要数据目录制定、数据安全风险信息的获取、分析、研判与预警等工作,通过跨部门协调工作机制确保数据安全治理重大事项,兼顾行业间数据安全治理标准的一致性和行业的特殊性,也避免部门利益之争损害国家数据安全利益。
三是数据安全与网络安全具有相关性,该法延续《网络安全法》的职责授权,明确由国家网信部门负责统筹协调网络数据安全和相关监管工作,同时公安机关、国家安全机关在各自职责范围内承担数据安全监管职责。
坚持风险治理路径,构建数据安全治理体系“四梁八柱”
一是以数据分类分级为核心,搭建数据安全监管制度。《数据安全法》第21条以“数据在经济社会发展中的重要程度”,以及“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”为标准,对数据实行分类分级保护。在此基础上,对重要数据采取目录管理,由国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,同时授权各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录,并强化重要数据处理者的数据安全保护义务,加强对重要数据的保护。另外,该法三审期间首次提出“国家核心数据”概念,明确对“关系国家安全、国民经济命脉、重要民生、重大公共利益等”国家核心数据,实行更加严格的管理制度,为应对未来国家数据安全风险、细化制度安排等,预留制度接口。
二是明确风险评估、监测预警、应急处置等管理要求,强化数据安全风险全流程防范应对。第22条明确国家建立数据安全风险评估、报告、信息共享、监测预警机制,实现事前风险评估、报告和信息共享,以及事中监测预警;第23条明确国家建立数据安全应急处置机制,通过事后应急处置,防止数据安全事件的危害扩大,消除安全隐患。同时,要求数据处理者履行相应的风险监测、数据安全事件报告、数据安全风险评估等义务。
三是强化落实各类型数据处理活动主体数据安全保护义务与责任。该法第四章专章规定了各类数据处理者的数据安全保护义务。一般数据处理者应当建立健全全流程数据安全管理制度,并加强风险监测,及时报告数据安全事件,同时要求开展数据处理活动等应当符合社会公德和伦理,不得窃取或者以非法方式获取数据;重要数据处理者还负有明确数据安全负责人和管理机构、定期开展数据处理活动风险评估并报送主管部门等义务,并应遵守出境安全管理要求。对于从事数据交易中介服务的机构,明确其负有审核交易双方身份、数据来源,并留存审核、交易记录的义务。最后,《数据安全法》明确数据处理服务提供者应当依法取得行政许可,为未来对数据处理服务市场准入环节实施准入资格监管提供了上位法依据。
完善数据出境风险管理,对全球数据竞争作出应对性规定
一是《数据安全法》补充和完善数据出境管理要求,强化境内数据出境风险控制。第31条对重要数据出境监管作出规定:一方面明确关键信息基础设施的运营者在境内运营中收集和产生的重要数据,继续适用《网络安全法》第37条有关数据出境安全管理要求;另一方面对其他数据处理者在境内运营中收集和产生的重要数据增设出境安全管理,并授权国家网信部门会同国务院有关部门制定相应的出境安全管理办法。此外,《数据安全法》第25条增设数据出口管制,明确对“与维护国家安全和利益、履行国际义务相关的属于管制物项的数据”实施出口管制,完善我国数据出境监管制度框架。
二是《数据安全法》针对全球数据竞争形势,作出应对性规定。其一,针对国外相关立法普遍具有域外适用效力、扩张本国立法管辖权的问题,如欧盟《通用数据保护条例》,《数据安全法》第2条以实际后果为标准,明确将对“损害中华人民共和国国家安全、公共利益或者公民、组织合法权益”的境外数据处理活动,追究法律责任。其二,针对国外近期立法授权本国执法机构跨境调取数据,可能侵犯我国数据主权、威胁我国数据安全的问题,如美国《云法案》,《数据安全法》第36条明确规定,非经我国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于我国境内的数据。其三,针对我国网信企业在出海过程中频遭他国国家安全审查等不平等对待的问题,《数据安全法》第24条明确我国建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查;第26条明确任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对我国采取歧视性的禁止、限制或者其他类似措施的,我国可以根据实际情况对该国家或者地区对等采取措施。
加快推进配套制度建设,助力《数据安全法》实施
《数据安全法》实施在即,在其实施过程中,既要加快推进该法各项制度的配套落实,也要着力解决各项制度与《网络安全法》《个人信息保护法》等立法之间的制度衔接问题。
一方面,《数据安全法》基本法的定位以及“宜粗不宜细”的立法风格,使得该法诸多规定过于原则,其落地实施有赖于配套行政法规、部门规章、国家标准等予以细化。该法虽然提出数据分类分级保护、重要数据目录管理、重要数据出境安全管理等要求,但各项制度的具体内容、如何实施等细致规定付之阙如,必然影响各类数据处理者切实履行各项数据安全保护义务。未来,应当尽快推进配套行政法规、部门规章等明确前述制度的具体内容和统一要求,并通过国家标准、行业标准等为企业合规提供细化指引。
另一方面,《数据安全法》中的诸多制度也亟待明确与现行法律制度间的衔接问题。《个人信息保护法》出台后,我国将形成《网络安全法》《数据安全法》《个人信息保护法》三法并行的局面,各项制度间存在着一定的交叉。如《网络安全法》中网络安全审查也包含对产品或服务中数据风险的审查;在数据市场要素以个人信息为主的现状之下,数据安全事件报告、重要数据出境管理等制度与《个人信息保护法》中个人信息泄露事件报告、个人信息出境等也存在交叉。诸如此类,亟待主管部门有的放矢,厘清前述制度的适用边界并建立适度的优化机制,避免制度间叠床架屋而浪费监管资源和企业合规成本。
作者:中国信息通信研究院安全研究所 葛鑫