作者:方雯 律师助理
随着信息技术和生产生活的紧密融合,大数据应用已渗透到各行各业,对经济、社会和人民生活都产生了巨大的影响。数据安全因此也成为事关国家安全与社会经济发展的重要课题,各界对于数据安全的思考和讨论也在不断深入。
在今年的全国“两会”中,全国政协委员、全国工商联副主席、正泰集团董事长南存辉,就提出了关于加快《数据安全法》立法进程的提案,认为数据的不合理利用、数据权归属不清带来的法律纠纷等问题,给社会经济稳定带来诸多负面影响,可见我国数字经济的健康可持续发展迫切需要更为完备的法律体系保驾护航。
2020年6月28日,十三届全国人大常委会第二十次会议对《中华人民共和国数据安全法(草案)》(以下简称“《草案》”)进行了审议,并将全文公布在中国人大网,面向社会公众征求意见。本文将通过介绍我国有关数据安全的治理结构,并对《草案》中的重点条款进行解读,以便大家了解《草案》的立法精神及社会意义。
一、我国数据安全治理结构
1、监管体系
按《草案》的监管框架,由中央国家安全领导机构负责数据安全工作的决策和统筹协调。作为《国家安全法》的下位法,《草案》的规定是在数据安全领域秉承《国家安全法》第5条的精神,由国家安全委员会整体负责数据安全工作,研究制定、指导实施国家数据安全战略和有关重大方针政策。在具体实施层面,则由行业主管部门、公安和国家安全部门负责数据安全监管,由网信部门对数据安全和相关监管工作进行协调。尽管《草案》明确提到工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业、公安机关、国家安全机关负有本领域或者本部门范围内的数据安全监管职责,但不排除实践中相关部门在进行监管时职权出现交叉重叠。因此,未来各行业主管部门、监管部门可能需要同时肩负数据安全监管职责与关键信息基础设施的保护工作。
2、基本制度和义务
作为数据安全领域的基础性法律,《草案》第9条要求建立数据安全协同治理体系。这意味着政府部门、行业组织、企业、个人应当共同参与数据安全保护工作。《草案》也明确了国家层面的数据安全基本制度与企业层面的数据安全保护义务:
3、与其他法律法规的衔接
2017年6月,《网络安全法》的生效奠定了网络空间数据保护的基石。《草案》与《网络安全法》一样,均为《国家安全法》的下位法,同为国家安全体系的重要组成部分。《网络安全法》中不乏数据安全保护的相关规定,但该等规定侧重于数据自身安全,即网络数据的完整性和保密性;而《草案》则更加侧重数据的宏观安全,即从维护国家主权安全的角度对数据进行有效保护,此外《草案》还强调数据的合法利用,立法目的更加多元,在保障数据安全的同时发挥数据价值。
《数据安全管理办法(征求意见稿)》是《网络安全法》的下位法,其与《草案》都规定了网络运营者在数据处理活动中的安全保护措施。不同之处在于《草案》下的数据保护制度适用于所有数据, 包括线下数据;而《数据安全管理办法(征求意见稿)》则强调了网络运营者应承担保护个人信息和重要数据的义务。
此外,《草案》设定的数据审查制度与《网络安全审查办法》、《出口管制法》、《外商投资法》等其他法律规定的网络安全审查、外商投资审查等可能存在重合,如何协调还有待立法部门作出安排。二、《数据安全法》(草案)亮点解读
亮点一:从国家主权出发,兼顾数据保护与数据利用《草案》第1条指出,本法的立法目的为:保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益,从中可以看出“保护和利用并举”与“维护国家利益”两项主要的立法宗旨。《草案》第5条亦明确规定,国家鼓励数据的合理有效利用、保障数据的有序自由流动。可见,从国家层面对数据利用采取监管与发展并重的态度,力求达到数据安全和数据利用的平衡。
亮点二:适用范围十分宽泛《草案》第2、3条规定了其适用对象为:在我国境内开展的数据活动。其中“数据”是指任何以电子或者非电子形式对信息的记录;“数据活动”是指数据的收集、存储、加工、使用、提供、交易、公开等行为。此外,《草案》附则部分还明确:涉及国家秘密和军事数据的活动,应分别适用《保守国家秘密法》和中央军事委员会另行制定的单行规则。同时,我国《个人信息保护法》也已提交到全国人大常委会审议,《草案》明确规定个人信息也属于数据的一种,这是为即将出台的《个人信息保护法》预留了空间。由此可见,《草案》适用对象的范围十分宽泛,对于在境内实施任何数据收集、存储、使用等行为的组织和个人,不论主体身份,不论处理的数据数量、频率如何,均应遵守该法。
亮点三:支持政务数据的开放与利用
政务数据的利用与开放是加快政府数字化转型,推进电子政务建设的重要步骤。在收集、使用数据时,政府应依法定职责和法律规定,健全安全管理制度,将责任落到实处;监督可能涉及的第三方,保障政务数据安全;遵循公正、公平、便民的原则,及时、准确地公开政务数据,实施“清单式管理”,构建统一互通的政务开放平台,将政务数据赋能值扩展到最大,利用数据更好地服务经济社会发展。
对企业而言,如遇国家机关委托存储、加工政务数据的情形,应配合国家机关完成审批程序,采取必要的技术和组织措施保障政务数据安全,并确保获得委托处理政务数据的授权或许可。当然,关于审批程序与政务数据的具体安全义务,还有待于相关法规与标准予以进一步细化与完善。
亮点四:明确企业数据合规义务
《草案》第四章明确了数据活动主体的具体安全保护义务与责任,并列举了一系列需要遵守的合规义务,包括开展安全培训、完善制度建设、风险评估监测、报告安全事件、落实数据分级分类等制度等。
1、明确企业所控制的受规制数据
《草案》所规制的数据极为广泛,不仅包括电子的数据,还包括非电子的数据,例如员工填表所得的数据。因此,企业首先需要明确企业自身所受《草案》约束的数据范围,并在“数据”这一基本类型的基础上,识别除《草案》外是否还应遵守《网络安全法》以及日后出台的《个人信息保护法》的相关规定。
2、确保数据收集的合法、正当与必要性
根据《草案》第29条的规定,任何组织、个人收集数据,都必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。除直接收集外,企业需要特别注意从第三方间接收集数据时,也需要核实第三方数据来源的合法性、正当性,例如进行前期安全尽调、要求第三方签订承诺书、保证书等,并审查自身获取数据是否符合必要性要求。
3、设立数据安全管理制度,采取技术和必要措施保障数据安全
根据《草案》第25条的规定,开展数据活动应……建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。对企业而言,一方面需要在企业内部设置相应的数据安全管理制度,例如《数据访问权限管理制度》、《IT管理制度》;另一方面也需要采取相应的技术措施或其他必要措施来保障数据安全,例如数据分级分类存储、加密传输、保存等。
4、对数据分级分类保护
对于数据分级分类制度,《草案》借鉴了去年2月工信部印发的《工业数据分类分级指南(试行)》,以一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度作为标准之一,按该数据在经济社会发展中的重要程度,对数据进行分级分类保护。相对应地,企业在开展业务的过程中也应针对数据的重要程度、敏感程度对数据进行分类保护,例如对儿童的个人信息应当加密存储。信安标委也正在研发《重要数据分级分类指南》,企业也可以关注相关动态,以便提前规划相应的合规工作。
三、总结《数据安全法》的出台将从法律层面对数据安全进行有效的规制,掌握数据开发利用的主动权是信息时代和数字经济发展的关键钥匙。尽管目前公布的《草案》尚有需要改进之处,但其体现出了我国从国家主权出发,兼顾数据保护和数据利用的立法理念。据悉,相关部门正在着手制定如《网络预约汽车服务数据安全指南》、《快递物流服务数据安全指南》、《网上支付服务数据安全指南》等行业细化标准,企业应实时关注《数据安全法》及配套法规的立法动态,提前做好预案,使数据成为企业合规安全运营的新动力。
发表评论