《中華人民共和國數(shù)據(jù)安全法》解讀

發(fā)布時間 2021-09-29

6月10日,十三屆全國人大常委會第二十九次會議通過了《中華人民共和國數(shù)據(jù)安全法》(簡稱《數(shù)據(jù)安全法》)。歷經(jīng)兩次審議后,本次的《數(shù)據(jù)安全法》相比此前草案,強調(diào)了建立工作協(xié)調(diào)機制,加強對數(shù)據(jù)安全工作的統(tǒng)籌;明確對關系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)實行更嚴格的管理制度。同時,新法案進一步完善保障政務數(shù)據(jù)安全方面的規(guī)定,并加大對違法行為的處罰力度。下面將對《數(shù)據(jù)安全法》進行重點提煉,進一步明確該法的要點。

一、價值維度:統(tǒng)籌總體國家安全觀

《數(shù)據(jù)安全法》作為數(shù)據(jù)安全領域最高位階的專門法,與2017年6月1日起施行的《網(wǎng)絡安全法》共同完善了《國家安全法》框架下的安全治理法律體系?!稊?shù)據(jù)安全法》基于總體國家安全觀,將數(shù)據(jù)主權納入國家主權范疇,并進一步將數(shù)據(jù)要素的發(fā)展與安全統(tǒng)籌起來,為我國的數(shù)字化轉(zhuǎn)型,構建數(shù)字經(jīng)濟、數(shù)字政府、數(shù)字社會提供法治保障。

《數(shù)據(jù)安全法》第一條和第四條提出保障數(shù)據(jù)安全應堅持總體國家安全觀,要維護國家主權、安全和發(fā)展利益。第二條則進一步明確了法律條款的適用范圍。值得注意的是,在我國境外從事有損中華人民共和國國家安全的數(shù)據(jù)處理活動也將以本法為依據(jù)追究責任。第十七條提出將從國家層面推進數(shù)據(jù)安全標準體系的建設,正式將數(shù)據(jù)安全提升至國家安全高度。

二、制度維度:消除灰色地帶,形成制約機制

《數(shù)據(jù)安全法》作為數(shù)據(jù)領域的“上位法”,明確了政府、企業(yè)、社會相關管理者、運營者和經(jīng)營者的數(shù)據(jù)安全保護責任,消除了數(shù)據(jù)要素交易中的灰色地帶,對各行各業(yè)都形成了制約機制,及時遏制住了對于國計民生相關數(shù)據(jù)的隨意共享和流轉(zhuǎn)。

1.明確數(shù)據(jù)安全監(jiān)管制約職責

《數(shù)據(jù)安全法》從數(shù)據(jù)全場景構建數(shù)據(jù)全監(jiān)管體系,延續(xù)了《網(wǎng)絡安全法》生效以來的“一軸兩翼多級”的監(jiān)管體系。“一軸”指國家安全機關,兩翼指公安機關和網(wǎng)信部門,多級在行業(yè)橫向范圍主要體現(xiàn)在工業(yè)、電信、交通、金融等行業(yè)主管部門的共同參與,在行政架構方面主要體現(xiàn)在各地區(qū)、各部門對工作中收集和產(chǎn)生的數(shù)據(jù)進行安全管理上。如第五條提出由中央國家安全領導機構作為主管部門對本行業(yè)、本領域的數(shù)據(jù)安全監(jiān)管職責;第六條明確國家安全機關、公安機關在職權范圍內(nèi)承擔的數(shù)據(jù)安全監(jiān)管職責;明確各地區(qū)、各部門的主體責任,以全面的數(shù)據(jù)監(jiān)管制度和切實可行的數(shù)據(jù)保護操作規(guī)范,落實數(shù)據(jù)安全保護責任,推動數(shù)據(jù)安全發(fā)展;第十四條提出省級以上人民政府應將數(shù)字經(jīng)濟發(fā)展納入本級國民經(jīng)濟和社會發(fā)展規(guī)劃中,并按需要制定數(shù)字經(jīng)濟發(fā)展規(guī)劃。

2.完善數(shù)據(jù)分類分級保護制度

第二十一條提出,國家建立數(shù)據(jù)分級保護制度,依據(jù)不同的數(shù)據(jù)敏感程度制定不同的保護策略,通過建立重要數(shù)據(jù)目錄保護制度,保障重要敏感數(shù)據(jù)的安全,這將有助于防控數(shù)據(jù)風險、保障數(shù)據(jù)交易、釋放數(shù)據(jù)價值。這是繼《網(wǎng)絡安全法》首次提出數(shù)據(jù)分類分級保護制度后,《數(shù)據(jù)安全法》進一步明確相關部門在分類分級保護和重要數(shù)據(jù)保護中的職能?!稊?shù)據(jù)安全法》原則性規(guī)定了數(shù)據(jù)分類分級的依據(jù)為在經(jīng)濟社會發(fā)展中的重要程度和遭到篡改、泄露等情形時的危害程度。由于不同行業(yè)、不同地區(qū)數(shù)據(jù)分類分級的具體規(guī)則和考慮因素差異巨大,《數(shù)據(jù)安全法》將重要數(shù)據(jù)具體目錄和具體分類分級保護制度的制定權限下放到行業(yè)主管部門和各地區(qū)國家機關,充分平衡了法律規(guī)定的普適性和靈活性。

3.全局覆蓋數(shù)據(jù)安全風險評估機制

第二十二條提出要建立數(shù)據(jù)安全風險評估機制,從源頭預警數(shù)據(jù)安全風險,建立了全場景、集中統(tǒng)一的風險評估、報告、信息共享、檢測預警機制,充分識別對經(jīng)濟社會發(fā)展產(chǎn)生影響的內(nèi)外部潛在因素。第二十三條提出在風險識別基礎上確立數(shù)據(jù)安全應急處置機制,對已知安全風險及時進行應急處置。高效權威的數(shù)據(jù)安全風險評估機制能夠最大限度降低數(shù)據(jù)安全風險,而具體機制體制的主管機構、適用范圍、評估審查模式等配套制度也有望在后期逐步推出。

4.健全數(shù)據(jù)交易管理制度

第十九條提出國家建立健全數(shù)據(jù)交易管理制度,規(guī)范數(shù)據(jù)交易行為,培育數(shù)據(jù)交易市場。第三十三條規(guī)定了從事數(shù)據(jù)交易中介服務的機構要履行審核數(shù)據(jù)來源和交易雙方身份等義務的法律責任,這是首次在法律中提及數(shù)據(jù)交易中介機構,對于規(guī)范數(shù)據(jù)交易市場具有里程碑式的意義。

5.建立安全審查制度

第二十四條提出,國家建立數(shù)據(jù)安全審查制度,對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。且依法作出的安全審查決定將為最終決定。值得注意的是,這里提到國家依法作出的數(shù)據(jù)安全審查決定為最終決定,意味著相關具體行政行為將無法通過行政復議、行政訴訟等形式進行復議。

6.實施數(shù)據(jù)出口管制

第二十五條明確國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數(shù)據(jù)依法實施出口管制。第三十五條進一步提出,非經(jīng)中華人民共和國主管機關批準,境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)。《數(shù)據(jù)安全法》一方面明確維護國家安全和利益、履行國際義務可作為禁止相關數(shù)據(jù)出口的合法依據(jù),另一方面強化了對境外司法執(zhí)法機構提供數(shù)據(jù)的審批權,充分體現(xiàn)了我國在網(wǎng)絡數(shù)據(jù)空間主張數(shù)據(jù)主權的立法思想和主張。

7.推行行業(yè)牌照管理制度

《數(shù)據(jù)安全法》首次明文規(guī)定了從事數(shù)據(jù)服務的機構應獲取相關牌照。第三十四條明確,法律、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關服務應當取得行政許可的,服務提供者應當依法取得許可。這一點很有必要,因為一旦數(shù)據(jù)被視為和土地、資金一樣的生產(chǎn)要素,那么對于數(shù)據(jù)服務行業(yè)也應該和土地開發(fā)或者金融業(yè)一樣建立起準入牌照管理,從而進行全行業(yè)的準入審批與數(shù)據(jù)把控。

8.政府率先落實數(shù)據(jù)安全保護責任

政務數(shù)據(jù)安全與開發(fā)作為《數(shù)據(jù)安全法》的獨立章節(jié),要求我國政府在落實數(shù)據(jù)安全保護責任的同時,推動政務數(shù)據(jù)開放利用?!稊?shù)據(jù)安全法》針對政務數(shù)據(jù)開發(fā)利用作出了明確的指示,第三十七條提出要大力推進電子政務建設,提高政務數(shù)據(jù)的科學性、準確性、時效性,提升運用數(shù)據(jù)服務經(jīng)濟社會發(fā)展的能力。第四十一條提出,除依法不予公開的數(shù)據(jù)外,國家機關要按照規(guī)定及時、準確地公開政務數(shù)據(jù)。第四十二條提出要制定政務數(shù)據(jù)開放目錄,構建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務數(shù)據(jù)開放平臺,推動政務數(shù)據(jù)開放利用。

同時,《數(shù)據(jù)安全法》也對政府的數(shù)據(jù)保護做出了明文規(guī)定。其中,第三十八條要求國家機關對在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務信息等數(shù)據(jù)應當依法予以保密。而第四十條要求國家機關委托他人建設、維護電子政務系統(tǒng),存儲、加工政務數(shù)據(jù),應當經(jīng)過嚴格的批準程序,并應當監(jiān)督受托方履行相應的數(shù)據(jù)安全保護義務。根據(jù)該條款,國家機關可以委托第三方開發(fā)電子政務系統(tǒng),但必須建立嚴格的審批流程。

此外,第四十三條還將具有管理公共事務職能的組織納入到本章規(guī)定范圍中。可以預見,未來科研院所、行業(yè)協(xié)會以及認證、評估等專業(yè)機構的數(shù)據(jù)安全管理也將建立規(guī)范的審批程序。

9.強化違法行為處罰力度

《數(shù)據(jù)安全法》通過加大處罰力度,豐富處罰種類,對違法主體加以規(guī)制,以更高違法代價改善立法漏洞和數(shù)據(jù)活動主體的僥幸心理,促使其以良好的內(nèi)部合規(guī)體系進行自我規(guī)制。

一是新增了對違反國家核心數(shù)據(jù)管理制度處二百萬元以上一千萬元以下罰款,并根據(jù)情況責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照(第四十五條);

二是單獨增設對違反數(shù)據(jù)出境的處罰,最高一千萬元罰款,并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照,并對相關責任人員處一百萬元以下罰款(第四十六條);

三是將擅自向境外執(zhí)法/司法機構提供數(shù)據(jù)的處罰提高至最高五百萬元,對個人的處罰最高至五十萬元(第四十八條)。

三、發(fā)展維度:數(shù)據(jù)安全與開發(fā)利用并重

《數(shù)據(jù)安全法》更全面地保障了國家安全在各行業(yè)、各領域保障的有法可依,勢必驅(qū)動政府、機構和企業(yè)增加在數(shù)據(jù)安全領域的投資,完善安全防護體系,從而推動信息安全行業(yè)在數(shù)據(jù)安全領域的技術研發(fā)方面加快迭代,助力產(chǎn)品及服務不斷創(chuàng)新。如第七條就提出,國家保護個人、組織與數(shù)據(jù)有關的權益,鼓勵數(shù)據(jù)依法合理有效利用,保障數(shù)據(jù)依法有序自由流動,促進以數(shù)據(jù)為關鍵要素的數(shù)字經(jīng)濟發(fā)展。第十三條提出堅持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進數(shù)據(jù)安全,以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展。此外,在支持提升智能化的同時,應當充分發(fā)揮人文關懷,以人為本,照顧弱勢群體的需求,考慮老年人、殘疾人的需求,避免對老年人、殘疾人的日常生活造成障礙,讓智能化公共服務為更多人提供便利(第十五條)。充分體現(xiàn)了國家對弱勢群體需求的關注。

數(shù)據(jù)安全作為數(shù)據(jù)要素的基礎和保障,涉及國家經(jīng)濟社會發(fā)展的全領域、全過程?!稊?shù)據(jù)安全法》規(guī)定的數(shù)據(jù)安全保護責任和數(shù)據(jù)開發(fā)利用活動的全流程,數(shù)據(jù)伴隨著實際業(yè)務和應用,在不同載體間流動和留存,貫穿信息化和業(yè)務系統(tǒng)的各層面、各環(huán)節(jié),這對數(shù)據(jù)安全防護提出了更高的要求??梢灶A見,這將是一個復雜的系統(tǒng)工程,前提是將安全能力和舉措深入到應用和業(yè)務中,與系統(tǒng)、應用和業(yè)務的每個層級全面覆蓋和深度結合,才能建成體系,實現(xiàn)數(shù)據(jù)行級別、列級別、單元級別的精準防護。