今年6月28日,《数据安全法(草案)》(下文简称“数安法”)提请十三届全国人大常委会第二十次会议初次审议。7月3日,数安法向社会公众公开征求意见,各位专家和网友纷纷在互联网上展开热议。
今天,我们不做解读,因为目前还是草案,距离正式颁布还有一些时间,只把我近期所了解到的内容,结合一些自己的想法说出来,一起聊聊《数安法》。
1 《数据安全法》立法宗旨
官方起草说明
首先,我们先看下国家为什么要起草《数安法》,以下引用官方的起草说明:
按照党中央部署和贯彻落实总体国家安全观的要求,制定一部数据安全领域的基础性法律十分必要:
- 一是,数据是国家基础性战略资源,没有数据安全就没有国家安全。因此,应当按照总体国家安全观的要求,通过立法加强数据安全保护,提升国家数据安全保障能力,有效应对数据这一非传统领域的国家安全风险与挑战,切实维护国家主权、安全和发展利益。
- 二是,当前,各类数据的拥有主体多样,处理活动复杂,安全风险加大,必须通过立法建立健全各项制度措施,切实加强数据安全保护,维护公民、组织的合法权益。
- 三是,发挥数据的基础资源作用和创新引擎作用,加快形成以创新为主要引领和支撑的数字经济,更好服务我国经济社会发展,必须通过立法规范数据活动,完善数据安全治理体系,以安全保发展、以发展促安全。
- 四是,为适应电子政务发展的需要,提升政府决策、管理、服务的科学性和效率,应当通过立法明确政务数据安全管理制度和开放利用规则,大力推进政务数据资源开放和开发利用。
起草工作的重点:
- 一是,把握正确政治方向,贯彻落实总体国家安全观,坚持党对数据安全工作的领导。
- 二是,立足数据安全工作实际,着力解决数据安全领域突出问题,同时坚持包容审慎原则,鼓励和促进数据依法合理有效利用。
- 三是,数据安全法作为数据领域的基础性法律,重点是确立数据安全保护管理各项基本制度,并与网络安全法、正在制定的个人信息保护法等做好衔接。
据了解,一些与《数安法》相关的法规、制度、标准都已在路上了,比如:《个人信息保护法》(起草中)、《App违法违规收集使用个人信息行为认定方法》、 《信息安全技术 个人信息安全规范》、 《数据安全管理办法》(征求意见稿)、《个人信息出境安全评估办法》(征求意见稿)等等。
1.1 法律地位
不难看出,《数安法》最核心的目的其实是坚持总体国家安全观,保证国家安全(草案第4条,维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力),这点也是贴合《国家安全法》第三条的要求,即国家安全工作应当坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,维护各领域国家安全,构建国家安全体系,走中国特色国家安全道路。目前欧盟的《GDPR》、美国的《Cloud》法案和CCPA都已明确国家对数据的控制权限,而在这方面我国仍处于被动局面。所以,我们明确如何保障数据安全很有必要。
那么,《数安法》在法律体系中的地位是怎样的呢?据了解,一些法学界人事的看法是,其次于《国家安全法》,高于《网络安全法》和《个人信息保护法》,不过官方并未表态,只是目前一些人的观点。
1.2 聚焦重点
《数安法》主要解决的就是数据安全的问题,这其中就包括了数据、安全两个概念。
数据
无论国内还是国外,对于数据的管理,首先就必须明确数据的定义和对其拥有的权利,通常数据一般包括重要数据、敏感数据、个人数据、其他数据等分类。《数安法》第三条指出:本法所称数据,是指任何以电子或者非电子形式对信息的记录。如果套用《网络安全法》第七十六条对网络数据的定义,可以看出《数安法》中的数据包括网络数据和非网络数据。
关于重要数据,有消息称:国家正在制定有关重要数据定义的指南标准。关于重要数据的概念,数安法并没有提到。《数据安全管理办法》(征求意见稿)第38条对于重要数据有定义可以参考。其指出重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。
国际上(尤其是欧盟)提倡促进数据开放和全球流动,各国不应阻碍其流动性,我国也采取同样的态度,旨在促进数据跨境安全、自由流动(草案第10条)。
安全
明确了数据的定义和类别,那么接下来就是确保数据安全。数据安全法对于数据安全进行了下定义,《数安法》第三条规定“数据安全,是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力”。这一概念有较大的不确定之处,比如如何从技术上判定:采取必要措施;有效保护和合法利用;持续处于安全状态?而且这一概念与《网络安全法》中对于网络安全的定义中涉及的“以及保障网络数据的完整性、保密性、可用性的能力”也不相同。未来如何从技术上定义数据安全将是一个值得继续深入探讨的问题。
2 《数安法》的主要内容及可能产生的影响
首先,先看一下《数安法》的内容结构。
关于本法的适用范围
草案明确在我国境内开展的数据活动适用本法,其中数据是任何以电子或者非电子形式对信息的记录,数据活动是指数据的收集、存储、加工、使用、提供、交易、公开等行为。同时,草案赋予本法必要的域外适用效力,规定:中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。(草案第2、3条)
关于支持、促进数据安全与发展的措施
草案坚持安全与发展并重,设专章对支持促进数据安全与发展的措施作了规定,保护个人、组织与数据有关的权益,提升数据安全治理和数据开发利用水平,促进以数据为关键要素的数字经济发展。包括:实施大数据战略,制定数字经济发展规划;支持数据相关技术研发和商业创新;推进数据相关标准体系建设,促进数据安全检测评估、认证等服务的发展;培育数据交易市场;支持采取多种方式培养专业人才等。(草案第12条至第18条)
关于数据安全制度
为有效应对境内外数据安全风险,有必要建立健全国家数据安全管理制度,完善国家数据安全治理体系。对此,草案主要作了以下规定:一是,建立数据分级分类管理制度,确定重要数据保护目录,对列入目录的数据进行重点保护(草案第19条)。二是,建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判、预警工作(草案第20条)。三是,建立数据安全应急处置机制,有效应对和处置数据安全事件(草案第21条)。四是,与相关法律相衔接,确立数据安全审查制度和出口管制制度(草案第22、23条)。五是,针对一些国家对我国的相关投资和贸易采取歧视性等不合理措施的做法,明确我国可以根据实际情况采取相应的措施(草案第24条)。
关于数据安全保护义务
保障数据安全,关键是要落实开展数据活动的组织、个人的主体责任。对此,草案主要作了以下规定:一是,开展数据活动必须遵守法律法规,尊重社会公德和伦理,有利于促进经济社会发展,增进人民福祉,不得违法收集、使用数据,不得危害国家安全、公共利益,不得损害公民、组织的合法权益(草案第8、26、29条)。二是,开展数据活动应当按照规定建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全(草案第25条)。三是,开展数据活动应当加强数据安全风险监测、定期开展风险评估,及时处置数据安全事件,并履行相应的报告义务(草案第27、28条)。四是,对数据交易中介服务和在线数据处理服务等作出规范(草案第30、31条)。五是,对公安机关和国家安全机关因依法履行职责需要调取数据以及境外执法机构调取境内数据时,有关组织和个人的相关义务作了规定(草案第32、33条)。
关于政务数据安全与开放
为保障政务数据安全,并推动政务数据开放利用,草案主要作了以下规定:一是,对推进电子政务建设,提升运用数据服务经济社会发展的能力提出要求(草案第34条)。二是,规定国家机关收集、使用数据应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行,并落实数据安全保护责任,保障政务数据安全(草案第35、36条)。三是,对国家机关委托他人存储、加工或者向他人提供政务数据的审批要求和监督义务作出规定(草案第37条)。四是,要求国家机关按照规定及时准确公开政务数据,制定政务数据开放目录,构建政务数据开放平台,推动政务数据开放利用(草案第38、39条)。
关于数据安全工作职责
数据安全涉及各行业各领域,涉及多个部门的职责,草案明确中央国家安全领导机构对数据安全工作的决策和统筹协调等职责,加强对数据安全工作的组织领导;同时对有关行业部门和有关主管部门的数据安全监管职责作了规定。(草案第6、7条)
这样的一部立法如果出台,必然对内对外都会产生较大的影响,我们分别从国际和国内两个方面来看。
目前(截止2020年6月)全有已有142个国家制定了数据隐私相关的立法,全球已有超60个国家提出数据本土化存储要求,遍布各大洲。欧盟提倡以基本权利为基础模式,美国提倡自由市场和强监管模式,而我国则提倡安全风险防范为主兼顾数字经济发展模式。
一个典型的案例就是美国撤销四家中资电信公司运营许可证。美国联邦通信委员会向中国电信美洲公司、中国联通美洲公司、太平洋网络和信通电话提出,要求对为何美国不应启动撤销授权的程序进行解释。
此外,美国以危害国家安全为由抵制华为、中兴、大疆等具有自主研发能力的中国大型企业,并将华为、中兴列入危害美国国家安全企业名单,同样地,印度也效仿美国对我国商品进行抵制。欧盟方面,新冠疫情下,欧盟、澳大利亚、印度、西班牙等九国纷纷出台限制规定,限制外国投资,防止趁机收购国家关键资产和技术,很明显,这就是醉翁之意不在酒。面对这种形势,《数安法》的出台可以说是势在必行。
针对这种局面,《数安法》规定了一些应对方法。比如:
- 加快制定和完善我国数据安全战略规划和实施方案。强调国家利益,同时体现全球化趋势且符合国际标准;
- 加强我国数据防护能力。《数安法》第33条,明确规定外国司法和执法机构调取我国境内存储数据,应经过主管部门批准,不可随意调用。
- 扩大管辖范围。与《GDPR》、《CCPA》和《Cloud》类似,《数安法》第2条规定,在中华人民共和国境内开展数据活动,适用本法。中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
- 出口管制。《数安法》第23条规定,国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制。
- 对等原则。要反制,但要恰到好处,不能鱼死网破。《数安法》第24条规定,任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区采取相应的措施。
- 开放政策。持续开放,持续发展,促进区域经济一体化。促进中日韩自贸区建立、一带一路、中非合作等规划。《数安法》第10条规定,国家积极开展数据领域国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
近年来,数据安全、数据泄露等问题日益突出,面对国内的这些问题,《数安法》提出了相应对策,这些对策将对国内产生一些影响,具体的影响还要在后续进行进一步评估。具体如下:
- 坚持安全与发展并重,回应中央国务院的政策变化。《数安法》第12-18条就此进行了规定。
- 建立和完善国家数据安全制度。见《数安法》第19-24条。
- 明确数据安全义务,需满足合规性(《数安法》第8、26、29条)、完善管理制度和相关培训(第25条)、加强安全风险监控与风险评估(第27条)
- 对数据交易中介服务和在线数据处理机构提出规范和要求(第30、31条)
- 明确公安机关和国家安全机关数据调取的权利(第32、33条)
3. 对《数安法》草案的一些期望
从《数安法》草案的初次审议,可以看到国家对数据安全的关注程度,特别是将其上升到国家安全层面,由中央国家安全领导机构负责数据安全工作的决策和统筹协调,研究制定、指导实施国家数据安全战略和有关重大方针政策。但同时也看到了草案当前可能有些不太完善的地方,希望在后续的N审稿中能够不断完善。下面提一些对草案的期望。
(1) 数据安全、重要数据等重要概念应该严谨、明确
数据安全的概念是《数安法》贯穿整部法律的概念,对于每一项制度的实施都有重要影响,建议对数安法的概念进行完善。无论《GDPR》、《CCPA》还是《CLOUD》都对重要数据进行了明确且严谨的定义,《数据安全法》作为一部国家数据安全的立法,不应省略对重要数据的定义。
(2) 重要数据认定制度应当进一步完善
《数安法》第19条规定:各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。
如果这样执行,那必然会产生问题,增加各部门以及企业的成本。举个简单的例子:
数据A在杭州被当地部门定为重要数据,当数据A流动到北京时,北京当地部门认为数据A不属于重要数据,只能定为敏感数据,那么同样的数据,在不同的地域将会出现不同的属性,这势必会造成重大影响。因此,不能由各地规定,建议由各行业确定判定规则或者制定国家统一标准。
(3) 减少制度的交叉
《数安法》第22条规定:国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。
因为目前已经有了《网络安全审查办法》,《办法》由工业和信息化部等12个部门联合制定发布。当前,数据安全审查与网络安全审查存在一定程度交叉,建议考虑是否可以在一定程度上做好整合。
(4) 部分制度不够明确,操作性不强
例如《数安法》中第30、31条中的数据交易中介服务、在线数据处理机构,只是提及,并未定义什么样的机构属于该范畴,在实际执法中可能会存在问题。
另外,对于程序的描述过于简洁,例如,28条规定:重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。本条对于什么样程度的风险需要进行评估,以及评估的频次等都没有规定。
这就好比网络安全事件应急预案,如何定义风险,何种程度的风险应该报送,报送给谁,怎么报送,如果不报送有什么惩罚措施?这些都没有给出明确说明。
《数安法》体现了安全和发展并重的价值取向,盼望后续数安法在立法过程中可以将数据安全和数据利用协调一致、齐头并进,建久安之势、成长治之业。对于企业而言,数据安全不再是义务,而是制度,是强管理要求。国家应尽快完善数据安全治理体系和配套法规、标准,同时探讨和完善《数安法》条文细则,这是我们当前最需要关心的事情。