文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

从国家到个人,《数据安全法》(草案)对我们将有何影响

2024-12-11 18:54

关注

[[334301]]

今年6月28日,《数据安全法(草案)》(下文简称“数安法”)提请十三届全国人大常委会第二十次会议初次审议。7月3日,数安法向社会公众公开征求意见,各位专家和网友纷纷在互联网上展开热议。

今天,我们不做解读,因为目前还是草案,距离正式颁布还有一些时间,只把我近期所了解到的内容,结合一些自己的想法说出来,一起聊聊《数安法》。

1 《数据安全法》立法宗旨

官方起草说明

首先,我们先看下国家为什么要起草《数安法》,以下引用官方的起草说明:

按照党中央部署和贯彻落实总体国家安全观的要求,制定一部数据安全领域的基础性法律十分必要:

起草工作的重点:

据了解,一些与《数安法》相关的法规、制度、标准都已在路上了,比如:《个人信息保护法》(起草中)、《App违法违规收集使用个人信息行为认定方法》、 《信息安全技术 个人信息安全规范》、 《数据安全管理办法》(征求意见稿)、《个人信息出境安全评估办法》(征求意见稿)等等。

1.1 法律地位

不难看出,《数安法》最核心的目的其实是坚持总体国家安全观,保证国家安全(草案第4条,维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力),这点也是贴合《国家安全法》第三条的要求,即国家安全工作应当坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,维护各领域国家安全,构建国家安全体系,走中国特色国家安全道路。目前欧盟的《GDPR》、美国的《Cloud》法案和CCPA都已明确国家对数据的控制权限,而在这方面我国仍处于被动局面。所以,我们明确如何保障数据安全很有必要。

那么,《数安法》在法律体系中的地位是怎样的呢?据了解,一些法学界人事的看法是,其次于《国家安全法》,高于《网络安全法》和《个人信息保护法》,不过官方并未表态,只是目前一些人的观点。

1.2 聚焦重点

《数安法》主要解决的就是数据安全的问题,这其中就包括了数据、安全两个概念。

数据

无论国内还是国外,对于数据的管理,首先就必须明确数据的定义和对其拥有的权利,通常数据一般包括重要数据、敏感数据、个人数据、其他数据等分类。《数安法》第三条指出:本法所称数据,是指任何以电子或者非电子形式对信息的记录。如果套用《网络安全法》第七十六条对网络数据的定义,可以看出《数安法》中的数据包括网络数据和非网络数据。

关于重要数据,有消息称:国家正在制定有关重要数据定义的指南标准。关于重要数据的概念,数安法并没有提到。《数据安全管理办法》(征求意见稿)第38条对于重要数据有定义可以参考。其指出重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

国际上(尤其是欧盟)提倡促进数据开放和全球流动,各国不应阻碍其流动性,我国也采取同样的态度,旨在促进数据跨境安全、自由流动(草案第10条)。

安全

明确了数据的定义和类别,那么接下来就是确保数据安全。数据安全法对于数据安全进行了下定义,《数安法》第三条规定“数据安全,是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力”。这一概念有较大的不确定之处,比如如何从技术上判定:采取必要措施;有效保护和合法利用;持续处于安全状态?而且这一概念与《网络安全法》中对于网络安全的定义中涉及的“以及保障网络数据的完整性、保密性、可用性的能力”也不相同。未来如何从技术上定义数据安全将是一个值得继续深入探讨的问题。

2 《数安法》的主要内容及可能产生的影响

首先,先看一下《数安法》的内容结构。


关于本法的适用范围

草案明确在我国境内开展的数据活动适用本法,其中数据是任何以电子或者非电子形式对信息的记录,数据活动是指数据的收集、存储、加工、使用、提供、交易、公开等行为。同时,草案赋予本法必要的域外适用效力,规定:中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。(草案第2、3条)

关于支持、促进数据安全与发展的措施

草案坚持安全与发展并重,设专章对支持促进数据安全与发展的措施作了规定,保护个人、组织与数据有关的权益,提升数据安全治理和数据开发利用水平,促进以数据为关键要素的数字经济发展。包括:实施大数据战略,制定数字经济发展规划;支持数据相关技术研发和商业创新;推进数据相关标准体系建设,促进数据安全检测评估、认证等服务的发展;培育数据交易市场;支持采取多种方式培养专业人才等。(草案第12条至第18条)

关于数据安全制度

为有效应对境内外数据安全风险,有必要建立健全国家数据安全管理制度,完善国家数据安全治理体系。对此,草案主要作了以下规定:一是,建立数据分级分类管理制度,确定重要数据保护目录,对列入目录的数据进行重点保护(草案第19条)。二是,建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判、预警工作(草案第20条)。三是,建立数据安全应急处置机制,有效应对和处置数据安全事件(草案第21条)。四是,与相关法律相衔接,确立数据安全审查制度和出口管制制度(草案第22、23条)。五是,针对一些国家对我国的相关投资和贸易采取歧视性等不合理措施的做法,明确我国可以根据实际情况采取相应的措施(草案第24条)。

关于数据安全保护义务

保障数据安全,关键是要落实开展数据活动的组织、个人的主体责任。对此,草案主要作了以下规定:一是,开展数据活动必须遵守法律法规,尊重社会公德和伦理,有利于促进经济社会发展,增进人民福祉,不得违法收集、使用数据,不得危害国家安全、公共利益,不得损害公民、组织的合法权益(草案第8、26、29条)。二是,开展数据活动应当按照规定建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全(草案第25条)。三是,开展数据活动应当加强数据安全风险监测、定期开展风险评估,及时处置数据安全事件,并履行相应的报告义务(草案第27、28条)。四是,对数据交易中介服务和在线数据处理服务等作出规范(草案第30、31条)。五是,对公安机关和国家安全机关因依法履行职责需要调取数据以及境外执法机构调取境内数据时,有关组织和个人的相关义务作了规定(草案第32、33条)。

关于政务数据安全与开放

为保障政务数据安全,并推动政务数据开放利用,草案主要作了以下规定:一是,对推进电子政务建设,提升运用数据服务经济社会发展的能力提出要求(草案第34条)。二是,规定国家机关收集、使用数据应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行,并落实数据安全保护责任,保障政务数据安全(草案第35、36条)。三是,对国家机关委托他人存储、加工或者向他人提供政务数据的审批要求和监督义务作出规定(草案第37条)。四是,要求国家机关按照规定及时准确公开政务数据,制定政务数据开放目录,构建政务数据开放平台,推动政务数据开放利用(草案第38、39条)。

关于数据安全工作职责

数据安全涉及各行业各领域,涉及多个部门的职责,草案明确中央国家安全领导机构对数据安全工作的决策和统筹协调等职责,加强对数据安全工作的组织领导;同时对有关行业部门和有关主管部门的数据安全监管职责作了规定。(草案第6、7条)

这样的一部立法如果出台,必然对内对外都会产生较大的影响,我们分别从国际和国内两个方面来看。

目前(截止2020年6月)全有已有142个国家制定了数据隐私相关的立法,全球已有超60个国家提出数据本土化存储要求,遍布各大洲。欧盟提倡以基本权利为基础模式,美国提倡自由市场和强监管模式,而我国则提倡安全风险防范为主兼顾数字经济发展模式。

一个典型的案例就是美国撤销四家中资电信公司运营许可证。美国联邦通信委员会向中国电信美洲公司、中国联通美洲公司、太平洋网络和信通电话提出,要求对为何美国不应启动撤销授权的程序进行解释。

此外,美国以危害国家安全为由抵制华为、中兴、大疆等具有自主研发能力的中国大型企业,并将华为、中兴列入危害美国国家安全企业名单,同样地,印度也效仿美国对我国商品进行抵制。欧盟方面,新冠疫情下,欧盟、澳大利亚、印度、西班牙等九国纷纷出台限制规定,限制外国投资,防止趁机收购国家关键资产和技术,很明显,这就是醉翁之意不在酒。面对这种形势,《数安法》的出台可以说是势在必行。

针对这种局面,《数安法》规定了一些应对方法。比如:

近年来,数据安全、数据泄露等问题日益突出,面对国内的这些问题,《数安法》提出了相应对策,这些对策将对国内产生一些影响,具体的影响还要在后续进行进一步评估。具体如下:

3. 对《数安法》草案的一些期望

从《数安法》草案的初次审议,可以看到国家对数据安全的关注程度,特别是将其上升到国家安全层面,由中央国家安全领导机构负责数据安全工作的决策和统筹协调,研究制定、指导实施国家数据安全战略和有关重大方针政策。但同时也看到了草案当前可能有些不太完善的地方,希望在后续的N审稿中能够不断完善。下面提一些对草案的期望。

(1) 数据安全、重要数据等重要概念应该严谨、明确

数据安全的概念是《数安法》贯穿整部法律的概念,对于每一项制度的实施都有重要影响,建议对数安法的概念进行完善。无论《GDPR》、《CCPA》还是《CLOUD》都对重要数据进行了明确且严谨的定义,《数据安全法》作为一部国家数据安全的立法,不应省略对重要数据的定义。

(2) 重要数据认定制度应当进一步完善

《数安法》第19条规定:各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。

如果这样执行,那必然会产生问题,增加各部门以及企业的成本。举个简单的例子:

数据A在杭州被当地部门定为重要数据,当数据A流动到北京时,北京当地部门认为数据A不属于重要数据,只能定为敏感数据,那么同样的数据,在不同的地域将会出现不同的属性,这势必会造成重大影响。因此,不能由各地规定,建议由各行业确定判定规则或者制定国家统一标准。

(3) 减少制度的交叉

《数安法》第22条规定:国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。

因为目前已经有了《网络安全审查办法》,《办法》由工业和信息化部等12个部门联合制定发布。当前,数据安全审查与网络安全审查存在一定程度交叉,建议考虑是否可以在一定程度上做好整合。

(4) 部分制度不够明确,操作性不强

例如《数安法》中第30、31条中的数据交易中介服务、在线数据处理机构,只是提及,并未定义什么样的机构属于该范畴,在实际执法中可能会存在问题。

另外,对于程序的描述过于简洁,例如,28条规定:重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。本条对于什么样程度的风险需要进行评估,以及评估的频次等都没有规定。

这就好比网络安全事件应急预案,如何定义风险,何种程度的风险应该报送,报送给谁,怎么报送,如果不报送有什么惩罚措施?这些都没有给出明确说明。

《数安法》体现了安全和发展并重的价值取向,盼望后续数安法在立法过程中可以将数据安全和数据利用协调一致、齐头并进,建久安之势、成长治之业。对于企业而言,数据安全不再是义务,而是制度,是强管理要求。国家应尽快完善数据安全治理体系和配套法规、标准,同时探讨和完善《数安法》条文细则,这是我们当前最需要关心的事情。

 

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯