Loading
2020-07-10 10:44:00
由于該草案是全國人大常委會發布的第一部規范數據合規與發展利用的法律文件,該草案一經發布,立即引起了廣泛關注。筆者嘗試對《數據安全法(草案)》的內容作出解讀,希望能拋磚引玉,求教于方家。
第一 立法目的
第1條:
為了保障數據安全,促進數據開發利用,保護公民、組織的合法權益,維護國家主權、安全和發展利益,制定本法。
【解讀】
首先,通觀該草案,“促進”“發展”等字眼有十余處,與“安全”保持大體平衡,體現立法目的所言的不僅要“保障數據安全”,而且要“促進數據開發利用”。
其次,本草案較之2019年5月出臺的《數據安全管理辦法(征求意見稿)》,在立法目的上增加“維護國家主權和發展利益”,足見立意上已上升至國家戰略層面,這點從第4條“堅持總體國家安全觀”和第6條“中央國家安全領導機構”作為決策主體也可以看出。
最后,較之《國家安全法》和《網絡安全法》,《數據安全法(草案)》著重規范數據的安全和發展利用,《網絡安全法》著重保護網絡空間安全,但網絡空間安全難免產生網絡數據,兩部法律在立法技術上如何調和有待繼續觀察。與《網絡安全法》和《數據安全法》不同的是,《國家安全法》堅持總體國家安全觀,統籌規范多類型的國家安全。可以看出,網絡安全和數據安全應均為國家安全體系中的一個環節。
第二 適用范圍
第2條:
在中華人民共和國境內開展數據活動,適用本法。
中華人民共和國境外的組織、個人開展數據活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。
【解讀】
如何理解此處的“境內”。《電子商務法》在立法范圍上將原本的“境內發生或者有境內電子商務經營主體、消費者參與的電子商務活動”改為“境內的電子商務活動”,從而擴大了法律的適用范圍。參照《電子商務法》,筆者認為該草案“境內”適用范圍同樣廣泛,應理解為凡是涉及數據活動的,任何情況發生在境內的,都應適用該法律。
此外,有人質疑《數據安全管理辦法(征求意見稿)》對于數據活動,將“純粹家庭和個人事務”排除在外,以歐盟為代表的GDPR也將家庭和個人事務排除在適用范圍外。而該草案未作該排除規定,是何作法?
筆者認為該問題要結合草案第49條規定理解,第49條規定“涉及國家秘密和個人信息的數據活動,遵照其他法律、行政法規的規定處理。”但本草案僅規范數據活動問題,而不處理個人信息問題,與《數據安全管理辦法(征求意見稿)》的規范對象(個人信息和數據安全)不同。
在此之外,該草案規定特定域外效力,與境外的“長臂管轄”制度不同,該草案將域外效力限縮在境外主體使用數據損害中國公民、組織合法權益,有其獨特性。
第三 概念界定
第3條:
本法所稱數據,是指任何以電子或者非電子形式對信息的記錄。
數據活動,是指數據的收集、存儲、加工、使用、提供、交易、公開等行為。
數據安全,是指通過采取必要措施,保障數據得到有效保護和合理利用,并持續處于安全狀態的能力。
【解讀】
筆者認為該草案的一大亮點在于明確區分“數據”和“信息”的概念。所謂數據是對信息的記錄,只是信息的載體而非信息本身。
以電子數據而言,計算機底層的數據語言是“0”和“1”,從“0”和“1”衍生出萬物言語,比如“0001”代表“我們”這個詞匯,“0002”代表“你們”這個詞匯,“0001”和“0002”是數據,“我們”“你們”才是信息。
此外,值得注意的是,所謂的“數據安全”并不只為“保護”含義,還包含“合理利用”的意涵。因此,今后當談論企業要保障“數據安全”時,不僅意味著企業要承擔保護數據的義務,還有合理利用的權利。
第四 權力機關
第6條:
中央國家安全領導機構負責數據安全工作的決策和統籌協調,研究制定、指導實施國家數據安全戰略和有關重大方針政策。
第7條:
各地區、各部門對本地區、本部門工作中產生、匯總、加工的數據及數據安全負主體責任。
工業、電信、自然資源、衛生健康、教育、國防科技工業、金融業等行業主管部門承擔本行業、本領域數據安全監管職責。
公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責范圍內承擔數據安全監管職責。
國家網信部門依照本法和有關法律、行政法規的規定,負責統籌協調網絡數據安全和相關監管工作。
【解讀】
該條所指中央國家安全機構是指中國共產黨中央國家安全委員會。“國安委”于中國共產黨第十八屆中央委員會第三次全體會議提出設立,中央國家安全委員會由中共中央總書記習近平任主席,中央政治局常委李克強、張德江任副主席,下設常務委員和委員若干名。
由習總書記親自掛帥,三大常委督導的數據安全活動,足見數據安全已然引發高層關注,成為國家戰略規劃的一部分。在今后國家將采取“自上而下”的行政手段,全力推動數據產業的發展。
除了“國安委”的決策和統籌協調外,行業各分管部門,公安機關、國家安全機關和國家網信部門又各自具有監管權限。筆者認為之所以設置眾多部門具有監管職權,原因在于數據產業方興未艾,今后會如何發展并不確定,使用模糊字眼并設置諸多監管機構,能為今后機構的及時進場監管留下法律回旋的空間。
第五 促進數據開發利用
第13條:
國家實施大數據戰略,推進數據基礎設施建設,鼓勵和支持數據在各行業、各領域的創新應用,促進數據經濟發展。
省級以上人民政府應當制定數字經濟發展規劃,并納入本級國民經濟和社會發展規劃。
第14條:
第15條:
第16條:
第18條:
國家支持高等學校、中等職業學校和企業等開展數據開發利用技術和數據安全相關教育和培訓,采取多種方式培養數據開發利用技術和數據安全專業人才,促進人才交流。
【解讀】
數據的發展仰賴于技術的突破創新,雖然法律數據圈不斷向人描繪數據藍海的宏偉藍圖,實際上除了引發焦慮外,并不能推動產業的興勃發展。應該看到,法律僅是規范數據行業的手段,并不能代替行業本身的發展規律。從筆者近期的觀察看來,數據行業僅是互聯網巨頭們的狂歡,前哨雖然吹響,全民數據合規的高潮時代還未到來。
從該草案中的“促進”“鼓勵”“支持”,也可以看出對于數據活動,目前仍是鼓勵創新階段,為什么鼓勵和促進,因為目前國家還未形成數據產業的生存土壤。“數據基礎設施建設”尚未建立,“數據開發利用技術”正在研發,“數據安全標準體系”并未統一,“數據開發利用技術和數據安全專業人才”稀缺。
筆者認為,計算機領域知識是服務于網絡安全和數據合規必不可少的技能。如果懂得計算機基礎原理,應當知道互聯網最終是從客戶的訴求出發并考慮生產成本問題的,一直以來互聯網基礎設施的建設更多是服務于個體,最大范圍也是服務于企業。
因此受制于算力資源的有限,網絡協議的標準不同,各存儲介質的區別,企業和企業之間的數據很難流動。要想打破壁壘,意味著需要打通不同的網絡協議標準,促使存儲介質統一化。但是網絡協議標準和計算機軟硬件是以美國為首發展起來的產業鏈,國際標準和核心技術仍然掌握在他人手里。
《數據安全法(草案)》規定要“推進數據開發利用技術和數據安全標準體系建設”,該技術的研發和標準的建立勢必要挑戰國際標準和他國核心技術,數據流動之路困難重重。目前阿里、騰訊、愛奇藝等互聯網巨頭會產生數據合規的需求,在于互聯網巨頭本身的池子夠大,在自身同一套網絡協議標準、同一存儲介質上,不存在數據流動困難的問題。
然而應該看出,道路雖然是曲折的,但是前途仍是光明的。數據活動之路看似漫長,但在科技發展一日千里的互聯網時代,數據產業也將持續蓬勃發展,特別是從事“數據基礎設施建設”、“發展數據開發利用和數據安全產品和產業體系”、“數據安全檢測評估、認證”等專業機構,或將享受新一輪的政策紅利。
第六 數據分級分類制度
第19條:
國家根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者公民、組織合法權益造成的危害程度,對數據實行分級分類保護。
各地區、各部門應當按照國家有關規定,確定本地區、本部門、本行業重要數據保護目錄,對列入目錄的數據進行重點保護。
第25條:重要數據的處理者應當設立數據安全負責人和管理機構,落實數據安全保護責任。
第28條:
重要數據的處理者應當按照規定對其數據活動定期開展風險評估,并向有關主管部門報送風險評估報告。
風險評估報告應當包括本組織掌握的重要數據的種類、梳理、收集、存儲、加工、使用數據的情況,面臨的數據安全風險及其應對措施等。
【解讀】
《數據安全法(草案)》根據數據的重要程度不同,對數據實行分級分類保護,其中重要數據要著重保護,例如設立數據安全負責人和管理機構,定期進行數據風險評估等。
值得注意的是,之前有關部門下發文件所實施的分級分類制度主要采取的是自分級分類模式,主體更多的是規范對象本身。
例如,國務院2018年3月17日發布的《科學數據管理辦法》第十條規定:“科學數據中心是促進科學數據開放共享的重要載體,由主管部門委托有條件的法人單位建立,主要職責是:(一)承擔相關領域科學數據的整合匯交工作;(二)負責科學數據的分級分類、加工整理和分析挖掘。” 中國證券監督管理委員會2019年6月1日實施的《證券基金經營機構信息技術管理辦法》(第152號令)第三十條規定:“證券基金經營機構應當將經營及客戶數據按照重要性和敏感性進行分類分級,并根據不同類別和級別作出差異化數據管理制度安排”。
本次《數據安全法(草案)》的分級分類制度的實施主體是國家,意味著接下來國家將“自上而下”頒布一系列規范數據分級分類的規范性文件,促進社會數據活動的合規運營。
第七 數據跨境流動
第22條:
國家建立數據安全審查制度,對影響或者可能影響國家安全的數據活動進行國家安全審查。
依法作出的安全審查決定為最終決定。
第23條:
第24條:
任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區采取相關的措施。
【解讀】
數據出境安全評估一直以來是社會各方關注的焦點問題,對數據采取嚴格的本地化存儲模式還是允許數據跨境流通模式,不同國家有不同的做法。
本草案雖未明確規定數據出境的具體評估模式,但提出國家要建立數據安全審查制度、數據出口管制制度和數據出口反制措施。
筆者認為上述監管制度的提出,并非意味著我國采取嚴格的數據本地化存儲模式,相反地,國家允許數據跨境流動,而所謂的數據出口管制制度和數據出口反制措施只是數據跨境流動的例外規定,體現我國對數據出境安全評估采取“原則允許,例外規定”的模式。
第八 數據交易制度
第17條:
國家建立健全數據交易管理制度,規范數據交易行為,培育數據交易市場。
第30條:
從事數據交易中介服務的機構在提供交易中介服務時,應當要求數據提供方說明數據來源,審核交易雙方的身份,并留存審核、交易記錄。
第43條:
數據交易中介機構未履行本法第30條規定的義務,導致非法來源數據交易的,由有關主管部門責令改正,沒收違法所得,處違反所得一倍以上十倍以下罰款,沒有違法所得的,處十萬元以上一百萬元以下處罰,并可以由有關主管部門吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
【解讀】
近年來,國家大力培育數據交易所的生存土壤,以貴陽大數據交易所為代表的數據交易中介機構不斷發展壯大。
該草案在法律位階上肯定了數據交易所存在的合法性,但同時要求數據交易所要規范運營,例如數據交易時,要審核交易雙方的身份,留存審核、交易記錄,違法者處于沒收違法所得,吊銷營業執照或業務許可證。
實際上,貴陽大數據交易所在實踐中已探索出一套較為成熟的數據交易方案,包括形成了30種類型的數據交易品種,制定了十大交易標準,設置了完善的數據供應商資質體系及成熟的數據交易方式等。
鑒于當前已有較為成熟的數據交易土壤,培育數據交易市場有一定的操作性。
第九 政務數據
第34條:
國家大力推進電子政務建設,提高政務數據的科學性、準確性、時效性,提升運用數據服務經濟社會發展的能力。
第35條:
國家機關為履行法定職責的需要收集、使用數據,應當在其履行法定職責的范圍內依照法律、行政法規規定的條件和程序進行。
第36條:
國家機關應當依照法律、行政法規的規定,建立健全數據安全管理制度,落實數據安全保護責任,保障政務數據的安全。
第37條:
國家機關委托他人存儲、加工政務數據,或者向他人提供政務數據,應當經過嚴格的批準程序,并應當監督接收方履行相應的數據安全保護義務。
第38條:
國家機關應當遵循公正、公平、便民的原則,依照規定及時、準確地公開政務數據,依法不予公開的除外。
第39條:
國家制定政務數據開放目錄,構建統一規范,互聯互通、安全可控的政務數據開放平臺,推動政務數據開放利用。
【解讀】
《數據安全法(草案)》規定要大力發展電子政務數據,規范電子政務數據在收集、使用、委托加工等各環節的運用,同時構建政務數據開放目錄,構建共享平臺。
實際上,《數據安全法(草案)》對電子政務數據的規定是將前期零散的部門規定上升為國家法律。例如國務院早在2015年就發布了《促進大數據發展行動綱要》,隨后在2016年2月4日批準由國家發改委、工信部等多部門牽頭,共同成立了“大數據發展部際聯系會議”。該“部際聯系會議”作為聯系各個部門的樞紐和橋梁,通過幾次會議的召開,下發了諸如《政務信息資源共享管理暫行辦法》、《政務信息資源目錄編制指南(試行)》等文件,電子政務數據通過硬件設施的建設、制度的推行,按照一套規范流程進行數據的整合。
具體的流程為:首先,各級政府部門進行政務信息資源的采集,在采集的政務信息資源中抽取出元數據,將其數據化。其次,將數據化的信息放入各類政府信息資源目錄,例如“姓名”以編號01的方式放入人口基礎信息庫,“長江”以編號02的方式放入地理空間基礎信息庫。然后,再將政府信息資源目錄統一存儲在國家政務數據中心。最后,各級部門機構如有需要,可申請共享政務數據,公民如果有需要查詢,政務數據中心可開放非涉密信息以供查詢。
可見截至《數據安全法(草案)》發布前,政府已經搭建了一套較為成熟的國家電子政務內網和外網,并實現中央、省、市、縣各級政府部門的多級覆蓋。該草案是對實踐操作的歸納總結。
小結
《數據安全法(草案)》是第一部在法律位階層面對數據安全和發展作出規定的法律文件,在數據管理安全上具有里程碑式的意義。但是,出于《數據安全法(草案)》目前還未經全國人大常委會審議,正式通過的法律將對該草案做何改變和調整,有待進一步觀察。