9月1日,《中华人民共和国数据安全法》正式实施。数据安全法的出台是对当前数据安全内外部形势的积极回应,是护航数字经济发展的重要举措,开创了新时代数据安全治理的新局面。当下,面对大数据的洪流,数据安全问题如何应对,国家数据安全制度怎样布局,不仅关涉国家安全、公共安全、个人安全,也关系我国在全球新一轮信息技术变革中如何实现从跟跑、并跑到领跑的转变。
随着人类社会进入数字化时代,网络空间、物理世界和人类社会开始实现深度融合。数据不仅是网络空间自身运行的产物,也是物理世界、人类社会运行的数字画像,蕴含着数字化世界的运行规律。在数字化时代,数据同时兼具国家安全、数字经济、社会治理、个人隐私等多个属性,因此,发达国家陆续开展相关立法工作,我国数据安全立法可谓恰逢其时。
2021年6月10日,经全国人民代表大会常务委员会审议,通过了《中华人民共和国数据安全法》(简称数据安全法),并于9月1日起施行。数据安全法作为国家安全法律体系的一部分,既要解决现有数据安全制度供给不足的问题,又要符合总体国家安全观的整体性要求,避免过度介入应由其他法律规制的领域。因此,数据安全法是一部数据安全领域基础性、框架性的法律,为后续各类数据领域配套制度、规范及标准的制定提供了依据。
主要内容
数据安全法以总体国家安全观为指导,坚持统筹发展与安全的原则,明确了一系列数据安全制度,规定了数据处理主体的数据安全义务,并就政务数据安全与开放提出了相关要求,此外还明确了主管部门的职责及违规的法律责任。
1.数据安全与发展。当前,数据已经成为我国数字经济的核心生产要素之一,其有效利用事关社会和经济发展,同时又从微观到宏观层面影响国家安全。因此,数据安全法首先阐明了数据安全与发展的关系,强调“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”。同时,数据安全法还明确了同步促进数据开发利用、数据安全的技术研究与应用、标准化以及教育培训的措施,要求鼓励数据安全检测评估、认证等服务的发展,支持有关专业机构依法开展服务活动;建立健全了数据交易管理制度,要求规范数据交易行为,培育数据交易市场。
2.数据安全制度。数据安全法明确了6项数据安全制度:(1)数据分类分级与核心数据保护制度。确立了依据对国家安全、公共利益或者个人、组织合法权益造成的危害程度进行分类分级的原则,要求国家网信部门协调编制重要数据目录,各地区、各部门负责地方、领域的目录编制和数据保护,特别强调对于关系国家安全、国民经济命脉、重要民生、重大公共利益等国家核心数据,实行更加严格的管理制度。(2)数据安全风险评估与工作协调机制。规定国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,建立工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。(3)数据安全应急处置机制。要求对于发生数据安全事件的,主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患。(4)数据安全审查制度。要求对影响或者可能影响国家安全的数据处理活动进行国家安全审查。(5)数据出口管制制度。要求对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。(6)歧视反制制度。规定对我国采取相关歧视性的禁止、限制或者其他类似措施的国家和地区,我国可以对其采取对等措施。
3.数据安全义务。数据安全法规定了4类数据安全义务:(1)数据处理者的安全义务。重要数据处理者应明确数据安全负责人和管理机构,定期开展风险评估,并向主管部门报送风险评估报告;关键信息基础设施的运营者在国内运营中收集和产生的重要数据的出境安全管理依据网络安全法执行,其他数据处理者的数据出境管理由网信办另行制定政策;组织、个人应合法、依规收集和使用数据等。(2)数据交易中介服务机构义务。数据交易中介服务机构应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。(3)有关组织、个人的数据支持义务。公安或国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。(4)跨境司法或执法机构数据提供审批义务。未经主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于境内的数据。
4.政务数据安全与开放。数据安全法就政务数据安全与开放作出相应规定。(1)政务数据安全要求。一方面,国家机关应当依法合规收集、使用数据,并对履职中知悉的个人隐私、个人信息、商业秘密等数据予以保密。另一方面,国家机关需要建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。(2)外包政务系统数据安全要求。国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,同时国家机关应当监督受托方履行相应的数据安全保护义务。(3)政务数据开放要求。除依法不予公开的数据外,国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据,同时应制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
5.法律责任。对于数据处理者与数据交易中介服务机构不履行数据安全义务、数据安全监管履职国家工作人员滥权舞弊、违法获取或滥用数据等行为,数据安全法也作出了相应的处罚规定。其中,对于不履行数据安全义务的数据处理者除罚款外可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,而对于违反国家核心数据管理制度且构成犯罪的可以追究刑事责任,对于违规数据出境或未经授权向外国司法或者执法机构提供数据的,同样会处以相应处罚。
需要关注的重点
1.基础性与可实施性的关系。数据安全法是我国数据安全领域的一部基础性法律,系统地搭建了一系列的制度框架,但目前在数据分类分级与重要数据保护、数据安全风险评估与工作协调、数据安全应急处置、数据安全审查、数据出口管制、歧视反制等方面的制度建设都尚处于初级阶段,在执行层面还需要制定大量的配套法规、制度、标准,以保障法律的细化实施。
2.主权性与全球化的关系。数据安全法涉及的数据绝大部分处于高度全球化的网络空间,各大互联网巨头的数据处理都是全球化的,而数据本身无论作为数字经济的要素还是国家安全的重要资源都具有强烈的主权属性。我国必将成为全球最大的数据生产与消费国,因此必须具备域外执法能力,同时也要有效限制境外的长臂管辖,这也是应对全球数据竞争的需要。数据安全法赋予了我国司法机构域外管辖权,同时还加强了对向境外司法或执法机构提供数据的监管,以封堵境外机构的长臂管辖。在未来执法实践过程中,我国与美欧等发达国家在数据管辖权争夺上必然是长期激烈博弈。
3.战略打压与反制的关系。与数据安全法同时颁布的反外国制裁法明确规定,外国以各种借口或者依据其本国法律对我国进行遏制、打压,对我国公民、组织采取歧视性限制措施,干涉我国内政的,我国有权采取相应反制措施。同时数据安全法明确规定,任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中国采取歧视性的禁止、限制措施的,中国可以对该国家或者地区采取对等措施。这表明我国既坚持数据自由流动,又对他国不正当的歧视行为作出了有力的回应。
4.信息基础设施依赖与数据安全的关系。随着云计算、大数据的快速普及,个人、企业、政务等各类系统开始日益依赖信息基础设施,然而这些信息基础设施大多由国内外大型信息技术企业运营维护的。部署于这些信息基础设施之上的系统及其数据控制权实际为这些大型企业所拥有。数据安全法规定,拥有国家机关数据控制权的企业必须履行数据保护义务。然而,目前对这些拥有国家机关数据控制权的企业很难进行有效监督,也很难有效追究其数据泄露责任。因此,国家还需要进一步明确信息基础设施运营者的数据安全责任,同时针对信息基础设施运营者建立行之有效的数据安全监管机制,以切实保障数据安全。
对保密工作的启示
首先,可借鉴数据安全法统筹发展和安全的理念,在涉密的政务、军工、科研等领域,引进和研发新型数据处理基础设施,推动数据的高效利用与开发,同时构建新型安全保密技术体系,保障重要数据的安全保密。
其次,鉴于当前在线数据处理全面采用云计算或大数据等信息基础设施,传统基于网络和终端的监管能力已力不从心,建议系统性构建面向新型信息基础设施的数据安全保密监管体系,提升对网络空间的安全保密监管能力。
最后,随着“一带一路”倡议的推进,以及我国各个领域的全球影响力提升,我国涉密数据处理也必然要实现全球化布局,在这样的格局下,域外数据处理的保密管理也需要从法律、法规到技术体系的有力支撑。
(转载自《保密工作》杂志2021年第9期)