9月1日,《中華人民共和國數據安全法》正式實施。數據安全法的出臺是對當前數據安全內外部形勢的積極回應,是護航數字經濟發展的重要舉措,開創了新時代數據安全治理的新局面。當下,面對大數據的洪流,數據安全問題如何應對,國家數據安全制度怎樣布局,不僅關涉國家安全、公共安全、個人安全,也關系我國在全球新一輪信息技術變革中如何實現從跟跑、并跑到領跑的轉變。
隨著人類社會進入數字化時代,網絡空間、物理世界和人類社會開始實現深度融合。數據不僅是網絡空間自身運行的產物,也是物理世界、人類社會運行的數字畫像,蘊含著數字化世界的運行規律。在數字化時代,數據同時兼具國家安全、數字經濟、社會治理、個人隱私等多個屬性,因此,發達國家陸續開展相關立法工作,我國數據安全立法可謂恰逢其時。
2021年6月10日,經全國人民代表大會常務委員會審議,通過了《中華人民共和國數據安全法》(簡稱數據安全法),并于9月1日起施行。數據安全法作為國家安全法律體系的一部分,既要解決現有數據安全制度供給不足的問題,又要符合總體國家安全觀的整體性要求,避免過度介入應由其他法律規制的領域。因此,數據安全法是一部數據安全領域基礎性、框架性的法律,為后續各類數據領域配套制度、規范及標準的制定提供了依據。
主要內容
數據安全法以總體國家安全觀為指導,堅持統籌發展與安全的原則,明確了一系列數據安全制度,規定了數據處理主體的數據安全義務,并就政務數據安全與開放提出了相關要求,此外還明確了主管部門的職責及違規的法律責任。
1.數據安全與發展。當前,數據已經成為我國數字經濟的核心生產要素之一,其有效利用事關社會和經濟發展,同時又從微觀到宏觀層面影響國家安全。因此,數據安全法首先闡明了數據安全與發展的關系,強調“國家統籌發展和安全,堅持以數據開發利用和產業發展促進數據安全,以數據安全保障數據開發利用和產業發展”。同時,數據安全法還明確了同步促進數據開發利用、數據安全的技術研究與應用、標準化以及教育培訓的措施,要求鼓勵數據安全檢測評估、認證等服務的發展,支持有關專業機構依法開展服務活動;建立健全了數據交易管理制度,要求規范數據交易行為,培育數據交易市場。
2.數據安全制度。數據安全法明確了6項數據安全制度:(1)數據分類分級與核心數據保護制度。確立了依據對國家安全、公共利益或者個人、組織合法權益造成的危害程度進行分類分級的原則,要求國家網信部門協調編制重要數據目錄,各地區、各部門負責地方、領域的目錄編制和數據保護,特別強調對于關系國家安全、國民經濟命脈、重要民生、重大公共利益等國家核心數據,實行更加嚴格的管理制度。(2)數據安全風險評估與工作協調機制。規定國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制,建立工作協調機制統籌協調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作。(3)數據安全應急處置機制。要求對于發生數據安全事件的,主管部門應當依法啟動應急預案,采取相應的應急處置措施,防止危害擴大,消除安全隱患。(4)數據安全審查制度。要求對影響或者可能影響國家安全的數據處理活動進行國家安全審查。(5)數據出口管制制度。要求對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制。(6)歧視反制制度。規定對我國采取相關歧視性的禁止、限制或者其他類似措施的國家和地區,我國可以對其采取對等措施。
3.數據安全義務。數據安全法規定了4類數據安全義務:(1)數據處理者的安全義務。重要數據處理者應明確數據安全負責人和管理機構,定期開展風險評估,并向主管部門報送風險評估報告;關鍵信息基礎設施的運營者在國內運營中收集和產生的重要數據的出境安全管理依據網絡安全法執行,其他數據處理者的數據出境管理由網信辦另行制定政策;組織、個人應合法、依規收集和使用數據等。(2)數據交易中介服務機構義務。數據交易中介服務機構應當要求數據提供方說明數據來源,審核交易雙方的身份,并留存審核、交易記錄。(3)有關組織、個人的數據支持義務。公安或國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據,應當按照國家有關規定,經過嚴格的批準手續,依法進行,有關組織、個人應當予以配合。(4)跨境司法或執法機構數據提供審批義務。未經主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲于境內的數據。
4.政務數據安全與開放。數據安全法就政務數據安全與開放作出相應規定。(1)政務數據安全要求。一方面,國家機關應當依法合規收集、使用數據,并對履職中知悉的個人隱私、個人信息、商業秘密等數據予以保密。另一方面,國家機關需要建立健全數據安全管理制度,落實數據安全保護責任,保障政務數據安全。(2)外包政務系統數據安全要求。國家機關委托他人建設、維護電子政務系統,存儲、加工政務數據,應當經過嚴格的批準程序,受托方應當依照法律、法規的規定和合同約定履行數據安全保護義務,同時國家機關應當監督受托方履行相應的數據安全保護義務。(3)政務數據開放要求。除依法不予公開的數據外,國家機關應當遵循公正、公平、便民的原則,按照規定及時、準確地公開政務數據,同時應制定政務數據開放目錄,構建統一規范、互聯互通、安全可控的政務數據開放平臺,推動政務數據開放利用。
5.法律責任。對于數據處理者與數據交易中介服務機構不履行數據安全義務、數據安全監管履職國家工作人員濫權舞弊、違法獲取或濫用數據等行為,數據安全法也作出了相應的處罰規定。其中,對于不履行數據安全義務的數據處理者除罰款外可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,而對于違反國家核心數據管理制度且構成犯罪的可以追究刑事責任,對于違規數據出境或未經授權向外國司法或者執法機構提供數據的,同樣會處以相應處罰。
需要關注的重點
1.基礎性與可實施性的關系。數據安全法是我國數據安全領域的一部基礎性法律,系統地搭建了一系列的制度框架,但目前在數據分類分級與重要數據保護、數據安全風險評估與工作協調、數據安全應急處置、數據安全審查、數據出口管制、歧視反制等方面的制度建設都尚處于初級階段,在執行層面還需要制定大量的配套法規、制度、標準,以保障法律的細化實施。
2.主權性與全球化的關系。數據安全法涉及的數據絕大部分處于高度全球化的網絡空間,各大互聯網巨頭的數據處理都是全球化的,而數據本身無論作為數字經濟的要素還是國家安全的重要資源都具有強烈的主權屬性。我國必將成為全球最大的數據生產與消費國,因此必須具備域外執法能力,同時也要有效限制境外的長臂管轄,這也是應對全球數據競爭的需要。數據安全法賦予了我國司法機構域外管轄權,同時還加強了對向境外司法或執法機構提供數據的監管,以封堵境外機構的長臂管轄。在未來執法實踐過程中,我國與美歐等發達國家在數據管轄權爭奪上必然是長期激烈博弈。
3.戰略打壓與反制的關系。與數據安全法同時頒布的反外國制裁法明確規定,外國以各種借口或者依據其本國法律對我國進行遏制、打壓,對我國公民、組織采取歧視性限制措施,干涉我國內政的,我國有權采取相應反制措施。同時數據安全法明確規定,任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中國采取歧視性的禁止、限制措施的,中國可以對該國家或者地區采取對等措施。這表明我國既堅持數據自由流動,又對他國不正當的歧視行為作出了有力的回應。
4.信息基礎設施依賴與數據安全的關系。隨著云計算、大數據的快速普及,個人、企業、政務等各類系統開始日益依賴信息基礎設施,然而這些信息基礎設施大多由國內外大型信息技術企業運營維護的。部署于這些信息基礎設施之上的系統及其數據控制權實際為這些大型企業所擁有。數據安全法規定,擁有國家機關數據控制權的企業必須履行數據保護義務。然而,目前對這些擁有國家機關數據控制權的企業很難進行有效監督,也很難有效追究其數據泄露責任。因此,國家還需要進一步明確信息基礎設施運營者的數據安全責任,同時針對信息基礎設施運營者建立行之有效的數據安全監管機制,以切實保障數據安全。
對保密工作的啟示
首先,可借鑒數據安全法統籌發展和安全的理念,在涉密的政務、軍工、科研等領域,引進和研發新型數據處理基礎設施,推動數據的高效利用與開發,同時構建新型安全保密技術體系,保障重要數據的安全保密。
其次,鑒于當前在線數據處理全面采用云計算或大數據等信息基礎設施,傳統基于網絡和終端的監管能力已力不從心,建議系統性構建面向新型信息基礎設施的數據安全保密監管體系,提升對網絡空間的安全保密監管能力。
最后,隨著“一帶一路”倡議的推進,以及我國各個領域的全球影響力提升,我國涉密數據處理也必然要實現全球化布局,在這樣的格局下,域外數據處理的保密管理也需要從法律、法規到技術體系的有力支撐。
(轉載自《保密工作》雜志2021年第9期)