数据安全立法的影响
宁宣凤 CIO之家的朋友们

随着全国人大常委会2020年度立法工作计划的公布和调整,有关数据安全法、个人信息保护法的立法进度成为业内高度关注的焦点。而在立法计划调整通过后的1个月内,《数据安全法(草案)》(下称“草案”)已提请审议。作为数据保护领域的重要立法,草案凝结了立法者对于数据安全与国家、经济、社会安全关系的基本认知,同时尝试从上位法角度对围绕不同类型数据展开的处理活动进行安全层面的总体规范。以下我们将从草案的具体条文出发,尝试解读草案确立的数据安全的规制方向。

一、 数据安全法的基本定位和适用范围

1、数据安全的基础性法律

按照公开发布的草案起草说明,《数据安全法》被立法机关视为数据领域的基础性法律,其重点在于确立数据安全保护管理各项基本制度。同时,草案第四条强调,维护数据安全应坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。这一方面反映了立法者将数据安全作为国家安全重要组成部分的立法定位,另一方面体现了立法者在既有立法之上建立专门的数据安全保护制度的目的和意图。

就数据安全与国家安全的关系而言,对于数据的安全保护在我国《国家安全法》中已有所体现。2015年经修订的《国家安全法》从宏观层面强调国家安全工作应统筹“传统安全与非传统安全”,除关注“政治、国土、军事”等传统安全外,对于“经济、文化、社会、科技、信息、生态、资源、核安全”等“非传统安全”给予同等关注。 [1]进一步地,《国家安全法》也明确将网络与信息安全保障作为国家安全的具体要义之一,并突出强调了要实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。[2] 《国家安全法》的这一规定,结合草案在总体国家安全观上的强调,表明了《数据安全法》与《国家安全法》之间的关联属性;这一定位为草案中有关数据安全保护的具体规则定下了基调。

2、如何与网络安全及个人信息保护法律的衔接

从现有网络安全立法的角度来看,草案尝试在既有的关于“网络数据”安全之上,建立普适于各类“数据”的安全规则。我国《网络安全法》已将“网络数据”的完整性、保密性和可用性作为“网络安全”的基本内容之一,而“网络数据”则被定义为“通过网络收集、存储、传输、处理和产生的各种电子数据”。[3]对比来看,显然本次草案拟突破网络空间语境,对任何以“电子或者非电子形式对信息的记录”作为其安全保护的客体。草案在主管机关层面的机制设计也基本印证了这一点。根据草案第六、七条的规定,中央国家安全领导机构(即中央国家安全委员会)负责数据安全工作的决策和统筹协调,行业主管部门、公安机关、国安机关承担本行业、本领域或其职责范围内的数据安全监管职责;国家网信部门则负责统筹协调网络数据安全和相关监管工作。虽然对于数据有关的监管职权仍有待厘清,但这一职能分工确乎表明立法者对于数据保护的落脚点已延伸至网络环境之外。而同时,《网络安全法》对于网络环境的安全保护显然不仅仅局限于网络数据,除强调对各类形式的个人信息予以保护外,还包括网络运行安全规则。这使得《数据安全法》与《网络安全法》在保护客体上形成了某种程度的“交叉关系”。而就两者保护客体的重叠部分而言,未来将建立起何种层次的优先适用规则(特别法优于一般法,抑或新法优于旧法),不同的适用规则之间如何实现有效的衔接,有待立法者在草案条款的发展、完善过程中予以明确。

下表显示了草案具体的适用范围:

保护客体及主旨

-          数据,是指任何以电子或者非电子形式对信息的记录

-          数据安全,是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力

第三条

适用行为

-          数据活动,是指数据的收集、存储、加工、使用、提供、交易、公开等行为

第三条

适用地域

-          在中华人民共和国境内开展数据活动,适用本法

-          中华人民共和国境外组织、个人开展数据活动,损害中华人民共和国

国家安全、公共利益或者公民、组织的合法权益的,依法追究法律责任

第二条

相较于《民法典》中对于个人信息处理的内涵(个人信息的收集、存储、使用、加工、传输、提供、公开等),[4]除未提及传输外,本次草案还添加了“交易”作为数据活动的内容,这表明立法者对于数据可在交易市场自由流通的基本认可,也呼应了草案第十七条等有关数据交易管理的具体规则。

3、突出但不意外的域外效力

就适用地域而言,值得关注的是草案明确了《数据安全法》的域外监管效力,强调了在中国境外实施的损害我国国家安全、公共利益或者公民、组织合法权益的数据活动将受到本法的制约。这一规则是数据主权观念在法律条款中的基本体现。实际上,我国此前的多项立法已经对法律适用的域外效力有过探讨,例如《反垄断法》第二条规定对于境外垄断行为对境内市场产生排除、限制影响的将受到管辖,又如《网络安全法》第七十五条对于境外主体危害境内关键信息基础设施的活动造成严重后果的要求其承担法律责任等。对于域外影响我国法律所保护的各类利益的行为进行管辖和约束,从法理角度存在一定的合理性,而实践中如何有效实现针对域外危害行为的制裁,则有赖于与国际法层面的域外执行等规则进行衔接与配合。

二、 数据安全法的主要内容

《数据安全法(草案)》全文共七章五十一条,其中除第一章总则、第六章法律责任和第七章附则外,第二至五章节分别从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放等角度进行展开,其中涵盖了数据分级分类及重要数据保护、数据交易、国家安全、境内外监管执法、政务数据公开等诸多议题。以下我们将选取其中部分内容,进行简要介绍及分析探讨。下表中我们对部分议题及对应的条款进行了总结。

序号

主题/主要内容

相关条款

1

数据分级分类

重要数据保护

第十九条 国家根据数据在经济社会发展中的重要程度, 以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用, 对国家安全、公共利益或者公民、组织合法权益造成的危害程度, 对数据实行分级分类保护。

各地区、各部门应当按照国家有关规定, 确定本地区、本部门、本行业重要数据保护目录, 对列入目录的数据进行重点保护。

第二十条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制, 加强数据安全风险信息的获取、 分析、 研判、 预警工作。

第二十五条(第二款) 重要数据的处理者应当设立数据安全负责人和管理机构, 落实数据安全保护责任。

第二十八条 重要数据的处理者应当按照规定对其数据活动定期开展风险评估, 并向有关主管部门报送风险评估报告。

风险评估报告应当包括本组织掌握的重要数据的种类、数量, 收集、存储、加工、使用数据的情况, 面临的数据安全风险及其应对措施等。

2

数据交易

第五条 国家保护公民、组织与数据有关的权益, 鼓励数据依法合理有效利用, 保障数据依法有序自由流动, 促进以数据为关键要素的数字经济发展, 增进人民福祉。

第十七条 国家建立健全数据交易管理制度, 规范数据交易行为, 培育数据交易市场。

第三十条 从事数据交易中介服务的机构在提供交易中介服务时, 应当要求数据提供方说明数据来源, 审核交易双方的身份, 并留存审核、交易记录。

第三十一条 专门提供在线数据处理等服务的经营者, 应当依法取得经营业务许可或者备案。具体办法由国务院电信主管部门会同有关部门制定。

3

国家安全

第四条 维护数据安全, 应当坚持总体国家安全观, 建立健全数据安全治理体系, 提高数据安全保障能力。

第二十条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判、预警工作。

第二十一条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。

第二十二条 国家建立数据安全审查制度, 对影响或者可能影响国家安全的数据活动进行国家安全审查。

依法作出的安全审查决定为最终决定。

第二十三条 国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制。

4

执法协助

第三十二条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据, 应当按照国家有关规定, 经过严格的批准手续, 依法进行, 有关组织、个人应当予以配合。

第三十三条 外执法机构要求调取存储于中华人民共和国境内的数据的, 有关组织、个人应当向有关主管机关报告, 获得批准后方可提供。 中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的, 依照其规定。

5

政务数据

第五章 政务数据安全与开放(略)

1、数据分级分类与重要数据保护

在现有草案中,数据分级分类和重要数据保护作为数据安全的重要制度被规定在第十九条,其中对于数据分级分类的标准[5]表述在一定程度上与网络安全等级保护的等级评定要素进行了衔接,均考虑了数据或网络的篡改、破坏、泄露或其他情形下对相关主体及权益(即国家安全、公共利益或者公民、组织合法权益)造成的危害程度的因素。

除此之外,相比于此前已经发布的法律法规、部门规章或指导性文件[6]中从“规范对象本身”[7]出发开展数据分级分类,例如要求工业企业形成企业工业数据分类清单、[8]法人单位对科学数据进行分级分类等,[9]现有草案第十九条将数据分级分类保护的主体界定为“国家”,即从“国家层面开展数据分级分类工作”[10],也有观点认为这种“自上而下的路径”将有助于“解决数据安全管理中的‘外部性问题’”[11]。尽管国家层面开展数据分级分类工作将作为国家监管的依据和“抓手”已经不存在异议,但对于数据分级分类保护本身的强制力和监管属性,可能仍有待进一步探讨。特别是如何在通过数据分级分类保护为国家对数据安全的监管实践变得更为高效便利与如何为企业及其他相关主体的业务开展留有空间,保障数据分级分类与企业实践相适应,可能是未来需要进一步探讨的问题,也对于数据分级分类本身的科学性、其法律定位等提出了更高的要求。

相应地,重要数据保护同样是草案中数据安全制度的重要内容。一方面,第十九条第二款规定了各地区、各部门按照国家有关规定确定相应重要数据保护目录的义务;同时,以重要数据保护为出发点,草案在第二十五条第二款、第二十八条中对重要数据处理者设立数据安全负责人和管理机构、数据活动的风险评估等义务进行了规范。但是上述条款的制定也使得重要数据的识别成为广泛关注的内容,如何识别重要数据对企业明确自身权利义务将具有至关重要的意义。在此之前,《网络安全法》曾将“重要数据”与“关键信息基础设施”相关联;《数据出境安全评估指南(征求意见稿)》则通过“定性和列举的方式”在附录A中就重要数据识别提供指引;国家网信办发布的《数据安全管理办法(征求意见稿)》也曾尝试对重要数据进行定义。[12]而现有草案条款似乎回避了重要数据识别的定性思路,而考虑通过重要数据保护目录的方式,为未来不同地区、部门和行业结合自身情况,以列举方式进行重要数据的识别和保护留下空间。 无论是关键信息基础设施的识别还是定性和列举方式识别重要数据,都有待于更具体的规范出台以提供明确的指引。

2、数据交易

数据交易是本次草案关注的又一重点内容。草案第五条中指出,“国家……鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展,增进人民福祉。”第十七条中更是指出“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。”

从数据交易角度来看,合法的数据源是一项数据交易的起点,草案第二十九条中规定了“任何组织、个人收集数据,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据”。但是对于具体的“合法、正当”以及“窃取或其他非法方式获取”的内涵及外延可能仍有待于进一步明确。而从草案内容来看,除了对数据获取方式的规范外,第三十条、三十一条还从数据交易的相关主体角度对数据交易的规范性进行了一定的限制。即第三十条规定数据交易中介服务机构在提供交易中介服务时,对数据来源和交易双方身份核验的审查及记录留存义务;第三十一条规定了在线数据处理服务的准入制度。以上制度与第六章中的法律责任条款共同构成了有强制约束力的法律行为规范,对于建立健全数据交易管理制度可能产生相当程度的积极作用。但在此之外,数据交易市场中还存在其他的相关主体,包括但不限于双方或多方数据交易主体、其他可能与数据资源相关的权益主体(例如个人信息主体)、监管主体等,如何通过必要的强制性规则和自律性监管培育和规范数据交易行为、构筑良好的数据交易市场秩序,需要对数据的法律属性及利益主体作更全面的分析与定位,也需要各方的长期共同努力。

3、国家安全

国家安全是本次数据安全法立法的基础和出发点之一。《数据安全法(草案)》的立法声明中指出:“数据是国家基础性战略资源,没有数据安全就没有国家安全……应当按照总体国家安全观的要求,通过立法加强数据安全保护,提升国家数据安全保障能力……切实维护国家主权、安全和发展利益”。事实上,从国家安全角度对数据活动及数据跨境的限制并不罕见,不久前印度信息电子与技术部禁止用户在印度境内访问(Blocking)59款中国移动应用时,其依据即是《信息技术法案》(the Information Technology Act)第69A部分第2009条,即相关移动应用以非法方式窃取用户数据传输至境外服务器,可能损害印度的主权以及国家安全与公共秩序。而在美国等司法辖区的数据立法体系中,保护国家安全、数据安全也是其在实践中限制数据跨境活动、开展安全审查等的重要理由。

从草案内容来看,第二十二条明确提出了建立数据安全审查制度,对“影响或者可能影响国家安全的数据活动进行国家安全审查”,第二十三条建立了为履行国际义务和维护国家安全而实施的数据出口管制制度,为上述通过加强数据安全保护、维护国家安全的立法目的提供了制度支撑,为国家针对影响或可能影响国家安全的数据活动的审查以及相应的限制或其他执法活动,以及数据出口管制提供了基础的法律依据。但是,另一方面考虑到国家安全审查制度、数据出口管制等对于企业、个人及其他主体的数据处理活动可能产生的实质性影响,其触发条件可能仍有待于通过后续立法或配套制度中进一步明确,特别是对于“影响或可能影响国家安全的数据活动”的判断标准、审查的相关机构及程序、审查后的相应结果及救济措施等内容,都可能是数据处理主体密切关注的问题。除此之外,对于数据安全审查与国家安全审查、数据安全审查与此前的网络安全审查之间的关联与区别,也有待于进一步澄清。

除此之外,第二十条、第二十一条的国家数据安全风险评估、报告、信息共享、监测预警机制和数据安全应急处置机制,也将有助于从国家层面对数据安全进行预判,保障数据安全和国家利益。

4、执法协助

现有草案中还同时通过第三十二条、第三十三条为组织和个人协助监管执法活动,提供数据的相关实践提供了规范。其中第三十二条在重申组织和个人配合公安机关、国家安全机关因维护国家安全或侦查犯罪的需要调取数据时的协助义务外,还对执法机关的相应义务(即按照国家有关规定,经过严格的批准手续)进行了补充,这将有助于增强公安机关、国家安全机关执法的公信力,降低组织和个人在协助执法调查中向有关机关提供数据可能面临的法律风险和责任。

第三十三条则主要规范组织和个人如何协助境外执法机构的数据调取要求。在此之前,我国《国际刑事司法协助法》《证券法》等已经对相关领域境外执法机关在中国境内的调查取证等行为作出了限制。例如《国际刑事司法协助法》第四条规定:“非经中华人民共和国主管机关同意,外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。”《证券法》第一百七十七条肯定了“境外证券监督管理机构不得在中华人民共和国境内直接进行调查取证等活动。未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。”其实质意义上是维护中国执法机关在中国境内的主权完整及保障相关信息、文件和资料的安全。本次,现有草案中从数据的调取和跨境传输角度对境外执法机构的行为进行了规范,再次反映了对主权以及数据安全的维护,也为组织和个人应对境外执法机构数据调取诉求提供了明确的指引。

5、政务数据公开

政务数据是数据领域的最重要资源之一,政务数据的安全与开放也是数据整体安全中的重要一环。现有草案第五章规定了政务数据安全开放的重要内容及国家机关的相应职责和义务,包括但不限于提升政务数据的依法收集、使用;数据安全管理制度和政务数据安全;委托他人存储加工的审批与监督义务等。此外,第三十九条还规定了国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台, 推动政务数据开放利用。

在此之前,不同地方政府或行业主管机构已经针对政务数据的开放进行了一定的制度和实践探索,例如上海市已经建立了公共数据开放平台并颁布《上海市公共数据开放暂行办法》指导政务数据开放的相关实践。本次从国家层面的政务数据开放目录制定和政务数据开放平台构建,将有助于协调不同地区、不同行业、不同层级政府之间的政务数据开放实践,推动全国范围内统一的政务数据开放和共享。但是,正如第三十八条中所提示,政务数据中仍然存在依法不予公开的内容,考虑到政务数据中除了具有必要的公共属性,也同时可能涉及不同主体的利益(如政府、数据来源企业、数据应用企业、个人等),如何在不同主体权益之间找寻到政务数据开放利用的平衡点,可能是未来在政务数据安全与开放领域仍需要持续关注的议题。

三、 数据安全法下的法律责任

现有草案的第六章则规定了法律责任的相关内容。我们在此简要总结如下:

序号

法律条款

法律规定

法律责任

1

第四十一条

主管部门履行数据安全监管职责,发现数据活动存在较大安全风险

约谈,要求采取措施,进行整改,消除隐患

2

第四十二条

开展数据活动的组织、个人不履行以下条款规定的数据安全保护义务或者未采取必要的安全措施的:

第二十五条(建立数据安全管理制度、开展数据安全教育培训、采取相应的技术措施和其他必要措施,保障数据安全等)

第二十七条(加强对数据活动的风险监测,发现数据安全缺陷、漏洞等风险时,立即采取补救措施;发生数据安全事件时,及时告知用户并向有关主管部门报告)

第二十八条(重要数据的处理者应当按照规定对其数据活动定期开展风险评估, 并向有关主管部门报送风险评估报告)

第二十九条(任何组织、个人收集数据, 必须采取合法、正当的方式, 不得窃取或者以其他非法方式获取数据;应当在法律、行政法规规定的目的和范围内收集、使用数据, 不得超过必要的限度)

责令改正, 给予警告, 可以并处一万元以上十万元以下罚款, 对直接负责的主管人员可以处五千元以上五万元以下罚款

拒不改正或者造成大量数据泄漏等严重后果的, 处十万元以上一百万元以下罚款, 对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款

3

第四十三条

数据交易中介机构未履行本法第三十条(要求数据提供方说明数据来源、审核交易双方的身份,并留存审核、交易记录)规定的义务, 导致非法来源数据交易的

责令改正, 没收违法所得, 处违法所得一倍以上十倍以下罚款, 没有违法所得的, 处十万元以上一百万元以下罚款, 并可吊销相关业务许可证或者吊销营业执照

对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款

4

第四十四条

未取得许可或者备案, 擅自从事本法第三十一条规定业务的(在线数据处理等服务)

责令改正或者予以取缔, 没收违法所得, 处违法所得一倍以上十倍以下罚款; 没有违法所得的,处十万元以上一百万元以下罚款

对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款

5

第四十五条

国家机关不履行本法规定的数据安全保护义务的

对直接负责的主管人员和其他直接责任人员依法给予处分

6

第四十六条

履行数据安全监管责任的国家工作人员玩忽职守、滥用职权、徇私舞弊, 尚不构成犯罪的

依法给予处分

7

第四十七条

通过数据活动危害国家安全、公共利益, 或者损害公民、组织合法权益的,

依照有关法律、行政法规的规定处罚

8

第四十八条

违反本法规定, 给他人造成损害的, 依法承担民事责任。

违反本法规定, 构成违反治安管理处罚行为的, 依法给予治

安管理处罚; 构成犯罪的, 依法追究刑事责任。

民事责任、治安管理处罚和刑事责任

从以上法律责任条款设计中不难看出,现有草案在法律责任问题上有以下几个特点:

其一,通过法律责任的设置将部分在草案出台前对数据行业相关主体的指导性建议上升为具有强制拘束力的规范性准则。例如在数据源合法性的管控问题上,要求数据提供方提供数据来源说明、对数据提供方进行必要的尽职调查(包括但不限于身份审核)一度是数据接收方主动采取的隔离风险和责任、向监管机构自证合规的有效方式。而在现有草案中,考虑到数据交易中中介机构的特殊身份,第四十三条的规定实际上将上述要求变成了针对数据交易中介机构的强制性规范。

其二,延续了《网络安全法》的双罚制,即在第四十二至四十四条中,除了针对涉及的企业或组织的法律责任外,还明确规定了负责的主管人员和其他直接负责人员的法律责任。

其三,关注国家机关及其工作人员的数据处理行为和数据安全保护义务。在第四十五条、第四十六条中,草案对国家机关不履行数据安全保护义务、国家工作人员玩忽职守、滥用职权、徇私舞弊等行为做出了法律责任方面的规制,体现了从数据安全的多主体方面对数据安全进行保障的立法思路。

四、 对企业的影响与建议

可以看出,现有草案针对数据安全的各项监管规则设计仍处在相对初期的阶段,对于数据分级分类、重要数据保护、数据安全审查、数据交易等尚处在初步确立有关制度的层面,而各类制度的细化规则指引,包括行业内普遍关心的诸如非域外执法场景下的数据跨

境规则等仍付之阙如。对于企业而言,从现阶段草案的有限条款中,仍应关注其释放的某些信号,以适时把握国内针对数据保护制度的发展趋势,现阶段对自身涉及数据处理活动的业务模式和内部管理机制等进行针对性的调整,例如:

?   关注重要数据合法合规,完善数据分级分类制度体系。未来随着《数据安全法》的颁布生效,数据的分类分级管理制度将极有可能成为企业一项重要的法定义务。而考虑到未来的数据分类分级保护将可能立足于行业维度,我们建议企业从行业监管角度出发,搭建内部的数据分级分类体系,或对现有的数据分类分级体系进行重新审视和优化完善。

?   关注非个人信息数据的安全管理工作。目前企业对于个人信息保护基于现行立法和执法趋势都给予足够重视,不同程度地加强合规工作。但对于个人信息以外的数据而言,除重要数据以外是否有必要同样遵从类似体系的安全管理,以适时应对未来更宽泛的数据规制立法思路,值得企业提前评估和决策。

?   建立数据跨境内部管理流程机制。如前所述,数据跨境问题已逐渐上升到国家主权、数据主权、国家安全层面,监管部门对于企业的数据跨境流动也将可能形成更加严格的规制要求。除个人信息跨境工作外,企业也应适当注意其他类型数据的跨境流动问题,适时针对性地建立数据跨境的内部审查流程机制。在遇到境外执法机关跨境调取数据的场景下,可积极与主管部门沟通确认。

?   加强第三方数据源的审查,考虑适时变更自身的数据获取和管理模式。考虑到草案在数据获取合法性上的明确要求,对于第三方供应商在数据合规方面的管控也将愈发重要。对此,企业也可以考虑尝试优化自身的数据获取和管理的模式,对于各类数据采集的技术、手段等适时进行合规性审查,尝试建立相关的制度流程。

尽管数据安全法中的各项监管规则尚在探讨和设计阶段,但从数据安全法立法原意而言,以数据为竞争资源甚至是国家战略资源的高度来管理数据安全已经需要国家政府、社会组织和企业至少以数据资产的标准来加强数据安全的各项工作。牵一发而动千钧,无论是重要数据保护的落地,还是数据交易规则的进一步澄清,数据安全法带来的影响必然会加速数字新经济的竞争规则和合规方式的转变,我们既希望新规则能够适应新的经济环境和形式,也期待企业利用新规则尽早实现“华丽”转身,在新经济浪潮下,乘风破浪。

CIO之家 www.ciozj.com 公众号:imciow
关联的文档
也许您喜欢