《数据安全法》正式发布
2021年6月10日,第十三届全国人大常委会第二十九次会议审议后通过了《中华人民共和国数据安全法》(以下简称“《数安法》”)。《数安法》将于2021年9月1日起正式施行1。
2018年9月公布的“十三届全国人大常委会立法规划”首次将《数安法》列入立法计划,作为“条件比较成熟、任期内拟提请审议的法律草案”2。经过两年时间的酝酿,《数安法》草案经全国人大常委会一审后于2020年7月发布征求意见,并于2021年4月26日进行二审审议,至目前正式发布。
《数安法》出台后将成为以《国家安全法》为代表的国家安全法律体系的重要组成部分,也将与《网络安全法》及目前已经二次审议的《个人信息保护法》一起组成信息领域更加完整的基础性法律体系。
《数安法》的重点内容总结如下。
一、 适用范围
《数安法》规定,在中华共和国境内开展的数据处理活动及其安全监管,适用本法。在域外适用上,进一步规定,在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。(第二条)
《数安法》进一步规定,“数据”是指任何以电子或者其他方式对信息的记录;而“数据处理”包括数据的收集、存储、使用、加工、传输、提供、公开。
根据上述定义,“数据”所涵盖的范围十分广泛、在目前政务、企业逐步向数字化转型的过程之中,几乎会囊括生产、经营、管理各方各面所产生的信息记录。《数安法》附则进一步规定,开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定;在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守相关的法律、行政法规的规定,因此《数安法》并不包括对于国家秘密的数据处理活动。但是,《数安法》适用于统计、档案工作中的数据处理活动,亦适用于涉及个人信息的数据处理活动,只是这些数据处理活动还应遵守相关法律法规的要求。《数安法》的要求在实践之中如何适用于企业的业务实践,仍有待观察。例如,《数安法》要求对数据进行分级分类保护,仅针对重要数据制定了相关具体义务(如本文第六部分所述),而对于除重要数据之外的其他数据是否仍需相应规制、以及规制的重点及规则可能需后续进一步明确。
《数安法》规定,数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。(第三条)从整个《数安法》的内容来看,此处的数据安全既包含宏观国家安全层面、亦包括组织与个人落实数据安全措施的微观层面。
二、 《数安法》与网络、安全法律体系的衔接
数据安全要素是国家安全、网络安全的重要组成部分。
《国家安全法》原则性规定,国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现……数据的安全可控(第二十五条)。
《网络安全法》亦要求企业应履行网络安全等级保护义务,采取数据分类、重要数据备份和加密等措施(第二十一条)。我们注意到,《数安法》与上述法律及其相关配套法规(及征求意见稿)的规定的协调及衔接仍需进一步观察,例如:
《数安法》规定的重要数据相关保护义务与《网络安全法》、《数据安全管理办法(征求意见稿)》中相关定义及规定的衔接;
《数安法》规定的数据出口管制制度与2020年出台的《出口管制法》的出口管制要求及《网络安全法》、《数据安全管理办法(征求意见稿)》、《个人信息保护法(草案二次审议稿)》规定的数据出境的相关要求的衔接;
《数安法》规定的数据安全审查制度与《外商投资法》规定的外商投资安全审查制度及《网络安全审查办法》的关联。
三、 数据安全与发展并行的原则
《数安法》在总则之中首先明确了国家保护公民、组织与数据有关的权益,鼓励数据合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展(第七条)。
接着,《数安法》在第二章中明确对于数据安全与发展的支持。相关支持措施包括实施大数据战略、推进数据基础设施建设、数字经济发展规划设计(第十四条);支持开发利用数据提升公共服务的智能化水平(第十五条);加强数据开发利用和数据安全技术研究(第十六条);促进数据人才培养(第二十条)等鼓励和支持数字经济发展、数据开发利用的总体战略和方针,也同时要求制定数据开发利用技术和数据安全的相关标准(第十七条);促进数据安全检测评估及认证(第十八条)、建立健全数据交易管理制度(第十九条)。
可见,从《数安法》的制度设计,意在鼓励和建立各种数据相关的制度支持措施,并结合对于数据的管理和要求,以促进和协调数字经济与数据安全之间的平衡有序发展。
四、 数据安全执法主体及工作职责
《数安法》第五条、第六条明确了数据安全的监管与不同执法单位的工作职责。《数安法》规定中央国家安全领导机构承担国家数据安全工作的决策与议事协调作用,并研究制定、指导实施国家数据安全战略和重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。“国家数据安全工作协调机制”是《数安法》正式稿中首次提出,其负责“统筹协调有关部门制定重要数据目录”(第二十一条)、“统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作”(第二十二条)。此外,根据第七条规定:
各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责;
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责;
公安机关、国家安全机关在各自职责范围内承担数据安全监管职责;
国家网信部门负责统筹协调网络数据安全和相关监管工作。
五、 数据安全的基本制度体系
作为数据安全领域的基本法律,《数安法》第三章创设了一系列数据领域的基本制度,构建我国数据安全制度的基本框架,为未来数据安全制度体系的发展与完善奠定基础。这些新的基本制度包括:
1. 数据分级分类保护、重要数据保护制度及国家核心数据保护制度
《数安法》规定国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分级分类保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门、相关行业、领域的重要数据保护目录,对列入目录的数据进行重点保护(第二十一条)。
《数安法》对于重要数据的处理提出了特别的要求:(1)重要数据的处理者应设立数据安全负责人和管理机构(第二十七条);(2)重要数据处理者应定期对数据处理活动开展风险评估,并向有关主管部门报送风险评估报告,评估报告应包含所处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等(第三十条)。
对重要数据的规制由《网络安全法》于2016年首次提出,主要对关键信息基础设施运营者收集的重要数据提出数据本地化及重要数据出境安全评估的要求。此后发布的相关征求意见稿,例如《信息安全技术 数据出境安全评估指南》(征求意见稿)、《数据安全管理办法(征求意见稿)》对各类重要数据进行了列举及定义,《数据安全管理办法(征求意见稿)》对重要数据的处理也提出了相应要求。
《数安法》将建立对重要数据的处理规则,体现了重要数据管理制度的不断深化。但《数安法》仍未能对重要数据做出明确的定义,而是留待各地区、部门、行业出台相关清单,反映了在实践中对数据进行分类、定义的复杂性。
《数安法》第三十一条明确提出,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。可见,对于关键信息基础设施运营者而言,重要数据的出境依然沿袭《网络安全法》第三十七条的规定,本地存储为原则,出境须经过安全评估;而对于其他数据处理者,其收集和产生的重要数据也将有专门的重要数据出境安全管理办法予以规制。目前该办法尚未出台,因此,一般的数据处理者的重要数据出境仍有待立法的进一步明确和澄清。
《数安法》首次提出“国家核心数据”的概念。目前,《数安法》尚未具体规定“更加严格的管理制度”,但第四十五条已经规定了违反国家核心数据管理制度的罚则(罚金最高可达人民币1000万元),我们理解,国家核心数据的范围和相关管理制度可能后续配套出台。
2. 数据安全风险管控制度
《数安法》要求国家建立统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作(第二十二条)。此制度的具体内容及相关政府部门及企业的义务待未来相关配套法规进一步澄清。
3. 数据安全应急处置机制
国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息(第二十三条)。此规定如何与《突发事件应对法》等现有法规的衔接需进一步观察。
4. 数据安全审查制度
国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。(第二十四条)。
《数安法》未明确数据安全审查制度的具体内容。进一步的,其与现有《外商投资法》规定的外商投资安全审查制度及《网络安全审查办法》中规定的针对关键信息基础设施运营者的相关安全审查制度的关系需进一步观察。
5. 数据出口管制制度
国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制度。2020年10月17日发布的《出口管制法》规定了对货物、技术、服务等物项的出口管制要求,并对出口管制进行了定义。
此外,《网络安全法》、《数据安全管理办法(征求意见稿)》及《个人信息保护法》(草案二次审议稿)分别规定了关键信息基础设施运营者、网络运营者重要数据及个人信息的数据出境安全评估要求,但相关具体细则尚未明确。《数安法》第三十一条规定的其他数据处理者的重要数据的处境安全管理办法亦尚未出台。数据出口管制及数据出境安全评估制度之间的配合及衔接有待未来立法的进一步明确。
6. 歧视性措施反制机制
对在数据和数据开发利用技术等有关投资、贸易方面对我国采取歧视性的禁止、限制或者类似措施的,我国可以根据实际情况采取对等措施(第二十六条)。
六、 数据安全保护义务
《数安法》第四章规定了单位及个人在国家数据安全保护体系下应遵守的各项义务,这些基本义务包括:
开展数据处理活动应建立健全全流程数据安全管理制度、组织开展数据安全教育培训、采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务(第二十七条);
对数据处理活动应加强风险监测,发现数据安全缺陷、漏洞等风险时,立即采取补救措施,发生数据安全事件发生后,应立即采取处置措施,按照规定及时告知用户并向有关主管部门报告(第二十九条);
采取合法、正当的方式获取数据(第三十二条);
配合公安、国家安全机关因维护国家安全或侦察犯罪调取数据的要求(第三十五条);
中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机关关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机关提供存储于中国境内的数据(第三十六条)。
除上述基本义务外,《数安法》亦对从事数据交易中介服务的机构提出了特别的数据安全义务,即对从事数据交易中介服务的机构,应要求数据提供方说明数据来源并审核交易双方身份,并留存审核、交易记录;我们认为:从事数据业务的供应商及数据业务交易的中介平台应充分关注此项要求(第三十三条)。
七、 政务数据的开放与安全要求
在我国电子政府稳步推进的大背景下,政务数据的安全保护刻不容缓,一方面需要不断推进政务数据的透明开放,提升社会治理水平;一方面政务数据因其特殊性,同样关系到国家安全一旦被滥用或非法泄露,也会对国家和社会产生危害。在此背景下,《数安法》第五章对政务数据的安全与开放做出了明确要求。包括国家机关应在法定职责范围内从事数据活动、应建立健全数据安全管理制度、及时准确公开政务数据、建设安全可控的政务数据开放平台等。
特别需要注意的是,第三十八条要求国家机关对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据依法予以保密,不得泄露或者非法向他人提供。第四十条规定,国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应经过严格的批准程序,并应监督受托方履行数据安全保护义务。受托方应当按照法律法规要求和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。基于此,与政府进行合作,或为政府提供服务的第三方供应商应特别关注此项要求,一方面,准入程序有待进一步观察,另一方面,实践中部分政务服务的供应商将政务数据用于其他商业目的,《数安法》出台后,此类行为被明确规定为违法行为。
八、 违反数据安全义务的法律责任
《数安法》第六章确定了违反各项数据安全义务所对应的法律责任。第四十四条规定了主管部门在监管过程中发现数据处理活动有较大安全风险的,可对相关组织与个人进行约谈,并要求整改、消除隐患。此外,该章针对开展数据处理活动的组织与个人、数据交易中介机构、国家机关、履行数据安全监管职责的国家工作人员等不同主体违反《数安法》中规定的相应义务所承担的法律责任进行了详细规定,并明确构成犯罪的,依法追究刑事责任。
《数安法》规定了对于违反数据安全保护义务的单位和个人的法律后果,其中:对于单位最高罚款金额为人民币200万元,并可责令暂停相关业务、停业整顿、吊销业务许可或营业执照,对直接负责的主管人员和其他直接责任人员也规定了最高人民币20万元的罚款金额。 值得注意的是,违反国家核心数据管理制度,危害国家主权、安全和发展利益的,以及违法《数安法》规定,向境外提供重要数据的,均明确规定了相应的更加严格法律后果(第四十五条、第四十六条)。
《数安法》亦单独规定了不配合公安、国安调取数据、以及未经批准向外国司法、执法机构提供数据、从事数据交易的中介服务单位违反规定等相关违法行为的法律责任。
九、 我们的观察
《数安法》作为我国第一部有关数据安全的专门法律,为我国数据安全治理体系建立了立法基础及制度框架,确立了数据安全保护和基本思路和大致方针。
考虑到《数安法》所涉及领域的广泛性、复杂性,在《数安法》原则规定的基础上,其如何与现有《网络安全法》、正在起草的《个人信息保护法》等法律及其配套规定的衔接,如何相应配套设计、落地各项具体的数据安全制度,如何在数据安全的前提下、实现数字经济的稳步有序发展,都是巨大的挑战、也可以预见未来实践之中的诸多议题。
数据活动对于企业的经营、城市的发展、政务的推进,尤其是在大数据、人工智能、云计算、区块链等新型科技领域和数字经济领域不断快速发展的大背景下至关重要。《网络安全法》于2017年生效后,为企业的数据活动已提出了新的合规框架。但规制主要集中于个人信息与重要数据领域,尚未进行统一的数据安全立法,且对于重要数据领域的法律和执法框架也一直仍在探索和形成。
《数安法》的出台无疑将为各类企事业单位、以及政务过程之中合法、安全的利用、处理数据提供基本的法律依据与参考,将进一步促进内外部的数据安全合规工作、落实各项数据安全义务。
对于各行业,尤其是可能涉及重要数据的金融、电信、交通、自然资源等关键行业的企业而言,需要紧密关注数据分类及重要数据保护制度,完善数据安全风险预防机制、数据安全事件应急处理机制等;就交易平台而言,应加强对于数据来源及交易双方的审核机制;对于为各类企事业单位提供数据处理和服务的企业而言,《数安法》规定的各项制度也将直接影响其未来的经营模式和义务。我们建议企业尽快结合《数安法》规定评估自身是否存在任何合规问题,并进行相应的制度和合规建设。
1.http://www.npc.gov.cn/npc/c30834/202106/4f2cc373ace04ab98a1e309c8959867d.shtml
2.http://www.npc.gov.cn/npc/c30834/201809/f9bff485a57f498e8d5e22e0b56740f6.shtml
