2020.07.06 董潇 郭静荷 董俊杰
2020年7月3日,在提交至第十三届全国人大常委会第二十次会议审议后,备受关注的《数据安全法(草案)》 (“《草案》”)文本在中国人大网发布并正式向公众征求意见1。
2018年9月公布的“十三届全国人大常委会立法规划”首次将《数据安全法》列入立法计划,作为“条件比较成熟、任期内拟提请审议的法律草案”。经过两年时间的酝酿,《草案》文本正式发布。
《数据安全法》出台后将成为以《国家安全法》为代表的国家安全法律体系的重要组成部分,也将与《网络安全法》及正在起草的《个人信息保护法》一起组成成为信息领域更加完整的基础性法律体系。
一、 适用范围
《草案》规定,在中华共和国境内开展的数据活动,适用本法。在域外适用上,进一步规定,中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。(第二条)
《草稿》进一步规定,“数据”是指任何以电子或者非电子形式对信息的记录;而“数据活动”是指数据的收集、存储、加工、使用、提供、交易、公开等行为。(第三条)
根据上述定义,“数据”所涵盖的范围十分广泛、在目前政务、企业逐步向数字化转型的过程之中,几乎会囊括生产、经营、管理各方各面所产生的信息记录。《草案》附则进一步规定,涉及国家秘密与个人信息的数据活动,分别适用《中华人民共和国保守国家秘密法》和个人信息相关的法律、行政法规,因此《草案》并不包括对于国家秘密、也不特别适用于个人信息的数据活动。但是,《草案》所涉及的数据的边界、特别是在实践之中如何对于企业的业务实践适用,仍需进一步界定。例如,《草案》要求对数据进行分级分类保护,仅针对重要数据制定了相关具体义务(如本文第五部分所述),而对于除重要数据之外的其他数据是否仍需相应规制、以及规制的重点及规则可能需后续进一步明确。
《草案》规定,数据安全是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。(第三条)从整个《草案》的内容来看,此处的数据安全既包含宏观国家安全层面、亦包括组织与个人落实数据安全措施的微观层面。
二、《草案》与网络、安全法律体系的衔接
数据安全要素是国家安全、网络安全的重要组成部分。
《国家安全法》原则性的规定,国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现……数据的安全可控(第二十五条)。
《网络安全法》亦要求企业应履行网络安全等级保护义务,采取数据分类、重要数据备份和加密等措施(第二十一条)。我们注意到,《草案》与上述法律及其相关配套法规(及征求意见稿)的规定的协调及衔接仍需进一步观察,例如:
《草案》规定的重要数据相关保护义务与《网络安全法》、《数据安全管理办法(征求意见稿)》中相关定义及规定的衔接;
《草案》规定的数据出口管制制度与尚在制定的《出口管制法(草案二次审议稿)》的出口管制要求及《网络安全法》、《数据安全管理办法(征求意见稿)》及《个人信息出境安全评估办法(征求意见稿)》规定的数据出境的相关要求的衔接;
《草案》规定的数据安全审查制度与《外商投资法》规定的外商投资安全审查制度及《网络安全审查办法》的关联;
草案规定的要求企业落实的数据安全管理制度、对数据活动进行的风险监测与《网络安全法》中规定的安全等级保护的相关制度的衔接。
三、数据安全与发展并行的原则
《草案》在总则之中首先明确了国家保护公民、组织与数据有关的权益,鼓励数据合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展,增进人民福祉(第五条)。
接着,《草案》在第二章中明确对于数据开发利用的支持,强调数据安全和促进数据开发利用并重。相关支持措施包括实施大数据战略、推进数据基础设施建设、数字经济发展规划设计(第十三条);加强数据开发利用技术基础研究(第十四条);促进数据人才培养(第十八条)等鼓励和支持数字经济发展、数据开发利用的总体战略和方针,也同时要求制定数据开发利用技术、产品和数据安全的相关标准(第十五条);促进数据安全监测评估及认证(第十六条)、建立健全数据交易管理制度(第十七条)。
可见,从《草案》的制度设计,意在鼓励和建立各种数据相关的制度支持措施,并结合对于数据的管理和要求,以促进和协调数字经济与数据安全之间的平衡有序发展。
四、数据安全执法主体及工作职责
《草案》第六条、第七条明确了数据安全的监管与不同执法单位的工作职责。中央国家安全领导机构承担数据安全工作总体的决策与统筹协调作用,并制定数据安全总体的战略和方针。此外:
各地区、各部门对本地区、本部门工作中的数据活动及数据安全承担主体责任;
工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责;
公安机关、国家安全机关在各自职责范围内承担数据安全监管职责;
国家网信部门负责统筹协调网络数据安全和相关监管工作。
五、 数据安全的基本制度体系
作为数据安全领域的基本法律,《草案》创设了一系列数据领域的基本制度,构建我国数据安全制度的基本框架,为未来数据安全制度体系的发展与完善奠定基础。这些新的基本制度包括:
1. 数据分级分类保护及重要数据保护制度
《草案》规定国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。(第十九条)
《草案》未明确数据分级分类保护的具体要求,但对于重要数据的处理提出了特别的要求:(1)重要数据的处理者应设立数据安全负责人和管理机构(第二十五条);(2)重要数据处理者应定期对数据活动开展风险评估,并向有关主管部门报送风险评估报告,评估报告应包含所掌握的重要数据的种类、数量、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。(第二十八条)
对重要数据的规制由《网络安全法》于2016年首次提出,主要对关键信息基础设施运营者收集的重要数据提出数据本地化及重要数据出境安全评估的要求。此后发布的相关征求意见稿,例如《信息安全技术 数据出境安全评估指南》(征求意见稿)、《数据安全管理办法(征求意见稿)》对各类重要数据进行了列举及定义,《数据安全管理办法(征求意见稿)》对重要数据的处理也提出了相应要求。
《草案》将建立对重要数据的处理规则,体现了重要数据管理制度的不断深化。但《草案》仍未能对重要数据做出明确的定义,而是留待各地区、部门、行业出台相关清单,反映了在实践中对数据进行分类、定义的复杂性。
2. 数据安全风险管控制度
《草案》要求国家建立统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险管控。(第二十条)此制度的具体内容及相关政府部门及企业的义务待未来相关配套法规。
3. 数据安全应急处置机制
国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息(第二十一条)。此规定如何与《突发事件应对法》等现有法规的衔接需进一步观察。
4. 数据安全审查制度
国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。依法作出的安全审查决定为最终决定。(第二十二条)。
《草案》未明确数据安全审查制度的具体内容。进一步的,其与现有《外商投资法》规定的外商投资安全审查制度及《网络安全审查办法》中规定的针对关键信息基础设施运营者的相关安全审查制度的关系需进一步观察。
5. 数据出口管制制度
国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制度。《出口管制法》尚在制定中,于2020年7月20日发布的《出口管制法(草案二次审议稿)》规定了对货物、技术、服务等物项的出口管制要求,并对出口管制进行了定义。
此外,《网络安全法》、《数据安全管理办法(征求意见稿)》及《个人信息出境安全评估办法(征求意见稿)》分别规定了关键信息基础设施运营者、网络运营者重要数据及个人信息的数据出境安全评估要求,但相关具体细则尚未明确。数据出口管制及数据出境安全评估制度之间的配合及衔接有待未来立法的进一步明确。
6.歧视性措施反制机制
对在数据和数据开发利用技术等有关投资、贸易方面对我国采取歧视性措施的,根据实际情况采取反制措施(第二十四条)。
六、 数据安全保护义务
《草案》第四章规定了单位及个人在国家数据安全保护体系下应遵守的各项义务,这些基本义务包括:
开展数据安全活动应建立健全数据安全管理制度、开展数据安全教育培训、采取安全技术措施(第二十五条);
对数据活动进行风险监测,数据安全事件发生后应及时向主管部门报告(第二十七条);
采取合法、正当的方式获取数据(第二十九条);
配合公安、国家安全机关因维护国家安全或侦察犯罪调取数据的要求;境外执法机构要求调取存储于境内数据的,单位或个人在向主管机关报告并获得批准后方可提供(第三十二、三十三条)。
除上述基本义务外,《草案》亦对几类特殊主体的数据处理活动提出特别的数据安全义务:
对从事数据交易中介服务的机构,应要求数据提供方说明数据来源并审核交易双方身份;我们认为:从事数据业务的供应商及数据业务交易的中介平台应充分关注此项要求(第三十条);
提供在线数据处理等服务的经营者应取得经营业务许可或备案。(第三十一条)此处许可或备案的要求是否对应电信业务相关牌照,如《电信业务分类目录》中“B21在线数据处理与交易处理业务”有待未来进一步明确。
七、政务数据的开放与安全要求
在我国电子政府稳步推进的大背景下,政务数据的安全保护刻不容缓,一方面需要不断推进政务数据的透明开放,提升社会治理水平;一方面政务数据因其特殊性,同样关系到国家安全一旦被滥用或非法泄露,也会对国家和社会产生危害。在此背景下,《草案》第五章对政务数据的安全与开放做出了明确要求。包括国家机关应在法定职责范围内从事数据活动、应建立健全数据安全管理制度、及时准确公开政务数据、建设安全可控的政务数据开放平台等。
特别需要注意的是,第三十七条规定,国家机关、具有公共事务管理职能的组织委托他人存储、加工政务数据,或者向他人提供政务数据,应经过严格的批准程序,并对接收方履行数据安全保护义务进行监督。基于此,与政府进行合作,或为政府提供服务的第三方供应商应特别关注此项审批要求,具体的审批程序有待进一步观察。
八、违反数据安全义务的法律责任
《草案》第六章确定了违反各项数据安全义务所对应的法律责任。第四十一条规定了主管部门在监管过程中发现数据活动有较大安全风险的,可对相关组织与个人进行约谈。此外,该章针对开展数据活动的组织与个人、数据交易中介机构、从事在线数据交易等服务的经营者、国家机关及国家工作人员等不同主体违反《草案》中规定的相应义务所承担的法律责任进行了详细规定,并明确构成犯罪的,依法追究刑事责任。
九、我们的观察
《草案》作为我国第一部有关数据安全的专门法律,为我国数据安全治理体系建立了立法基础及制度框架,确立了数据安全保护和基本思路和大致方针。
考虑到《草案》所涉及领域的广泛性、复杂性,在《草案》原则规定的基础上,其如何与现有《网络安全法》、正在起草的《个人信息保护法》等法律及其配套规定的衔接,如何相应配套设计、落地各项具体的数据安全制度,如何在数据安全的前提下、实现数字经济的稳步有序发展,都是巨大的挑战、也可以预见未来实践之中的诸多议题。
数据活动对于企业的经营、城市的发展、政务的推进,尤其是在大数据、人工智能、云计算、区块链等新型科技领域和数字经济领域不断快速发展的大背景下至关重要。《网络安全法》于2017年生效后,为企业的数据活动已提出了新的合规框架。但规制主要集中于个人信息与重要数据领域,尚未进行统一的数据安全立法,且对于重要数据领域的法律和执法框架也一直仍在探索和形成。
《草案》的出台无疑将为各类企事业单位、以及政务过程之中合法、安全的利用、处理数据提供基本的法律依据与参考,将进一步促进内外部的数据安全合规工作、落实各项数据安全义务。
对于各行业,尤其是可能涉及重要数据的金融、能源、水利等关键行业的企业而言,需要紧密关注数据分类及重要数据保护制度,完善数据安全风险预防机制、数据安全事件应急处理机制等;就交易平台而言,应加强对于数据来源及交易双方的审核机制;对从事在线数据处理等服务的经营者而言,应关注《草案》规定的备案及许可要求的未来发展;对于为各类企事业单位提供数据处理和服务的企业而言,《草案》规定的各项制度也将直接影响其未来的经营模式和义务。
我们将持续关注《草案》的进展。
注:
1. http://www.npc.gov.cn/flcaw/userIndex.html?lid=ff80808172b5fee801731385d3e429dd
2. http://www.npc.gov.cn/npc/c30834/201809/f9bff485a57f498e8d5e22e0b56740f6.shtml