20212021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议审议通过了《中华人民共和国数据安全法》(以下简称《数据安全法》),自2021年9月1日起正式实施。本法共七章五五条,分为一般规则、数据安全与发展、数据安全系统、数据安全保护义务、政府数据安全与开放、法律责任和附件。《数据安全法》以基本法的形式明确了我国数据安全管理体系的顶层设计和安全“四梁八柱”,推进数字中国建设,助力中国数字经济国际竞争。
坚持国家整体安全观,明确数据安全管理体系的顶层设计
《数据安全法》坚持国家整体安全观,明确我国数据安全治理采用最高决策和协同治理的顶层设计,应对非传统领域数据的国家安全风险。
一是数据安全与国家安全有关,法律第五条从国家战略的高度,明确中央国家安全领导机构负责国家数据安全工作决策和协调,研究制定、指导国家数据安全战略及相关重大政策的实施,协调国家数据安全重大事项和重要工作,建立国家数据安全工作协调机制,实现最高决策。
二是数据安全风险广泛渗透到各个行业。在该领域,数据安全管理在行业之间既有共同点也有差异。法律第六条明确授权行业、电信、交通、金融等主管部门对行业和领域的数据安全监督职责;同时,法律第二十一条、第二十二条明确规定,重要数据目录的制定、数据安全风险信息的获取、分析、判断和预警由国家数据安全工作协调机制协调,通过跨部门协调工作机制确保重大数据安全管理事项,考虑行业间数据安全管理标准的一致性和行业的特殊性,避免部门利益纠纷损害国家数据安全利益。
三是数据安全与网络安全具有相关性,法律继续授权《网络安全法》的职责,明确国家网络信息部门负责协调网络数据安全及相关监督,公安机关和国家安全机关在各自职责范围内承担数据安全监督职责。
坚持风险管理路径,构建数据安全管理体系“四梁八柱”
一是以数据分类分类为核心,建立数据安全监督制度。《数据安全法》第二十一条“数据在经济社会发展中的重要性”,以及“篡改、破坏、泄露、非法获取、非法使用,对国家安全、公共利益或者个人、组织的合法权益造成危害”为标准,对数据进行分类和分级保护。在此基础上,对重要数据进行目录管理,国家数据安全协调机制协调相关部门制定重要数据目录,授权区域、部门确定区域、部门及相关行业、领域的重要数据目录,加强重要数据处理者的数据安全保护义务,加强对重要数据的保护。此外,该法律在第三次审判期间首次提出“国家核心数据”概念,清晰对“国家安全、国民经济命脉、重要民生、重大公共利益等”国家核心数据,实行更严格的管理制度,预留系统接口,以应对未来国家数据安全风险,完善系统安排。
二是明确风险评估、监测预警、应急处置等管理要求,加强数据安全风险的全过程预防和响应。第二十二条明确国家建立数据安全风险评估、报告、信息共享、监测和预警机制,实现事前风险评估、报告和信息共享,建立数据安全应急处置机制,防止数据安全事件危害扩大,消除安全风险。同时,数据处理器需要履行相应的风险监测、数据安全事件报告、数据安全风险评估等义务。
三是加强各类数据处理活动主体数据安全保护义务和责任的落实。本法第四章规定了各类数据处理器的数据安全保护义务。一般数据处理器应建立健全流程数据安全管理体系,加强风险监测,及时报告数据安全事件,要求数据处理活动符合社会道德和道德,不得窃取或非法获取数据;重要数据处理器还有明确的数据安全负责人和管理机构,定期进行数据处理活动风险评估,并提交主管部门,并遵守出境安全管理要求。对于从事数据交易中介服务的机构,明确有义务审查双方的身份和数据来源,并保留审计和交易记录。最后,《数据安全法》明确规定,数据处理服务提供商应依法取得行政许可,为数据处理服务市场准入环节的未来实施提供上级法律依据。
完善数据出境风险管理,对全球数据竞争作出应对性规定
一是《数据安全法》补充和完善数据出境管理要求,加强国内数据出境风险控制。第三十一条规定重要数据出境监督:一方面明确关键信息基础设施运营商在国内运营中收集和生成的重要数据,继续适用《网络安全法》第三十七条的出境安全管理要求;另一方面,增加其他数据处理器在国内运营中收集和生成的重要数据的出境安全管理,并授权国家网络信息部门与国务院有关部门制定相应的出境安全管理措施。此外,《数据安全法》第二十五条增加了数据出口控制,明确规定“与维护国家安全和利益、履行国际义务有关的控制项目的数据”实施出口管制,完善我国数据出境监管体系框架。
二是《数据安全法》针对全球数据竞争形势,作出应对性规定。首先,针对欧盟《通用数据保护条例》、《数据安全法》第二条以实际后果为标准的国外相关立法普遍具有域外适用效力,扩大国内立法管辖权的问题,明确规定“损害中华人民共和国国家安全、公共利益或者公民的合法权益”海外数据处理活动,追究法律责任。第二,鉴于最近国外立法授权国家执法机构跨境数据,可能侵犯中国数据主权,威胁中国数据安全,如云法案、数据安全法第三十六条明确规定,未经中国主管机关批准,国内组织、个人不得向国外司法或执法机构提供存储在中国的数据。第三,针对中国网络信息企业在海外过程中经常受到其他国家安全审查的不平等待遇,《数据安全法》第二十四条明确建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查;第二十六条规定,任何国家或者地区对数据和数据开发利用技术的投资、贸易采取歧视性禁止、限制或者其他类似措施的,中国可以根据实际情况采取措施。
加快配套制度建设,帮助实施数据安全法
《数据安全法》即将实施。在实施过程中,不仅要加快各项制度的配套实施,还要着力解决各项制度与网络安全法、个人信息保护法等立法之间的制度衔接问题。
一方面,《数据安全法》基本法的定位“宜粗不宜细”立法风格使法律的许多规定过于原则,其实施取决于支持行政法规、部门规章和国家标准的细化。虽然法律提出了数据分类分类保护、重要数据目录管理、重要数据出境安全管理等要求,但各系统的具体内容和如何实施将不可避免地影响各种数据处理器的数据安全保护义务。今后,应尽快推进配套行政法规和部门规章,明确上述制度的具体内容和统一要求,通过国家标准和行业标准为企业合规提供详细指导。
另一方面,《数据安全法》中的许多制度也迫切需要明确与现行法律制度之间的联系。《个人信息保护法》颁布后,我国将形成《网络安全法》、《数据安全法》、《个人信息保护法》三种平行情况,各系统之间存在一定的交叉点。例如,《网络安全法》中的网络安全审查还包括对产品或服务中数据风险的审查;在数据市场要素以个人信息为主的情况下,数据安全事件报告、重要数据出境管理系统也与《个人信息保护法》中的个人信息泄露事件报告和个人信息出境交叉。此类,主管部门迫切需要明确上述制度的适用边界,建立适当的优化机制,避免制度间叠床架屋浪费监管资源和企业合规成本。
作者:中国信息通信研究所安全研究所 葛鑫