《中华人民共和国数据安全法》解读

发布时间 2021-09-29

6月10日,十三届全国人大常委会第二十九次会议通过了《中华人民共和国数据安全法》(简称《数据安全法》)。历经两次审议后,本次的《数据安全法》相比此前草案,强调了建立工作协调机制,加强对数据安全工作的统筹;明确对关系国家安全、国民经济命脉、重要民生、重大公共利益等数据实行更严格的管理制度。同时,新法案进一步完善保障政务数据安全方面的规定,并加大对违法行为的处罚力度。下面将对《数据安全法》进行重点提炼,进一步明确该法的要点。

一、价值维度:统筹总体国家安全观

《数据安全法》作为数据安全领域最高位阶的专门法,与2017年6月1日起施行的《网络安全法》共同完善了《国家安全法》框架下的安全治理法律体系。《数据安全法》基于总体国家安全观,将数据主权纳入国家主权范畴,并进一步将数据要素的发展与安全统筹起来,为我国的数字化转型,构建数字经济、数字政府、数字社会提供法治保障。

《数据安全法》第一条和第四条提出保障数据安全应坚持总体国家安全观,要维护国家主权、安全和发展利益。第二条则进一步明确了法律条款的适用范围。值得注意的是,在我国境外从事有损中华人民共和国国家安全的数据处理活动也将以本法为依据追究责任。第十七条提出将从国家层面推进数据安全标准体系的建设,正式将数据安全提升至国家安全高度。

二、制度维度:消除灰色地带,形成制约机制

《数据安全法》作为数据领域的“上位法”,明确了政府、企业、社会相关管理者、运营者和经营者的数据安全保护责任,消除了数据要素交易中的灰色地带,对各行各业都形成了制约机制,及时遏制住了对于国计民生相关数据的随意共享和流转。

1.明确数据安全监管制约职责

《数据安全法》从数据全场景构建数据全监管体系,延续了《网络安全法》生效以来的“一轴两翼多级”的监管体系。“一轴”指国家安全机关,两翼指公安机关和网信部门,多级在行业横向范围主要体现在工业、电信、交通、金融等行业主管部门的共同参与,在行政架构方面主要体现在各地区、各部门对工作中收集和产生的数据进行安全管理上。如第五条提出由中央国家安全领导机构作为主管部门对本行业、本领域的数据安全监管职责;第六条明确国家安全机关、公安机关在职权范围内承担的数据安全监管职责;明确各地区、各部门的主体责任,以全面的数据监管制度和切实可行的数据保护操作规范,落实数据安全保护责任,推动数据安全发展;第十四条提出省级以上人民政府应将数字经济发展纳入本级国民经济和社会发展规划中,并按需要制定数字经济发展规划。

2.完善数据分类分级保护制度

第二十一条提出,国家建立数据分级保护制度,依据不同的数据敏感程度制定不同的保护策略,通过建立重要数据目录保护制度,保障重要敏感数据的安全,这将有助于防控数据风险、保障数据交易、释放数据价值。这是继《网络安全法》首次提出数据分类分级保护制度后,《数据安全法》进一步明确相关部门在分类分级保护和重要数据保护中的职能。《数据安全法》原则性规定了数据分类分级的依据为在经济社会发展中的重要程度和遭到篡改、泄露等情形时的危害程度。由于不同行业、不同地区数据分类分级的具体规则和考虑因素差异巨大,《数据安全法》将重要数据具体目录和具体分类分级保护制度的制定权限下放到行业主管部门和各地区国家机关,充分平衡了法律规定的普适性和灵活性。

3.全局覆盖数据安全风险评估机制

第二十二条提出要建立数据安全风险评估机制,从源头预警数据安全风险,建立了全场景、集中统一的风险评估、报告、信息共享、检测预警机制,充分识别对经济社会发展产生影响的内外部潜在因素。第二十三条提出在风险识别基础上确立数据安全应急处置机制,对已知安全风险及时进行应急处置。高效权威的数据安全风险评估机制能够最大限度降低数据安全风险,而具体机制体制的主管机构、适用范围、评估审查模式等配套制度也有望在后期逐步推出。

4.健全数据交易管理制度

第十九条提出国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。第三十三条规定了从事数据交易中介服务的机构要履行审核数据来源和交易双方身份等义务的法律责任,这是首次在法律中提及数据交易中介机构,对于规范数据交易市场具有里程碑式的意义。

5.建立安全审查制度

第二十四条提出,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。且依法作出的安全审查决定将为最终决定。值得注意的是,这里提到国家依法作出的数据安全审查决定为最终决定,意味着相关具体行政行为将无法通过行政复议、行政诉讼等形式进行复议。

6.实施数据出口管制

第二十五条明确国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。第三十五条进一步提出,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。《数据安全法》一方面明确维护国家安全和利益、履行国际义务可作为禁止相关数据出口的合法依据,另一方面强化了对境外司法执法机构提供数据的审批权,充分体现了我国在网络数据空间主张数据主权的立法思想和主张。

7.推行行业牌照管理制度

《数据安全法》首次明文规定了从事数据服务的机构应获取相关牌照。第三十四条明确,法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。这一点很有必要,因为一旦数据被视为和土地、资金一样的生产要素,那么对于数据服务行业也应该和土地开发或者金融业一样建立起准入牌照管理,从而进行全行业的准入审批与数据把控。

8.政府率先落实数据安全保护责任

政务数据安全与开发作为《数据安全法》的独立章节,要求我国政府在落实数据安全保护责任的同时,推动政务数据开放利用。《数据安全法》针对政务数据开发利用作出了明确的指示,第三十七条提出要大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。第四十一条提出,除依法不予公开的数据外,国家机关要按照规定及时、准确地公开政务数据。第四十二条提出要制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。

同时,《数据安全法》也对政府的数据保护做出了明文规定。其中,第三十八条要求国家机关对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密。而第四十条要求国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。根据该条款,国家机关可以委托第三方开发电子政务系统,但必须建立严格的审批流程。

此外,第四十三条还将具有管理公共事务职能的组织纳入到本章规定范围中。可以预见,未来科研院所、行业协会以及认证、评估等专业机构的数据安全管理也将建立规范的审批程序。

9.强化违法行为处罚力度

《数据安全法》通过加大处罚力度,丰富处罚种类,对违法主体加以规制,以更高违法代价改善立法漏洞和数据活动主体的侥幸心理,促使其以良好的内部合规体系进行自我规制。

一是新增了对违反国家核心数据管理制度处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照(第四十五条);

二是单独增设对违反数据出境的处罚,最高一千万元罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,并对相关责任人员处一百万元以下罚款(第四十六条);

三是将擅自向境外执法/司法机构提供数据的处罚提高至最高五百万元,对个人的处罚最高至五十万元(第四十八条)。

三、发展维度:数据安全与开发利用并重

《数据安全法》更全面地保障了国家安全在各行业、各领域保障的有法可依,势必驱动政府、机构和企业增加在数据安全领域的投资,完善安全防护体系,从而推动信息安全行业在数据安全领域的技术研发方面加快迭代,助力产品及服务不断创新。如第七条就提出,国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。第十三条提出坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。此外,在支持提升智能化的同时,应当充分发挥人文关怀,以人为本,照顾弱势群体的需求,考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍,让智能化公共服务为更多人提供便利(第十五条)。充分体现了国家对弱势群体需求的关注。

数据安全作为数据要素的基础和保障,涉及国家经济社会发展的全领域、全过程。《数据安全法》规定的数据安全保护责任和数据开发利用活动的全流程,数据伴随着实际业务和应用,在不同载体间流动和留存,贯穿信息化和业务系统的各层面、各环节,这对数据安全防护提出了更高的要求。可以预见,这将是一个复杂的系统工程,前提是将安全能力和举措深入到应用和业务中,与系统、应用和业务的每个层级全面覆盖和深度结合,才能建成体系,实现数据行级别、列级别、单元级别的精准防护。