您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
《數(shù)據(jù)安全法(草案)》權威解讀
2020年7月2日,全國人大常委會第二十次會議審議了《數(shù)據(jù)安全法(草案)》(“《數(shù)安法》”或“本法”)并公開征求意見。全文7章51條,包括:總則、數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護義務、政務數(shù)據(jù)安全與開放、法律責任和附則。
《數(shù)安法》與去年5月28日國家互聯(lián)網(wǎng)信息辦公室公布的《數(shù)據(jù)安全管理辦法(征求意見稿)》(“《辦法》”)互為補充和支撐,搭建了一個更為全面的數(shù)據(jù)安全保護體系。同時,在《國家安全法》的基礎上,本法作為在數(shù)據(jù)安全領域的專項法律,體現(xiàn)了國家立法層面對數(shù)據(jù)安全的高度重視。
下文擬從《數(shù)安法》的保護客體、監(jiān)管體系、規(guī)范行為及對象、數(shù)據(jù)跨境等主要方面作簡要解讀。
一、 保護的客體
1.1《數(shù)安法》與《辦法》的保護客體比較
與去年公布的《辦法》比較,《數(shù)安法》保護的客體范圍更加廣泛。首先,《數(shù)安法》所保護的客體不僅局限在《辦法》所界定的網(wǎng)絡數(shù)據(jù)范圍,而且還包括線下物理場所存在的數(shù)據(jù)。其次,相對于《辦法》所專注于“個人信息”和“重要數(shù)據(jù)”,《數(shù)安法》則普遍適用于所有數(shù)據(jù)。
以上區(qū)別的背后原因,筆者認為是因為《辦法》作為《網(wǎng)絡安全法》下位法,遵循了《網(wǎng)絡安全法》主要規(guī)范數(shù)據(jù)自身安全(即網(wǎng)絡數(shù)據(jù)的完整性、保密性、可用性)的思路,而《數(shù)安法》更側重于數(shù)據(jù)宏觀安全,即從維護國家主權、安全和發(fā)展利益方面對數(shù)據(jù)進行有效保護和合法利用。
1.2“數(shù)據(jù)”與“信息”的關系
另外,《數(shù)安法》將“數(shù)據(jù)”與“信息”的區(qū)別予以明確。《數(shù)安法》將“數(shù)據(jù)”定義為任何以電子或者非電子形式對信息的記錄??梢姡畔⑹菙?shù)據(jù)所外在表現(xiàn)的內容,數(shù)據(jù)是底層載體或形式。以“個人信息”為例,《數(shù)安法》僅保護記錄這些信息載體的合法使用與客觀安全狀態(tài),而涉及這些載體之上具體內容的部分,即“信息”部分,則由《個人信息保護法》(正處于全國人大常委會審議階段)等其他相關專門法律所規(guī)范。
1.3 數(shù)據(jù)安全保護的意義
平衡數(shù)據(jù)“發(fā)展/開放”與數(shù)據(jù)“安全”之間的關系是貫徹《數(shù)安法》全文的主要基調,因為數(shù)據(jù)的開發(fā)利用是數(shù)字經(jīng)濟發(fā)展的引擎,而數(shù)據(jù)安全事件又會給國家安全帶來威脅和挑戰(zhàn)。
a.數(shù)據(jù)是數(shù)字時代的“石油”
根據(jù)中國信通院2019年10月11日發(fā)布的《全球數(shù)字經(jīng)濟新圖景(2019年)》顯示,全球數(shù)字經(jīng)濟蓬勃發(fā)展,在國民經(jīng)濟中占據(jù)核心地位,47個國家數(shù)字經(jīng)濟總規(guī)模超過30.2萬億美元,占GDP比重高達40.3%。
數(shù)字經(jīng)濟發(fā)展的關鍵要素是數(shù)據(jù)。今年3月30日《中共中央、國務院關于構建更加完善的要素市場優(yōu)化配置體制機制的意見》中明確提出了數(shù)據(jù)成為土地、資本、勞動力及技術之外的第五大基本市場要素。今年5月28日全國人大通過的《民法典》就首次將數(shù)據(jù)和網(wǎng)絡虛擬財產(chǎn)納入保護范圍,賦予數(shù)據(jù)一定的財產(chǎn)屬性。因此,確保數(shù)據(jù)安全對我國的經(jīng)濟發(fā)展至關重要。
b.數(shù)據(jù)安全是國家安全的新領域
大數(shù)據(jù)帶來了萬物互聯(lián),但頻頻引發(fā)的各類數(shù)據(jù)安全事件也隨之而來。其導致的后果既有對個人隱私的侵害,更有對國家安全的威脅。例如,2018年臉書公司(Facebook)5000萬用戶信息泄露,被“劍橋分析”盜取用于大數(shù)據(jù)分析,影響了美國總統(tǒng)大選。所以,數(shù)據(jù)安全是國家安全治理的一個重要組成部分。
二、監(jiān)管體系
在數(shù)據(jù)安全的監(jiān)管方面,《數(shù)安法》構建了“一個頂點、多維度配合”的體系。
“一個頂點”即中央國家安全領導機構。該機構將針對全國的數(shù)據(jù)安全情況進行整體指導和戰(zhàn)略規(guī)劃,對具體涉及數(shù)據(jù)安全的主體進行間接管理。在具體的執(zhí)行層面,直接監(jiān)管機構將接受中央國家安全領導機構的領導或指導。
“多維度配合”則指各地區(qū)、各部門、各行業(yè)、線上與線下的全方位、交叉監(jiān)管:
1、工業(yè)、電信、自然資源、衛(wèi)生健康、教育、國防科技工業(yè)、金融業(yè)等行業(yè)主管部門將在本專業(yè)領域內針對特定事項進行監(jiān)管;
2、公安機關、國家安全機關等在職責范圍內進行監(jiān)管;
3、國家網(wǎng)信部門將直接負責網(wǎng)絡數(shù)據(jù)安全方面的監(jiān)管,包括具體的日常監(jiān)督、專項整改、管理細則的制定等等。
此外,筆者注意到雖然《網(wǎng)絡安全法》與《數(shù)安法》同為《國家安全法》的下位法,但只有《數(shù)安法》強調其與《國家安全法》一樣,均由中央國家安全領導機構間接管理。這可能也印證了《數(shù)安法》與《網(wǎng)絡安全法》在規(guī)范客體和重心上的差異。
為了方便讀者理解,筆者整理了如下結構圖以說明監(jiān)管體系之間的關系:
三、規(guī)范的行為及對象
3.1 規(guī)范的行為
《數(shù)安法》規(guī)范的“數(shù)據(jù)活動”包括:數(shù)據(jù)的收集、存儲、加工、使用、提供、交易、公開等行為。與《辦法》作比較,本法增加了加工、提供、交易、公開等四個環(huán)節(jié),同時刪除了《辦法》中“純粹家庭和個人事務除外”的規(guī)定。可見,《數(shù)安法》不僅將“數(shù)據(jù)活動”范圍擴大,亦將單純個人用途使用數(shù)據(jù)的行為納入監(jiān)管。
3.2 規(guī)范的對象
a.規(guī)范對象的范圍
針對企業(yè)而言,目前蓬勃發(fā)展的大數(shù)據(jù)、云計算、人工智能、數(shù)據(jù)處理軟件開發(fā)機構等將最直接地適用《數(shù)安法》。然而,從事數(shù)據(jù)活動的主體遠不止上述這類企業(yè),還有例如:電商平臺、數(shù)據(jù)交易中介這類企業(yè)會從事數(shù)據(jù)的收集、儲存、提供等環(huán)節(jié);社交軟件類企業(yè)會從事數(shù)據(jù)的收集、儲存、加工等環(huán)節(jié);甚至企業(yè)APP或公眾號,在運營中也會收集、儲存用戶的數(shù)據(jù)等。
整體上,《數(shù)安法》規(guī)范對象所涵蓋范圍很廣,不僅企業(yè),也包括涉及數(shù)據(jù)活動的機構、社會團體、政府部門,甚至個人。需要注意的是,《數(shù)安法》第2條采用了具有域外適用效力的條款,將違反或損害中國數(shù)據(jù)安全的境外機構也一并納入管轄對象的范圍。
b.規(guī)范對象的義務
為了方便讀者理解,筆者匯總整理了各規(guī)范對象所對應的合規(guī)義務如下:
四、數(shù)據(jù)跨境的“矛”與“盾”
由于經(jīng)濟全球化和互聯(lián)網(wǎng)的天然屬性,數(shù)據(jù)在不同國家和地區(qū)之間大規(guī)模、高頻率的流動,數(shù)據(jù)全球化成為推動全球經(jīng)濟發(fā)展的重要力量。在地緣政治方面,美國“棱鏡門”事件推動了各國政府將數(shù)據(jù)跨境流動與國家安全、國家主權等政策逐漸掛鉤,加劇了世界各國在網(wǎng)絡空間的戰(zhàn)略博弈和數(shù)據(jù)資源爭奪。在這方面,《數(shù)安法》構建了我國數(shù)據(jù)跨境流動的“矛”與“盾”。
4.1 域外追責及反制威懾——跨境數(shù)據(jù)安全之“矛”
如前文所述,《數(shù)安法》在總則第2條中依據(jù)保護管轄原則,規(guī)定數(shù)據(jù)活動無論在境內還是境外,只要損害我國國家安全、他人合法權益的,就要依法追究法律責任。該規(guī)定賦予了《數(shù)安法》域外適用效力,與歐盟的《通用數(shù)據(jù)保護條例》(“GDPR”)有異曲同工之處。
依據(jù)國際法的對等原則,《數(shù)安法》第24條就國外采取與數(shù)據(jù)投資、貿易相關的歧視性措施時,賦予我國采取反制措施的權利。可以說是在數(shù)據(jù)安全“守”勢的基礎上保留了反擊的主動權。
4.2 規(guī)范數(shù)據(jù)跨境流動——跨境數(shù)據(jù)安全之“盾”
《數(shù)安法》第10條表明我國對數(shù)據(jù)跨境流動的基本態(tài)度,即在確保數(shù)據(jù)安全的前提下,促進跨境自由流動,同時積極開展該領域的國際交流與合作、參與國際規(guī)則和標準的制定。在數(shù)據(jù)出境方面,無論是《網(wǎng)絡安全法》還是去年6月13日國家網(wǎng)信辦《個人信息出境安全評估辦法(征求意見稿)》都采用安全評估制度作為“安全閥”。而在數(shù)據(jù)入境方面,很多國家為了爭奪數(shù)據(jù)資源也已經(jīng)開展了積極的多邊或雙邊談判,謀求建立符合其利益的全球數(shù)據(jù)流動圈,例如歐盟GDPR項下的“充分性”認定名單、美國推動的《美墨加三國協(xié)議》(USMCA)、亞太經(jīng)合作組織(APEC)的“跨境隱私規(guī)則”(CBPR)等。下一步如何打造好我國自己的數(shù)據(jù)跨境流動“朋友圈”是擺在我們面前的一個重要課題。
《數(shù)安法》第23條首次提出數(shù)據(jù)出口管制概念,即國家對與履行國際義務和維護國家安全相關的屬于管制物項的數(shù)據(jù)依法實施出口管制。這實際上將去年12月28日《出口管制法(草案)》中的管制物項從“貨物、技術、服務”擴大到“數(shù)據(jù)”,其目的類似美國的《2018年出口管制法》和《出口管制條例》(EAR)項下對科技數(shù)據(jù)的出境限制。
《數(shù)安法》第33條提出了境外執(zhí)法機構調取數(shù)據(jù)的報告批準制度。該制度實際上是回應了近年來很多國家,包括美國《澄清境外數(shù)據(jù)合法使用法案》(the Cloud Act)在內,不斷擴大跨境數(shù)據(jù)調取權利的立法趨勢,為我國數(shù)據(jù)安全提供了一定保障。需要注意本條款雖然在字面上均可歸入數(shù)據(jù)出境范圍,但是與上文中《網(wǎng)絡安全法》和《個人信息出境安全評估辦法(征求意見稿)》中的數(shù)據(jù)出境活動不同。因為本法第33條涉及的境外數(shù)據(jù)接收者是境外執(zhí)法機構,而其活動涉及中國國家主權,理應適用更為嚴格的出境限制。
五、結語
當前國際形勢復雜多變,特別是新冠疫情給世界主要經(jīng)濟體造成巨大沖擊,全球面臨經(jīng)濟大衰退。然而,數(shù)字經(jīng)濟以其高融合、高技術、高增長等特性,將成為我國經(jīng)濟發(fā)展的新引擎。數(shù)字經(jīng)濟的要素是數(shù)據(jù),數(shù)據(jù)也是國家基礎性戰(zhàn)略資源,沒有數(shù)據(jù)安全就沒有國家安全。為了應對數(shù)據(jù)這一非傳統(tǒng)領域的國家安全風險與挑戰(zhàn),《數(shù)安法》應運而生,旨在通過立法提升國家數(shù)據(jù)安全保障能力,維護國家主權、安全和發(fā)展利益。
綜上,《數(shù)安法》項下的數(shù)據(jù)安全不僅擔當了數(shù)字經(jīng)濟壓艙石這一重任,還賦予了國家安全一個全新的監(jiān)管維度。
文章來源:關鍵基礎設施安全應急響應中心 作者:北京德恒律師事務所 王一楠、陳繼鑫 國家互聯(lián)網(wǎng)應急中心 張奕欣、呂欣潤