《中華人民共和國數據安全法》十大法律要點解析
王春暉 程樂
2021年9月1日,《中華人民共和國數據安全法》(以下簡稱:《數據安全法》)正式施行。該部法律體現了總體國家安全觀的立法目標,聚焦數據安全領域的突出問題,確立了數據分類分級管理,建立了數據安全風險評估、監測預警、應急處置,數據安全審查等基本制度,並明確了相關主體的數據安全保護義務,這是我國首部數據安全領域的基礎性立法。《數據安全法》共有七章五十五條,在《數據安全法》施行的之際,我們就本法的十大突出亮點進行解讀。
一、堅持總體國家安全發展觀
《數據安全法》以貫徹總體國家安全觀的目的為出發點,以數據治理中最為重要的安全問題作為切入點,抓住了數據安全的主要矛盾和平衡點,是我國數據安全領域的一部重要基礎性法律。《數據安全法》第一條確立該法的立法目確:“為了規範數據處理活動,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家主權、安全和發展利益,制定本法。”
該條中的“規範數據處理活動,保障數據安全,促進數據開發利用”是《數據安全法》的立法基礎,其中“規範、保障、促進”這三個關鍵詞,是一種遞進關係,規範數據處理活動的目的,是為了保障數據的安全,只有在確保數據安全的基礎上,方能促進數據的有序開發和利用。
二、我國數據保護的域外法律效力
當前,全球經貿交易、技術交流、資源分享等跨國合作日益頻繁,數據跨境流動已經是無法避免的事實。如果我國的數據安全法只適用於“在中華人民共和國境內開展數據活動”的地域空間,顯然是不現實的。為此,《數據安全法》第二條第二款明確規定:“在中華人民共和國境外開展數據處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。”
該款中的“境外開展數據處理數據活動”的主體既包括位於中國境外的數據處理者,也包括位於中國境內的數據處理者,但其數據處理行為在境外,這兩類數據處理者的行為只要損害了我國國家安全、公共利益以及公民和組織的合法數據權益,均由我國法律管轄,並追究法律責任。
三、“中央國安委”統籌協調下的行業數據監管機制
我國《數據安全法》第五條明確:“中央國家安全領導機構負責國家數據安全工作的決策和議事協調,研究制定、指導實施國家數據安全戰略和有關重大方針政策,統籌協調國家數據安全的重大事項和重要工作,建立國家數據安全工作協調機制。”
《數據安全法》實行“中央國安委”統籌協調下的行業監管機制:首先,中央國家安全領導機構負責國家數據安全工作的決策和議事協調,研究制定、指導實施國家數據安全戰略和有關重大方針政策,統籌協調國家數據安全的重大事項和重要工作;其次,各地區、各部門對本地區、本部門工作中收集和産生的數據及數據安全負責;再次,工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責;第四,公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責範圍內承擔數據安全監管職責;第五,國家網信部門依照《數據安全法》和有關法律、行政法規的規定,負責統籌協調網路數據安全和相關監管工作。
四、促進以數據為關鍵要素的數字經濟發展
《數據安全法》第七條規定:“國家保護個人、組織與數據有關的權益,鼓勵數據依法合理有效利用,保障數據依法有序自由流動,促進以數據為關鍵要素的數字經濟發展。”
數據作為生産要素由市場評價貢獻、按貢獻決定報酬,這是黨的十九屆四中全會首次提出的一項重大産權創新制度。目前,各類網路平臺,尤其是超級網路平臺通過自身營造的網路生態系統,將網路公共空間的數據當作一種私權,不利於數據要素市場的構建。因此,《數據安全法》明確提出“國家保護個人、組織與數據有關的權益”,這裡的“權益”指公民和法人受法律保護的與數據有關的權利和利益。在個人和組織與數據有關的權益得到充分保護的基礎上,依法推動數據合理有效利用和依法有序自由流動。
五、國家數據分類分級保護制度
《數據安全法》第二十一條規定:“國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、洩露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。”
《數據安全法》中的“數據分類”,採用了數據的“重要程度”+“危害程度”的立法手段,對數據實行分類分級保護,特別是將“關係國家安全、國民經濟命脈、重要民生、重大公共利益等數據”列為國家核心數據,實行更加嚴格的管理制度。《數據安全法》從國家層面提出了數據分類分級,是確定數據保護和利用之間平衡點的一個重要依據,為政務數據、企業數據、工業數據和個人數據的保護奠定了法律基礎。
六、國家數據安全審查制度
“國家安全審查”是我國《國家安全法》最先確立的一項國家安全審查與監管制度。根據《國家安全法》第五十九條的規定:“國家建立國家安全審查和監管的制度和機制,對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網路資訊技術産品和服務、涉及國家安全事項的建設項目,以及其他重大事項和活動,進行國家安全審查,有效預防和化解國家安全風險。”
數據安全審查制度與網路安全審查是依法確立的國家安全審查制度中兩項重要的安全審查制度。《數據安全法》第二十四條規定:“國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。”《網路安全法》第三十五條規定:“關鍵資訊基礎設施的運營者採購網路産品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。”
《數據安全法》中的數據安全審查制度與《網路安全法》中的網路安全審查制度有所不同,前者的審查對象主要針對影響或者可能影響國家安全的數據處理活動,數據處理活動包括:數據的收集、存儲、使用、加工、傳輸、提供、公開等;後者的審查對象主要是針對關鍵資訊基礎設施運營者採購網路産品和服務,影響或可能影響國家安全的情形。
2021年7月10日,國家網信辦發佈《網路安全審查辦法(修訂草案徵求意見稿)》,在“修訂草案徵求意見稿”第一條的立法依據中,新增加了《中華人民共和國數據安全法》,即“依據《中華人民共和國國家安全法》《中華人民共和國網路安全法》《中華人民共和國數據安全法》,制定本辦法”,這意味著數據安全審查制度將納入新修訂的《網路安全審查辦法》。
七、國家數據安全應急處置機制
《數據安全法》第二十三條明確了“國家建立數據安全應急處置機制”,並要求“發生數據安全事件,有關主管部門應當依法啟動應急預案,採取相應的應急處置措施,防止危害擴大,消除安全隱患,並及時向社會發佈與公眾有關的警示資訊。”
該條有四層意思,一是要在國家層面構建數據安全應急處置機制;二是有關單位在發生數據安全事件時,應當依法立即啟動應急預案,該條中的“有關單位”應當按照“誰主管誰負責、誰運作誰負責”的原則確定;三是採取最有效的應急處置措施,防止危害擴大,要消除安全隱患,同時要組織研判,保存證據,並做好資訊通報工作;四是及時向社會發佈與公眾有關的警示資訊,強調“發佈與公眾有關的警示資訊”的目的,是為了讓公眾了解數據安全事件的真像,並及時採取自我保護的措施,以免其數據遭到破壞或在遭到破壞後防止損失的擴大。
數據安全事件應急預案應當按照緊急程度、發展態勢和可能造成的危害程度進行等級分類,一般分為四級:由高到低依次用紅色、橙色、黃色和藍色標示,分別對應可能發生特別重大、重大、較大和一般網路安全突發事件。
八、數據處理者的合規義務
數據合規,是指數據處理者及其工作人員的數據處理行為符合法律法規、監管規定、行業準則和數據安全管理規章制度以及國際條約、規則等要求。《數據安全法》第二十七條到第三十條明確了數據處理者履行數據安全的四項重要合規義務。
(一)開展數據處理活動應當依法合規
《數據安全法》第二十七條規定:“開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,採取相應的技術措施和其他必要措施,保障數據安全。利用網際網路等資訊網路開展數據處理活動,應當在網路安全等級保護制度的基礎上,履行上述數據安全保護義務。
重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。”
該條規定了四項重要義務:一是開展數據處理活動應當依照法律、法規的規定;二是開展數據處理活動應當建立健全全流程數據安全管理制度,並組織開展數據安全教育培訓;三是開展數據處理活動應當採取相應的技術措施和其他必要措施,保障數據安全;四是利用網際網路等資訊網路開展數據處理活動,應當在網路安全等級保護制度的基礎上,履行上述數據安全保護義務。
(二)數據處理應當為民造福並符合社會倫理道德
當前,數據處理者在數據處理活動中大量地使用智慧技術和演算法技術,特別是數據處理者開發的智慧技術與演算法的融合,其本質是建立在大數據基礎上的自我學習、判斷和決策的演算法。演算法的核心是基於網路的編程技術,目前基於智慧技術的演算法決策具有典型的“黑箱”特點,大量的違背社會公德和倫理,最典型的就是大數據殺熟機制。
針對數據處理者違背法律和社會公德濫用大數據新技術的情形,《數據安全法》第二十八條提出了展數據處理活動以及研究開發數據新技術的三項合規義務,一是數據處理者研究開發數據技術,一定要利於促進經濟社會發展;二是數據處理者研究開發數據新技術,要以增進人民福祉為目的;三是數據處理者研究開發數據新技術應當符合社會公德和倫理。
(三)數據處理活動應當加強風險監測
《數據安全法》第二十九條:“開展數據處理活動應當加強風險監測,發現數據安全缺陷、漏洞等風險時,應當立即採取補救措施;發生數據安全事件時,應當立即採取處置措施,按照規定及時告知用戶並向有關主管部門報告。”
數據安全風險監測與評估是參照數據安全風險評估標準和管理規範,對數據資産價值、潛在威脅、薄弱環節、已採取的防護措施等進行監測,分析和判斷數據安全事件發生的概率以及可能造成的損失,並採取有針對性的處置措施和提出數據安全風險管控措施。
《數據安全法》第二十九條對數據安全的風險監測與數據安全事件的處置做出兩項明確要求,一是開展數據處理活動應當加強風險監測,發現數據安全缺陷、漏洞等風險時,應當立即採取補救措施;二是發生數據安全事件時,應當立即採取處置措施,按照規定及時告知用戶並向有關主管部門報告。
(四)重要數據處理者應當定期開展數據風險評估
《數據安全法》第三十條規定:“重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估,並向有關主管部門報送風險評估報告。
風險評估報告應當包括處理的重要數據的種類、數量,開展數據處理活動的情況,面臨的數據安全風險及其應對措施等。”
該條款有三項內容,一是重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估;二是數據風險評估報告應當向有關主管部門報送;三是風險評估報告應當包括處理的重要數據的種類、數量,開展數據處理活動的情況,面臨的數據安全風險及其應對措施等。
九、重要數據的出境安全管理制度
《數據安全法》第三十一條規定:“關鍵資訊基礎設施的運營者在中華人民共和國境內運營中收集和産生的重要數據的出境安全管理,適用《中華人民共和國網路安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和産生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。”
本條規定了重要數據出境安全管理的規定,主要有兩方面內容,一是關鍵資訊基礎設施的運營者在中華人民共和國境內運營中收集和産生的重要數據的出境安全管理,適用《中華人民共和國網路安全法》的規定;二是除關鍵資訊基礎設施的運營者處理的重要數據外,其他數據處理者在中華人民共和國境內運營中收集和産生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。
十、提供數據處理服務的行政許可準入制度
《數據安全法》第三十四條規定:“法律、行政法規規定提供數據處理相關服務應當取得行政許可的,服務提供者應當依法取得許可。” 許可(license)含有准許、允許或授權的意思,數據處理相關服務的行政許可,其基本性質是行政機關對特定的數據處理服務活動進行事前進行控制的一種管理行為。
數據處理相關服務的行政許可一般應具有以下特徵:一是從事數據處理相關服務的行政許可是一種依行政相對人申請的行政行為,沒有行政相對人的申請,行政機關不能主動予以許可;二是數據處理服務行政許可的設定意味著法律的一般禁止,行政許可的內容是國家一般禁止的活動,為適應社會生活和生産的需要,對符合一定條件者解除禁止,允許其從事某項特定的活動。數據處理服務本身涉及到維護國家主權、安全和發展利益,應該是國家一般禁止的行為,但國家為了促進數據開發利用,在保障數據安全的前提下,對符合條件的組織和個人准許其實施數據處理服務行為;三是數據處理服務行政許可是一種授益性行政行為,即賦予相對人某種權利和資格的授益性行政行為,是准許相對人從事數據處理服務這項特定活動的行為。
王春暉係浙江大學教授、博導,網路空間治理與數字經濟法治(長三角)研究基地主任兼首席專家、工信部資訊通信經濟專家委員會委員、中國網路與數據安全法治50人論壇主席;
程樂係浙江大學教授、博導,國家社科基金重大專項“建立健全我國網路綜合治理體系研究”首席專家、浙江大學國際戰略與法律研究院常務副院長。