2021年9月1日�����,《中華人民共和國數(shù)據安全法》(以下簡稱:《數(shù)據安全法》)正式施行���。該部法律體現(xiàn)了總體國家安全觀的立法目標,聚焦數(shù)據安全領域的突出問題���,確立了數(shù)據分類分級管理����,建立了數(shù)據安全風險評估��、監(jiān)測預警����、應急處置,數(shù)據安全審查等基本制度�,并明確了相關主體的數(shù)據安全保護義務,這是我國首部數(shù)據安全領域的基礎性立法�。《數(shù)據安全法》共有七章五十五條�,在《數(shù)據安全法》施行之際,我們就本法的十大突出亮點進行解讀���。
一�����、堅持總體國家安全發(fā)展觀
《數(shù)據安全法》以貫徹總體國家安全觀的目的為出發(fā)點���,以數(shù)據治理中最為重要的安全問題作為切入點,抓住了數(shù)據安全的主要矛盾和平衡點��,是我國數(shù)據安全領域的一部重要基礎性法律�����?����!稊?shù)據安全法》第一條確立該法的立法目確:“為了規(guī)范數(shù)據處理活動����,保障數(shù)據安全,促進數(shù)據開發(fā)利用�,保護個人、組織的合法權益,維護國家主權����、安全和發(fā)展利益,制定本法��?����!?/p>
該條中的“規(guī)范數(shù)據處理活動�,保障數(shù)據安全,促進數(shù)據開發(fā)利用”是《數(shù)據安全法》的立法基礎�����,其中“規(guī)范���、保障��、促進”這三個關鍵詞����,是一種遞進關系��,規(guī)范數(shù)據處理活動的目的,是為了保障數(shù)據的安全�,只有在確保數(shù)據安全的基礎上,方能促進數(shù)據的有序開發(fā)和利用���。
二、我國數(shù)據保護的域外法律效力
當前�����,全球經貿交易���、技術交流�����、資源分享等跨國合作日益頻繁����,數(shù)據跨境流動已經是無法避免的事實�。如果我國的數(shù)據安全法只適用于“在中華人民共和國境內開展數(shù)據活動”的地域空間,顯然是不現(xiàn)實的�����。為此,《數(shù)據安全法》第二條第二款明確規(guī)定:“在中華人民共和國境外開展數(shù)據處理活動����,損害中華人民共和國國家安全、公共利益或者公民���、組織合法權益的����,依法追究法律責任��?�!?/p>
該款中的“境外開展數(shù)據處理數(shù)據活動”的主體既包括位于中國境外的數(shù)據處理者��,也包括位于中國境內的數(shù)據處理者��,但其數(shù)據處理行為在境外�����,這兩類數(shù)據處理者的行為只要損害了我國國家安全���、公共利益以及公民和組織的合法數(shù)據權益�����,均由我國法律管轄��,并追究法律責任���。
三���、“中央國安委”統(tǒng)籌協(xié)調下的行業(yè)數(shù)據監(jiān)管機制
我國《數(shù)據安全法》第五條明確:“中央國家安全領導機構負責國家數(shù)據安全工作的決策和議事協(xié)調���,研究制定�����、指導實施國家數(shù)據安全戰(zhàn)略和有關重大方針政策���,統(tǒng)籌協(xié)調國家數(shù)據安全的重大事項和重要工作,建立國家數(shù)據安全工作協(xié)調機制�。”
《數(shù)據安全法》實行“中央國安委”統(tǒng)籌協(xié)調下的行業(yè)監(jiān)管機制:首先�,中央國家安全領導機構負責國家數(shù)據安全工作的決策和議事協(xié)調,研究制定�、指導實施國家數(shù)據安全戰(zhàn)略和有關重大方針政策���,統(tǒng)籌協(xié)調國家數(shù)據安全的重大事項和重要工作;其次�����,各地區(qū)���、各部門對本地區(qū)����、本部門工作中收集和產生的數(shù)據及數(shù)據安全負責��;再次�,工業(yè)、電信�、交通、金融�����、自然資源��、衛(wèi)生健康���、教育����、科技等主管部門承擔本行業(yè)、本領域數(shù)據安全監(jiān)管職責�;第四,公安機關��、國家安全機關等依照本法和有關法律��、行政法規(guī)的規(guī)定����,在各自職責范圍內承擔數(shù)據安全監(jiān)管職責��;第五����,國家網信部門依照《數(shù)據安全法》和有關法律、行政法規(guī)的規(guī)定�����,負責統(tǒng)籌協(xié)調網絡數(shù)據安全和相關監(jiān)管工作����。
四���、促進以數(shù)據為關鍵要素的數(shù)字經濟發(fā)展
《數(shù)據安全法》第七條規(guī)定:“國家保護個人、組織與數(shù)據有關的權益����,鼓勵數(shù)據依法合理有效利用,保障數(shù)據依法有序自由流動��,促進以數(shù)據為關鍵要素的數(shù)字經濟發(fā)展���?����!?/p>
數(shù)據作為生產要素由市場評價貢獻�����、按貢獻決定報酬��,這是黨的十九屆四中全會首次提出的一項重大產權創(chuàng)新制度�。目前,各類網絡平臺����,尤其是超級網絡平臺通過自身營造的網絡生態(tài)系統(tǒng),將網絡公共空間的數(shù)據當作一種私權��,不利于數(shù)據要素市場的構建�。因此,《數(shù)據安全法》明確提出“國家保護個人�、組織與數(shù)據有關的權益”,這里的“權益”指公民和法人受法律保護的與數(shù)據有關的權利和利益���。在個人和組織與數(shù)據有關的權益得到充分保護的基礎上�,依法推動數(shù)據合理有效利用和依法有序自由流動�����。
五�����、國家數(shù)據分類分級保護制度
《數(shù)據安全法》第二十一條規(guī)定:“國家建立數(shù)據分類分級保護制度��,根據數(shù)據在經濟社會發(fā)展中的重要程度��,以及一旦遭到篡改�����、破壞���、泄露或者非法獲取����、非法利用���,對國家安全�����、公共利益或者個人�����、組織合法權益造成的危害程度���,對數(shù)據實行分類分級保護。國家數(shù)據安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門制定重要數(shù)據目錄�,加強對重要數(shù)據的保護。”
《數(shù)據安全法》中的“數(shù)據分類”�,采用了數(shù)據的“重要程度”+“危害程度”的立法手段,對數(shù)據實行分類分級保護�����,特別是將“關系國家安全�����、國民經濟命脈��、重要民生��、重大公共利益等數(shù)據”列為國家核心數(shù)據���,實行更加嚴格的管理制度����?��!稊?shù)據安全法》從國家層面提出了數(shù)據分類分級,是確定數(shù)據保護和利用之間平衡點的一個重要依據��,為政務數(shù)據、企業(yè)數(shù)據�����、工業(yè)數(shù)據和個人數(shù)據的保護奠定了法律基礎�。
六、國家數(shù)據安全審查制度
“國家安全審查”是我國《國家安全法》最先確立的一項國家安全審查與監(jiān)管制度��。根據《國家安全法》第五十九條的規(guī)定:“國家建立國家安全審查和監(jiān)管的制度和機制�,對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術����、網絡信息技術產品和服務、涉及國家安全事項的建設項目���,以及其他重大事項和活動�����,進行國家安全審查�����,有效預防和化解國家安全風險���?��!?/p>
數(shù)據安全審查制度與網絡安全審查是依法確立的國家安全審查制度中兩項重要的安全審查制度?!稊?shù)據安全法》第二十四條規(guī)定:“國家建立數(shù)據安全審查制度,對影響或者可能影響國家安全的數(shù)據處理活動進行國家安全審查�����?�!薄毒W絡安全法》第三十五條規(guī)定:“關鍵信息基礎設施的運營者采購網絡產品和服務��,可能影響國家安全的�����,應當通過國家網信部門會同國務院有關部門組織的國家安全審查��?���!?/p>
《數(shù)據安全法》中的數(shù)據安全審查制度與《網絡安全法》中的網絡安全審查制度有所不同,前者的審查對象主要針對影響或者可能影響國家安全的數(shù)據處理活動�,數(shù)據處理活動包括:數(shù)據的收集�、存儲����、使用��、加工����、傳輸、提供�、公開等;后者的審查對象主要是針對關鍵信息基礎設施運營者采購網絡產品和服務���,影響或可能影響國家安全的情形��。
2021年7月10日���,國家網信辦發(fā)布《網絡安全審查辦法(修訂草案征求意見稿)》,在“修訂草案征求意見稿”第一條的立法依據中����,新增加了《中華人民共和國數(shù)據安全法》,即“依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》《中華人民共和國數(shù)據安全法》����,制定本辦法”�����,這意味著數(shù)據安全審查制度將納入新修訂的《網絡安全審查辦法》���。
七、國家數(shù)據安全應急處置機制
《數(shù)據安全法》第二十三條明確了“國家建立數(shù)據安全應急處置機制”�����,并要求“發(fā)生數(shù)據安全事件���,有關主管部門應當依法啟動應急預案�����,采取相應的應急處置措施����,防止危害擴大�,消除安全隱患,并及時向社會發(fā)布與公眾有關的警示信息���?����!?/p>
該條有四層意思�,一是要在國家層面構建數(shù)據安全應急處置機制�;二是有關單位在發(fā)生數(shù)據安全事件時,應當依法立即啟動應急預案�,該條中的“有關單位”應當按照“誰主管誰負責、誰運行誰負責”的原則確定�����;三是采取最有效的應急處置措施����,防止危害擴大,要消除安全隱患�,同時要組織研判,保存證據�����,并做好信息通報工作����;四是及時向社會發(fā)布與公眾有關的警示信息��,強調“發(fā)布與公眾有關的警示信息”的目的�����,是為了讓公眾了解數(shù)據安全事件的真像��,并及時采取自我保護的措施�,以免其數(shù)據遭到破壞或在遭到破壞后防止損失的擴大�����。
數(shù)據安全事件應急預案應當按照緊急程度�����、發(fā)展態(tài)勢和可能造成的危害程度進行等級分類��,一般分為四級:由高到低依次用紅色�����、橙色、黃色和藍色標示����,分別對應可能發(fā)生特別重大、重大�����、較大和一般網絡安全突發(fā)事件��。
八����、數(shù)據處理者的合規(guī)義務
數(shù)據合規(guī)��,是指數(shù)據處理者及其工作人員的數(shù)據處理行為符合法律法規(guī)���、監(jiān)管規(guī)定���、行業(yè)準則和數(shù)據安全管理規(guī)章制度以及國際條約、規(guī)則等要求���?����!稊?shù)據安全法》第二十七條到第三十條明確了數(shù)據處理者履行數(shù)據安全的四項重要合規(guī)義務�����。
(一)開展數(shù)據處理活動應當依法合規(guī)
《數(shù)據安全法》第二十七條規(guī)定:“開展數(shù)據處理活動應當依照法律��、法規(guī)的規(guī)定��,建立健全全流程數(shù)據安全管理制度����,組織開展數(shù)據安全教育培訓,采取相應的技術措施和其他必要措施��,保障數(shù)據安全����。利用互聯(lián)網等信息網絡開展數(shù)據處理活動,應當在網絡安全等級保護制度的基礎上�����,履行上述數(shù)據安全保護義務�����。重要數(shù)據的處理者應當明確數(shù)據安全負責人和管理機構,落實數(shù)據安全保護責任��?!?/span>
該條規(guī)定了四項重要義務:一是開展數(shù)據處理活動應當依照法律、法規(guī)的規(guī)定�;二是開展數(shù)據處理活動應當建立健全全流程數(shù)據安全管理制度,并組織開展數(shù)據安全教育培訓�;三是開展數(shù)據處理活動應當采取相應的技術措施和其他必要措施,保障數(shù)據安全���;四是利用互聯(lián)網等信息網絡開展數(shù)據處理活動�����,應當在網絡安全等級保護制度的基礎上,履行上述數(shù)據安全保護義務�����。
(二)數(shù)據處理應當為民造福并符合社會倫理道德
當前��,數(shù)據處理者在數(shù)據處理活動中大量地使用智能技術和算法技術��,特別是數(shù)據處理者開發(fā)的智能技術與算法的融合,其本質是建立在大數(shù)據基礎上的自我學習���、判斷和決策的算法���。算法的核心是基于網絡的編程技術,目前基于智能技術的算法決策具有典型的“黑箱”特點���,大量的違背社會公德和倫理��,最典型的就是大數(shù)據殺熟機制�。
針對數(shù)據處理者違背法律和社會公德濫用大數(shù)據新技術的情形�,《數(shù)據安全法》第二十八條提出了展數(shù)據處理活動以及研究開發(fā)數(shù)據新技術的三項合規(guī)義務,一是數(shù)據處理者研究開發(fā)數(shù)據技術�����,一定要利于促進經濟社會發(fā)展��;二是數(shù)據處理者研究開發(fā)數(shù)據新技術�����,要以增進人民福祉為目的�����;三是數(shù)據處理者研究開發(fā)數(shù)據新技術應當符合社會公德和倫理。
(三)數(shù)據處理活動應當加強風險監(jiān)測
《數(shù)據安全法》第二十九條:“開展數(shù)據處理活動應當加強風險監(jiān)測��,發(fā)現(xiàn)數(shù)據安全缺陷���、漏洞等風險時�,應當立即采取補救措施����;發(fā)生數(shù)據安全事件時,應當立即采取處置措施����,按照規(guī)定及時告知用戶并向有關主管部門報告?!?/p>
數(shù)據安全風險監(jiān)測與評估是參照數(shù)據安全風險評估標準和管理規(guī)范,對數(shù)據資產價值����、潛在威脅����、薄弱環(huán)節(jié)�����、已采取的防護措施等進行監(jiān)測�,分析和判斷數(shù)據安全事件發(fā)生的概率以及可能造成的損失��,并采取有針對性的處置措施和提出數(shù)據安全風險管控措施���。
《數(shù)據安全法》第二十九條對數(shù)據安全的風險監(jiān)測與數(shù)據安全事件的處置做出兩項明確要求����,一是開展數(shù)據處理活動應當加強風險監(jiān)測�����,發(fā)現(xiàn)數(shù)據安全缺陷���、漏洞等風險時���,應當立即采取補救措施;二是發(fā)生數(shù)據安全事件時��,應當立即采取處置措施���,按照規(guī)定及時告知用戶并向有關主管部門報告�����。
(四)重要數(shù)據處理者應當定期開展數(shù)據風險評估
《數(shù)據安全法》第三十條規(guī)定:“重要數(shù)據的處理者應當按照規(guī)定對其數(shù)據處理活動定期開展風險評估��,并向有關主管部門報送風險評估報告����。風險評估報告應當包括處理的重要數(shù)據的種類、數(shù)量����,開展數(shù)據處理活動的情況,面臨的數(shù)據安全風險及其應對措施等�。”
該條款有三項內容�,一是重要數(shù)據的處理者應當按照規(guī)定對其數(shù)據處理活動定期開展風險評估;二是數(shù)據風險評估報告應當向有關主管部門報送����;三是風險評估報告應當包括處理的重要數(shù)據的種類、數(shù)量�����,開展數(shù)據處理活動的情況����,面臨的數(shù)據安全風險及其應對措施等。
九��、重要數(shù)據的出境安全管理制度
《數(shù)據安全法》第三十一條規(guī)定:“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數(shù)據的出境安全管理����,適用《中華人民共和國網絡安全法》的規(guī)定;其他數(shù)據處理者在中華人民共和國境內運營中收集和產生的重要數(shù)據的出境安全管理辦法��,由國家網信部門會同國務院有關部門制定�。”
本條規(guī)定了重要數(shù)據出境安全管理的規(guī)定�����,主要有兩方面內容���,一是關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數(shù)據的出境安全管理����,適用《中華人民共和國網絡安全法》的規(guī)定��;二是除關鍵信息基礎設施的運營者處理的重要數(shù)據外,其他數(shù)據處理者在中華人民共和國境內運營中收集和產生的重要數(shù)據的出境安全管理辦法����,由國家網信部門會同國務院有關部門制定。
十��、提供數(shù)據處理服務的行政許可準入制度
《數(shù)據安全法》第三十四條規(guī)定:“法律����、行政法規(guī)規(guī)定提供數(shù)據處理相關服務應當取得行政許可的,服務提供者應當依法取得許可�。” 許可(license)含有準許�、允許或授權的意思,數(shù)據處理相關服務的行政許可�,其基本性質是行政機關對特定的數(shù)據處理服務活動進行事前進行控制的一種管理行為。
數(shù)據處理相關服務的行政許可一般應具有以下特征:一是從事數(shù)據處理相關服務的行政許可是一種依行政相對人申請的行政行為�,沒有行政相對人的申請,行政機關不能主動予以許可�;二是數(shù)據處理服務行政許可的設定意味著法律的一般禁止,行政許可的內容是國家一般禁止的活動�����,為適應社會生活和生產的需要,對符合一定條件者解除禁止��,允許其從事某項特定的活動����。數(shù)據處理服務本身涉及到維護國家主權�、安全和發(fā)展利益,應該是國家一般禁止的行為����,但國家為了促進數(shù)據開發(fā)利用,在保障數(shù)據安全的前提下�����,對符合條件的組織和個人準許其實施數(shù)據處理服務行為���;三是數(shù)據處理服務行政許可是一種授益性行政行為��,即賦予相對人某種權利和資格的授益性行政行為��,是準許相對人從事數(shù)據處理服務這項特定活動的行為�����。
王春暉系浙江大學教授����、博導,網絡空間治理與數(shù)字經濟法治(長三角)研究基地主任兼首席專家���、工信部信息通信經濟專家委員會委員�����、中國網絡與數(shù)據安全法治50人論壇主席����;
程樂系浙江大學教授���、博導�����,國家社科基金重大專項“建立健全我國網絡綜合治理體系研究”首席專家�����、浙江大學國際戰(zhàn)略與法律研究院常務副院長�。(王春暉 程樂)
關鍵詞: