《中华人民共和国数据安全法(草案)》(“草案”)经由第十三届全国人大常委会第二十次会议审议,于7月3日对外公布并征求公众意见。毫无疑问,这是一部非常重要的法律草案,定位为我国“数据安全领域的基础性法律”,未来会与《网络安全法》和《个人信息保护法》等共同构建起中国的数据监管的法律体系。草案共分七章五十一条,覆盖的内容非常广泛,新设若干监管制度,兼顾对现有体系的完善与创新。可以预见,经过后续审议,本法草案在内容设计上会有一定调整。但通过现有版本草案,可感知立法者思路及未来数据安全监管的趋势。
一、明确了管辖范围、域外效力与数据活动监管框架
1、规定了有限的域外适用效力
草案第二条规定本法适用于在中国境内开展的数据活动,而对于境外主体开展的损害我国国家安全、公共利益或境内主体合法权益的数据活动,亦有管辖权,确立了有限的域外适用效力。考虑到数字时代跨境数据活动已非常普遍,且数据活动与国家安全、公共利益和公民权益具有强关联性,在法律中设定一定的域外效力或长臂管辖有其必要性。同时,一国法律的域外效力(且常用公权力作为追诉手段),会引起法律及司法权冲突的问题,应当基于最为必要的原则进行设定和适用。鉴于此,我们建议对域外适用的情形限缩在国家安全、重大公共利益和严重损害公民权益的情形。
2、监管对象为数据活动,突出数据安全的持续和动态要求
草案第三条明确本法监管对象为“数据活动”,即数据的收集、存储、加工、使用、提供、交易、公开等行为。将于2021年1月1日正式生效的《中华人民共和国民法典》在人格权编下规定 “个人信息处理”为收集、存储、使用、加工、传输、提供、公开等行为[1]。可见,草案对于“数据活动”的定义与《民法典》下的“处理”所覆盖的范围一致,均针对数据全生命周期的处理活动。立法语言体系的统一,便于行政执法、司法和企业的合规遵循,因此,我们建议在草案中保持和《民法典》术语的一致。
草案第三条同时明确 “数据安全”的具体要求,即“通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力”。对比现行网络安全等级保护2.0体系下对于数据完整性、保密性、可用性的安全保护要求[2],草案突出了数据安全的动态和持续要求。
3、数据安全的领导机构与监管框架
草案第六条明确了我国数据安全工作由中央国家安全领导机构决策和统筹协调,与网络安全的中央领导机构(中央网络安全和信息化委员会)不同。草案第七条规定,国家网信部门负责统筹协调网络数据安全相关监管工作,电信、金融、教育等各行业主管部门承担本行业的数据安全监管职责,公安机关、国家安全机关负责各自职责范围内的数据安全监管工作,这与《网络安全法》所形成的网络安全监管框架基本保持一致。与此同时,草案明确各地区、各部门对各自工作中涉及的数据及数据安全承担主体责任。
考虑到数据活动中的地域性和行业性愈发模糊,草案中设定的行业监管和地域监管框架的科学性有待论证,可能会形成“九龙治水”的局面。我们建议,国家设定统一的数据活动监管机构,统一监管标准、执法要求和执法程序,这将有利于数据要素的合法流动和价值实现。
二、平衡立法:安全与发展并重
1、促进数据产业发展和商业利用
草案第十二条明确国家坚持“维护数据安全”与“促进数据开发利用”并重的立法与监管理念,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。同时,草案第十三条及第十四条明确国家鼓励和支持数据在各行业的技术推广和创新应用。
网络安全和网络发展是互联网为人民造福的“一体两翼”,数据监管亦是如此。国家对于数据安全的立法价值取向是,通过数据安全制度建设保障数据安全,进一步迭代促进产业发展。
2、建立标准化体系
草案第十五条明确国家将推进建设数据开发利用技术和数据安全标准体系,涵盖数据开发利用技术、产品和数据安全相关标准。国家标准委发布的《2020全国标准化工作要点》中亦提出构建新一代信息技术标准体系的总体要求,推进大数据、云计算、物联网、人工智能等重点领域的标准体系建设。诸如人脸识别技术[3]、智能网联汽车[4]等各领域的数据相关技术标准已陆续立项启动。可以预见,未来将出台并逐步完善相关技术标准,进一步规范并保障数据安全,促进产业发展。
3、支持评估和认证服务发展
草案第十六条提出国家促进数据安全检测评估、认证等服务的发展,并支持评估、认证等专业机构依法开展服务。可以预见,在《网络关键设备和网络安全专用产品安全认证实施规则》、《移动互联网应用程序安全认证实施细则》等各领域现行认证规定的基础上,数据安全检测评估及认证也将作为网络安全与数据保护评估体系的重要组成部分,促进数据开发利用与产业发展。
三、完善数据安全保障制度建设
草案第三章重点关注数据安全保障制度方面的建设,包括数据分类分级保护、重要数据保护目录、数据安全风险预警机制、数据安全应急处置机制、数据活动的国家安全审查机制等。
1、数据分类分级保护及重要数据管理
数据分类分级是开展数据安全管理工作的基础。数据分类分级管理和保护,在兼顾数据安全和个人隐私保护的同时,可以最大限度释放数据价值。现行法律及部门规章层面有关数据分类分级的规定多止步于提出要求,而未明确具体的分类分级标准。草案第十九条明确数据分类分级将以风险程度为导向,按照数据“一旦遭到篡改、破坏、泄露或者非法获取、非法利用”所产生的危害程度作为分类分级的原则性标准,以评估可能造成的危害程度。在此基础上,草案提出各地区、各部门有权确定本地区和本部门“重要数据”保护目录。
草案规定的数据分级分类制度以监管机构的视角出发,对不同类型及级别的数据采取不同的监管措施和法律要求,我们理解其具有必要性。同时,企业在数据活动中,为了数据安全保护、数据流动及合规遵循,会形成基于行业实践的分类分级体系。这两者应该并行不悖,不能互相取代。近年来,诸如《工业数据分类分级指南(试行)》、《证券期货业数据分类分级指引》、《个人金融信息保护技术规范》等各部委发布的指引性文件及行业标准,对特定行业的数据分类分级具体标准也进行了一些有益的尝试。数据分级应在完成数据分类的基础上,针对不同类别数据发生上述安全事件后可能发生的危害后果进行定级,并匹配不同级别数据的安全保障技术措施及管理措施。
2、数据安全风险预警机制及应急处置机制
《网络安全法》及其配套法规、国家标准已提出网络安全监测预警机制、网络安全事件应急响应机制及网络安全事件报告机制等。而针对数据安全,草案第二十条、第二十一条明确将从国家层面建立评估、报告、信息共享、监测预警的系统化机制,并辅以针对数据安全事件的应急处置机制,消除安全隐患,防止危害扩大。
3、数据活动的国家安全审查机制
草案第二十二条规定,国家会针对影响或者可能影响国家安全的数据活动进行国家安全审查。如前所述,数据是未来国际间竞争的核心,与国家安全息息相关,对特定的数据活动进行国家安全审查,有其必要性。但是,规定所覆盖的审查范围未作限定,覆盖场景范围模糊,其与网络安全审查之间的关系未作进一步厘清。从降低制度行政运行成本和企业合规成本的角度考虑,我们建议,对于草案所设定的数据国家安全审查机制,可以考虑在后续修订中转换为针对跨境数据流动等具有较高敏感性的场景的安全审查制度,或与现有网络安全审查机制相融合。
4、数据活动的保护义务:重申和加强现有体系下的保护要求
草案对数据活动的安全保护义务予以明确,具体包括:
1)建立健全全流程数据安全管理制度,开展数据安全教育培训,采取相应的技术措施及其他必要措施,保障数据安全(第二十五条);
2)加强风险检测,及时采取补救措施,发生数据安全事件时应当及时告知用户并向主管部门上报(第二十七条);
3)采取合法、正当方式收集数据,并在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要限度(第二十九条)。
可以看到,相关保护要求基本未超出《网络安全法》对于网络运营者应当承担的网络安全及个人信息保护安全义务的范围,也与《民法典》针对个人信息处理的要求具有一致性。
四、制度创新:新制度与新挑战
除与现有制度体系的衔接外,草案也提出了部分关于数据监管的新制度设计。
1、重要数据保护机制
自《网络安全法》生效后,重要数据的范围、识别和流动监管,一直是业界关注的焦点问题。 一方面重要数据与国家安全及公共利益息息相关,有必要建立起有效的监管体系,另一方面,重要数据范围上须是“真正重要”的数据,不能泛化,否则会阻碍数据的正当流动,不利于数字经济的发展。业界对《数据安全法》能解决重要数据的遗留问题抱有很大的期待。
本次草案对“重要数据”的界定仍不够清晰,无法弥补现有体系下对“重要数据”范围认定的不足。同时,第十九条将”重要数据“保护目录的制定权限下放至地方与部门,权力配置缺乏科学性,容易导致”重要数据“认定范围过于宽泛,影响数据要素流动。因此,建议将重要数据的范围和识别标准列入中央事权。
与此同时,草案围绕重要数据保护提出了若干延伸管理要求,主要包括:
1) 重要数据的处理者应当设立数据安全负责人和管理机构(第二十五条);
2) 重要数据相关活动定期开展包括重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等在内的风险评估,并向有关主管部门发送风险评估报告(第二十八条);
3) 如果重要数据的处理活动影响或者可能影响国家安全的,应当接受国家安全审查(第二十二条);
4) 如果属于 “与履行国际义务和维护国家安全相关的属于管制物项的”重要数据的,也应当依法实施出口管制(第二十三条)。
针对负责重要数据风险评估、对重要数据处理活动进行国家安全审查、对落入出口管制范围的重要数据采取管制措施的具体主管部门,以及处理流程,同样需要后续立法予以明确。
2、针对数据交易与在线数据处理的管理机制
数据是数字经济时代企业发展的核心资源,数据交易能帮助数据要素实现市场价值,而数据在线处理服务有助于数据价值的挖掘和利用。日前正式公布的《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》强调数据作为一种新型生产要素,对于数字经济发展具有重要意义。
在《民法典》以开放立法方式将数据、网络虚拟财产纳入法律保护[5]后,草案第十七条同步关注数据交易的价值,并对从事数据交易中介服务机构提出保证数据来源合法合规及审核交易双方身份的法律要求。我们理解,在数据交易中介服务市场高速发展的今天,此项规定拟将现有针对数据交易服务的立法构想[6],上升为强制性法律要求,强调中介服务机构在其中应尽的数据及交易双方身份的审核义务,表明国家对于数据交易中介服务市场的管理决心及方式。
在线数据处理活动会接触大量的数据,数据安全非常重要,同时,这项活动涉及数据主体权益。草案第三十一条强调专门提供在线数据处理等服务的经营者,应当按照国家电信主管部门规定,依法取得经营业务许可或者备案。同时,草案也明确了未依法办理许可或备案而从事相关业务的处罚要求[7]。我们理解,这部分规定更多是与现有数据处理服务电信监管要求进行衔接,避免行业发展乱象。
3、针对数据跨境流动监管模式
数据跨境流动关系到国家网络空间主权及数据安全,一直以来是国家立法关注的重点。其相关立法要求,将直接影响境内企业出海战略、境内外企数据对外传输的合规方案。对此,草案将涉及数据跨境流动监管的相关要求,分散规定于不同场景条款中,主要包括如下:
1) 国家积极开展数据领域国际交流合作及标准制定,促进数据跨境安全自由流动(第十条);
2) 国家对与履行国际义务和维护国家安全相关的属于管制物项的数据,依法实施出口管制(第二十三条);
3) 针对外国对中国采取的与数据活动有关的歧视性措施,可以采取相应反制措施(第二十四条);
4) 针对境外执法机构要求调取境内数据的,有关主体应向主管机关报告并获其批准后方可进行(第三十三条)
整体而言,草案对维护数据的正当跨境流动秩序进行了宣示,重申了中国坚持对外开放的基本国策。我国正在制定《出口管制法》,以加强对两用物项、军品、核及其他与国家安全相关的货物、技术和服务的管制,而本草案把属于管制物项的数据纳入了出口管制对象,明确了出口管制在数据活动中的适用。
2018年美国《澄清境外数据的合法使用法案》(“CLOUD ACT”)签署生效,该法案扩张了美国执法机构获取存储于境外的数据的能力,引发国际社会对数据主权的担忧。我们理解,草案的第二十二条、第二十三条及第三十三条,试图建立起维护国家安全和数据主权的保卫机制。
但是,目前草案主要针对属于出口管制范围的数据和执法机构跨境调取数据等特殊场景下的监管,尚未涉及对于一般商业及贸易场景下的数据跨境流动提出具体监管措施。事实上,对于企业跨境数据传输监管机制的清晰化,一直为业界所期待。遗憾的是,草案仍未对这一问题作出清晰回应。
[注]
[1] 《民法典》第一千零三十五条第二款:个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
[2] 《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》3.1 网络安全:通过采取必要的措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
[3] 2019年底,国家围绕人脸识别技术的标准制定工作已全面启动。
[4] 《智能网联汽车数据通用要求》系列标准已于2020年6月申请立项。
[5] 《民法典》第一百二十七条:法律对数据、网络虚拟财产的保护有规定的,依照其规定。
[6] 参考《信息安全技术 数据交易服务安全要求(征求意见稿》。
[7] 草案第四十三条:数据交易中介机构未履行本法第三十条规定的义务,导致非法来源数据交易的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得的,处十万元以上一百万元以下罚款,并可以由有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
The End