共计 6735 个字符,预计需要花费 17 分钟才能阅读完成。
2021 年 6 月 10 日,第十三届全国人大常委会第二十九次会议审议后通过了《中华人民共和国数据安全法》(以下简称“《数据安全法》”)。《数据安全法》将于 2021 年 9 月 1 日起正式实施。
2018 年 9 月颁布的“十三届全国人大常委会立法布局”首次将《数据安全法》列入立法打算,作为“条件比拟成熟、任期内拟提请审议的法律草案”2。通过两年工夫的酝酿,《数据安全法》草案经全国人大常委会一审后于 2020 年 7 月公布征求意见,并于 2021 年 4 月 26 日进行二审审议,至目前正式公布。
《数据安全法》出台后将成为以《国家安全法》为代表的国家平安法律体系的重要组成部分,也将与《网络安全法》及目前曾经二次审议的《个人信息保护法》一起组成信息畛域更加残缺的基础性法律体系。
《数据安全法》的重点内容总结如下。
一、适用范围
《数据安全法》规定,在中华共和国 境内 发展的数据处理流动及其安全监管,实用本法。在域外实用上,进一步规定,在中华人民共和国 境外 发展数据处理流动,侵害中华人民共和国国家平安、公共利益或者公民、组织合法权益的,依法追究法律责任。(第二条)
《数据安全法》进一步规定,“数据”是指任何以电子或者其余形式对信息的记录;而“数据处理”包含数据的收集、存储、应用、加工、传输、提供、公开。
根据上述定义,“数据”所涵盖的范畴非常宽泛、在目前政务、企业逐渐向数字化转型的过程之中,简直会囊括生产、经营、治理各方各面所产生的信息记录。《数据安全法》附则进一步规定,发展波及国家机密的数据处理流动,实用《中华人民共和国激进国家机密法》等法律、行政法规的规定;在统计、档案工作中发展数据处理流动,发展波及个人信息的数据处理流动,还该当恪守相干的法律、行政法规的规定,因而《数据安全法》并不包含对于国家机密的数据处理流动。然而,《数据安全法》实用于统计、档案工作中的数据处理流动,亦实用于波及个人信息的数据处理流动,只是这些数据处理流动还应恪守相干法律法规的要求。《数据安全法》的要求在实际之中如何实用于企业的业务实际,仍有待察看。例如,《数据安全法》要求对数据进行分级分类爱护,仅针对重要数据制订了相干具体任务(如本文第六局部所述),而对于除重要数据之外的其余数据是否仍需相应规制、以及规制的重点及规定可能需后续进一步明确。
《数据安全法》规定,数据安全是指通过采取必要措施,确保数据处于无效爱护和非法利用的状态,以及具备保障继续平安状态的能力。(第三条)从整个《数据安全法》的内容来看,此处的数据安全既蕴含宏观国家平安层面、亦包含组织与集体落实数据安全措施的宏观层面。
二、《数据安全法》与网络、平安法律体系的连接
数据安全因素是国家平安、网络安全的重要组成部分。
《国家安全法》原则性规定,国家建设网络与信息安全保障体系,晋升网络与信息安全爱护能力,增强网络和信息技术的翻新钻研和开发利用,实现……数据的平安可控(第二十五条)。
《网络安全法》亦要求企业应履行网络安全等级爱护任务,采取数据分类、重要数据备份和加密等措施(第二十一条)。咱们留神到,《数据安全法》与上述法律及其相干配套法规(及征求意见稿)的规定的协调及连接仍需进一步察看,例如:
- 《数据安全法》规定的重要数据相干爱护任务与《网络安全法》、《数据安全治理方法(征求意见稿)》中相干定义及规定的连接;
- 《数据安全法》规定的数据进口管制制度与 2020 年出台的《进口管制法》的进口管制要求及《网络安全法》、《数据安全治理方法(征求意见稿)》、《个人信息保护法(草案二次审议稿)》规定的数据入境的相干要求的连接;
- 《数据安全法》规定的数据安全审查制度与《外商投资法》规定的外商投资平安审查制度及《网络安全审查方法》的关联。
三、数据安全与倒退并行的准则
《数据安全法》在总则之中首先明确了国家爱护公民、组织与数据无关的权利,激励数据正当无效利用,保障数据依法有序自在流动,促成以数据为要害因素的数字经济倒退(第七条)。
接着,《数据安全法》在第二章中明确对于数据安全与倒退的反对。相干反对措施包含施行大数据策略、推动数据基础设施建设、数字经济倒退规划设计(第十四条);反对开发利用数据晋升公共服务的智能化程度(第十五条);增强数据开发利用和数据安全技术钻研(第十六条);促成数据人才培养(第二十条)等激励和反对数字经济倒退、数据开发利用的总体策略和方针,也同时要求制订数据开发利用技术和数据安全的相干规范(第十七条);促成数据安全检测评估及认证(第十八条)、建立健全数据交易管理制度(第十九条)。
可见,从《数据安全法》的制度设计,意在激励和建设各种数据相干的制度反对措施,并联合对于数据的治理和要求,以促成和协调数字经济与数据安全之间的均衡有序倒退。
四、数据安全执法主体及工作职责
《数据安全法》第五条、第六条明确了数据安全的监管与不同执法单位的工作职责。《数据安全法》规定地方国家平安领导机构承当国家数据安全工作的决策与 议事协调 作用,并钻研制订、领导施行国家数据安全策略和重大方针政策,兼顾协调国家数据安全的重大事项和重要工作,建设国家数据安全工作协调机制。“国家数据安全工作协调机制”是《数据安全法》正式稿中首次提出,其负责“兼顾协调无关部门制订重要数据目录”(第二十一条)、“兼顾协调无关部门增强数据安全危险信息的获取、剖析、研判、预警工作”(第二十二条)。此外,依据第七条规定:
- 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责;
- 工业、电信、交通、金融、自然资源、卫生衰弱、教育、科技等主管部门承当本行业、本畛域数据安全监管职责;
- 公安机关、国家平安机关在各自职责范畴内承当数据安全监管职责;
- 国家网信部门负责兼顾协调网络数据安全和相干监管工作。
五、数据安全的根本制度体系
作为数据安全畛域的根本法律,《数据安全法》第三章创设了一系列数据畛域的根本制度,构建我国数据安全制度的根本框架,为将来数据安全制度体系的倒退与欠缺奠定根底。这些新的根本制度包含:
1. 数据分级分类爱护、重要数据保护制度及国家外围数据保护制度
《数据安全法》规定国家依据数据在经济社会倒退中的重要水平,以及一旦受到篡改、毁坏、泄露或者非法获取、非法利用,对国家平安、公共利益或者集体、组织合法权益造成的危害水平,对数据履行分级分类爱护。国家数据安全工作协调机制兼顾协调无关部门制订重要数据目录。关系国家平安、国民经济命根子、重要民生、重大公共利益等数据属于国家外围数据,履行更加严格的管理制度。各地区、各部门该当依照数据分类分级爱护制度,确定本地区、本部门、相干行业、畛域的重要数据保护目录,对列入目录的数据进行重点保护(第二十一条)。
《数据安全法》对于重要数据的解决提出了特地的要求:(1)重要数据的解决者应设立数据安全负责人和管理机构(第二十七条);(2)重要数据处理者应定期对数据处理流动发展危险评估,并向无关主管部门报送危险评估报告,评估报告应蕴含所解决的重要数据的品种、数量,发展数据处理流动的状况,面临的数据安全危险及其应答措施等(第三十条)。
对重要数据的规制由《网络安全法》于 2016 年首次提出,次要对要害信息基础设施运营者收集的重要数据提出数据本地化及重要数据入境平安评估的要求。尔后公布的相干征求意见稿,例如《信息安全技术 数据入境平安评估指南》(征求意见稿)、《数据安全治理方法(征求意见稿)》对各类重要数据进行了列举及定义,《数据安全治理方法(征求意见稿)》对重要数据的解决也提出了相应要求。
《数据安全法》将建设对重要数据的解决规定,体现了重要数据管理制度的一直深入。但《数据安全法》仍未能对重要数据做出明确的定义,而是留待各地区、部门、行业出台相干清单,反映了在实践中对数据进行分类、定义的复杂性。
《数据安全法》第三十一条明确提出,要害信息基础设施的运营者在中华人民共和国境内经营中收集和产生的重要数据的入境平安治理,实用《中华人民共和国网络安全法》的规定;其余数据处理者在中华人民共和国境内经营中收集和产生的重要数据的入境平安治理方法,由国家网信部门会同国务院无关部门制订。可见,对于要害信息基础设施运营者而言,重要数据的入境仍然因循《网络安全法》第三十七条的规定,本地存储为准则,入境须通过平安评估;而对于其余数据处理者,其收集和产生的重要数据也将有专门的重要数据入境平安治理方法予以规制。目前该方法尚未出台,因而,个别的数据处理者的重要数据入境仍有待立法的进一步明确和廓清。
《数据安全法》首次提出“国家外围数据”的概念。目前,《数据安全法》尚未具体规定“更加严格的管理制度”,但第四十五条曾经规定了违反国家外围数据管理制度的罚则(罚金最高可达人民币 1000 万元),咱们了解,国家外围数据的范畴和相干管理制度可能后续配套出台。
2. 数据安全危险管控制度
《数据安全法》要求国家建设对立、高效权威的数据安全危险评估、报告、信息共享、监测预警机制,国家数据安全工作协调机制兼顾协调无关部门增强数据安全危险信息的获取、剖析、研判、预警工作(第二十二条)。此制度的具体内容及相干政府部门及企业的任务待将来相干配套法规进一步廓清。
3. 数据安全应急处理机制
国家建设数据安全应急处理机制。产生数据安全事件,无关主管部门该当依法启动应急预案,采取相应的应急处理措施,避免危害扩充,打消安全隐患,并及时向社会公布与公众无关的警示信息(第二十三条)。此规定如何与《突发事件应答法》等现有法规的连接需进一步察看。
4. 数据安全审查制度
国家建设数据安全审查制度,对影响或者可能影响国家平安的数据处理流动进行国家平安审查。依法作出的平安审查决定为最终决定。(第二十四条)。
《数据安全法》未明确数据安全审查制度的具体内容。进一步的,其与现有《外商投资法》规定的外商投资平安审查制度及《网络安全审查方法》中规定的针对要害信息基础设施运营者的相干平安审查制度的关系需进一步察看。
5. 数据进口管制制度
国家对与履行国内任务和保护国家平安相干的属于管制物项的数据依法施行进口管制度。2020 年 10 月 17 日公布的《进口管制法》规定了对货物、技术、服务等物项的进口管制要求,并对进口管制进行了定义。
此外,《网络安全法》、《数据安全治理方法(征求意见稿)》及《个人信息保护法》(草案二次审议稿)别离规定了要害信息基础设施运营者、网络运营者重要数据及个人信息的数据入境平安评估要求,但相干具体细则尚未明确。《数据安全法》第三十一条规定的其余数据处理者的重要数据的处境平安治理方法亦尚未出台。数据进口管制及数据入境平安评估制度之间的配合及连接有待将来立法的进一步明确。
6. 歧视性措施反制机制
对在数据和数据开发利用技术等无关投资、贸易方面对我国采取歧视性的禁止、限度或者相似措施的,我国能够依据理论状况采取对等措施(第二十六条)。
六、数据安全爱护任务
《数据安全法》第四章规定了单位及集体在国家数据安全爱护体系下应恪守的各项任务,这些根本任务包含:
- 发展数据处理流动应建立健全全流程数据安全管理制度、组织发展数据安全教育培训、采取相应的技术措施和其余必要措施,保障数据安全。利用互联网等信息网络发展数据处理流动,该当在网络安全等级爱护制度的根底上,履行上述数据安全爱护任务(第二十七条);
- 对数据处理流动应增强危险监测,发现数据安全缺点、破绽等危险时,立刻采取补救措施,产生数据安全事件产生后,应立即采取处理措施,依照规定及时告知用户并向无关主管部门报告(第二十九条);
- 采取非法、正当的形式获取数据(第三十二条);
- 配合公安、国家平安机关因保护国家平安或侦察立功调取数据的要求(第三十五条);
- 中华人民共和国主管机关依据无关法律和中华人民共和国缔结或者加入的国内公约、协定,或者依照平等互惠准则,解决外国司法或者执法机关对于提供数据的申请。非经中华人民共和国主管机关批准,境内的组织、集体不得向外国司法或者执法机关提供存储于中国境内的数据(第三十六条)。
除上述根本任务外,《数据安全法》亦对从事数据交易中介服务的机构提出了特地的数据安全任务,即对从事数据交易中介服务的机构,应要求数据提供方阐明数据起源并审核交易单方身份,并留存审核、交易记录;咱们认为:从事数据业务的供应商及数据业务交易的中介平台应充沛关注此项要求(第三十三条)。
七、政务数据的凋谢与平安要求
在我国电子政府稳步推动的大背景下,政务数据的平安爱护迫不及待,一方面须要一直推动政务数据的通明凋谢,晋升社会治理程度;一方面政务数据因其特殊性,同样关系到国家平安一旦被滥用或非法泄露,也会对国家和社会产生危害。在此背景下,《数据安全法》第五章对政务数据的平安与凋谢做出了明确要求。包含国家机关应在法定职责范畴内从事数据流动、应建立健全数据安全管理制度、及时精确公开政务数据、建设平安可控的政务数据开放平台等。
特地须要留神的是,第三十八条要求国家机关对在履行职责中知悉的个人隐私、个人信息、商业秘密、窃密商务信息等数据依法予以窃密,不得泄露或者非法向别人提供。第四十条规定,国家机关委托别人建设、保护电子政务零碎,存储、加工政务数据,应通过严格的批准程序,并应监督受托方履行数据安全爱护任务。受托方该当依照法律法规要求和合同约定履行数据安全爱护任务,不得擅自留存、应用、泄露或者向别人提供政务数据。基于此,与政府进行单干,或为政府提供服务的第三方供应商应特地关注此项要求,一方面,准入程序有待进一步察看,另一方面,实际中局部政务服务的供应商将政务数据用于其余商业目标,《数据安全法》出台后,此类行为被明确规定为违法行为。
八、违反数据安全任务的法律责任
《数据安全法》第六章确定了违反各项数据安全任务所对应的法律责任。第四十四条规定了主管部门在监管过程中发现数据处理流动有较大平安危险的,可对相干组织与集体进行约谈,并要求整改、消除隐患。此外,该章针对发展数据处理流动的组织与集体、数据交易中介机构、国家机关、履行数据安全监管职责的国家工作人员等不同主体违反《数据安全法》中规定的相应任务所承当的法律责任进行了具体规定,并明确构成犯罪的,依法追究刑事责任。
《数据安全法》规定了对于违反数据安全爱护任务的单位和集体的法律结果,其中:对于单位最高罚款金额为人民币 200 万元,并可责令暂停相干业务、停业整顿、撤消业务许可或营业执照,对间接负责的主管人员和其余间接责任人员也规定了最高人民币 20 万元的罚款金额。值得注意的是,违反国家外围数据管理制度,危害国家主权、平安和倒退利益的,以及守法《数据安全法》规定,向境外提供重要数据的,均明确规定了相应的更加严格法律结果(第四十五条、第四十六条)。
《数据安全法》亦独自规定了不配合公安、国安调取数据、以及未经批准向外国司法、执法机构提供数据、从事数据交易的中介服务单位违反规定等相干违法行为的法律责任。
九、咱们的察看
《数据安全法》作为我国第一部无关数据安全的专门法律,为我国数据安全治理体系建设了立法根底及制度框架,确立了数据安全爱护和基本思路和大抵方针。
思考到《数据安全法》所波及畛域的广泛性、复杂性,在《数据安全法》准则规定的根底上,其如何与现有《网络安全法》、正在起草的《个人信息保护法》等法律及其配套规定的连接,如何相应配套设计、落地各项具体的数据安全制度,如何在数据安全的前提下、实现数字经济的稳步有序倒退,都是微小的挑战、也能够预感将来实际之中的诸多议题。
数据流动对于企业的经营、城市的倒退、政务的推动,尤其是在大数据、人工智能、云计算、区块链等新型科技领域和数字经济畛域一直疾速倒退的大背景下至关重要。《网络安全法》于 2017 年失效后,为企业的数据流动已提出了新的合规框架。但规制次要集中于个人信息与重要数据畛域,尚未进行对立的数据安全立法,且对于重要数据畛域的法律和执法框架也始终仍在摸索和造成。
《数据安全法》的出台无疑将为各类企事业单位、以及政务过程之中非法、平安的利用、解决数据提供根本的法律依据与参考,将进一步促成内外部的数据安全合规工作、落实各项数据安全任务。
对于各行业,尤其是可能波及重要数据的金融、电信、交通、自然资源等要害行业的企业而言,须要严密关注数据分类及重要数据保护制度,欠缺数据安全危险预防机制、数据安全事件应急解决机制等;就交易平台而言,应增强对于数据起源及交易单方的审核机制;对于为各类企事业单位提供数据处理和服务的企业而言,《数据安全法》规定的各项制度也将间接影响其将来的经营模式和任务。咱们倡议企业尽快联合《数据安全法》规定评估本身是否存在任何合规问题,并进行相应的制度和合规建设。