2021年6月10日���,備受關注的《中華人民共和國數據安全法》(下稱“《數據安全法》”)在第十三屆全國人民代表大會常務委員會(下稱“本屆人大常委會”)第二十九次會議通過並發布��,將於今年9月1日起正式施行。
《數據安全法》在2018年9月7日本屆人大常委會公布的立法規劃中被列入第一類項目��,即條件比較成熟�、任期內擬提請審議的法律草案。此後��,先後於2020年7月���、2021年4月公布草案和草案二次審議稿�����,並公開征求意見。《數據安全法》是數據領域的基礎性法律����,也是國家安全領域的一部重要法律[1]。時間和篇幅有限�����,本文將以《數據安全法》中企業合規的相關問題為重點進行簡要評析和解讀。
《數據安全法》是一部什麼法律
《數據安全法》是關於數據安全的基礎性法律。《數據安全法》與2017年6月正式施行的《中華人民共和國網絡安全法》(下稱“《網絡安全法》”)和正在立法審議中的《中華人民共和國個人信息保護法》(下稱“《個人信息保護法》”)既有聯係又有區別����,互為保障也互相促進。《網絡安全法》是我國第一部關於網絡安全領域的基礎性法律����,確立了網絡運行安全和網絡信息安全的兩大安全主線。《數據安全法》是對信息安全基本製度等的進一步確立和落實。《個人信息保護法》則是對於數據中重點內容之一的個人信息進行規範的基本法律。《網絡安全法》《數據安全法》《個人信息保護法》將共同構成我國網絡安全和數據保護領域基礎性頂層立法的三駕馬車。
《數據安全法》共七章�,55條。包括數據安全與發展�����、數據安全製度��、數據安全保護義務�、政務數據安全與開放以及相關法律責任等內容�����,涉及與數據的收集����、存儲���、使用���、加工�、傳輸�、提供�、公開等數據全生命周期處理活動相關的數據安全基本方針����、原則和製度要求。《數據安全法》不僅適用於境內的數據處理活動及安全監管��,同時對於境外開展數據處理活動����,損害中華人民共和國國家安全�、公共利益或者公民��、組織合法權益的行為也可適用[2]。
《數據安全法》的核心在於保障數據安全��,目的在於促進數據開發利用����,保護個人��、組織的合法權益�����,維護國家主權��、安全和發展利益[3]。《數據安全法》明確了數據安全的目標或者法律價值在於數據的有效保護和合法利用[4]。為了與相關法律相銜接和呼應�����,並突出上述目標和價值��,《數據安全法》中明確強調了“國家保護個人�����、組織與數據有關的權益�,鼓勵數據依法合理有效利用����,保障數據依法有序自由流動��,促進以數據為關鍵要素的數字經濟發展。”
《數據安全法》中的數據安全製度
為了落實數據安全的要求�,《數據安全法》中明確了國家將建立以下數據安全製度。包括數據分類分級保護製度(第二十一條)���、數據安全風險評估����、報告�、信息共享�����、監測預警機製(第二十二條)��、數據安全應急處置機製(第二十三條)�����、數據安全審查製度(第二十四條)�����、數據的出口管製製度(第二十五條)�����、對境外歧視措施的對等措施(第二十六條)。
數據分類分級保護製度是數據安全製度中的核心���,與自《網絡安全法》開(kai)始(shi)的(de)分(fen)類(lei)分(fen)級(ji)管(guan)理(li)的(de)總(zong)體(ti)要(yao)求(qiu)和(he)思(si)路(lu)一(yi)以(yi)貫(guan)之(zhi)��,也(ye)將(jiang)是(shi)網(wang)絡(luo)安(an)全(quan)和(he)數(shu)據(ju)保(bao)護(hu)領(ling)域(yu)具(ju)體(ti)工(gong)作(zuo)實(shi)施(shi)和(he)監(jian)管(guan)的(de)重(zhong)點(dian)領(ling)域(yu)。根(gen)據(ju)數(shu)據(ju)的(de)重(zhong)要(yao)程(cheng)度(du)以(yi)及(ji)遭(zao)受(shou)損(sun)害(hai)時(shi)的(de)危(wei)害(hai)程(cheng)度(du)����,對(dui)數(shu)據(ju)進(jin)行(xing)分(fen)類(lei)分(fen)級(ji)���,並(bing)針(zhen)對(dui)性(xing)采(cai)取(qu)保(bao)護(hu)措(cuo)施(shi)�,是(shi)數(shu)據(ju)安(an)全(quan)保(bao)護(hu)的(de)基(ji)本(ben)要(yao)求(qiu)。
其(qi)餘(yu)各(ge)項(xiang)數(shu)據(ju)安(an)全(quan)製(zhi)度(du)同(tong)樣(yang)體(ti)現(xian)了(le)與(yu)其(qi)他(ta)法(fa)律(lv)法(fa)規(gui)的(de)銜(xian)接(jie)和(he)聯(lian)係(xi)���,具(ju)體(ti)製(zhi)度(du)的(de)落(luo)實(shi)有(you)待(dai)於(yu)相(xiang)關(guan)配(pei)套(tao)法(fa)規(gui)的(de)出(chu)台(tai)和(he)落(luo)實(shi)�����,同(tong)樣(yang)需(xu)要(yao)給(gei)予(yu)密(mi)切(qie)的(de)關(guan)注(zhu)。
《數據安全法》中的數據安全保護義務
《數據安全法》在第四章第二十七條到第三十六條規定了數據安全保護義務���,其中既有原則性的規定也有相對具體的要求。
主要包括:
建立健全全流程數據安全管理製度����,組織開展數據安全教育培訓�����,采取相應的技術措施和其他必要措施��;
重要數據處理者需要明確數據安全負責人和管理機構及其職責�;
開展數據處理和研發新技術需要符合社會經濟發展和人民福祉的要求及社會公德和倫理���;
加強風險監測�����,采取必要補救措施�,發生數據安全事件時的對應和報告����;
重要數據處理者的風險評估和報告義務����;
重要數據的出境安全管理義務���;
數據收集應當采取合法��、正當的方式��,並在合法的目的和範圍內收集��、使用數據����;
數據交易中介服務機構需要確認數據來源�、審核交易雙方身份�����、並留存審核��、交易記錄��;
公安機關�����、國家安全機關應當合法調取證據����,有關組織�����、個人應當予以配合����;
依法處理外國司法或者執法機構提供數據的要求。
在《數據安全法》第六章的法律責任的規定中�,對於違反數據安全保護義務的行為��,根據情節確立了從責令改正����、給予警告����、對單位和直接負責的主管人員和其他直接責任人員進行罰款��、直到責令暫停相關業務�、停業整頓����、吊銷相關業務許可證或者吊銷營業執照等法律責任。企業有必要對於數據安全義務給予充分的重視。
特別提示
1���、《數據安全法》在《網絡安全法》等相關法律法規強調的重要數據之外�,特別追加了國家核心數據的概念�����,即關係國家安全�、國民經濟命脈�����、重要民生���、重大公共利益等的數據�,要求實行更加嚴格的管理製度[5]���,並在法律責任中對於違反國家核心數據管理製度追加規定了明確且嚴厲的法律責任[6]。《數據安全法》中明確了由國家數據安全工作協調機製統籌協調有關部門製定重要數據目錄��,由各地區�、各部門確定本地區����、本部門以及相關行業�、領域的重要數據具體目錄的規定�,相關企業特別是工業��、電信��、交通�����、金融����、自然資源���、衛生健康�、教育�����、科技等行業�����、領域的重點企業����,有必要密切關注重點數據目錄的推出�,對於重要數據特別是國家核心數據及時采取對應的保護管理措施。
2���、《數據安全法》diershiqitiaoguiding����,liyonghulianwangdengxinxiwangluokaizhanshujuchulihuodong�,yingdangzaiwangluoanquandengjibaohuzhidudejichushang��,lvxingshangshushujuanquanbaohuyiwu。zheshiduiyu《網絡安全法》確立國家實施網絡安全等級保護製度的確認和強調�����,與前述數據分類分級管理製度相輔相成。我們預計《網絡安全等級保護條例》等配套法規有可能加速出台���,落實網絡安全等級保護的相關監管要求也會進一步強化。
3���、《數據安全法》第三十一條規定����,關鍵信息基礎設施運營者在境內收集和產生的重要數據的出境安全管理適用《網絡安全法》的規定����,其他數據處理者重要數據的出境安全管理由國家網信部門會同國務院有關部門製定。由此�,我們理解與《網絡安全法》施行後����,發布的《個人信息和重要數據出境安全評估辦法(征求意見稿)》dengjiangshujuchujinganquanpinggudeduixiangyouguanjianxinxijichusheshiyunyingzhekuodadaosuoyouwangluoyunyingzhexiangqubie���,duiyuguanjianxinxijichusheshiyunyingzheheyibanshujuchulizhedeshujuchujingguanlijiangcaiqubutongdeguanlifangshi。duiyuguanjianxinxijichusheshiyunyingzhederending��、重要數據的範圍以及出境安全評估辦法的明確�����,預計《關鍵信息基礎設施安全保護條例》《重要數據出境安全管理辦法》等配套法規也會陸續出台。
結語
數據已經成為重要的生產要素���,數字經濟必將蓬勃發展。《數據安全法》是(shi)時(shi)代(dai)的(de)產(chan)物(wu)���,同(tong)時(shi)必(bi)將(jiang)促(cu)進(jin)數(shu)字(zi)經(jing)濟(ji)的(de)健(jian)康(kang)發(fa)展(zhan)�,推(tui)動(dong)數(shu)據(ju)要(yao)素(su)市(shi)場(chang)建(jian)設(she)的(de)進(jin)程(cheng)。企(qi)業(ye)必(bi)須(xu)在(zai)切(qie)實(shi)履(lv)行(xing)數(shu)據(ju)安(an)全(quan)保(bao)護(hu)義(yi)務(wu)的(de)基(ji)礎(chu)上(shang)才(cai)能(neng)實(shi)現(xian)數(shu)據(ju)資(zi)產(chan)的(de)合(he)法(fa)有(you)效(xiao)利(li)用(yong)。這(zhe)既(ji)是(shi)合(he)規(gui)的(de)基(ji)本(ben)要(yao)求(qiu)�����,也(ye)是(shi)企(qi)業(ye)發(fa)展(zhan)的(de)動(dong)力(li)。率(lv)先(xian)實(shi)現(xian)數(shu)據(ju)的(de)合(he)規(gui)���、有效利用��,必將成為企業的核心競爭力之一。
同時�����,我們期待另一隻靴子--《個人信息保護法》的落地和配套法規的進一步明確和落實。
注釋:
[1] 《數據安全法:護航數據安全 助力數字經濟發展》http://www.gov.cn/xinwen/2021-06/10/content_5616847.htm
[2] 《數據安全法》第二條
[3] 《數據安全法》第一條
[4] 《數據安全法》第三條
[5] 《數據安全法》第二十一條
[6] 《數據安全法》第四十五條
