《中華人民共和國數(shù)據(jù)安全法》十大法律要點解析
王春暉 程樂
2021年9月1日,《中華人民共和國數(shù)據(jù)安全法》(以下簡稱:《數(shù)據(jù)安全法》)正式施行。該部法律體現(xiàn)了總體國家安全觀的立法目標,聚焦數(shù)據(jù)安全領(lǐng)域的突出問題,確立了數(shù)據(jù)分類分級管理,建立了數(shù)據(jù)安全風險評估、監(jiān)測預警、應(yīng)急處置,數(shù)據(jù)安全審查等基本制度,并明確了相關(guān)主體的數(shù)據(jù)安全保護義務(wù),這是我國首部數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性立法。《數(shù)據(jù)安全法》共有七章五十五條,在《數(shù)據(jù)安全法》施行的之際,我們就本法的十大突出亮點進行解讀。
一、堅持總體國家安全發(fā)展觀
《數(shù)據(jù)安全法》以貫徹總體國家安全觀的目的為出發(fā)點,以數(shù)據(jù)治理中最為重要的安全問題作為切入點,抓住了數(shù)據(jù)安全的主要矛盾和平衡點,是我國數(shù)據(jù)安全領(lǐng)域的一部重要基礎(chǔ)性法律。《數(shù)據(jù)安全法》第一條確立該法的立法目確:“為了規(guī)范數(shù)據(jù)處理活動,保障數(shù)據(jù)安全,促進數(shù)據(jù)開發(fā)利用,保護個人、組織的合法權(quán)益,維護國家主權(quán)、安全和發(fā)展利益,制定本法。”
該條中的“規(guī)范數(shù)據(jù)處理活動,保障數(shù)據(jù)安全,促進數(shù)據(jù)開發(fā)利用”是《數(shù)據(jù)安全法》的立法基礎(chǔ),其中“規(guī)范、保障、促進”這三個關(guān)鍵詞,是一種遞進關(guān)系,規(guī)范數(shù)據(jù)處理活動的目的,是為了保障數(shù)據(jù)的安全,只有在確保數(shù)據(jù)安全的基礎(chǔ)上,方能促進數(shù)據(jù)的有序開發(fā)和利用。
二、我國數(shù)據(jù)保護的域外法律效力
當前,全球經(jīng)貿(mào)交易、技術(shù)交流、資源分享等跨國合作日益頻繁,數(shù)據(jù)跨境流動已經(jīng)是無法避免的事實。如果我國的數(shù)據(jù)安全法只適用于“在中華人民共和國境內(nèi)開展數(shù)據(jù)活動”的地域空間,顯然是不現(xiàn)實的。為此,《數(shù)據(jù)安全法》第二條第二款明確規(guī)定:“在中華人民共和國境外開展數(shù)據(jù)處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的,依法追究法律責任。”
該款中的“境外開展數(shù)據(jù)處理數(shù)據(jù)活動”的主體既包括位于中國境外的數(shù)據(jù)處理者,也包括位于中國境內(nèi)的數(shù)據(jù)處理者,但其數(shù)據(jù)處理行為在境外,這兩類數(shù)據(jù)處理者的行為只要損害了我國國家安全、公共利益以及公民和組織的合法數(shù)據(jù)權(quán)益,均由我國法律管轄,并追究法律責任。
三、“中央國安委”統(tǒng)籌協(xié)調(diào)下的行業(yè)數(shù)據(jù)監(jiān)管機制
我國《數(shù)據(jù)安全法》第五條明確:“中央國家安全領(lǐng)導機構(gòu)負責國家數(shù)據(jù)安全工作的決策和議事協(xié)調(diào),研究制定、指導實施國家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策,統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項和重要工作,建立國家數(shù)據(jù)安全工作協(xié)調(diào)機制。”
《數(shù)據(jù)安全法》實行“中央國安委”統(tǒng)籌協(xié)調(diào)下的行業(yè)監(jiān)管機制:首先,中央國家安全領(lǐng)導機構(gòu)負責國家數(shù)據(jù)安全工作的決策和議事協(xié)調(diào),研究制定、指導實施國家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策,統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項和重要工作;其次,各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負責;再次,工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責;第四,公安機關(guān)、國家安全機關(guān)等依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責范圍內(nèi)承擔數(shù)據(jù)安全監(jiān)管職責;第五,國家網(wǎng)信部門依照《數(shù)據(jù)安全法》和有關(guān)法律、行政法規(guī)的規(guī)定,負責統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)管工作。
四、促進以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟發(fā)展
《數(shù)據(jù)安全法》第七條規(guī)定:“國家保護個人、組織與數(shù)據(jù)有關(guān)的權(quán)益,鼓勵數(shù)據(jù)依法合理有效利用,保障數(shù)據(jù)依法有序自由流動,促進以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟發(fā)展。”
數(shù)據(jù)作為生產(chǎn)要素由市場評價貢獻、按貢獻決定報酬,這是黨的十九屆四中全會首次提出的一項重大產(chǎn)權(quán)創(chuàng)新制度。目前,各類網(wǎng)絡(luò)平臺,尤其是超級網(wǎng)絡(luò)平臺通過自身營造的網(wǎng)絡(luò)生態(tài)系統(tǒng),將網(wǎng)絡(luò)公共空間的數(shù)據(jù)當作一種私權(quán),不利于數(shù)據(jù)要素市場的構(gòu)建。因此,《數(shù)據(jù)安全法》明確提出“國家保護個人、組織與數(shù)據(jù)有關(guān)的權(quán)益”,這里的“權(quán)益”指公民和法人受法律保護的與數(shù)據(jù)有關(guān)的權(quán)利和利益。在個人和組織與數(shù)據(jù)有關(guān)的權(quán)益得到充分保護的基礎(chǔ)上,依法推動數(shù)據(jù)合理有效利用和依法有序自由流動。
五、國家數(shù)據(jù)分類分級保護制度
《數(shù)據(jù)安全法》第二十一條規(guī)定:“國家建立數(shù)據(jù)分類分級保護制度,根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度,對數(shù)據(jù)實行分類分級保護。國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄,加強對重要數(shù)據(jù)的保護。”
《數(shù)據(jù)安全法》中的“數(shù)據(jù)分類”,采用了數(shù)據(jù)的“重要程度”+“危害程度”的立法手段,對數(shù)據(jù)實行分類分級保護,特別是將“關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)”列為國家核心數(shù)據(jù),實行更加嚴格的管理制度。《數(shù)據(jù)安全法》從國家層面提出了數(shù)據(jù)分類分級,是確定數(shù)據(jù)保護和利用之間平衡點的一個重要依據(jù),為政務(wù)數(shù)據(jù)、企業(yè)數(shù)據(jù)、工業(yè)數(shù)據(jù)和個人數(shù)據(jù)的保護奠定了法律基礎(chǔ)。
六、國家數(shù)據(jù)安全審查制度
“國家安全審查”是我國《國家安全法》最先確立的一項國家安全審查與監(jiān)管制度。根據(jù)《國家安全法》第五十九條的規(guī)定:“國家建立國家安全審查和監(jiān)管的制度和機制,對影響或者可能影響國家安全的外商投資、特定物項和關(guān)鍵技術(shù)、網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)、涉及國家安全事項的建設(shè)項目,以及其他重大事項和活動,進行國家安全審查,有效預防和化解國家安全風險。”
數(shù)據(jù)安全審查制度與網(wǎng)絡(luò)安全審查是依法確立的國家安全審查制度中兩項重要的安全審查制度。《數(shù)據(jù)安全法》第二十四條規(guī)定:“國家建立數(shù)據(jù)安全審查制度,對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。”《網(wǎng)絡(luò)安全法》第三十五條規(guī)定:“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。”
《數(shù)據(jù)安全法》中的數(shù)據(jù)安全審查制度與《網(wǎng)絡(luò)安全法》中的網(wǎng)絡(luò)安全審查制度有所不同,前者的審查對象主要針對影響或者可能影響國家安全的數(shù)據(jù)處理活動,數(shù)據(jù)處理活動包括:數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等;后者的審查對象主要是針對關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),影響或可能影響國家安全的情形。
2021年7月10日,國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)》,在“修訂草案征求意見稿”第一條的立法依據(jù)中,新增加了《中華人民共和國數(shù)據(jù)安全法》,即“依據(jù)《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》,制定本辦法”,這意味著數(shù)據(jù)安全審查制度將納入新修訂的《網(wǎng)絡(luò)安全審查辦法》。
七、國家數(shù)據(jù)安全應(yīng)急處置機制
《數(shù)據(jù)安全法》第二十三條明確了“國家建立數(shù)據(jù)安全應(yīng)急處置機制”,并要求“發(fā)生數(shù)據(jù)安全事件,有關(guān)主管部門應(yīng)當依法啟動應(yīng)急預案,采取相應(yīng)的應(yīng)急處置措施,防止危害擴大,消除安全隱患,并及時向社會發(fā)布與公眾有關(guān)的警示信息。”
該條有四層意思,一是要在國家層面構(gòu)建數(shù)據(jù)安全應(yīng)急處置機制;二是有關(guān)單位在發(fā)生數(shù)據(jù)安全事件時,應(yīng)當依法立即啟動應(yīng)急預案,該條中的“有關(guān)單位”應(yīng)當按照“誰主管誰負責、誰運行誰負責”的原則確定;三是采取最有效的應(yīng)急處置措施,防止危害擴大,要消除安全隱患,同時要組織研判,保存證據(jù),并做好信息通報工作;四是及時向社會發(fā)布與公眾有關(guān)的警示信息,強調(diào)“發(fā)布與公眾有關(guān)的警示信息”的目的,是為了讓公眾了解數(shù)據(jù)安全事件的真像,并及時采取自我保護的措施,以免其數(shù)據(jù)遭到破壞或在遭到破壞后防止損失的擴大。
數(shù)據(jù)安全事件應(yīng)急預案應(yīng)當按照緊急程度、發(fā)展態(tài)勢和可能造成的危害程度進行等級分類,一般分為四級:由高到低依次用紅色、橙色、黃色和藍色標示,分別對應(yīng)可能發(fā)生特別重大、重大、較大和一般網(wǎng)絡(luò)安全突發(fā)事件。
八、數(shù)據(jù)處理者的合規(guī)義務(wù)
數(shù)據(jù)合規(guī),是指數(shù)據(jù)處理者及其工作人員的數(shù)據(jù)處理行為符合法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和數(shù)據(jù)安全管理規(guī)章制度以及國際條約、規(guī)則等要求。《數(shù)據(jù)安全法》第二十七條到第三十條明確了數(shù)據(jù)處理者履行數(shù)據(jù)安全的四項重要合規(guī)義務(wù)。
(一)開展數(shù)據(jù)處理活動應(yīng)當依法合規(guī)
《數(shù)據(jù)安全法》第二十七條規(guī)定:“開展數(shù)據(jù)處理活動應(yīng)當依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓,采取相應(yīng)的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動,應(yīng)當在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,履行上述數(shù)據(jù)安全保護義務(wù)。
重要數(shù)據(jù)的處理者應(yīng)當明確數(shù)據(jù)安全負責人和管理機構(gòu),落實數(shù)據(jù)安全保護責任。”
該條規(guī)定了四項重要義務(wù):一是開展數(shù)據(jù)處理活動應(yīng)當依照法律、法規(guī)的規(guī)定;二是開展數(shù)據(jù)處理活動應(yīng)當建立健全全流程數(shù)據(jù)安全管理制度,并組織開展數(shù)據(jù)安全教育培訓;三是開展數(shù)據(jù)處理活動應(yīng)當采取相應(yīng)的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全;四是利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動,應(yīng)當在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,履行上述數(shù)據(jù)安全保護義務(wù)。
(二)數(shù)據(jù)處理應(yīng)當為民造福并符合社會倫理道德
當前,數(shù)據(jù)處理者在數(shù)據(jù)處理活動中大量地使用智能技術(shù)和算法技術(shù),特別是數(shù)據(jù)處理者開發(fā)的智能技術(shù)與算法的融合,其本質(zhì)是建立在大數(shù)據(jù)基礎(chǔ)上的自我學習、判斷和決策的算法。算法的核心是基于網(wǎng)絡(luò)的編程技術(shù),目前基于智能技術(shù)的算法決策具有典型的“黑箱”特點,大量的違背社會公德和倫理,最典型的就是大數(shù)據(jù)殺熟機制。
針對數(shù)據(jù)處理者違背法律和社會公德濫用大數(shù)據(jù)新技術(shù)的情形,《數(shù)據(jù)安全法》第二十八條提出了展數(shù)據(jù)處理活動以及研究開發(fā)數(shù)據(jù)新技術(shù)的三項合規(guī)義務(wù),一是數(shù)據(jù)處理者研究開發(fā)數(shù)據(jù)技術(shù),一定要利于促進經(jīng)濟社會發(fā)展;二是數(shù)據(jù)處理者研究開發(fā)數(shù)據(jù)新技術(shù),要以增進人民福祉為目的;三是數(shù)據(jù)處理者研究開發(fā)數(shù)據(jù)新技術(shù)應(yīng)當符合社會公德和倫理。
(三)數(shù)據(jù)處理活動應(yīng)當加強風險監(jiān)測
《數(shù)據(jù)安全法》第二十九條:“開展數(shù)據(jù)處理活動應(yīng)當加強風險監(jiān)測,發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時,應(yīng)當立即采取補救措施;發(fā)生數(shù)據(jù)安全事件時,應(yīng)當立即采取處置措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。”
數(shù)據(jù)安全風險監(jiān)測與評估是參照數(shù)據(jù)安全風險評估標準和管理規(guī)范,對數(shù)據(jù)資產(chǎn)價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行監(jiān)測,分析和判斷數(shù)據(jù)安全事件發(fā)生的概率以及可能造成的損失,并采取有針對性的處置措施和提出數(shù)據(jù)安全風險管控措施。
《數(shù)據(jù)安全法》第二十九條對數(shù)據(jù)安全的風險監(jiān)測與數(shù)據(jù)安全事件的處置做出兩項明確要求,一是開展數(shù)據(jù)處理活動應(yīng)當加強風險監(jiān)測,發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時,應(yīng)當立即采取補救措施;二是發(fā)生數(shù)據(jù)安全事件時,應(yīng)當立即采取處置措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。
(四)重要數(shù)據(jù)處理者應(yīng)當定期開展數(shù)據(jù)風險評估
《數(shù)據(jù)安全法》第三十條規(guī)定:“重要數(shù)據(jù)的處理者應(yīng)當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估,并向有關(guān)主管部門報送風險評估報告。
風險評估報告應(yīng)當包括處理的重要數(shù)據(jù)的種類、數(shù)量,開展數(shù)據(jù)處理活動的情況,面臨的數(shù)據(jù)安全風險及其應(yīng)對措施等。”
該條款有三項內(nèi)容,一是重要數(shù)據(jù)的處理者應(yīng)當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估;二是數(shù)據(jù)風險評估報告應(yīng)當向有關(guān)主管部門報送;三是風險評估報告應(yīng)當包括處理的重要數(shù)據(jù)的種類、數(shù)量,開展數(shù)據(jù)處理活動的情況,面臨的數(shù)據(jù)安全風險及其應(yīng)對措施等。
九、重要數(shù)據(jù)的出境安全管理制度
《數(shù)據(jù)安全法》第三十一條規(guī)定:“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定;其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定。”
本條規(guī)定了重要數(shù)據(jù)出境安全管理的規(guī)定,主要有兩方面內(nèi)容,一是關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定;二是除關(guān)鍵信息基礎(chǔ)設(shè)施的運營者處理的重要數(shù)據(jù)外,其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定。
十、提供數(shù)據(jù)處理服務(wù)的行政許可準入制度
《數(shù)據(jù)安全法》第三十四條規(guī)定:“法律、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關(guān)服務(wù)應(yīng)當取得行政許可的,服務(wù)提供者應(yīng)當依法取得許可。” 許可(license)含有準許、允許或授權(quán)的意思,數(shù)據(jù)處理相關(guān)服務(wù)的行政許可,其基本性質(zhì)是行政機關(guān)對特定的數(shù)據(jù)處理服務(wù)活動進行事前進行控制的一種管理行為。
數(shù)據(jù)處理相關(guān)服務(wù)的行政許可一般應(yīng)具有以下特征:一是從事數(shù)據(jù)處理相關(guān)服務(wù)的行政許可是一種依行政相對人申請的行政行為,沒有行政相對人的申請,行政機關(guān)不能主動予以許可;二是數(shù)據(jù)處理服務(wù)行政許可的設(shè)定意味著法律的一般禁止,行政許可的內(nèi)容是國家一般禁止的活動,為適應(yīng)社會生活和生產(chǎn)的需要,對符合一定條件者解除禁止,允許其從事某項特定的活動。數(shù)據(jù)處理服務(wù)本身涉及到維護國家主權(quán)、安全和發(fā)展利益,應(yīng)該是國家一般禁止的行為,但國家為了促進數(shù)據(jù)開發(fā)利用,在保障數(shù)據(jù)安全的前提下,對符合條件的組織和個人準許其實施數(shù)據(jù)處理服務(wù)行為;三是數(shù)據(jù)處理服務(wù)行政許可是一種授益性行政行為,即賦予相對人某種權(quán)利和資格的授益性行政行為,是準許相對人從事數(shù)據(jù)處理服務(wù)這項特定活動的行為。
王春暉系浙江大學教授、博導,網(wǎng)絡(luò)空間治理與數(shù)字經(jīng)濟法治(長三角)研究基地主任兼首席專家、工信部信息通信經(jīng)濟專家委員會委員、中國網(wǎng)絡(luò)與數(shù)據(jù)安全法治50人論壇主席;
程樂系浙江大學教授、博導,國家社科基金重大專項“建立健全我國網(wǎng)絡(luò)綜合治理體系研究”首席專家、浙江大學國際戰(zhàn)略與法律研究院常務(wù)副院長。