太古观察:聚焦《中华人民共和国数据安全法(草案)》
导读:人类社会进入数字时代以来,数据安全、个人信息保护等新兴问题不断涌现,传统的法律已难以应对人工智能、大数据、5G技术等新兴领域的法律问题。其中,数据作为数字时代的基本要素,网络上的一切政治信息、商业信息、技术信息、个人信息都需要数据作为载体,而数据收集、存储等过程中引发的安全问题成为数字时代发展的瓶颈。
《中华人民共和国数据安全法(草案)》(以下简称“《草案》”)经由第十三届全国人大常委会第二十次会议审议,于2020年7月3日对外公布并征求公众意见。《草案》共七章五十一条,依次为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则,定位为我国“数据安全领域的基础性法律”。
数据安全一方面需要数据安全保护技术的发展,在此过程中也要通过相关领域的立法对数据安全提供法律制度上的保障。《民法典》将数据纳入了民事法律的保护范围,彰显了《民法典》对数字时代法律需求的呼应,不足的是,《民法典》对数据安全领域并没有更为细致的规定。本次《草案》的出台,既是配合《民法典》关于数据安全保护的法律要求,又是与《网络安全法》、未来出台的《个人信息保护法》等法律制度衔接,以期组成数字时代的数据监管法律体系。《草案》主要内容如下——
一、确立安全与发展并行的数据安全监管理念
1.《草案》以安全作为数据监管的准则
《草案》规定,以国家安全观作为数据安全的衡量标准,保护公民、组织的合法权益,维护公共利益和社会公德。(第一条,第四条,第五条,第八条,第十二条至第十八条)
《草案》以国家安全作为数据监管的关键准则,体现了数字时代背景下以数据监管方式维护国家安全的重要意义,将数据安全融入到国家安全法律保障体系之中,凸显了《数据安全法》出台的战略意义和价值。
2.《草案》关注数据开发利用和数字经济发展
《草案》明确了促进数据开发利用的立法取向。《草案》规定,国家通过鼓励数据依法合理有效利用,保障数据依法有序自由流动,以数据开发利用和产业发展促进数据安全,以数据安全促进以数据为关键要素的数字经济发展。(第一条,第五条,第九条,第十条,第十二条至第十八条)
《草案》在关注国家安全的同时也注重利用数据安全促进数字经济发展。《草案》以国家安全为准则的数据安全监管方式,最终目的还是在数字时代背景下营造安全的数据流通环境,为我国的数据基础设施建设和大数据战略服务。
3.《草案》关注数据的域外流动和安全保护
《草案》规定积极开展数据领域的国际交流合作,参与国际规则和标准制定;域外监管效力;对属于管制物项的数据实施管制;选择适用实施数据限制的对等措施;境外执法机构获取国内数据需要经过批准。(第二条,第十条,第二十三条,第二十四条,第三十三条)
域外监管是《草案》的亮点之一。我国已有部分法律法规对数据的域外效力进行了规定,此次关于数据域外效力监管和国际法层面的规则配合作出了规范。关于管制、对等措施和境外执法机构获取数据的批准则需要在海关、外交、司法管辖等层面进一步落实,上述规定保障了我国在国际交往上的数据主权,在国家安全、数据安全受到威胁时有法可依。
二、确定基础法律概念和法律适用范围
1.《草案》定义了数据、数据安全、数据活动等主要概念
其中数据是任何以电子或者非电子形式对信息的记录;数据活动是指数据的收集、存储、加工、使用、提供、交易、公开等行为;数据安全是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。(第二条)
《草案》扩大了数据的概念范围,将非电子形式对信息的记录纳入数据安全的监管范围,使得《草案》的数据概念与“信息”概念更为接近。信息的概念相对广泛,个人信息、商业秘密等都属于信息的范围,同时也是许多法律的保护对象。但是,数据和信息的关系应该怎样明确,《草案》并未给出答案。以个人信息为例,《民法典》规定了对个人信息的保护,未来出台的《个人信息保护法》亦以个人信息为保护对象。《草案》的数据和《个人信息保护法》的个人信息如何区分,法律适用时不同法律之间的顺位关系需要进一步规范。
2.《草案》明确了数据安全的监管范围
《草案》关于数据活动的规定延续了《民法典》中个人信息处理的规定,并未借鉴GDPR中数据携带等概念和方式,体现了我国数据监管法律体系以收集、存储、使用、加工、传输、提供、公开为活动方式的立法趋势和取向。
三、构建数据安全监管体系和协同治理体系
1.落实国家相关机构的数据安全监管职责
《草案》规定,以地区为基础,不同行业在其职权范围内承担本行业和领域内的数据安全监管职责,同时由国家网信部门负责统筹协调网络数据安全和监管工作,由公安机关和国家安全机关在各自职权范围内承担相关职责。(第七条)
《草案》以地域和行业作为数据安全监管部门职责的分类标准,以负有行政执法权限的公安和国安部门履行本领域的监管职能,既方便由各个地区和部门针对本领域和行业展开监管工作,也利于安全部门利用特有渠道和方式执行监管措施。同时,《草案》明确由国家网信部门统筹协调网络数据安全的和监管工作,表明网络数据安全是本次数据安全立法的重点。但是,《草案》并未设定监管部门的级别要求和具体监管权限,不同部门、行业之间的监管存在交叉时的统筹协调方式,国家网信部门的监管和协调权限,国家安全机关和公安机关是否在监管权限之内就违反数据安全规定的行为有直接执法权限等。
2.健全数据安全协同治理体系
《草案》推动有关部门、行业组织、企业、个人共同参与数据安全保护工作;建立数据安全监管投诉机制,任何组织和个人都有权向有关部门投诉。(第九条,第十一条)
数据安全协同体系是指政府、行业组织、企业、个人共同参与数据安全保护工作。《草案》通过确立各类数据安全制度、数据安全保护义务以及相关部门的监管职责,为构建数据安全协同体系提供了法律支撑。
四、创新各类数据安全制度
《草案》规定,建立健全数据交易管理制度;数据分级分类保护制度;数据安全评估、报告、信息共享、监测预警机制;数据安全应急处理机制;数据安全审查制度。(第十七条,第十九条至第二十二条)
《草案》规定了各类数据安全保护机制。《草案》通过对数据分级分类并确定重要数据保护目录,将不同重要程度的数据予以不同的交易管理措施;在数据活动中开展广泛的数据安全评估、报告、信息共享、监测预警,对数据安全进行全面审查,将在此过程中发现的问题纳入应急处理机制。由此不难看出,《草案》以数据的重要程度为基础,在此基础上展开管理、审查、处理等全过程的处理方案,为解决数据活动中出现的安全问题提供了全方位的制度保障。上述安全保护机制的设立主体都为国家,所以数据分级分类的标准需要国家进一步明确,各类组织、企业或者自然人在上述机制中的法律地位和自主性、参与性需要进一步规范。
五、设立数据安全保护义务
1.各类组织、企业的数据安全保护义务
《草案》规定,数据安全保护义务包括建立健全流程数据安全管理制度,开展数据活动,研发数据技术,强化风险监测,开展风险评估,合法收集、使用数据,报告数据安全事件,审核数据来源,经营许可备案义务,配合调取数据义务等。(第二十五条至第三十二条)
《草案》对数据机构的安全保护义务提出了各类要求,各类组织、企业成为《草案》规定的承担数据安全保护义务的主要主体。需要特别注意的是数据交易中介服务机构对数据来源负有审核义务,在线数据处理的经营者需要取得经营业务许可或备案,重要数据处理者负有设立数据安全负责人和管理机构的义务。
其中,数据交易中介服务机构对数据来源的审核义务有利于规范数据交易秩序,但数据中介机构对数据来源是形式审查还是实质审查,怎样评估数据来源的合法性,此过程中出现数据安全问题的法律责任如何适用,法律责任是归属于数据提供方还是数据中介机构需要进一步明确。在线数据处理经营者的许可或备案有助于规范在线数据处理市场的经营秩序、审查机构及数据的安全性,在线数据处理经营者未来需要密切关注相关的许可和备案事项。“重要数据处理者”是根据数据的分级分类制度设定的数据安全主体,在数据分级分类制度尚未明确时,需要各个企业、各类组织根据自身涉及数据的可能类别提前做好相应的准备措施。
2.个人的数据安全保护义务
《草案》规定,个人收集、使用数据,必须合法,适当,不能超过必要限度;个人需要配合公安、国安机关的数据调取要求。(第二十九条,第三十二条)
一直以来,个人信息、个人数据的范围,特别是网络平台和个人之间就有关数据的权利关系存在诸多争议。《草案》关于个人收集使用数据必要限度的规定是为了在上述问题引发争议时留下更多的自由裁量和法律适用空间。
3.政府部门的数据安全保护义务
《草案》规定,公安、国安机关履行有关职责调取数据需要经过批准。(第三十二条)
《草案》严格限制公安、国安机关调取数据。国安机关、公安机关虽然作为数据安全的监管机构,调取数据也要经过严格的批准。作为企业、组织、个人,如何在公安、国安部门的监管权和批准手续中遵守法定义务,比如未履行批准手续时以监管权为由获取数据,需要继续明确公安国安部门的监管权限。
六、建立保障政务数据安全和推动政务数据开放的制度措施
《草案》规定,国家推进政务数据建设,建立健全数据安全管理制度,履行委托、加工、提供政务数据时的批准手续,保障政务数据安全。建立政务数据开放目录及平台,推动政务数据公开。(第三十四条至第三十九条)
《草案》中对政务数据建立健全安全管理制度的要求,和对非政府组织、企业关于建立健全数据安全管理制度的要求是一致的,体现了国家对政务数据和其他数据关于维护数据安全的统一要求。推动政务数据公开即保障了数据获取的便捷性,也配合了行政法律规范中政府信息公开的落实。
七、明确数据安全法律责任
《草案》确立的法律责任主体丰富,个人,数据中介机构,各类组织、企业,国家机关工作人员都可以作为责任的承担主体。责任类型多样,既包括行政责任,也包括民事责任和刑事责任,还包括约谈等形式。(第四十一条至第四十八条)
其中,约谈的形式灵活,方便有关机构对数据安全的监管,也有利于责任主体的进一步规范和“一刀切”行政执法方式的弥补。
我们的观察
数字时代的数据监管体系立法已经开始。安全与发展并行的理念既是《草案》的立法理念,也是未来数据监管的立法方向。《草案》的出台,给国家机构,各类企事业组织以及个人的数据安全保障带来了原则性的法律指引和制度性的应对方案。各类企事业单位有必要依据《草案》的相关规定,为自身的数据安全建立更为有效的监管机制。《草案》的出台,就是构建我国数据协同监管体系的良好开端。
律所地址
邮箱地址
联系电话
