《数据安全法》对数据安全风险设置“红线”
数据已成为新兴的生产要素,是国家基础性和战略性资源,数据安全需求也越发凸显。加强对数据安全的保护不仅关乎每个人、每个组织的利益,而且与经济社会发展和国家安全密切相关,必须全方位保护其安全。
6月10日,第十三届全国人民代表大会常务委员会第二十九次会议表决通过《中华人民共和国数据安全法》(以下简称《数据安全法》),将于2021年9月1日起施行。该法明确建立数据分类分级保护制度,建立健全数据交易管理制度、安全审查制度,对违法行为的处罚力度加大。最终通过的法案加大了违法行为处罚力度,尤其是对于核心数据,违反国家核心数据管理制度,危害国家主权、安全和发展利益的,最高可罚1000万元,并可追究刑责。这也意味着对企业的合规监管、数据交易的安全性提出了更高的要求。
填补安全领域的法律空白
《数据安全法》作为我国首部与数据安全相关的法律,自2020年6月28日以来经历了3次审议与修改,在此期间持续引发了社会各界的广泛关注。该法的出台标志着我国在数据安全领域的法律空白得以有效填补,我国各行业的数据安全建设工作及监管工作将进入有法可循、有法可依的新时代。
上海交通大学网络安全技术研究院院长李建华表示,《数据安全法》不但对数据安全主管机构的监管职责进行了明确,而且对数据安全协同治理体系的建立与健全起到了积极的促进作用。对于数据在开发、利用、出境以及自由流动等环节中的安全性得到明显加强,从而切实提高数据利用的价值,同时其也必将为数字经济的发展与创新注入新的源动力。
《数据安全法》将有力推动实现维护国家主权、国家安全、国家利益以及维护全体公民和组织数据合法权益的任务目标,也将成为我国数字化经济成功转型与健康、安全发展的强大保障力量。
中国工程院院士沈昌祥认为,《数据安全法》的出台,将有助于进一步提升国家数据安全保障能力,有助于加强我国应对因数据引发的国家安全风险与挑战。加强数据安全防护,要坚持积极防范,构建基于等级保护的数据纵深防御防护体系架构,加强可信免疫、主动防护以确保数据可信、可控、可管。
国家工业信息安全发展研究中心副总工程师兼信息政策所所长黄鹏指出,《数据安全法》体现了国家对数据安全领域的高度关注,其主要亮点包括以下几个方面。
一是追求维护数据安全与引导数字经济发展之间实现动态化平衡。该法聚焦数据安全领域的突出问题,提出数据安全制度、数据安全保护义务、政务数据安全与开放等,确保数据活动符合安全要求。与此同时,该法纳入发展数字经济理念,推动政务数据开放,利用数据提升公共服务的智能化水平,培育数据交易市场。
二是更加重视数据安全制度的建设。该法将数据安全制度单独作为一章进行规定,明确提出数据分类分级保护制度,确定重要数据具体目录,并提出了核心数据的新概念。通过明确数据安全风险评估、报告、信息共享、监测预警机制、应急处置机制、安全审查制度、出口管制制度等,强化内控制度建设,防控数据安全风险。
三是加强对国家数据安全工作的统筹,确定行业安全责任、监管与统筹协调的主体。由网信部门发挥统筹协调职能,工业、电信、交通、金融等主管部门承担相关行业和领域的监管职责,公安机关和国家安全机关等承担相关职责范围的监管职责。通过明确国家层面的统筹协调职能,确保后续国家数据安全战略和重大方针政策的有效落地和执行。
四是增加对数据泄露活动危及国家安全的处罚力度。该法增加了对违反国家核心数据管理制度的处罚力度,对危害国家主权、安全和发展利益的,非法向境外提供重要数据的,处以最高1000万元罚款。因此,该法对数据安全风险设置了基本“红线”,一旦数据泄露事件危及国家安全,将面临巨额罚款。
强调对数据的出口管制
据不完全统计,全球已有超过135个国家(地区)出台数据保护的法律法规,其中大多数涉及到数据跨境流动的法律或政策。各国数据跨境流动法律法规的主旨是在本国利益最大化的前提下合法推进数据跨境流动。
数据出境安全一直是我国数据保护领域中立法与执法工作的重点。《网络安全法》《个人信息保护法》(二审稿)都分别规定了关键信息基础设施运营者、网络运营者重要数据及个人信息的数据出境安全评估要求,但相关具体细则尚未明确。此次《数据安全法》明确了我国对于促进数据跨境安全、自由流动的态度,同时也给出了关于数据跨境流动的明确规定。从整体上看,我国正在积极开展并促进数据领域的国际交流与合作,且按照数据分类对于不同数据采取相应的出境管理政策。
中国传媒大学媒体融合与传媒国家重点实验室大数据中心首席科学家沈浩表示,《数据安全法》也是应对全球数字化和一体化经济发展的重要举措,将明确规范跨境数据流动和流转的法律要件,明确数据跨境流动的出口管制、报批制度和反制措施,即明晰了国内存储数据的跨境和境外司法监管的保护机制,有助于开展跨境国际数据交流合作,促进数据跨境安全自由流动,履行数据相关主体的责任义务和报批流程,实施国家利益的数据出口管制,应对境外数据活动的歧视性政策和反制措施,使得我国境内数据安全保护有了国家尚方宝剑。
《数据安全法》中还设置了一项针对数据歧视的比较特别的规定,即“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。”
北京大成律师事务所高级合伙人蔡开明指出,“对等措施”的设置多存在于贸易法与投资法领域,例如《外商投资法》《出口管制法》等。在作为数据安全领域重要法律基础的《数据安全法》中加入对等措施,反映出立法机关将数据安全、数据技术认定为中国企业壮大发展的关键要素,也反映出中国立法机关在复杂国际背景下未雨绸缪的努力。
企业未来应该加强数据安全的自监管
加强对数据安全的保护已经不仅关乎每个人、每个组织的利益,更与经济社会发展和国家安全密切相关。未来的数字经济中,企业应该积极按照《数据安全法》打造合规体系,达成“可信承诺”,来确保数据的全方位安全。
为进一步落实《数据安全法》,中国科学院信息工程研究所二级研究员李凤华认为,企业未来应该加强数据安全的自监管,国家行政主管部门的执法监管要与企业自监管有机结合,以促进数据有序使用。要强化数据安全标准体系建设,广泛吸收国家行政主管部门、企业、科研机构、个人的意见,平衡各利益攸关方的关切点,提高执法有效性,促进企业对数据的合法、合规使用,减少企业防护成本,确保个人权益保障有效可查,充分调动全社会各利益攸关方的积极性,真正推动《数据安全法》有效落地。
沈浩表示,《数据安全法》是我国从数据安全立法建立的基本法律制度框架,从事数据活动的相关主体需要结合自身企业、行业和各级政府主管部门需要不断学习,细化主体责任和落实相关执行细则。加强自身数据安全、数据隐私保护的技术能力和监管实践,有效评估数据安全风险和处罚力度。数据活动主体需要探索数据要素与其他生产要素融合产生新的数据安全领域的机遇与挑战,勇于开拓大数据与人工智能在数据要素的隐私保护技术。
蔡开明表示,企业应当开始评估自身业务活动是否收集、处理重要数据与国家核心数据,并特别关注国家有关部门后续将发布的重要数据目录、非关键信息基础设施的运营者出境重要数据的具体办法,以及国家核心数据相关规定的内容与要求,以确保在《数据安全法》正式实施之前,建立起较为完善的重要数据与国家核心数据的管理措施。此外,对于业务活动涉及出口管制范围内数据出口、涉及个人信息收集与处理、涉及统计与档案工作中的数据处理活动等的企业而言,还应当关注自身操作符合其他相关法律法规的要求。
