9月1日,《中華人民共和國數(shù)據(jù)安全法》正式實施。數(shù)據(jù)安全法的出臺是對當(dāng)前數(shù)據(jù)安全內(nèi)外部形勢的積極回應(yīng),是護航數(shù)字經(jīng)濟發(fā)展的重要舉措,開創(chuàng)了新時代數(shù)據(jù)安全治理的新局面。當(dāng)下,面對大數(shù)據(jù)的洪流,數(shù)據(jù)安全問題如何應(yīng)對,國家數(shù)據(jù)安全制度怎樣布局,不僅關(guān)涉國家安全、公共安全、個人安全,也關(guān)系我國在全球新一輪信息技術(shù)變革中如何實現(xiàn)從跟跑、并跑到領(lǐng)跑的轉(zhuǎn)變。
隨著人類社會進入數(shù)字化時代,網(wǎng)絡(luò)空間、物理世界和人類社會開始實現(xiàn)深度融合。數(shù)據(jù)不僅是網(wǎng)絡(luò)空間自身運行的產(chǎn)物,也是物理世界、人類社會運行的數(shù)字畫像,蘊含著數(shù)字化世界的運行規(guī)律。在數(shù)字化時代,數(shù)據(jù)同時兼具國家安全、數(shù)字經(jīng)濟、社會治理、個人隱私等多個屬性,因此,發(fā)達國家陸續(xù)開展相關(guān)立法工作,我國數(shù)據(jù)安全立法可謂恰逢其時。
2021年6月10日,經(jīng)全國人民代表大會常務(wù)委員會審議,通過了《中華人民共和國數(shù)據(jù)安全法》(簡稱數(shù)據(jù)安全法),并于9月1日起施行。數(shù)據(jù)安全法作為國家安全法律體系的一部分,既要解決現(xiàn)有數(shù)據(jù)安全制度供給不足的問題,又要符合總體國家安全觀的整體性要求,避免過度介入應(yīng)由其他法律規(guī)制的領(lǐng)域。因此,數(shù)據(jù)安全法是一部數(shù)據(jù)安全領(lǐng)域基礎(chǔ)性、框架性的法律,為后續(xù)各類數(shù)據(jù)領(lǐng)域配套制度、規(guī)范及標(biāo)準(zhǔn)的制定提供了依據(jù)。
主要內(nèi)容
數(shù)據(jù)安全法以總體國家安全觀為指導(dǎo),堅持統(tǒng)籌發(fā)展與安全的原則,明確了一系列數(shù)據(jù)安全制度,規(guī)定了數(shù)據(jù)處理主體的數(shù)據(jù)安全義務(wù),并就政務(wù)數(shù)據(jù)安全與開放提出了相關(guān)要求,此外還明確了主管部門的職責(zé)及違規(guī)的法律責(zé)任。
1.數(shù)據(jù)安全與發(fā)展。當(dāng)前,數(shù)據(jù)已經(jīng)成為我國數(shù)字經(jīng)濟的核心生產(chǎn)要素之一,其有效利用事關(guān)社會和經(jīng)濟發(fā)展,同時又從微觀到宏觀層面影響國家安全。因此,數(shù)據(jù)安全法首先闡明了數(shù)據(jù)安全與發(fā)展的關(guān)系,強調(diào)“國家統(tǒng)籌發(fā)展和安全,堅持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進數(shù)據(jù)安全,以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展”。同時,數(shù)據(jù)安全法還明確了同步促進數(shù)據(jù)開發(fā)利用、數(shù)據(jù)安全的技術(shù)研究與應(yīng)用、標(biāo)準(zhǔn)化以及教育培訓(xùn)的措施,要求鼓勵數(shù)據(jù)安全檢測評估、認(rèn)證等服務(wù)的發(fā)展,支持有關(guān)專業(yè)機構(gòu)依法開展服務(wù)活動;建立健全了數(shù)據(jù)交易管理制度,要求規(guī)范數(shù)據(jù)交易行為,培育數(shù)據(jù)交易市場。
2.數(shù)據(jù)安全制度。數(shù)據(jù)安全法明確了6項數(shù)據(jù)安全制度:(1)數(shù)據(jù)分類分級與核心數(shù)據(jù)保護制度。確立了依據(jù)對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度進行分類分級的原則,要求國家網(wǎng)信部門協(xié)調(diào)編制重要數(shù)據(jù)目錄,各地區(qū)、各部門負(fù)責(zé)地方、領(lǐng)域的目錄編制和數(shù)據(jù)保護,特別強調(diào)對于關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等國家核心數(shù)據(jù),實行更加嚴(yán)格的管理制度。(2)數(shù)據(jù)安全風(fēng)險評估與工作協(xié)調(diào)機制。規(guī)定國家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警機制,建立工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強數(shù)據(jù)安全風(fēng)險信息的獲取、分析、研判、預(yù)警工作。(3)數(shù)據(jù)安全應(yīng)急處置機制。要求對于發(fā)生數(shù)據(jù)安全事件的,主管部門應(yīng)當(dāng)依法啟動應(yīng)急預(yù)案,采取相應(yīng)的應(yīng)急處置措施,防止危害擴大,消除安全隱患。(4)數(shù)據(jù)安全審查制度。要求對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。(5)數(shù)據(jù)出口管制制度。要求對與維護國家安全和利益、履行國際義務(wù)相關(guān)的屬于管制物項的數(shù)據(jù)依法實施出口管制。(6)歧視反制制度。規(guī)定對我國采取相關(guān)歧視性的禁止、限制或者其他類似措施的國家和地區(qū),我國可以對其采取對等措施。
3.數(shù)據(jù)安全義務(wù)。數(shù)據(jù)安全法規(guī)定了4類數(shù)據(jù)安全義務(wù):(1)數(shù)據(jù)處理者的安全義務(wù)。重要數(shù)據(jù)處理者應(yīng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機構(gòu),定期開展風(fēng)險評估,并向主管部門報送風(fēng)險評估報告;關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在國內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理依據(jù)網(wǎng)絡(luò)安全法執(zhí)行,其他數(shù)據(jù)處理者的數(shù)據(jù)出境管理由網(wǎng)信辦另行制定政策;組織、個人應(yīng)合法、依規(guī)收集和使用數(shù)據(jù)等。(2)數(shù)據(jù)交易中介服務(wù)機構(gòu)義務(wù)。數(shù)據(jù)交易中介服務(wù)機構(gòu)應(yīng)當(dāng)要求數(shù)據(jù)提供方說明數(shù)據(jù)來源,審核交易雙方的身份,并留存審核、交易記錄。(3)有關(guān)組織、個人的數(shù)據(jù)支持義務(wù)。公安或國家安全機關(guān)因依法維護國家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù),應(yīng)當(dāng)按照國家有關(guān)規(guī)定,經(jīng)過嚴(yán)格的批準(zhǔn)手續(xù),依法進行,有關(guān)組織、個人應(yīng)當(dāng)予以配合。(4)跨境司法或執(zhí)法機構(gòu)數(shù)據(jù)提供審批義務(wù)。未經(jīng)主管機關(guān)批準(zhǔn),境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構(gòu)提供存儲于境內(nèi)的數(shù)據(jù)。
4.政務(wù)數(shù)據(jù)安全與開放。數(shù)據(jù)安全法就政務(wù)數(shù)據(jù)安全與開放作出相應(yīng)規(guī)定。(1)政務(wù)數(shù)據(jù)安全要求。一方面,國家機關(guān)應(yīng)當(dāng)依法合規(guī)收集、使用數(shù)據(jù),并對履職中知悉的個人隱私、個人信息、商業(yè)秘密等數(shù)據(jù)予以保密。另一方面,國家機關(guān)需要建立健全數(shù)據(jù)安全管理制度,落實數(shù)據(jù)安全保護責(zé)任,保障政務(wù)數(shù)據(jù)安全。(2)外包政務(wù)系統(tǒng)數(shù)據(jù)安全要求。國家機關(guān)委托他人建設(shè)、維護電子政務(wù)系統(tǒng),存儲、加工政務(wù)數(shù)據(jù),應(yīng)當(dāng)經(jīng)過嚴(yán)格的批準(zhǔn)程序,受托方應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護義務(wù),同時國家機關(guān)應(yīng)當(dāng)監(jiān)督受托方履行相應(yīng)的數(shù)據(jù)安全保護義務(wù)。(3)政務(wù)數(shù)據(jù)開放要求。除依法不予公開的數(shù)據(jù)外,國家機關(guān)應(yīng)當(dāng)遵循公正、公平、便民的原則,按照規(guī)定及時、準(zhǔn)確地公開政務(wù)數(shù)據(jù),同時應(yīng)制定政務(wù)數(shù)據(jù)開放目錄,構(gòu)建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務(wù)數(shù)據(jù)開放平臺,推動政務(wù)數(shù)據(jù)開放利用。
5.法律責(zé)任。對于數(shù)據(jù)處理者與數(shù)據(jù)交易中介服務(wù)機構(gòu)不履行數(shù)據(jù)安全義務(wù)、數(shù)據(jù)安全監(jiān)管履職國家工作人員濫權(quán)舞弊、違法獲取或濫用數(shù)據(jù)等行為,數(shù)據(jù)安全法也作出了相應(yīng)的處罰規(guī)定。其中,對于不履行數(shù)據(jù)安全義務(wù)的數(shù)據(jù)處理者除罰款外可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照,而對于違反國家核心數(shù)據(jù)管理制度且構(gòu)成犯罪的可以追究刑事責(zé)任,對于違規(guī)數(shù)據(jù)出境或未經(jīng)授權(quán)向外國司法或者執(zhí)法機構(gòu)提供數(shù)據(jù)的,同樣會處以相應(yīng)處罰。
需要關(guān)注的重點
1.基礎(chǔ)性與可實施性的關(guān)系。數(shù)據(jù)安全法是我國數(shù)據(jù)安全領(lǐng)域的一部基礎(chǔ)性法律,系統(tǒng)地搭建了一系列的制度框架,但目前在數(shù)據(jù)分類分級與重要數(shù)據(jù)保護、數(shù)據(jù)安全風(fēng)險評估與工作協(xié)調(diào)、數(shù)據(jù)安全應(yīng)急處置、數(shù)據(jù)安全審查、數(shù)據(jù)出口管制、歧視反制等方面的制度建設(shè)都尚處于初級階段,在執(zhí)行層面還需要制定大量的配套法規(guī)、制度、標(biāo)準(zhǔn),以保障法律的細(xì)化實施。
2.主權(quán)性與全球化的關(guān)系。數(shù)據(jù)安全法涉及的數(shù)據(jù)絕大部分處于高度全球化的網(wǎng)絡(luò)空間,各大互聯(lián)網(wǎng)巨頭的數(shù)據(jù)處理都是全球化的,而數(shù)據(jù)本身無論作為數(shù)字經(jīng)濟的要素還是國家安全的重要資源都具有強烈的主權(quán)屬性。我國必將成為全球最大的數(shù)據(jù)生產(chǎn)與消費國,因此必須具備域外執(zhí)法能力,同時也要有效限制境外的長臂管轄,這也是應(yīng)對全球數(shù)據(jù)競爭的需要。數(shù)據(jù)安全法賦予了我國司法機構(gòu)域外管轄權(quán),同時還加強了對向境外司法或執(zhí)法機構(gòu)提供數(shù)據(jù)的監(jiān)管,以封堵境外機構(gòu)的長臂管轄。在未來執(zhí)法實踐過程中,我國與美歐等發(fā)達國家在數(shù)據(jù)管轄權(quán)爭奪上必然是長期激烈博弈。
3.戰(zhàn)略打壓與反制的關(guān)系。與數(shù)據(jù)安全法同時頒布的反外國制裁法明確規(guī)定,外國以各種借口或者依據(jù)其本國法律對我國進行遏制、打壓,對我國公民、組織采取歧視性限制措施,干涉我國內(nèi)政的,我國有權(quán)采取相應(yīng)反制措施。同時數(shù)據(jù)安全法明確規(guī)定,任何國家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術(shù)等有關(guān)的投資、貿(mào)易等方面對中國采取歧視性的禁止、限制措施的,中國可以對該國家或者地區(qū)采取對等措施。這表明我國既堅持?jǐn)?shù)據(jù)自由流動,又對他國不正當(dāng)?shù)钠缫曅袨樽鞒隽擞辛Φ幕貞?yīng)。
4.信息基礎(chǔ)設(shè)施依賴與數(shù)據(jù)安全的關(guān)系。隨著云計算、大數(shù)據(jù)的快速普及,個人、企業(yè)、政務(wù)等各類系統(tǒng)開始日益依賴信息基礎(chǔ)設(shè)施,然而這些信息基礎(chǔ)設(shè)施大多由國內(nèi)外大型信息技術(shù)企業(yè)運營維護的。部署于這些信息基礎(chǔ)設(shè)施之上的系統(tǒng)及其數(shù)據(jù)控制權(quán)實際為這些大型企業(yè)所擁有。數(shù)據(jù)安全法規(guī)定,擁有國家機關(guān)數(shù)據(jù)控制權(quán)的企業(yè)必須履行數(shù)據(jù)保護義務(wù)。然而,目前對這些擁有國家機關(guān)數(shù)據(jù)控制權(quán)的企業(yè)很難進行有效監(jiān)督,也很難有效追究其數(shù)據(jù)泄露責(zé)任。因此,國家還需要進一步明確信息基礎(chǔ)設(shè)施運營者的數(shù)據(jù)安全責(zé)任,同時針對信息基礎(chǔ)設(shè)施運營者建立行之有效的數(shù)據(jù)安全監(jiān)管機制,以切實保障數(shù)據(jù)安全。
對保密工作的啟示
首先,可借鑒數(shù)據(jù)安全法統(tǒng)籌發(fā)展和安全的理念,在涉密的政務(wù)、軍工、科研等領(lǐng)域,引進和研發(fā)新型數(shù)據(jù)處理基礎(chǔ)設(shè)施,推動數(shù)據(jù)的高效利用與開發(fā),同時構(gòu)建新型安全保密技術(shù)體系,保障重要數(shù)據(jù)的安全保密。
其次,鑒于當(dāng)前在線數(shù)據(jù)處理全面采用云計算或大數(shù)據(jù)等信息基礎(chǔ)設(shè)施,傳統(tǒng)基于網(wǎng)絡(luò)和終端的監(jiān)管能力已力不從心,建議系統(tǒng)性構(gòu)建面向新型信息基礎(chǔ)設(shè)施的數(shù)據(jù)安全保密監(jiān)管體系,提升對網(wǎng)絡(luò)空間的安全保密監(jiān)管能力。
最后,隨著“一帶一路”倡議的推進,以及我國各個領(lǐng)域的全球影響力提升,我國涉密數(shù)據(jù)處理也必然要實現(xiàn)全球化布局,在這樣的格局下,域外數(shù)據(jù)處理的保密管理也需要從法律、法規(guī)到技術(shù)體系的有力支撐。
(轉(zhuǎn)載自《保密工作》雜志2021年第9期)