《数据安全法》今起施⾏!法案出台的背景和启⽰有哪些?
6⽉10⽇,⼗三届全国⼈⼤常委会第⼆⼗九次会议表决通过《中华⼈民共和国数据安全法》以下简称《数据安全法》),并于今⽇起正式施⾏。
其实,早在出台之前,《数据安全法》就已引起⼴泛关注,甚⾄在国际上也产⽣了重要影响。事实上,⾃《数据安全法(草案)》公布之后,⼀些域外的企业、机构就逐渐收回伸向中国数据的⼿。最近,⼀些热点事件引发的思考与讨论,把对《数据安全法》的关注度提升⾄新的⾼度。
吴沈括北京师范⼤学⽹络法治国际中⼼执⾏主任
法案出台的国内外背景
《数据安全法》共包含七章55条内容,是全球第⼀部以数据安全为名的统⼀⽴法,其出台本⾝有着⾮常深刻的国际和国内背景。
从国际环境来看,当前全球数字化博弈掀起新⼀轮浪潮:
• ⼀是数字经济的跨国发展、竞争⽇趋激烈。且相关竞争已扩散到经济活动的⽅⽅⾯⾯,覆盖范围从基础设施到⽣态应⽤。
• ⼆是围绕数据资源的国际争夺⼤幅延伸。从投资审查、出⼝管制到市场竞争等都有⾮常多的举措和⽴法动议。
• 三是针对数据安全的治理⼒度持续⾛强。新⼀代数据⽴法从2019年开始呈现出加速推出的趋势,从欧盟到美国,再到其他新兴市场国家围绕数据安全的规则博弈不断升级。
从国内的⾓度来看,⾃从进⼊⾼质量发展的新阶段之后,我国数字化转型全⾯提速,尤其今年作为“⼗四五”规划的开局之年,确实⾯临着新的产业⽣态和数字⽣态。以国家出台的各项举措为参照:
• 在政策层⾯,从2015年国务院《促进⼤数据发展⾏动纲要》到2021年国家“⼗四五”规划和2035年远景⽬标纲要来看,数字化转型已成为国家各项政策战略和⼤政⽅针的核⼼组成部分。
• 在数字经济层⾯,2020年5⽉13⽇,国家发展改⾰委员会发布“数字化转型伙伴⾏动”倡议,以及2020年6⽉300在中央全⾯深化改⾰委员会第⼗四次会议上,审议通过了《关于深化新⼀代信息技术与制造业融合发展的指导意见》。
• 在数字政府领域,从2019年4⽉26⽇《国务院关于在线政务服务的若⼲规定》,到2020年6⽉110,六部门关于印发《国家电⼦政务标准体系建设指南》的通知都表明,数字政府电⼦政务的建设进⼊了⼀个快车道。
可以说,数据活动的爆炸式发展深度重塑了当代的经济发展、社会治理和⼈民⽣活。数据安全也成为涉及国家安全和经济社会发展的⼀个重⼤问题。
基于以上国内外背景,《数据安全法》的起草制定考虑了四项因素:
• ⼀是数据作为国家基础性战略资源,事关国家主权、安全和发展利益,⽽且事关国际话语权;
• ⼆是数据活动的全⽅位融合拓展和复杂的数据处理活动,在培育新机遇的同时也伴⽣更⾼的安全风险;
• 三是以创新为主要引领和⽀撑的数字经济需要完善的数据安全治理体系予以保障;
• 四是数字政府或电⼦政务的升级也亟需政务数据安全管理制度和开放利⽤规则的全⾯⽀撑。
这些基本思路和考虑在法案不同章节的条⽂中都得到了细致的展开。
蕴含的数据安全逻辑
蕴含的数据安全逻辑
相对于国家安全和⽹络安全,数据安全是⼀个⽐较新的概念,它所体现的数据安全逻辑到底是什么?
可能从技术圈、法务圈等不同的⾓度,会有不同的观点。但从《数据安全法》的⽴法⽂本来看,有以下⼏点较为突出:
着眼国家利益的数据管理要求
《数据安全法》作为⽹络安全法姊妹法的⽴法定位,其第⼀条和第五条均体现了⾮常清晰的新阶段总体安全要求和思路变化,即强调发展是国家利益,安全也是国家利益。这种观念在新的国际国内环境中具有重要意义。
强调全⾯的安全⽣态建设
法案第四条、第七条和第⼗三条均要求权益的平衡,在不同场景中实现数据要素的安全保障与流动利⽤的动态协调。这是贯穿《数据安全法》各个条⽂的⼀个⾮常重要的逻辑。
数据收集有限度的数据安全全球管辖机制
这与现阶段我国⽴法的基本态度强相关,即⽐较注重中国法律的域外适⽤问题。
例如,2020年全国⼈⼤常委会法制⼯作委员会在⼀份公开的⽂件中讲到要加强研究中国法律的域外适⽤问题。这⼀新的态度变化实际上导致了我国制度设计以及合规风控整体思路的升级和变化。
根据条⽂设计,数据安全法对境内主体侧重于属地原则的要求,⽽对于主体则侧重于保护原则的要求。这⼀个特殊思路和⽬前的个⼈信息保护法⼆审稿有所不同。
数据安全不⽌于个⼈信息保护
从第五⼗三条的条⽂可以看出,《数据安全法》覆盖了个⼈数据和⾮个⼈数据,并且以⾮个⼈数据为重。世界各国虽然没有数据安全相关单独⽴法,但超过66个国家或地区已有涉及数据安全的特殊条⽂。
数据安全法的条⽂内容从安全审查、出⼝管制到贸易制裁等的五个层次,对标了世界各国个⼈信息相关法案以外,与数据安全相关的所有⽴法。
喻⽰的合规风控体系
基于以上制度设计和安全逻辑解读,可以更好地理解《数据安全法》所喻⽰的合规风控体系和思路,把握其所提供的⼀整套新的有助于数据安全的合规风控机制建设的⽅法论。
外部⼯具的利⽤
《数据安全法》不仅是⼀部监管性⽴法,也是⼀部⽀撑型⽴法。其在国家层⾯通过制度设计,在外部为国家和社会提供诸多有益的制度⽀撑。
突出反映在法案第三章有关数据安全制度的条⽂设计,明确了国家层⾯与数据安全有关的各项制度指引,构成了核⼼外部资源。这也是各界都特别关注的后续制度细化部分:
1.数据分类分级保护制度(第⼆⼗⼀条)。关于分级分类,数据安全法的⼆审稿有了⼀个变化,采⽤的是分类分级,这其实是⽅法论的改变。
2.数据安全风险管理制度和数据安全应急处置机制(第⼆⼗⼆、⼆⼗三条)。
3.数据安全审查制度(第⼆⼗四条)。我曾预⾔数据安全的审查制度⼤概率会沿续⽹络安全,即2020年6⽉1⽇正式施⾏的《⽹络安全审查办法》的制度框架来推进。
从7⽉10号《⽹络安全审查办法(修订草案征求意见稿)》来看,也确实如此,⽹络安全审查的⼀个内涵覆盖数据安全
从7⽉10号《⽹络安全审查办法(修订草案征求意见稿)》来看,也确实如此,⽹络安全审查的⼀个内涵覆盖数据安全的基本要求。这既是对于数据安全法落地的⽀撑,也丰富了数据安全观。
4.管制物项数据出⼝管制制度(第⼆⼗五条)。根据我们的研究,⽬前全球范围内⾄少有超过30个国家有涉及数据出⼝管制的间接条⽂。所谓间接条⽂,是指虽然没有明确表⽰要管制数据出⼝,但其实质效果和我国的出⼝管制法相似,例如美国的受控⾮密信息管理制度等。
5.数据安全国际对等机制(第⼆⼗六条)。在《⽹络安全审查办法(修订草案征求意见稿)》中和7⽉6⽇发布的《关于依法严厉打击证券违法活动的意见》中均有“国际对等”的体现。这表明了我国“⼗四五”阶段和“⼗三五”阶段在⽴法层⾯的特⾊切换。
内部机制的建设
《数据安全法》为法律合规体系的内部机制建设提供了两个有益的思考路径:
理念更新
1.安全思维的转变,从以往关于数据的CRA三性要求(机密性、完整性、可⽤性),到现在结合国际与国内的⽴法实践,在数据安全法中突出了合法设计、伦理设计和安全设计融合。
2.风控策略的设定,强调了双维度预案,⼀⽅⾯是全⾯遵循法律免受处罚;另⼀⽅⾯也需要基于⽣态建设的⾓度,积极运⽤法律来惩治不法。
3.核⼼权益的维护,包括法律⼯具的体系化综合运⽤和充分利⽤法律所赋予的正当化机制。如何在各单位的运⾏过程中,运⽤好相关法律⼯具,其实是⼀个新的课题。
4.关键风险的管控,尤其是通过有效的定岗定责和定岗定⼈来实现“责任阻断机制”的建设。
机制设计
1.技术层⾯的安全,例如建⽴有效的数据风险监测与处置机制。
2.组织管理的安全。包括建⽴强调合法、正当和必要性论证的全⽣命周期数据安全管理制度,以及⾯对国内外执法机关的数据协助、配合、报告与批准机制和数据安全教育培训等。
3.内容价值的安全。《数据安全法》与《⽹络安全法》的⼀个不同之处是其涵盖了数据、数据技术和数据应⽤的内部伦理审查机制问题,这⼜是⼀项新的⽴法变化。
《数据安全法》的出台是符合全球数据治理⼤趋势的,同时其也是从中国的实际出发,具有中国特⾊的。中国数据安全治理⼯作在《数据安全法》的统领下将进⼊⼀个新阶段。接下来应持续调研国内数据使⽤情况,针对⽬前如⾦融、汽车、医疗等⾏业数据收集使⽤,⾼校刷脸、监控的使⽤,疫情防控健康码的使⽤等各⾏业各领域的实践不断细化相关规则,不断丰富《数据安全法》相关配套的司法解释、法规、规章。也应时刻保持对海外政策前沿的追踪,把握数据治理⼤趋势,使中国的数据治理与世界接轨。
*本⽂根据北京师范⼤学⽹络法治国际中⼼执⾏主任吴沈括在中国互联⽹⼤会“数据安全论坛”上报告整理
整理、责编:郑艺龙
投稿、转载或合作,请联系:******************
往期推荐
●我国⽹络安全法律法规体系框架
●教育⽹安全观察⼁为数据安全治理做好准备
看完了,点个赞呗~
看完了,点个赞呗~
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论