谢炳光法学硕士,高级律师。擅长金融、证券、企业改制上市等综合类案件,北京市华联律师事务所原主任,兼任中国国际贸易仲裁委员会与中国国际商会调解员,中华全国律师协会刑事委员会委员,北京法学会经济会理事,北京仲裁委员会仲裁员。
顾雷法学博士,北京大学普惠金融与法律监管研究基地副主任,中关村网金院数字金融与监管科技研究中心主任,硕士生导师。近年来主要研究数字普惠金融、金融监管、金融消费者权益保护问题,有《中国普惠金融创新业务与监管初探》《中国普惠金融数字化转型与合规发展》等个人专著9部。
意义与亮点
《金融时报》记者:作为一部专门规范数据安全的法律,《数据安全法》的实施对于金融市场发展有哪些作用?
顾雷:一是《数据安全法》在法律上明确了“数据”定义,这在我国立法上还是头一次。在《数据安全法》出台之前,虽然有关“数据”“数据库”以及“数据安全”提法已经在一些法律、法规及规章中有所体现,比如,《民法典》第五章“民事权利”认为“数据”属于民事权利的一种类型,《网络安全法》则将“数据”视为一种资源形态,更多强调“网络数据”概念。但是,无论是《民法典》还是《网络安全法》提及的“数据”都是一种民事权利的客体,核心表征已不再只是单纯的一种权利,而是由不同权利集合而成的权益集合,主要包括个人数据权益和企业数据权益,并不涉及数据本身和信息记录本身的法律含义。
显然,在《数据安全法》出台前,法律意义上“数据”到底是什么,我国立法上并没有统一的权威定义。《数据安全法》第三条首次明确界定了“数据”概念,是指任何以电子或者其他方式对信息的记录。也就是说,法律意义上的数据是指“对信息的记录”,形式上可以是电子形式,也可以是其他形式。按照这个界定,数据不仅指狭义上的数字,也可以是具有一定意义的文字、字母、数字符号的组合、图形、视频、图像、音频等,还可以是客观事物的数量、属性、位置及其相互关系的抽象表示。比如,我们日常生活中形成的类似聊天记录、通话记录、邮件记录以及发言记录等,都可以算在个人数据范畴。
三是按照数据重要性确立数据分级分类管理制度。不同于《网络安全法》规定由网络运营者自行采取数据分类的措施,《数据安全法》第二十一条规定由“国家建立数据分类分级保护制度”。显然,《数据安全法》将数据分类分级保护制度上升到了国家层面,成为国家级网络安全保护领域的法律制度,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,就由主管部门对数据实行分类分级保护。
《数据安全法》建立国家级数据分类分级保护制度,瞄准了当前我国数据安全治理的痛点,强调对国家安全、国民经济命脉、民生、公共利益等数据属于国家核心数据实施重点保护,从源头上明确哪些数据属于重点保护,哪些数据可以有条件或者免费向公众开放,有利于对重要数据的科学化管理。
四是专门对“数字鸿沟”问题进行了调整。近年来,随着公共服务数字化发展,老年人、残疾人数字化需求被忽略的问题逐渐浮现出来。为此,《数据安全法》首次在“数据安全与发展”章节中新增了针对老年人、残疾人“数字鸿沟”问题的条款,第十五条规定“国家支持开发利用数据提升公共服务的智能化水平,提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍”。显然,《数据安全法》从立法上力图弥补老年人、残疾人对智能化产品和服务的使用体验不足问题,促进数据资源合理利用。
五是特别规定了重要数据出境限制性条款。《数据安全法》加强了向境外司法或执法机构提供存储于中国境内数据的监管规定,《数据安全法》第三十六条规定“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”。与过去相类似的法规相比,《数据安全法》扩大了向境外提供数据的监管适用情形,即只要向中国境外的司法或者执法机构提供存储于中国境内的数据,均归属于我国法律管辖,擅自提供数据者必须追究法律责任。显然,《数据安全法》加强了对跨境数据管理的监管力度,强调数据处理者未经允许不得向其提供境内存储的数据的要求,防止数据出境可能造成的安全风险,有助于更好封堵境外机构的“长臂管辖”,对我国金融行业稳健运行提供了制度性保障。对于当今国际环境来说,这一条规定尤为及时和重要。
六是强调了政务数据在数字化转型中的重要作用,并就政务数据开发做出明确指示。比如,《数据安全法》第十四条要求省级以上人民政府应当将发展数字经济纳入本级国民经济和社会发展规划,加强数据开放共享的保障措施,建立互联互通、安全可控的机制,利用数据技术促进本地社会经济发展。
七是明确了数据处理活动不应排除、限制市场正当竞争。《数据安全法》第五十一条规定窃取或者以其他非法方式获取数据,从事数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。这一规定将数据处理活动与《反不正当竞争法》《反垄断法》融合起来了,体现了我国对数据市场公平监管的思路,禁止经营者在其经营活动中排除、限制市场竞争行为,诸如经营者通过数据、算法实质上达成协调一致的行为(即垄断协议),经营者通过平台规则、算法、数据、技术等实际设置限制限定交易(即滥用市场支配地位限定交易),基于大数据、信用信息控制交易对象支付能力、消费偏好、使用习惯等以及实行差异性交易价格或者其他交易条件等。从长远看,《数据安全法》有关禁止数据处理活动限制竞争的规定,可以增强在市场或国际竞争中自身竞争力,彰显出市场竞争公平、公正的法治精神。
八是注重数据安全监管的工作协调与统筹机制。《数据安全法》第五条新增了由中央国家安全领导机构“统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制”的表述,明确由中央国家安全领导机构负责数据安全工作的决策和协调、国家网信部门统筹网络数据安全监管工作,由工业、电信、金融、自然资源、卫生健康、教育、交通、科技等主管部门承担本行业、本领域的数据安全监管职责,由公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责,实行全国统筹协调下的行业数据安全监管机制,有助于促进数据依法、高效利用,发挥数据的基础资源统筹作用和协调作用。
促进与规范
《金融时报》记者:《数据安全法》实施后,国内数据行业有了新的准入门槛和行为准则。您认为该法是如何促进数据应用和交易规范化的?
谢炳光:从法律角度看,首先促进了数据应用规范化,不仅为企业运营数据业务设立了新门槛,划定了数据应用边界,也为国内数据应用行业和市场提供了新的行为准则,要求在数据收集、管理、应用方面做到合规、合法,制约了数据的非法采集和滥用,让数据真正成为数字经济发展的健康血液。
其次,加强了数据交易规范化。随着数据应用水平逐步提高,数据市场化交易、流通需求迅速扩大,数据资产化是近年来行业中的热点话题。然而,由于数据交易过程缺乏法律法规,数据交易机制尚不完善,中介服务商经营行为也不尽规范,直接引发大量损害消费者及企业利益的违规数据交易行为。这次《数据安全法》将数据中介服务商纳入规范范畴,提出规范数据交易行为和程序,制定了中介服务商的问责制度,解决了长期以来我国数据交易市场缺乏具体的管理制度的局面。
再次,强调了安全防护常态化。数字经济加速各行各业发展的同时,带来了一些数据安全问题。在过去十年中,造成的损失小到工程停产、设备损坏,大到核设施停摆、能源运输部分瘫痪等安全事件不胜枚举。《数据安全法》的出台,使数据安全保护有法可依,对威胁数据安全的不法分子起到了震慑作用。
最后,明确了法律责任具体化。《数据安全法》明确了数据管理者和运营者(企业)在保护数据安全方面的保护责任,消除数据管理者和运营者在数据安全建设中的盲区,对企业数据安全建设提出了要求,在整个企业的数字化安全防护方面的投入也将有所扩大,试图让数据安全建设有法可依,数据安全事故造成的损失有法可惩。这表明数据管理者和运营者(企业)数据安全防护将逐步常态化,一定程度上加速了国内数字化安全防护产业发展,对保护公民、组织的合法权益也具有很大价值。
完善与建议
《金融时报》记者:《数据安全法》公布以来已经施行两年有余,不断引发业内热议的同时也有修改和补充的呼声,您对此有何个人看法?
顾雷:《数据安全法》总体上是比较完整与合理的,两年多的实践也证明收效是显著的,得到了市场的普遍认可,但也存在一些可以改进之处,主要有以下几个方面:
第一,《数据安全法》“宜粗不宜细”的立法风格,使得该法不少规定过于原则,在落地实施时存在一定障碍。比如,《数据安全法》虽然提出数据分类分级保护、重要数据目录管理、重要数据出境安全管理等要求,但如何实施细致规定并没有及时跟进,导致有些条款不具备操作性,影响数据处理者履行数据安全保护义务。未来,应当尽快推进配套行政法规、部门规章等明确前述制度的具体内容和要求,有赖于配套行政法规、部门规章、国家标准等予以细化,为数据处理者提供具体行为指引。
第三,《数据安全法》数据交易管理制度有待进一步明确交易边界和权利范围。数据交易是极为关键环节,虽然《数据安全法》第十九条明确提出国家要健全数据交易管理制度,规范数据交易行为,培育数据交易市场。第三十三条又规定了从事数据交易中介服务的机构的法定义务,第四十七条还规定了违反法定义务要承担的法律责任。但是,由于法理上和法律上均无法清晰界定数据交易边界和权利范围,可能会影响到数据交易的全面展开。比如,在很多情况下自由贸易区、自由贸易港等试验区数据交易管理是使用国外数据交易规则,与《数据安全法》在数据交易管理制度上是否完全适用?是否可以制定特别行政区域数据交易管理办法?抑或可以行政法规形式对数据交易制度做出一些修改从而解决在自由贸易区、自由贸易港等试验区数据交易法条竞合问题?
最后,《数据安全法》存在与《刑法》罪责不相适应、量刑不相协调之处。如前所述,《数据安全法》对国家安全、公共安全或者个人组织合法权益造成的危害程度的不同,对数据实行分级分类保护。但是,我国现行刑事立法与刑事司法方面均没有根据数据类别与级别设置不同的入罪量刑条款,更谈不上入罪量刑的判断标准。
趋势与挑战
《金融时报》记者:我国金融数据发展到今天,已经进入3.0时代。对于金融数据治理,未来还存在哪些挑战?
顾雷:目前,我国数据安全治理挑战依然严峻,主要存在以下几大方面:
第二,从国内小环境看,新一代信息技术催生了大批中国科技企业,一部分企业掌握着海量的用户敏感数据,在国际资本市场中开展跨国业务,日益频繁的跨境流动带来了潜在的国家数据安全和公共利益安全隐患。例如,2021年7月2日国家网信办依据《网络安全法》第九条,对“滴滴出行”启动网络安全调查程序,指出“滴滴出行”泄露地理位置信息到境外,存在涉嫌威胁国家安全的嫌疑。显然,如果国家重要生产要素和战略资源被外国政府、机构或企业获取利用,将导致我国战略目标易被预测,这将使得我国以数据为驱动的新兴技术领域竞争优势被削弱,并陷入长期被动。
第三,从数据市场看,数据贩卖已成为大数据产业的灰色地带,个人信息倒卖黑市猖獗,对个人人身、财产、生命安全造成了极大危害,诸如外部攻击者利用爬虫技术窃取个人数据,不法平台实施暗箱操作,倒卖个人数据进行商业变现,政务、医疗及生物识别信息等高价值特殊敏感数据正逐渐成为数据泄露的重灾区。有学者专门统计显示,2017年我国数据黑市黑产人员规模就已经多达150万人。未来这个数字可能更加庞大,我们面临的数据安全防控形势不容乐观。
最后,从企业内部看,越来越多互联网平台或科技企业在商业推广、精准营销、产品迭代等方面依赖对数据海量收集利用,数据已经成为很多平台企业追逐的商业目标,由此也引发了对个人、机构甚至国家信息滥采滥用,数据垄断、屏蔽或造假乱象频发,带来了数据安全使用和规范管理的更多不确定性。
我们建议,未来我国数据安全治理需要做好以下几方面工作:
一是全面加强数据安全监督管理,探索建立中央和地方分类监管、分级负责、权责一致的数据安全监管格局,积极开展以部门协同远程监管、移动监管、跨部门防控、跨地区联合预警等为特征的非现场监管,探索数据关联分析、监管方法创新,提升跨部门综合监管智能化水平,将可能的风险点纳入监管范围,以适应全国各地复杂多变的数据活动场景,快速有效处置各地数据安全问题。
二是建立平台企业数据业务治理机制,压实平台企业数据主体的管理责任,建立事后追责机制,引导企业建立健全内部管控机制,克服“重发展、轻安全”倾向,进一步完善数据开放、数据保护、数据流动的业务规则。比如,构建个人信息数据“使用者责任”指标,加强个人信息数据使用过程的动态风险控制,加大对违反数据保护规则的行为查处和处罚力度,强调不合理数据使用的事后规制,保障数据合法收集合规使用。
三是推动数据安全产业发展,鼓励数据安全保护技术研究,进一步推动数据安全科研与市场产品融合推广,培育数据安全培训、测评、认证等公共服务,尤其是加强对数据垄断治理,对“大数据杀熟”、垄断消费者、垄断产品、垄断价格进行精准认定,提高平台企业数据垄断识别能力,实现数据之间相互隔离、数据人员相互隔离,建立防火墙,增强平台企业数据处理规则的公平性,构建全方位数据安全保护生态体系。