《数据安全法》作为数据安全领域最高位阶的专门法,与2017年6月1日起施行的《网络安全法》共同完善了《国家安全法》框架下的安全治理法律体系。《数据安全法》基于总体国家安全观,将数据主权纳入国家主权范畴,并进一步将数据要素的发展与安全统筹起来,为我国的数字化转型,构建数字经济、数字政府、数字社会提供法治保障。
《数据安全法》第一条和第四条提出保障数据安全应坚持总体国家安全观,要维护国家主权、安全和发展利益。第二条则进一步明确了法律条款的适用范围。值得注意的是,在我国境外从事有损中华人民共和国国家安全的数据处理活动也将以本法为依据追究责任。第十七条提出将从国家层面推进数据安全标准体系的建设,正式将数据安全提升至国家安全高度。
二、制度维度:消除灰色地带,形成制约机制
1.明确数据安全监管制约职责
《数据安全法》从数据全场景构建数据全监管体系,延续了《网络安全法》生效以来的“一轴两翼多级”的监管体系。“一轴”指国家安全机关,两翼指公安机关和网信部门,多级在行业横向范围主要体现在工业、电信、交通、金融等行业主管部门的共同参与,在行政架构方面主要体现在各地区、各部门对工作中收集和产生的数据进行安全管理上。如第五条提出由中央国家安全领导机构作为主管部门对本行业、本领域的数据安全监管职责;第六条明确国家安全机关、公安机关在职权范围内承担的数据安全监管职责;明确各地区、各部门的主体责任,以全面的数据监管制度和切实可行的数据保护操作规范,落实数据安全保护责任,推动数据安全发展;第十四条提出省级以上人民政府应将数字经济发展纳入本级国民经济和社会发展规划中,并按需要制定数字经济发展规划。
2.完善数据分类分级保护制度
3.全局覆盖数据安全风险评估机制
第二十二条提出要建立数据安全风险评估机制,从源头预警数据安全风险,建立了全场景、集中统一的风险评估、报告、信息共享、检测预警机制,充分识别对经济社会发展产生影响的内外部潜在因素。第二十三条提出在风险识别基础上确立数据安全应急处置机制,对已知安全风险及时进行应急处置。高效权威的数据安全风险评估机制能够最大限度降低数据安全风险,而具体机制体制的主管机构、适用范围、评估审查模式等配套制度也有望在后期逐步推出。
4.健全数据交易管理制度
5.建立安全审查制度
6.实施数据出口管制
7.推行行业牌照管理制度
8.政府率先落实数据安全保护责任
政务数据安全与开发作为《数据安全法》的独立章节,要求我国政府在落实数据安全保护责任的同时,推动政务数据开放利用。《数据安全法》针对政务数据开发利用作出了明确的指示,第三十七条提出要大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。第四十一条提出,除依法不予公开的数据外,国家机关要按照规定及时、准确地公开政务数据。第四十二条提出要制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
同时,《数据安全法》也对政府的数据保护做出了明文规定。其中,第三十八条要求国家机关对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密。而第四十条要求国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。根据该条款,国家机关可以委托第三方开发电子政务系统,但必须建立严格的审批流程。
此外,第四十三条还将具有管理公共事务职能的组织纳入到本章规定范围中。可以预见,未来科研院所、行业协会以及认证、评估等专业机构的数据安全管理也将建立规范的审批程序。
9.强化违法行为处罚力度
《数据安全法》通过加大处罚力度,丰富处罚种类,对违法主体加以规制,以更高违法代价改善立法漏洞和数据活动主体的侥幸心理,促使其以良好的内部合规体系进行自我规制。
三是将擅自向境外执法/司法机构提供数据的处罚提高至最高五百万元,对个人的处罚最高至五十万元(第四十八条)。
三、发展维度:数据安全与开发利用并重
数据安全作为数据要素的基础和保障,涉及国家经济社会发展的全领域、全过程。《数据安全法》规定的数据安全保护责任和数据开发利用活动的全流程,数据伴随着实际业务和应用,在不同载体间流动和留存,贯穿信息化和业务系统的各层面、各环节,这对数据安全防护提出了更高的要求。可以预见,这将是一个复杂的系统工程,前提是将安全能力和举措深入到应用和业务中,与系统、应用和业务的每个层级全面覆盖和深度结合,才能建成体系,实现数据行级别、列级别、单元级别的精准防护。