2021年6月10日,第十三届全国人大常委会第二十九次会议审议后通过了《中华人民共和国数据安全法》(以下简称“《数安法》”)。《数安法》将于2021年9月1日起正式施行1。
《数安法》出台后将成为以《国家安全法》为代表的国家安全法律体系的重要组成部分,也将与《网络安全法》及目前已经二次审议的《个人信息保护法》一起组成信息领域更加完整的基础性法律体系。
《数安法》的重点内容总结如下。
一、适用范围
《数安法》规定,在中华共和国境内开展的数据处理活动及其安全监管,适用本法。在域外适用上,进一步规定,在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。(第二条)
《数安法》进一步规定,“数据”是指任何以电子或者其他方式对信息的记录;而“数据处理”包括数据的收集、存储、使用、加工、传输、提供、公开。
《数安法》规定,数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。(第三条)从整个《数安法》的内容来看,此处的数据安全既包含宏观国家安全层面、亦包括组织与个人落实数据安全措施的微观层面。
二、《数安法》与网络、安全法律体系的衔接
数据安全要素是国家安全、网络安全的重要组成部分。
《国家安全法》原则性规定,国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现……数据的安全可控(第二十五条)。
三、数据安全与发展并行的原则
《数安法》在总则之中首先明确了国家保护公民、组织与数据有关的权益,鼓励数据合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展(第七条)。
四、数据安全执法主体及工作职责
《数安法》第五条、第六条明确了数据安全的监管与不同执法单位的工作职责。《数安法》规定中央国家安全领导机构承担国家数据安全工作的决策与议事协调作用,并研究制定、指导实施国家数据安全战略和重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。“国家数据安全工作协调机制”是《数安法》正式稿中首次提出,其负责“统筹协调有关部门制定重要数据目录”(第二十一条)、“统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作”(第二十二条)。此外,根据第七条规定:
五、数据安全的基本制度体系
作为数据安全领域的基本法律,《数安法》第三章创设了一系列数据领域的基本制度,构建我国数据安全制度的基本框架,为未来数据安全制度体系的发展与完善奠定基础。这些新的基本制度包括:
1.数据分级分类保护、重要数据保护制度及国家核心数据保护制度
《数安法》对于重要数据的处理提出了特别的要求:(1)重要数据的处理者应设立数据安全负责人和管理机构(第二十七条);(2)重要数据处理者应定期对数据处理活动开展风险评估,并向有关主管部门报送风险评估报告,评估报告应包含所处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等(第三十条)。
《数安法》第三十一条明确提出,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。可见,对于关键信息基础设施运营者而言,重要数据的出境依然沿袭《网络安全法》第三十七条的规定,本地存储为原则,出境须经过安全评估;而对于其他数据处理者,其收集和产生的重要数据也将有专门的重要数据出境安全管理办法予以规制。目前该办法尚未出台,因此,一般的数据处理者的重要数据出境仍有待立法的进一步明确和澄清。
2.数据安全风险管控制度
3.数据安全应急处置机制
国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息(第二十三条)。此规定如何与《突发事件应对法》等现有法规的衔接需进一步观察。
4.数据安全审查制度
国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。(第二十四条)。
5.数据出口管制制度
6.歧视性措施反制机制
对在数据和数据开发利用技术等有关投资、贸易方面对我国采取歧视性的禁止、限制或者类似措施的,我国可以根据实际情况采取对等措施(第二十六条)。
六、数据安全保护义务
《数安法》第四章规定了单位及个人在国家数据安全保护体系下应遵守的各项义务,这些基本义务包括:
七、政务数据的开放与安全要求
在我国电子政府稳步推进的大背景下,政务数据的安全保护刻不容缓,一方面需要不断推进政务数据的透明开放,提升社会治理水平;一方面政务数据因其特殊性,同样关系到国家安全一旦被滥用或非法泄露,也会对国家和社会产生危害。在此背景下,《数安法》第五章对政务数据的安全与开放做出了明确要求。包括国家机关应在法定职责范围内从事数据活动、应建立健全数据安全管理制度、及时准确公开政务数据、建设安全可控的政务数据开放平台等。
八、违反数据安全义务的法律责任
九、我们的观察
《数安法》作为我国第一部有关数据安全的专门法律,为我国数据安全治理体系建立了立法基础及制度框架,确立了数据安全保护和基本思路和大致方针。
考虑到《数安法》所涉及领域的广泛性、复杂性,在《数安法》原则规定的基础上,其如何与现有《网络安全法》、正在起草的《个人信息保护法》等法律及其配套规定的衔接,如何相应配套设计、落地各项具体的数据安全制度,如何在数据安全的前提下、实现数字经济的稳步有序发展,都是巨大的挑战、也可以预见未来实践之中的诸多议题。
数据活动对于企业的经营、城市的发展、政务的推进,尤其是在大数据、人工智能、云计算、区块链等新型科技领域和数字经济领域不断快速发展的大背景下至关重要。《网络安全法》于2017年生效后,为企业的数据活动已提出了新的合规框架。但规制主要集中于个人信息与重要数据领域,尚未进行统一的数据安全立法,且对于重要数据领域的法律和执法框架也一直仍在探索和形成。
《数安法》的出台无疑将为各类企事业单位、以及政务过程之中合法、安全的利用、处理数据提供基本的法律依据与参考,将进一步促进内外部的数据安全合规工作、落实各项数据安全义务。