《中華人民共和國數據安全法》(以下簡稱《數安法》)於2021年6月10日經全國人大常委會第二十九次會議通過,定於2021年9月1日起施行。《數安法》是我國數據安全領域的首部、也是基礎性法律。全文七章共55條,包括:總則、數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放、法律責任和附則。本文從《數安法》的立法背景、治理體系、數據跨境、分類分級、法律責任等幾個主要方面進行解讀。
一、立法背景
平衡數據“發展”與“安全”之間的關系是貫徹《數安法》全文的主要基調。數據的開發利用是數字經濟發展的引擎,而數據安全事件又會給個人、社會、乃至國家安全帶來威脅和挑戰。
1.數據是數字時代的“石油”
根據中國信通院發布的《全球數字經濟新圖景(2020年)》,全球數字經濟體量連年增長,在國民經濟中佔據核心地位,47個國家數字經濟總規模超過31.8萬億美元,佔GDP比重高達41.5%。
數字經濟發展的關鍵要素是數據,2020年3月30日《中共中央、國務院關於構建更加完善的要素市場優化配置體制機制的意見》明確提出了數據成為土地、資本、勞動力及技術之外的第五大基本市場要素。《民法典》首次將數據和網絡虛擬財產納入保護范圍,賦予數據一定的財產屬性。
2.數據安全問題帶來新挑戰
大數據帶來了萬物互聯,而頻頻引發的各類數據安全事件也接踵而至。其所侵害的對象已經從傳統的個人隱私、企業權益擴展至政治安全、軍事安全等國家安全領域。例如,2018年臉書公司(Facebook)5000萬用戶信息被泄露,被“劍橋分析”盜取用於大數據分析,在某種程度上影響了美國總統大選。
2014年2月27日,習近平在中央網絡安全和信息化領導小組第一次會議上的講話中指出,“沒有網絡安全就沒有國家安全”。2016年出台的《網絡安全法》作為《國家安全法》的下位法,其更側重於保護計算機信息系統安全,對於數據安全這一新型的、獨立的保護客體著墨不多。另一方面,近年來行業數據安全問題日益顯現,引起廣泛社會關注。隨著相關行業標准、規章相繼完備,呼吁著數據安全領域的上位法的出台。從2019年的《數據安全管理辦法(征求意見稿)》,到2020年和2021年的《金融數據安全分級指南》、《健康醫療數據安全指南》、《快遞物流服務數據安全指南(征求意見稿)》、《網絡預約汽車服務數據安全指南(征求意見稿)》等,直至2021年5月的《汽車數據安全管理若干規定(征求意見稿)》都是例証。
二、治理體系
在數據安全治理方面,《數安法》構建了“一個頂點、多維度配合、全社會參與”的協同體系。
“一個頂點”即中央國家安全領導機構,負責全國的數據安全工作決策和議事協調,研究制定、指導實施國家數據安全戰略和重大方針政策,統籌協調國家數據安全的重大事項和重要工作。
“多維度配合”指在中央國家安全領導機構的領導或指導下,各地區、各行業主管部門,線上與線下的全方位、交叉配合進行監管,具體包括:工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門負責本行業、本領域內監管﹔公安機關、國家安全機關負責在職責范圍內進行監管﹔國家網信部門負責網絡數據安全方面的監管﹔各地區、各部門負責各自工作中收集和產生的數據及數據安全。
“全社會參與”指以上監管機構之外,《數安法》還賦予多個主體相應職責,鼓勵全社會從不同維度參與數據安全工作,包括制定數字經濟發展規劃、制定相關標准、開展風險評估、制定數據安全行為規范和團體標准等。涉及十余個主體,主要包括:省級以上人民政府、國務院標准化行政主管部門、重要數據處理者、行業組織、科研機構、企業、個人、數據交易中介機構、在線數據處理機構、公共事務管理機構等。
數據安全治理體系結構圖如下:
三、數據的分類分級保護
眾所周知,個人信息和重要數據是我國現階段數據保護的重點。而重要數據的概念界定和認定機制一直以來是立法工作的難點,雖然《網絡安全法》擬通過關鍵信息基礎設施保護重要數據,但相關配套制度仍未出台。
《數安法》第21條規定國家建立數據分類分級保護制度,並提出了分類分級的概括性標准。與之前草案相比,本條不僅明確了重要數據目錄的制定主體,即國家數據安全工作協調機制統籌協調有關部門,還在重要數據概念基礎上首次提出一個數據類別,即國家核心數據。至於重要數據更細顆粒度的具體目錄則留給各地區、各部門根據數據分類分級保護制度自行確定。
國家數據安全工作協調機制作為《數安法》的一項重要制度創新,旨在針對一方面數據場景極具多樣性和專業性,而另一方面數據監管需要大量跨部門協調這一特點,完善了數據安全監管框架設計。重要數據保護制度的建立和不斷完善,在國家數據安全工作協調機制的推動下值得期待。
四、數據跨境的“矛”與“盾”
由於經濟全球化和互聯網的天然屬性,數據在不同國家和地區之間大規模、高頻率的流動,數據全球化成為推動全球經濟發展的重要力量。在地緣政治方面,美國“棱鏡門”事件推動了各國政府將數據跨境流動與國家安全、國家主權等政策逐漸挂鉤,加劇了世界各國在網絡空間的戰略博弈和數據資源爭奪。在這方面,《數安法》構建了我國數據跨境流動的“矛”與“盾”。
1.域外追責及反制威懾 -- 跨境數據安全之“矛”
《數安法》在總則第2條中依據保護管轄原則,規定數據活動無論在境內還是境外,隻要損害我國國家安全、他人合法權益的,就要依法追究法律責任。該規定賦予了《數安法》域外適用效力。
依據國際法的對等原則,《數安法》第26條就國外採取與數據投資、貿易相關的歧視性措施時,賦予我國採取反制措施的權利。可以說是在數據安全“守”勢的基礎上保留了反擊的主動權。
2.規范數據跨境流動 -- 跨境數據安全之“盾”
《數安法》第11條表明我國對數據跨境流動的基本態度,即在確保數據安全的前提下,促進跨境自由流動,積極開展數據安全治理、數據開發利用等領域的國際交流與合作、參與國際規則和標准的制定。在數據出境方面,《數安法》第31條雖僅簡單指向《網絡安全法》和待制定的出境安全管理辦法,但可以推斷安全評估制度將在數據出境管理方面擔任起“安全閥”的重要作用。在數據入境方面,很多國家為了爭奪數據資源也已經開展了積極的多邊或雙邊談判,謀求建立符合其利益的全球數據流動圈,例如歐盟GDPR項下的“充分性”認定名單、美國推動的《美墨加貿易協議》(USMCA)、亞太經合作組織(APEC)的“跨境隱私規則”(CBPR)等。而2020年簽署的《區域全面經濟伙伴關系協定》(RCEP)則是我國打造自己的數據跨境流動“朋友圈”的一個良好開端。
《數安法》第25條提出數據出口管制概念,即國家對與履行國際義務和維護國家安全相關的屬於管制物項的數據依法實施出口管制。這與《出口管制法》物項定義中包括“相關的技術資料等數據”遙相呼應,其目的類似美國的《2018年出口管制法》和《出口管制條例》(EAR)項下對科技數據的出境限制。
《數安法》第36條提出了境外司法或執法機構調取數據的報告批准制度。該制度實際上是回應了近年來很多國家,包括美國《澄清境外數據合法使用法案》(Cloud Act)在內,不斷擴大跨境數據調取權利的立法趨勢,為我國數據安全提供了一定保障。需要注意本條款雖然在字面上均可歸入數據出境范圍,但是與上文第31條中規范的數據出境活動不同。本法第36條涉及的境外數據接收者是境外司法或執法機構,其活動涉及中國國家主權。事實上,本條款較之前草案增加的表述與《民事訴訟法》第276條“司法協助”條款相互銜接呼應,印証了其應當適用更嚴格出境限制的必要性。
五、責與罰相適應的法律責任
《數安法》第六章法律責任與之前草案相比,整體上並非簡單的加重處罰,而是對處罰幅度進行了調度,注重責與罰相適應,具體體現在:(1)降低違反相關數據安全保護義務的處罰上限﹔(2)明確對違反國家核心數據管理制度,危害國家主權、安全和發展利益的嚴厲處罰﹔(3)增加對違反相關規定,向境外提供重要數據行為的相關處罰﹔(4)對違反相關規定,拒不配合數據調取的行為,降低對直接負責的主管人員和其他直接責任人員的處罰力度,但增加了造成嚴重后果的處罰的相關規定。
《數安法》規定的合規義務及其對應的罰則如下表:
六、結語
當前國際形勢復雜多變,特別是新冠疫情給世界主要經濟體造成巨大沖擊,全球面臨經濟大衰退。然而,數字經濟以其高融合、高技術、高增長等特性,將成為我國經濟發展的新引擎。數字經濟的要素是數據,數據也是國家基礎性戰略資源,沒有數據安全就沒有國家安全。為了應對數據這一非傳統領域的國家安全風險與挑戰,《數安法》應運而生,旨在通過立法提升國家數據安全保障能力,維護國家主權、安全和發展利益。綜上,《數安法》不僅擔當了國家數字經濟壓艙石這一重任,還賦予了國家安全一個全新的監管維度。
本文由北京德恆律師事務所合伙人王一楠律師提供,如轉發請注明。
