数字经济的压舱石、国家安全的新维度 ——《数据安全法》解读

作者 | 北京德恒律师事务所 王一楠 全婉晴

国家互联网应急中心 张奕欣 邢潇

《中华人民共和国数据安全法》(“数安法”或“本法”)于2021年6月10日经全国人大常委会第二十九次会议通过,定于2021年9月1日起施行。《数安法》是我国数据安全领域的首部、也是基础性法律。全文七章共55条,包括:总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则。

下文拟从《数安法》的立法背景、治理体系、数据跨境、分类分级、法律责任等几个主要方面进行解读。

一、立法背景

平衡数据“发展”与“安全”之间的关系是贯彻《数安法》全文的主要基调。数据的开发利用是数字经济发展的引擎,而数据安全事件又会给个人、社会、乃至国家安全带来威胁和挑战。

1、数据是数字时代的“石油”

根据中国信通院发布的《全球数字经济新图景(2020年)》,全球数字经济体量连年增长,在国民经济中占据核心地位,47个国家数字经济总规模超过31.8万亿美元,占GDP比重高达41.5%。

数字经济发展的关键要素是数据,2020年3月30日《中共中央、国务院关于构建更加完善的要素市场优化配置体制机制的意见》明确提出了数据成为土地、资本、劳动力及技术之外的第五大基本市场要素。《民法典》首次将数据和网络虚拟财产纳入保护范围,赋予数据一定的财产属性。

2、数据安全问题带来新挑战

大数据带来了万物互联,而频频引发的各类数据安全事件也随踵而至。其所侵害的对象已经从传统的个人隐私、企业权益扩展至政治安全、军事安全等国家安全领域。例如,2018年脸书公司(Facebook)5000万用户信息被泄露,被“剑桥分析”盗取用于大数据分析,在某种程度上影响了美国总统大选。

2014年2月27日习近平在中央网络安全和信息化领导小组第一次会议上的讲话中指出“没有网络安全就没有国家安全”。2016年出台的《网络安全法》同作为《国家安全法》的下位法,其更侧重于保护计算机信息系统安全,对于数据安全这一新型的、独立的保护客体着墨不多。另一方面,近年来行业数据安全问题日益显现,引起广泛社会关注。随着相关行业标准、规章相继完备,呼吁着数据安全领域的上位法出台。从2019年的《数据安全管理办法(征求意见稿)》,到2020年和2021年的《金融数据安全 数据安全分级指南》《健康医疗数据安全指南》《快递物流服务数据安全指南(征求意见稿)》《网络预约汽车服务数据安全指南(征求意见稿)》等,直至2021年5月发布的《汽车数据安全管理若干规定(征求意见稿)》都是例证。

二、治理体系

在数据安全治理方面,《数安法》构建了“一个顶点、多维度配合、全社会参与”的协同体系。

“一个顶点”即中央国家安全领导机构,负责全国的数据安全工作决策和议事协调,研究制定、指导实施国家数据安全战略和重大方针政策,统筹协调国家数据安全的重大事项和重要工作。

“多维度配合”指在中央国家安全领导机构的领导或指导下,各地区、各行业主管部门,线上与线下的全方位、交叉配合进行监管,具体包括:

工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门负责本行业、本领域内监管;

公安机关、国家安全机关负责在职责范围内进行监管;

国家网信部门负责网络数据安全方面的监管;

各地区、各部门负责各自工作中收集和产生的数据及数据安全。

“全社会参与”指以上监管机构之外,《数安法》还赋予多个主体相应职责,鼓励全社会从不同维度参与数据安全工作,包括制定数字经济发展规划、制定相关标准、开展风险评估、制定数据安全行为规范和团体标准等。涉及十余个主体,主要包括:省级以上人民政府、国务院标准化行政主管部门、重要数据处理者、行业组织、科研机构、企业、个人、数据交易中介机构、在线数据处理机构、公共事务管理机构等。

数据安全治理体系结构图如下:

三、数据的分类分级保护

众所周知,个人信息和重要数据是我国现阶段数据保护的重点。而重要数据的概念界定和认定机制一直以来是立法工作的难点,虽然《网络安全法》拟通过关键信息基础设施保护重要数据,但相关配套制度仍未出台。

《数安法》第21条规定国家建立数据分类分级保护制度,并提出了分类分级的概括性标准。与之前草案相比,本条不仅明确了重要数据目录的制定主体,即国家数据安全工作协调机制统筹协调有关部门,还在重要数据概念基础上首次提出一个的数据类别,即国家核心数据。至于重要数据更细颗粒度的具体目录则留给各地区、各部门根据数据分类分级保护制度自行确定。

国家数据安全工作协调机制作为《数安法》的一项重要制度创新,旨在针对数据场景一方面极具多样和专业性、而数据监管另一方面需要大量跨部门协调这一特点,完善了数据安全监管框架设计。重要数据保护制度的建立和不断完善在国家数据安全工作协调机制的推动下值得期待。

四、数据跨境的“矛”与“盾”

由于经济全球化和互联网的天然属性,数据在不同国家和地区之间大规模、高频率的流动,数据全球化成为推动全球经济发展的重要力量。在地缘政治方面,美国“棱镜门”事件推动了各国政府将数据跨境流动与国家安全、国家主权等政策逐渐挂钩,加剧了世界各国在网络空间的战略博弈和数据资源争夺。在这方面,《数安法》构建了我国数据跨境流动的“矛”与“盾”。

1、域外追责及反制威慑 -- 跨境数据安全之“矛”

《数安法》在总则第2条中依据保护管辖原则,规定数据活动无论在境内还是境外,只要损害我国国家安全、他人合法权益的,就要依法追究法律责任。该规定赋予了《数安法》域外适用效力。

依据国际法的对等原则,《数安法》第26条就国外采取与数据投资、贸易相关的歧视性措施时,赋予我国采取反制措施的权利。可以说是在数据安全“守”势的基础上保留了反击的主动权。

2、规范数据跨境流动 -- 跨境数据安全之“盾”

《数安法》第11条表明我国对数据跨境流动的基本态度,即在确保数据安全的前提下,促进跨境自由流动,积极开展数据安全治理、数据开发利用等领域的国际交流与合作、参与国际规则和标准的制定。在数据出境方面,《数安法》第31条虽仅简单指向《网络安全法》和待制定的出境安全管理办法,但可以推断安全评估制度将在数据出境管理方面担任起“安全阀”的重要作用。在数据入境方面,很多国家为了争夺数据资源也已经开展了积极的多边或双边谈判,谋求建立符合其利益的全球数据流动圈,例如欧盟GDPR项下的“充分性”认定名单、美国推动的《美墨加贸易协议》(USMCA)、亚太经合作组织(APEC)的“跨境隐私规则”(CBPR)等。而2020年签署的《区域全面经济伙伴关系协定》(RCEP)则是我国打造自己的数据跨境流动“朋友圈”的一个良好开端。

《数安法》第25条提出数据出口管制概念,即国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制。这与《出口管制法》物项定义中包括“相关的技术资料等数据”遥相呼应,其目的类似美国的《2018年出口管制法》和《出口管制条例》(EAR)项下对科技数据的出境限制。

《数安法》第36条提出了境外司法或执法机构调取数据的报告批准制度。该制度实际上是回应了近年来很多国家,包括美国《澄清境外数据合法使用法案》(Cloud Act)在内,不断扩大跨境数据调取权利的立法趋势,为我国数据安全提供了一定保障。需要注意本条款虽然在字面上均可归入数据出境范围,但是与上文第31条中规范的数据出境活动不同。本法第36条涉及的境外数据接收者是境外司法或执法机构,其活动涉及中国国家主权。事实上,本条款较之前草案增加的表述与《民事诉讼法》第276条“司法协助”条款相互衔接呼应,印证了其应当适用更严格出境限制的必要性。

五、责与罚相适应的法律责任

《数安法》第六章法律责任与之前草案相比,整体上并非简单的加重处罚,而是对处罚幅度进行了调度,注重责与罚相适应,具体体现在:(1)降低违反相关数据安全保护义务的处罚上限;(2)明确对违反国家核心数据管理制度,危害国家主权、安全和发展利益的严厉处罚;(3)增加对违反相关规定,向境外提供重要数据行为的相关处罚;(4)对违反相关规定,拒不配合数据调取的行为,降低对直接负责的主管人员和其他直接责任人员的处罚力度,但增加了造成严重后果的处罚的相关规定。

《数安法》规定的合规义务及其对应的罚则如下表:

六、结语

当前国际形势复杂多变,特别是新冠疫情给世界主要经济体造成巨大冲击,全球面临经济大衰退。然而,数字经济以其高融合、高技术、高增长等特性,将成为我国经济发展的新引擎。数字经济的要素是数据,数据也是国家基础性战略资源,没有数据安全就没有国家安全。为了应对数据这一非传统领域的国家安全风险与挑战,《数安法》应运而生,旨在通过立法提升国家数据安全保障能力,维护国家主权、安全和发展利益。

综上,《数安法》不仅担当了国家数字经济压舱石这一重任,还赋予了国家安全一个全新的监管维度。

原文来源:关键基础设施安全应急响应中心

标签: