我国首部数据法律《数据安全法》出台:三大亮点需关注 | 立法评析

引言

春天来了?

文/李俊慧

校对/陈莉

数据法学研究或数据开发利用的春天都来了?

2021年6月10日,在第十三届全国人民代表大会常务委员会第二十九次会议上,《数据安全法》获审议通过,将于2021年9月1日起施行。

作为我国首部以“数据”或“数据安全”命名的法律,《数据安全法》获审议通过、即将施行,预示着我国数据开发与应用将全面进入法治化轨道。

对于从事数据法学研究和数据开发利用的人员来说,不论是理论研究工作,抑或是开发应用工作,都将迎来全新的发展阶段。

对数据法学研究者来说,《数据安全法》审议通过掀开了我国数据立法的序幕,预计后续围绕数据管理与应用、数据处理和治理等各种议题或焦点,还会逐步形成相应的配套法律法规,构建起顺应国际趋势、符合我国需要的数据法律体系架构。

对于从事数据处理活动的各类主体来说,比如企查查、天眼查等,又或者类似特斯拉、滴滴等,《数据安全法》的出台,意味着过往可能处于“灰色”地带的一些做法,需要对标对表立法要求,主动进行修正和完善,确保平台或企业对数据的处理活动处于法治化轨道之内。

那么,即将于9月1起施行的《数据安全法》,还有哪些亮点或要点值得关注?

亮点一:首次从法律上明确“数据”的定义

在《数据安全法》出台之前,有关“数据”、“数据库”以及“数据安全”等提法,已经在一些法律、法规及规章中有所体现。

比如,《民法典》第一百二十七条规定,法律对数据、网络虚拟财产的保护有规定的,依照其规定。

值得一提的是,《民法典》有关“数据”条款放在第五章“民事权利”之内,表明法律上已经承认数据属于民事权利的一种类型。

再比如,《网络安全法》第十八条规定,国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。

当然,在《网络安全法》范畴内,更多强调的是“网络数据”概念。其中,已经将数据视为一种资源形态。

但是,法律意义上的数据到底是什么?在《数据安全法》出台前,没有权威统一的定义。

有人认为,数据就是数值,也有人认为,数据就是信息,还有人认为,数据就是资料,可谓众说纷纭。

如今,按照《网络安全法》第三条的规定,本法所称数据,是指任何以电子或者其他方式对信息的记录。

简单说,法律意义上的数据是指“对信息的记录”,形式上可以是电子形式或方式的,也可以是其形式或方式的。

按照这个定义,我们使用各类互联网应用APP,所形成的类似聊天记录、通话记录、邮件记录以及发言记录等等,都属于个人数据范畴。

当然,也包括我们驾驶特拉斯等智能电动车,所形成各类操控记录,也都属于个人数据范畴。

亮点二:首度明确了数据处理活动的义务边界

《数据安全法》除去对静态的数据安全提出了管理要求,同时也对动态的数据安全划出了界限。

如果说《民法典》明确个人信息处理的行为边界,那么,《数据安全法》则划定了数据处理的行为类型。

《民法典》第一千零三十五条规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

《数据安全法》第三条规定,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。

可以看到,不论是对个人信息的处理,还是对数据的处理,我国法律规定的处理行为都包含“收集、存储、使用、加工、传输、提供、公开”等几种类型。

而对于数据处理行为,《数据安全法》第八条规定,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。

其中,诚实信用原则的引入以及不得危害“公共利益”的提法,对类似企查查、天眼查等平台,通过爬虫程序大量抓取各类信息或数据的行为,预计将会起到规范和引导作用。

事实上,在《数据安全法》出台之前,对于利用爬虫程序批量抓取数据的行为,各方认识并不统一,对于数据抓取对象为类似微博、大众点评等商业平台上的各类信息,未经用户和平台的一致同意,一般会被认定构成侵权或不正当竞争。

而对于类似公开的政务数据或公共数据,这种批量抓取的行为尚未明确定性,但客观上越多的公司、机构采用批量抓取行为,就会在相应时段挤占网络资源,影响普通用户尤其是个人用户的正常浏览、下载。

简单说,挤占网络资源的数据爬虫程序抓取行为,其主观涉嫌违反诚实信用原则,客观上具有损害不特定用户或公共利益的特征,理应予以规制。

亮点三:区分重要性明确数据分级分类保护制度

诚如前述,按照《数据安全法》的规定,各种“对信息的记录”都属于法律意义上的数据。

按照这个定义,储存在个人电脑、手机等设备中的各类信息或资料属于数据,储存在服务器或云端的各类信息或资料也属于数据。

从归属角度来看,数据有可能属于个人,也有可能属于组织,从数据是否具有公共性角度来看,又可以划分为公共数据和非公共数据等等。

在各类具有存储功能的设备中存储的数据,如何区分重点加以保护,《数据安全法》建立了分类分级保护制度,并提出了重要数据、核心数据等概念。

其中,重要、核心的判断标准主要是:1)在经济社会发展中的重要程度;2)一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度。

当然,从执行层面来看的话,重要程度或危害程度的评判规则或标准,尚不明确,还有待于其他配套或专项法律、法规予以进一步明确。

关于政务数据的处理,尤其是对政务进行“存储、加工”等处理,按照《数据安全法》的要求,受托方,尤其是电子政务系统的建设、维护方,在按照委托方要求实施前述处理行为后,“不得擅自留存、使用、泄露或者向他人提供政务数据。”

简单说,与政务数据或电子政务系统所有者有委托合作的主体,都不能擅自“留存、使用、泄露或对外提供”,那么,未经委托方许可或授权,通过网络爬虫程序批量抓取数据后,进行再加工,甚至对外提供有偿服务,则可能面临更大的风险。

而这对于包括企查查、天眼查等在内的各类数据服务平台或厂商来说,都是巨大的风险和挑战。

整体上来看,《数据安全法》算是一部“高度凝练”的法律。

《数据安全法》全文共计5470字,分为七个章节合计五十五条,条款体量或数量并不算大。

对于数据安全监管和保护所涉的各方面、各环节,《数据安全法》更多是提纲挈领式做出了制度安排,一些具体的细则或细节,还有待实践中摸索总结,也有待后续其他配套法律法规进一步明确。

比如,数据权益的边界以及数据交易管理的具体措施等等。

因此,《数据安全法》的正式出台,掀开了我国数据立法的全新序幕,后续还有更多实践和立法值得期待。

参考资料:

1.《数据安全法》全文(http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml)

李俊慧,中国政法大学知识产权研究中心特约研究员,长期关注互联网、知识产权及电子商务等相关政策、法律及监管问题。作者系网易新闻·网易号“各有态度”签约作者。

曾参编高等院校法学专业教材《电子商务法》,并就著作权、商标、专利、域名等知识产权及电子商务监管相关问题接受过中央电视台、中央人民广播电台、北京电视台等电视及《人民日报》、《21世纪经济报道》、《华夏时报》、《彭博新闻周刊》等报纸、杂志的采访。

标签: