< 上一版     下一版 > 图片 PDF版

《数据安全法》的制度渊源及体系性认识

作者: 中国信息通信研究院互联网法律研究中心主任 方禹   时间:2021/9/27 10:42:21   字体【
  2021年6月,十三届全国人大常委会第二十九次会议通过了《中华人民共和国数据安全法》(以下简称《数据安全法》),并于2021年9月1日起施行。《数据安全法》作为数字经济时代的数据安全专门立法,明确将数据处理活动纳入法律调整范围,落实开展数据活动的组织、个人的主体责任,建立健全国家数据安全管理制度,有利于保护个人、组织与数据有关权益,保障国家数据安全,也有利于推动数据要素化市场改革,提升数据安全治理和数据开发利用水平。
  《数据安全法》的出台是落实总体国家安全观的时代要求。数据是国家基础性战略资源,没有数据安全就没有国家安全。总体国家安全观既关注传统安全,也关注非传统安全,构建集16种安全为一体的国家安全体系。近年来,数据安全这一非传统安全领域的风险与挑战极为突出。1993年,我国就出台了《中华人民共和国国家安全法》,主要是规定国家安全机关履行的职责特别是反间谍工作方面的职责。随着国家安全形势的发展变化,这部法律已经难以适应全面维护各领域国家安全的需要。2014年,全国人大常委会审议通过了《中华人民共和国反间谍法》,废止了1993年出台的国家安全法。2015年7月1日,全国人大常委会通过了新的《中华人民共和国国家安全法》(以下简称《国家安全法》),对有关网络安全的问题进行了规定,可以自然延伸到数据安全领域。其中,确定了国家安全领域基本的体制机制,规定中央国家安全领导机构实行统分结合、协调高效的国家安全制度与工作机制(第四十四条);国家建立国家安全重点领域工作协调机制,统筹协调中央有关职能部门推进相关工作(第四十五条);各部门、各地区应当采取有效措施,贯彻实施国家安全战略(第四十七条);明确国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险(第五十九条)。
  《数据安全法》作为贯彻落实总体国家安全观的重要立法,基本延续了《国家安全法》的体制机制要求。一是明确中央国家安全领导机构在国家数据安全工作中发挥决策和议事协调作用,包括负责研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作。同时按照《国家安全法》第四十五条的要求,在数据这一国家安全重点领域建立国家数据安全工作协调机制。二是落实各地区、各部门的数据安全保障责任,根据《国家安全法》第四十七条的精神,明确了“各地区、各部门”这一实施主体,要求各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。三是确定各主管部门对本行业领域和职权范围内的数据安全监管职权,电信、交通、金融等主部门的数据安全监管范围按主管领域确定,公安机关、国家安全机关的数据安全监管范围根据法律、行政法规的授权明确。四是规定了国家网信部门在网络数据安全中的统筹协调职能和相关监管职责。 
  《数据安全法》的出台完善了我国网络法律体系。党的十八大以来,我国高度重视互联网领域法律体系建设。2014年10月,党的十八届四中全会通过《中共中央关于全面推进依法治国若干重大问题的决定》,其中进一步提出,要加强互联网领域立法,完善网络信息服务、网络安全保护、网络社会管理等方面的法律法规,依法规范网络行为。“网络信息服务、网络安全保护、网络社会管理”三个领域侧重的角度有所不同,框定了网络立法的主要领域和内容。近年来,我国在这三大领域开展了一系列立法活动,不断完善和补充整理网络法律体系。随着《电子商务法》《网络安全法》等法律及配套规定的出台,网络领域的法律体系框架已经初步形成。与此同时,数据治理越来越成为数字经济时代网络治理的聚焦点,网络安全领域立法和监管更加向数据安全方面集中,传统网络安全问题趋于数据化,新型数据安全问题不断显现,制定一部数据安全领域的基础性法律十分必要。
  2018年9月7日,十三届全国人大常委会公布立法规划(共116件),其中将《中华人民共和国数据安全法》列入第一类项目(条件比较成熟、任期内拟提请审议的法律草案)。2018年10月,全国人大常委会法工委会同有关方面成立工作专班,抓紧草案研究起草工作,形成了《中华人民共和国数据安全法(草案)》。2020年6月28日、2021年4月26日,分别对《中华人民共和国数据安全法(草案)》进行了审议;2021年6月10日审议出台,以中华人民共和国主席令第八十四号签发,自2021年9月1日起施行。
  《数据安全法》是我国数据安全领域的基础性法律,这种基础性表现为顶层设计的部署,根据第五条的规定,中央国家安全领导机构研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作。同时也表现为对数据安全领域宏观性制度安排,释放了国家构建数据安全领域综合性制度体系的信号及总体要求,包括国家建立健全数据交易管理制度(第十九条),国家建立数据分类分级保护制度(第二十一条),国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制(第二十二条),国家建立数据安全应急处置机制(第二十三条),国家建立数据安全审查制度(第二十四条)。这些重要制度的确立,意味着整体数据安全领域的构建、重组、调整和完善,从底层结构上系统性回应数据安全问题。
  《数据安全法》规定国家建立数据分类分级保护制度,并明确了相关工作机制。《数据安全法》第二十一条规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。本条首次明确强调了由国家建立数据分类分级保护制度,并阐明了数据分类分级保护、国家核心数据管理与重要数据保护的关系,即国家核心数据管理和重要数据保护是数据分类分级保护制度的重要内容,是数据分类分级中的子类,由于其关键性和敏感性,需要实行更加严格的管理制度和强化保护,使得数据分类分级标准、国家核心数据界定标准以及重要数据界定标准进行了有机融合。
  《数据安全法》从管理形式和保护要求上,确立了重要数据的强化保护制度。在管理形式上,《数据安全法》采用目录管理的方式,明确将“确定重要数据目录”纳入国家层面管理事项,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录。而各地区、各部门制定本地区、本部门及相关行业、领域的重要数据具体目录,有利于形成国家与各地方、各部门管理权限之间的合理协调机制,推动重要数据统一认定标准的建立。在保护要求上,《数据安全法》在一般保护之外,强化了重要数据、核心数据的保护要求。一是规定数据处理者开展数据处理活动应当依照法律法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全;二是规定了重要数据处理者“明确数据安全负责人和管理机构”的义务,要求重要数据处理者在内部作出明确的责任划分,落实数据安全保护责任;三是规定了重要数据处理者进行风险评估的要求,重要数据处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
  《数据安全法》建立数据安全风险评估、报告、信息共享、监测预警和应急处置机制,通过对数据安全风险信息的获取、分析、研判、预警以及数据安全事件发生后的应急处置,实现数据安全事前、事中和事后的全流程保障。从制度衔接上看,数据安全风险评估、报告、信息共享、监测预警机制是国家安全制度的组成部分。《国家安全法》第四章第三节建立了风险预防、评估和预警的相关制度,规定国家制定完善应对各领域国家安全风险预案。数据安全风险评估、报告、信息共享、监测预警机制是《国家安全法》规定的风险预防、评估和预警相关制度在数据安全领域的具体落实。从保护阶段上看,数据安全风险评估、报告和信息共享构成了数据安全保护的事前保护义务,监测预警机制构成了数据安全保护的事中保护义务,数据安全事件的应急处置机制形成了对数据安全的事后保护。
  数据安全审查制度赋予了国家对影响或者可能影响国家安全的数据活动进行安全审查的职责。《数据安全法》第二十四条明确规定,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。数据安全审查对象包括所有影响或可能影响国家安全的数据处理活动,既包括线上的数据处理活动,也包括线下的数据处理活动,涉及数据的收集、存储、使用、加工、传输、提供、公开等各个环节。值得注意的是,其法律渊源仍然是《国家安全法》,该条本质上规定的是数据安全领域的国家安全审查。《网络安全法》中关于网络安全审查的表述也同样是“国家安全审查”。实际上,可以理解为国家安全审查制度在网络安全、数据安全等领域的具体适用,审查内涵由国家安全而展开,并非是重复构建的审查制度。
  《数据安全法》对我国跨境数据流动管理制度进行了三方面的补充和完善。一是在《网络安全法》的基础上针对重要数据的跨境流动管理进行了补充和完善。现行立法中,只有《网络安全法》针对关键信息基础设施运营者在我国境内收集和产生的重要数据,明确了原则上境内存储加出境安全评估的要求,但对其他重要数据的跨境流动没有规定限制要求。《数据安全法》基于此,规定“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定”。二是在《出口管制法》的基础上,对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。《出口管制法》明确规定:“管制物项,包括物项相关的技术资料等数据。”《数据安全法》第二十五条规定:“国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。”明确将数据出口管制纳入数据安全管理工作中,有利于从维护国家安全的角度限制相关数据的出境,对整体跨境数据流动制度进行补充。三是针对境外机构调取境内数据规定了反制措施。《数据安全法》第三十六条规定:“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”这一制度的设置,体现了对于境内主体向境外司法、执法机构提供数据的行为合法性的重视,同时也与国际环境的发展息息相关。 
  数据交易制度的确立,明确了相关主体的基本义务。 《数据安全法》第十九条、第三十三条、第四十七条对数据交易制度进行了规范。《数据安全法》第十九条规定:国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场;第三十三条规定,从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录;第四十七条规定了从事数据交易中介服务的机构未履行本法第三十三条规定的义务的相关罚则。总体来看,《数据安全法》为数据交易制度提供了兼顾安全和发展的框架,有利于在保障安全基础上,促进数据要素的有序流动,激励相关主体参与到数据活动中来,充分释放数据红利。
  《数据安全法》专门规定了“政务数据安全与开放”,从法律层面明确国家应大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。第五章明确了国家机关保证政务数据安全与开放的法定义务:一是为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;二是建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全;三是应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据;四是制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。此外,明确了委托关系中国家机关的监督责任和受托方的数据安全保护义务。国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
  ● 责任编辑:刘瑜
< 上一篇     下一篇 >
Copyright © 2014-2024 民主与法制网电子报、杂志 www.mzyfz.com 版权所有.
京ICP备12043066号    Powered by mzyfz.com