随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、人民生活产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。党中央高度重视,就加强数据安全工作和促进数字化发展作出一系列重要部署。按照党中央决策部署,贯彻总体国家安全观的要求,全国人大常委会积极推动数据安全立法工作。经过三次审议,2021年6月10日,《数据安全法》经十三届全国人大常委会第二十九次会议通过并正式发布,将于2021年9月1日起施行。
作为我国数据安全领域的基础性法律,《数据安全法》主要有以下三个特点:一是坚持安全与发展并重。设专章对支持促进数据安全与发展的措施作了规定,保护个人、组织与数据有关的权益,提升数据安全治理和数据开发利用水平,促进以数据为关键生产要素的数字经济发展;二是加强具体制度与整体治理框架的衔接。从基础定义、数据安全管理、数据分类分级、重要数据出境等方面,进一步加强与《网络安全法》等法律的衔接,完善我国数据治理法律制度建设;三是回应社会关切。加大数据处理违法行为处罚力度,建设重要数据管理、行业自律管理、数据交易管理等制度,回应实践问题及社会关切。
《数据安全法》完善了国家数据安全工作体制机制,规定中央国家安全领导机构负责国家数据安全工作的决策和议事协调等职责,并提出建立国家数据安全工作协调机制。在网络数据安全工作方面,专门明确国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
《数据安全法》重点确立了数据安全保护的各项基本制度,完善了数据分类分级、重要数据保护、跨境数据流动和数据交易管理等多项重要制度,形成了我国数据安全的顶层设计。
《数据安全法》对数据分类分级制度进行了探索。《数据安全法》第二十一条规定,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护,并明确加强对重要数据的保护,对关系国家安全、国民经济命脉、重要民生、重大公共利益等内容的国家核心数据,实行更加严格的管理制度。《数据安全法》针对重要数据在管理形式和保护要求上提出了严格和明确的保护制度。在管理形式上,《数据安全法》采用目录管理的方式,明确将“确定重要数据目录”纳入国家层面管理事项,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录。而各地区、各部门制定本地区、本部门及相关行业、领域的重要数据具体目录,有利于形成国家与各地方、各部门管理权限之间的合理协调机制,推动重要数据统一认定标准的建立。在保护要求上,《数据安全法》在一般保护之外,强化了重要数据、核心数据的保护要求。一是规定数据处理者开展数据处理活动应当依照法律法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全;二是规定了重要数据处理者“明确数据安全负责人和管理机构”的义务,要求重要数据处理者在内部作出明确的责任划分,落实数据安全保护责任;三是规定了重要数据处理者进行风险评估的要求,重要数据处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
《数据安全法》建立数据安全风险评估、报告、信息共享、监测预警和应急处置机制,通过对数据安全风险信息的获取、分析、研判、预警以及数据安全事件发生后的应急处置,实现数据安全事前、事中和事后的全流程保障。《数据安全法》第二十二条规定:“国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。”第二十九条规定:“开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施……”从制度衔接上看,数据安全风险评估、报告、信息共享、监测预警机制是国家安全制度的组成部分。《国家安全法》第四章第三节建立了风险预防、评估和预警的相关制度,规定国家制定完善应对各领域国家安全风险预案。数据安全风险评估、报告、信息共享、监测预警机制是《国家安全法》规定的风险预防、评估和预警相关制度在数据安全领域的具体落实。从保护阶段上看,数据安全风险评估、报告和信息共享构成了数据安全保护的事前保护义务,监测预警机制构成了数据安全保护的事中保护义务,数据安全事件的应急处置机制形成了对数据安全的事后保护。
《数据安全法》对数据的出境管理进行了补充和完善。一是针对重要数据完善了跨境数据流动制度,《数据安全法》在《网络安全法》第三十七条的基础之上,规定“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”既与《网络安全法》相衔接,也实现了对所有重要数据出境的安全保障。二是通过出口管制的形式限制了管制物项数据的出口,《数据安全法》第二十五条规定“国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制”,明确将数据出口管制纳入数据安全管理工作中,实现了与《出口管制法》的衔接,有利于从维护国家安全的角度限制相关数据的出境,对整体跨境数据流动制度进行补充。三是对外国司法、执法机构调取我国数据的情况进行了规定。《数据安全法》第三十六条首先明确“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。”同时规定“非经中华人民共和国主管机关批准”不得向境外执法或司法机构提供境内数据,并对违法违规提供数据的行为,明确了包括警告、罚款等在内的行政处罚措施。这一制度的设置体现了对于合法合规向外国司法或者执法机构提供数据的重视,明确了我国处理外国司法或者执法机构关于提供数据请求的一般原则,同时也是依法应对少数国家肆意滥用长臂管辖,防范我国境内数据被外国司法或执法机构不当获取。
数据交易制度的确立使得数据依法有序流动成为现实。数据是数字经济时代的重要生产要素,而数据交易则是满足数据供给和需要的最主要方式,明确数据交易的法律地位,是满足现实需求、助力数字经济发展的重要表现,是当前数据交易制度发展的制度基础。《数据安全法》第十九条规定国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。此外,《数据安全法》还在第三十三条规定了数据交易中介服务机构的主要义务,规定从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。《数据安全法》为数据交易制度提供了兼顾安全和发展的原则性规定,有利于在保障安全基础上,促进数据有序流动,激励相关主体参与到数据交易活动中来,充分释放数据红利。
随着《数据安全法》的正式出台,我国网络法律法规体系实现进一步完善,为后续立法、执法、司法相关实践提供了重要法律依据,为数字经济的安全健康发展提供了有力支撑。