《数据安全法(草案)》逐条解读
2020年7月3日,中国人大网公布《数据安全法(草案)》全文,并对其公开征求意见。《数据安全法(草案)》于2020年6月28日经第十三届全国人大常委会第二十次会议进行了初次审议。征求意见截止日期为2020年8月16日。
相较于被称之为“小数据安全法”的《数据安全管理办法(征求意见稿)》,《数据安全法(草案)》基本重新构建了数据安全的立法架构。《数据安全法(草案)》全文共七章,合计51条,坚持保障数据安全和促进数据开发利用并重的立法目的,规定了数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放等内容。接下来,将对《数据安全法(草案)》进行逐条解读,以期帮助读者更好地了解《数据安全法(草案)》的内容。同时,也会提出对部分条文的修改建议,希望为《数据安全法(草案)》的完善添砖加瓦。
第一章 总则
第1条 为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益,制定本法。
【解读】
本条规定了《数据安全法(草案)》的立法目的。
《数据安全法(草案)》坚持安全与发展并重,旨在实现在安全的基础上发展数据,在数据发展的过程中持续保障安全。
第2条 在中华人民共和国境内开展数据活动,适用本法。
中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
【解读】
本条规定了《数据安全法(草案)》的适用范围。
从适用范围看,《数据安全法(草案)》不仅适用于在中国境内开展数据活动,也赋予了必要的域外适用效力,彰显了我国维护国家安全和数据主权的信息和决心。具体到适用地域,只要在中国境内开展数据活动,无论是中国境内的组织、个人还是中国境外的组织、个人,均适用本法。而对于未在中国境内开展数据活动的中国境外组织和个人,如果其数据活动损害了中国国家安全、公共利益或者公民、组织的合法权益,我国也会依法追究其法律责任。规定必要的域外适用效力,与世界各国通过立法扩大数据方面管辖权的做法相一致和相对应,有助于我国在激烈的数据竞争中掌握主动权和话语权,维护我国国家主权和数据主权的完整。
第3条 本法所称数据,是指任何以电子或者非电子形式对信息的记录。
数据活动,是指数据的收集、存储、加工、使用、提供、交易、公开等行为。
数据安全,是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。
【解读】
本条规定了《数据安全法(草案)》适用范围相关的重要定义。
从“数据”的定义看,将所有对信息进行记录的载体认定为数据。非电子形式,将常见的纸质登记表格等形式也纳入到数据安全管理范畴,填补了已有立法无法有效规制纯线下、不借助网络开展数据活动的立法空白。
从“数据活动”的定义看,采取了列举+兜底的方式,将数据全生命周期的相关活动基本纳入数据活动的范畴。相较于《民法典》第1035条对“个人信息处理”的定义,二者都列举了“收集、存储、加工、使用、提供、公开”,但本条缺少了对“传输”的列举,并增加了对“交易”的列举。数据的传输在实践中颇为常见,本条未列举“传输”似乎难以理解其目的,有待关注后续修订过程中是否会进行调整。而增加对“交易”的列举,则与《数据安全法(草案)》第17条、第30条鼓励合法的数据交易相呼应。
从“数据安全”的定义看,《数据安全法(草案)》对数据安全提出了行为要求和效果要求。对于行为要求,这里的“必要措施”一般来说包括技术措施、管理措施等;对于效果要求,本条强化了安全的持续性。与网络安全相类似,数据安全也并非一劳永逸,而是需要持续的投入和关注,以不断应对可能出现的安全问题和漏洞。
最后,需要指出的是,结合本条对“数据活动”的定义和第49条规定的“……开展涉及个人信息的数据活动,应当遵守有关法律、行政法规的规定”,《数据安全法(草案)》将如何厘清数据和个人信息关系的问题进行了明确界定,将涉及个人信息的数据活动交由《民法典》《网络安全法》和后续出台的《个人信息保护法》等有关法律和行政法规加以规范,妥善解决了法律之间的适用和协调问题。
第4条 维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。
【解读】
本条规定了《数据安全法(草案)》的核心观念。
正如《〈数据安全法(草案)〉起草说明》中所述,数据是国家基础性战略资源,没有数据安全就没有国家安全。因此,《数据安全法(草案)》按照总体国家安全观的要求,通过立法加强数据安全保护,有助于更好地规制与中国国家、公民和组织相关的全部数据活动,有助于提升国家数据安全保障能力,有利于有效应对数据这一非传统领域的国家安全风险与挑战,切实维护国家主权、安全和发展利益,维护公共利益和公民、组织的合法权益。
第5条 国家保护公民、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展,增进人民福祉。
【解读】
本条表明了对数据发展的鼓励和保障。
党的十九届四中全会决定明确将数据作为新的生产要素,本条表明了对数据发展的鼓励和保障,当然,数据发展需要做到在法律允许的范围内有序发展,最大程度挖掘数据价值,打破“数据孤岛”,更好地服务我国经济社会发展。
第6条 中央国家安全领导机构负责数据安全工作的决策和统筹协调,研究制定、指导实施国家数据安全战略和有关重大方针政策。
【解读】
本条明确了数据安全管理工作的顶层设计。
中央国家安全领导机构统筹数据安全管理工作,可见数据安全的重要性和影响力。坚持党对数据安全工作的领导,有助于建立集中统一、高效权威的数据安全领导体制。
第7条 各地区、各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任。
工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
【解读】
本条明确了数据安全管理工作的具体分工。
从分工看,整体而言是在集中领导的基础上各部门、各地区分工负责的管理模式,具体体现为国家网信部门统筹网络数据监管+公安机关、国安机关依职责监管数据安全+各地区、各部门承担主体责任+各行业主管部门承担本行业监管职责,强调了数据安全管理工作的统一性,也兼顾了各地区、各部门和各行业的差异性。但实践过程中,如何厘清各地区、各部门和各行业主管部门的职责界限,有待进一步探索和明确。
此外,需要指出的是,《数据安全法(草案)》并未对“网络数据”进行定义。可供参考的“网络数据”定义出现在《网络安全法》第76条,其将“网络数据”界定为“通过网络收集、存储、传输、处理和产生的各种电子数据” 。
最后,我们梳理了现有各行业主管部门和各地区对于数据安全管理的相应规定,以供参考:
1.各行业主管部门对数据安全管理的相关规定
续表
2.各地区对数据安全管理的相关规定
第8条 开展数据活动,必须遵守法律、行政法规,尊重社会公德和伦理,遵守商业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害公民、组织的合法权益。
【解读】
本条明确了开展数据活动的原则性要求。
对于开展数据活动的要求,《数据安全法》第四章对数据安全保护义务进行了具体规定,本条作为宣誓性条款明确了基本原则,在具体规定无法有效、准确覆盖个案时可能会适用本条进行相应认定。
第9条 国家建立健全数据安全协同治理体系,推动有关部门、行业组织、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。
【解读】
本条明确了数据安全协同治理体系的建立要求。
数据安全与每一个个人、组织、行业组织、有关部门均息息相关,在集中领导+分工负责数据安全管理工作的基础之上,全社会协同治理数据安全,有助于群策群力,切实维护数据安全,促进数据依法有序发展。
第10条 国家积极开展数据领域国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
【解读】
本条明确了数据领域国际合作的机制。
大数据时代和经济全球化浪潮下,数据跨境流动日益频繁。积极参与国际交流与合作,参与国际规则和标准的制定,成为“游戏规则”的制定者,能够在推动国际合作的同时更好地维护我国的国家利益。
第11条 任何组织、个人都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。
【解读】
本条明确了数据安全相关的投诉、举报机制。
从举报主体看,任何组织和个人都可以进行举报,意味着用户、非用户、竞争对手、第三方测评机构、自媒体等都可以作为举报主体,有助于实现第9条提出的“数据安全协同治理体系”。
从举报部门看,结合数据安全管理体系的职责分工,“有关主管部门”应当指向公安部门、国安部门、网信部门、各地区、各部门和各行业的主管部门。以举报网络数据违法为例,应向国家及地方网信部门进行举报。
从举报处理看,收到投诉、举报的部门应当及时依法处理。也就是说,如果投诉、举报后出现杳无音讯或怠于处理等不作为、慢作为的情形,该等部门可能需要承担相应的责任。
有待进一步完善的是,参照《网络安全法》第14条,本条缺少了“不属于本部门职责的,应当及时移送有权处理的部门。有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益”的规定。建议增加该等规定,以更好地推动投诉、举报处理流程的有序进行,保护投诉、举报人的合法权益。
第二章 数据安全与发展
第12条 国家坚持维护数据安全和促进数据开发利用并重,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。
【解读】
本条明确了数据安全工作的基本原则。
数据安全和数据发展并重是《数据安全法(草案)》坚持的基本原则。但从立法体例角度看,本条规定的内容为原则性要求,参照《网络安全法》第3条,本条放在第一章作为总则部分的一个条文,似乎更加符合立法体例安排。
第13条 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用,促进数字经济发展。
省级以上人民政府应当制定数字经济发展规划,并纳入本级国民经济和社会发展规划。
【解读】
本条明确了支持数字经济发展的配套要求。
2020年7月3日,中国信通院正式发布《中国数字经济发展白皮书(2020年)》,报告显示,2019年,我国数字经济增加值规模达到35.8万亿元,占GDP比重达到36.2%,占比同比提升1.4个百分点,按照可比口径计算,2019年我国数字经济名义增长15.6%,高于同期GDP名义增速7.85个百分点,数字经济在国民经济中的地位进一步凸显。报告指出,数据价值化加速推进。数据已成为数字经济发展的关键生产要素。从产业角度来看,我国已形成较为完整的数据供应链,在数据采集、数据标注、时序数据库管理、数据存储、商业智能处理、数据挖掘和分析、数据安全、数据交换等各环节形成了数据产业体系,数据管理和数据应用能力不断提升。可以看出,数字经济对我国国民经济发展具有重要意义,完善数字经济发展的配套措施有助于更好地促进数字经济发展。
需要指出的是,从立法体例角度看,与第12条相似,本条内容也偏基础和原则,本条放在第一章作为总则部分的一个条文,似乎更加符合立法体例安排。
第14条 国家加强数据开发利用技术基础研究,支持数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品和产业体系。
【解读】
本条体现了促进数据资源开发利用的精神。
大数据时代,数据有价,只有不断完善数据开发利用技术和数据安全技术,培训发展数据开发利用和数据安全产品和产业体系,才能更好、更大程度上挖掘和实现数据的价值。
第15条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、研究机构、高等学校、相关行业组织等参与标准制定。
【解读】
本条明确了数据安全与发展的标准体系建设要求。
从制定主体看,与网络安全标准体系制定主体相类似,国务院标准化行政主管部门和国务院有关部门为数据开发利用技术、产品和数据安全相关标准的制定主体。
从参与主体看,可以预见的是,后续数据安全与发展的相关标准,将会与个人信息相关标准的制定一样,有很多互联网企业、研究机构、高校、行业协会等参与其中。
第16条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
【解读】
本条体现了国家对数据安全社会化服务体系建设的支持。
对于企事业单位而言,数据安全必将成为企事业单位的一张名牌,数据安全工作做得好,对企事业单位的形象会添光加彩,反之则会影响声誉,降低公众的信任以及好感度。数据安全检测评估、认证等服务构成了数据安全的社会化服务体系,有助于协助企事业单位发现数据安全方面存在的问题并加以改进和完善。
第17条 国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
【解读】
本条明确了国家对合法数据交易的支持。
《数据安全法(草案)》作为数据领域的基本法,首次从法律层面明确了国家对合法数据交易的支持,对于数据交易而言无疑是利好消息。本条未明确数据交易的定义,可供参考的是《信息安全技术 数据交易服务安全要求》(GB/T 37932—2019,以下简称《数据交易服务安全要求》),将“数据交易”定义为“数据供方和需方之间以数据商品作为交易对象,进行的以货币或货币等价物交换数据商品的行为”。就数据交易管理制度而言,本条并未明确其具体内容,包括数据权属、交易标的、定价机制等都有待后续进一步明确。
现有的数据交易一般在大数据交易所和企业自主运营的数据交易平台进行,其中大数据交易所主要有贵阳大数据交易所、东湖大数据交易中心、上海数据交易中心、华东江苏大数据交易中心等,企业自主运营的数据交易平台主要包括京东万象、数据宝、聚合数据、优易数据、发源地、数粮等。
第18条 国家支持高等学校、中等职业学校和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
【解读】
本条体现了国家对数据安全相关人才培养的支持。
数据安全发展离不开数据相关人才的支撑,加强数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据安全相关人才,有助于数据安全工作的常态化发展。
第三章 数据安全制度
第19条 国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。
各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。
【解读】
本条明确了数据分级分类的制度要求。
1、从数据分级分类的基本要求看,《网络安全法》第21条首次从法律层面提出了“数据分类”的要求,本条则首次从法律层面完整地提出了“数据分级分类”的要求。分级分类的标准主要包括两个维度,一个维度是数据的重要程度,另一个维度是数据安全事件发生的危害程度。《大数据安全管理指南》(GB/T 37973—2019)第7.1条和第7.2条明确了数据分类分级的原则和流程,我们也整理了部分行业涉及数据分级分类的文件,以供参考。
2.从重要数据看,本条并未明确重要数据的定义和识别标准,而是授权各地区和行业主管部门制定本地区、本行业重要数据保护目录。将重要数据的管理权限下放到各地方和各部门是否合适,需要进一步论证。若合适,有待关注后续出台的各地区和各部门的重要数据保护目录,了解其对重要数据的识别标准和保护要求,而如何解决各地区、各部门之间对重要数据划分的冲突也是需要进一步研究的问题。
现行文件中可供参考的“重要数据”定义主要出现在《数据安全管理办法(征求意见稿)》第38条,其将“重要数据”界定为“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等” 。此外,《数据出境安全评估指南(征求意见稿)》第3.5条对“重要数据”也进行了定义,“相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)”。
第20条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判、预警工作。
【解读】
本条明确了数据安全的监测预警机制。
集中统一、高效权威的公权力监测预警机制,有助于及时发现和准确识别数据安全风险并在此基础上有效预测事件发生的可能性、影响范围和危害程度,准确发布避免、减轻危害的措施。
第21条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。
【解读】
本条明确了建立数据安全应急处置机制的要求。
应急处置的好坏,会较大程度地影响数据安全事件所造成的后果。建立数据安全应急机制,在数据安全事件发生后,及时启动应急预案并采取相应的应急处置措施,并及时向公众发布与公众有关的警示信息,能够有效减少事件造成的损失和危害。
第22条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。
依法作出的安全审查决定为最终决定。
【解读】
本条明确了建立数据安全审查制度的要求。
数据安全审查制度的审查范围和重点是“影响或者可能影响国家安全的数据活动”,但《数据安全法(草案)》对数据安全审查的审查主体、审查流程、审查期限、审查内容等未进行具体规定,应当会通过后续具体的配套立法加以明确。可供类比的是《网络安全法》第35条提出了“网络安全审查”要求,并基于此出台了《网络安全审查办法》。
关于数据安全审查和网络安全审查二者的关系问题,从现有规定看,二者可能是并行的两种审查机制,各有审查范围和审查侧重点,但也可能产生交集。例如,某关键信息基础设施运营者采购了某境外网络产品,为了产品的顺利运营,该运营者需要向境外产品生产方提供某些数据,采购的行为和提供数据的行为都可能影响国家安全,这种情况下,既需要进行网络安全审查,也需要进行数据安全审查。
此外,本条第2款规定“依法作出的安全审查决定为最终决定”,若该款规定最终生效,意味着数据安全审查的决定一经作出即宣告生效,不会进入行政复议或行政诉讼程序。
第23条 国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制。
【解读】
本条明确了数据出口管制的要求。
对于出口管制的含义,《数据安全法(草案)》未进行明确,可供参考的是《出口管制法(草案二次审议稿)》第2条将“出口管制”定义为“国家对从中华人民共和国境内向境外转移管制物项,以及中华人民共和国公民、法人和非法人组织向外国组织和个人提供管制物项,采取禁止或者限制性措施”。
《数据安全法(草案)》首次提出了数据出口管制的要求,管制的范围为“与履行国际义务和维护国家安全相关的属于管制物项的数据”。但《数据安全法(草案)》并未对具体的管制范围进行明确,有待后续配套立法进一步明确。
此外,《出口管制法(草案二次审议稿)》第2条涉及出口管制的适用范围、定义,第32条涉及信息的出口管制。后续如何实现《数据安全法(草案)》本条规定与《出口管制法(草案二次审议稿)》前述规定的衔接,以及如何实现数据出口管制与数据安全审查、数据出境安全评估等制度的衔接与协调,都是需要进一步研究和明确的问题。
第24条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区采取相应的措施。
【解读】
本条明确了数据方面的国际对等反制。
随着我国综合国力的不断发展壮大,部分国家和地区开始不断在政治、经济、外交等方面对我国采取限制、打压、歧视等措施,妄图通过不正当手段延缓我国的发展步伐。对此,我国已经摆脱“落后就要挨打”的艰难处境,对该等国家和地区采取对等的反制措施予以有效反击,积极维护国家利益。就数据方面而言,《数据安全法(草案)》也规定了国际对等反制措施,以有效应对数据方面的限制、打压、歧视等措施,有助于维护我国数据主权和国家利益。
第四章 数据安全保护义务
第25条 开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。
【解读】
本条明确了数据安全保护义务的基本要求。
对于建立全流程数据安全管理制度,结合第3条对于“数据活动”的定义,系列数据安全管理制度应覆盖数据收集、存储、加工、使用、提供、交易、公开等流程。
对于数据安全教育培训,从培训时间点看,宜在新员工入职培训时,将数据保护作为培训内容之一,在入职阶段就强化数据保护,后续每年定期或不定期进行数据安全培训;从培训内容看,数据保护的相关法律法规规定、内部制度、操作流程等,特别是最新出台的规定和内部制度流程等的重要修订,应当纳入培训的内容;从培训对象看,这里的员工不应限于基层员工,而是指包含高层员工在内的全体员工,领导层高度重视、基层员工严格践行,方能更好地开展数据保护工作。
对于采取相应的技术措施和其他必要措施,这里使用的是“相应”和“必要”,而非统一提出某些技术措施和其他措施要求,有助于企事业单位根据数据重要性、数据安全事件发生后的危害程度等采取相对应的措施。
对于设立数据安全负责人和管理机构,并非对所有企事业单位均提出该项要求,而是对重要数据的处理者提出的要求。后续可能会有配套文件对数据安全负责人的资质、职责等提出要求。此外,还会出现的问题是,《网络安全法》第21条提出了确定网络安全负责人的要求,《个人信息安全规范》第11.b)条提出了任命个人信息保护负责人和个人信息保护工作机构的要求,网络安全负责人、数据安全负责人和个人信息保护负责人的关系如何,是否可以由一人同时担任、是否可以兼职担任,均有待进一步的明确。
第26条 开展数据活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。
【解读】
本条要求数据活动和数据技术应符合社会公德和伦理。
新技术发展在推动社会进步的同时,也存在被用于违反社会公德和伦理的实验、商业行为等情况。因此,《数据安全法(草案)》强调数据活动和数据技术应符合社会公德和伦理,虽然更多的意义在于宣誓性,但能写入法律条文,本身已经体现出国家对该问题的重视。
第27条 开展数据活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。
【解读】
本条明确了数据安全风险监测和后续处置要求。
与《网络安全法》第22条第1款对网络安全风险监测和后续处置要求类似,本条对数据安全风险监测和后续处置提出了要求,以便企事业单位及时发现数据安全风险并采取补救措施。如果发生数据安全事件,还应及时通过公告、站内信等方式告知用户,并向有关主管部门报告。
第28条 重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。
【解读】
本条对重要数据处理者提出了定期开展风险评估和报送评估报告的要求。
从定期开展风险评估看,本条并未明确限定评估主体。结合第16条的规定,似乎可以理解为,重要数据的处理者可以自行评估,也可以委托数据安全检测评估专业机构进行评估。
从风险评估报告的内容看,本条第2款采用“列举+兜底”的方式提出了内容要求。有待进一步探讨的问题是,这里提出了报告应包括“收集、存储、加工、使用数据的情况”,而未将“提供”数据等纳入在内,但实际上,相较于前面四种情况,“提供”数据引起数据安全事件的风险可能更高,将“提供”纳入在内更加合适。
第29条 任何组织、个人收集数据,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。
【解读】
本条明确了收集数据的合法、正当要求。
相较于收集个人信息的合法、正当、必要要求,对于收集数据,本条未当然强调必要的要求,而是在“法律、行政法规对收集、使用数据的目的、范围有规定的”情况下才强调收集数据不得超过必要的限度,这里也体现出了对于数据和个人信息的差异管理。对于“合法、正当”的理解,我们认为,主要包括不得从非法的渠道收集数据、不得隐秘收集数据、不得以欺诈、诱骗、误导的方式收集数据等。
第30条 从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
【解读】
本条明确了数据交易中介服务机构的服务要求。
《数据安全法(草案)》并未对“数据交易中介服务”进行定义,可供参考的是《数据交易服务安全要求》第3.4条将“数据交易服务”定义为“帮助数据供方和需方完成数据交易的活动”。结合本条对数据交易中介服务机构的服务要求,数据交易中介服务机构应当主要指向《数据交易服务安全要求》第3.6条定义的“数据交易服务平台”,即“为数据交易提供各项服务的信息化平台”,实践中主要包括大数据交易所和企业自营的数据交易平台。对此,前面已经进行过介绍,在此不再赘述。
从数据交易中介服务机构的服务要求看,主要包括说明来源+审核身份+留存记录三项要求。而三项要求是否妥善履行,将决定数据交易中介服务机构是否依据第43条承担相应的法律责任。但需要指出的是,如果仅仅是要求说明来源+审核身份,而不是要求审核数据来源,数据交易中介服务机构似乎难以有效识别数据来源是否非法,这种情况下如果出现非法来源的数据交易,要求数据交易中介服务机构承担法律责任是否合适,有待进一步论证。而如果要求数据交易中介服务机构审核数据来源,是形式审核还是实质审核,也有待进一步探讨。
第31条 专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或者备案。具体办法由国务院电信主管部门会同有关部门制定。
【解读】
本条提出对专门提供在线数据处理等服务的经营者的许可或备案要求。
理解本条,首先需要解决的问题是“在线数据处理服务”指向的具体内涵,这涉及其与《电信业务分类目录》中B21类别“在线数据处理与交易处理业务”服务是否有所区别。对此,暂时没有明确的结论,有待进一步的法律解释或有关部门加以明确。
其次本条使用了“等”,除了“在线数据处理”还包括哪些服务,也有待进一步明确,毕竟如果纳入本条的服务范围,需要取得许可或进行备案,否则需要依据第44条承担相应的法律责任。
第32条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
【解读】
本条明确了组织、个人配合调取数据的要求。
从有权调取数据的机关和调取数据的条件看,限定在公安机关和国家安全机关,在依法维护国家安全或者侦查犯罪需要的情况下,可以调取数据。
从调取数据的程序要求看,相较于《网络安全法》第28条的规定,《数据安全法(草案)》增加了“按照国家有关规定,经过严格的批准手续,依法进行”的规定,有助于依法行政的落实,避免有权机关滥用权力。
第33条 境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的,依照其规定。
【解读】
本条明确了组织及个人向中国境外执法机构提供数据需经报批的原则性要求。
对于向境外机构提供证据材料、文件和资料,《国际刑事司法协助法》第4条第3款和《证券法》第177条第2款已经分别从刑事角度和证券监督管理角度,提出了未经境内有关主管部门同意,不得向境外机构提供证据材料、文件和资料等的要求。《数据安全法(草案)》从数据监管的角度,通过本条明确了组织及个人向中国境外执法机构提供数据需经报批的原则性要求,旨在一定程度上封堵境外执法机构的长臂管辖,有助于维护数据主权和国家安全。同时,明确了本条规定的例外情形,即我国缔结或参加的国际条约、协定对此有规定的,依照其规定,妥善解决了法律与国际条约、协定的适用问题。
关于本条中“境外执法机构”的范围问题,按照一般理解,似乎难以将境外司法机关纳入其中,对于境外司法机关调取存储在境内数据的问题,是否也需要加以规制,有待进一步研究。
此外,对于本条规定,《数据安全法(草案)》未规定相应的、明确的罚则,如果面对境外执法机构调查取证的要求,企业以此条为依据进行对抗,但却无法说明不报批的法律后果,可能作出对企业不利的认定,导致企业“出海”面临一定障碍。
第五章 政务数据安全与开放
第34条 国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。
【解读】
本条明确了国家对于电子政务建设的支持和对政务数据的要求。
电子政务建设的推进,有助于更好地提升行政效率,进一步降低行政成本,更好地发挥社会管理职能。而随着电子政务的推进,政务数据的数量、广度等都会进一步提升,但想要最大程度上发挥政务数据的价值,需要确保政务数据满足科学性、准确性和时效性的要求,否则数据存在遗漏、错误、延迟等问题,会让政务数据的价值大打折扣,甚至出现负面作用。
第35条 国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行。
【解读】
本条对国家机关收集使用数据提出了规范化要求。
从规范化要求看,主要包括以下两点:第一,基于履行法定职责的需要并在履行法定职责的范围内收集、使用数据,避免随意收集、使用数据;第二,依照法律、行政法规规定的条件和程序进行,如未经法定条件和程序,即使在法定职责范围内也不得收集、使用数据。
第36条 国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
【解读】
本条对国家机关提出了数据安全保护的要求。
政务数据数量庞大,关系国计民生、国家安全和国家主权,如果出现数据安全事件,其后果不堪设想。因此,《数据安全法(草案)》对国家机关提出了数据安全保护的要求,强调保障政务数据安全。
第37条 国家机关委托他人存储、加工政务数据,或者向他人提供政务数据,应当经过严格的批准程序,并应当监督接收方履行相应的数据安全保护义务。
【解读】
本条对国家机关委托存储、加工、向他人提供政务数据提出了规范性要求。
实践中,为了对数据进行分析整理或者基于提供公共职能服务需要,国家机关委托存储、加工或向他人提供政务数据的情形并不少见。由于此前规制较少,不乏未经审批程序而直接通过微信对外发送数据等政务数据不规范对外提供的案例。《数据安全法(草案)》通过本条强化了委托存储、加工和向他人提供政务数据的审批要求和监督履行数据安全保护义务的要求,旨在降低政务数据在该等环节出现数据安全事件的概率。
第38条 国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。
【解读】
本条明确了政务数据公开为常态、不公开为例外的要求。
《政府信息公开条例》第5条规定了政府信息公开为常态、不公开为例外的要求,本条明确了政务数据公开为常态、不公开为例外的要求。实践中,部分省市已经开始了政务数据公开的探索,我们整理了现有的地方政务数据公开方面的规定,以供参考:
续表
第39条 国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
【解读】
本条明确了政务数据开放平台的构建要求。
通过构建统一规范、互联互通、安全可控的政务数据开放平台,有助于统一规范政务数据的开放与管理,依法有序进行政务数据的开放利用。从实践探索角度看,贵阳市政府数据开放平台(网址:data.guiyang.gov.cn/city/index.htm)于2017年1月初正式上线运营,根据平台数据显示,截至2020年7月20日,平台已开放14416342条数据,2729个数据集,384个API,涉及44个市级部门、13个区县。
第40条 具有公共事务管理职能的组织为履行公共事务管理职能开展数据活动,适用本章规定。
【解读】
本条明确了对具有公共事务管理职能的组织开展数据活动的要求。
《数据安全法(草案)》第34到第39条规制的主体均为国家机关,本条将具有公共事务管理职能的组织履行公共管理职能开展数据活动的情形也纳入前述规定的适用范围。例如,国家科技管理信息系统公共服务平台由中国科学技术信息研究建设运行并提供相关技术服务,负责对中央财政科技计划(专项、基金等)的需求征集、指南发布、项目申报、立项和预算安排、监督检查、验收结果等进行全过程信息管理,并主动向社会公开非涉密信息。中国科学技术信息研究所为运行该平台开展数据活动,应当适用前述规定。
第六章 法律责任
第41条 有关主管部门在履行数据安全监管职责中,发现数据活动存在较大安全风险的,可以按照规定的权限和程序对有关组织和个人进行约谈。有关组织和个人应当按照要求采取措施,进行整改,消除隐患。
【解读】
本条明确了数据安全监管的约谈制度。
与《网络安全法》第56条规定的网络安全监管的约谈制度相类似,数据安全监管也将约谈制度法定化。但区别于前述《网络安全法》规定约谈主体为“省级以上人民政府有关部门”,本条对约谈主体的规定为“有关主管部门”,未明确主管部门的层级要求,如不加以必要限制可能会造成约谈制度的滥用。
此外,从立法体例的角度看,相较于《网络安全法》将约谈制度规定在第五章“监测预警与应急处置”而不是第六章“法律责任”,《数据安全法(草案)》将约谈制度作为法律责任的一条,是否合适,有待进一步论证。一般理解,约谈是偏柔性、非强制性的监管措施,而法律责任是以强制力为保障的权利救济机制。
第42条 开展数据活动的组织、个人不履行本法第二十五条、第二十七条、第二十八条、第二十九条规定的数据安全保护义务或者未采取必要的安全措施的,由有关主管部门责令改正,给予警告,可以并处一万元以上十万元以下罚款,对直接负责的主管人员可以处五千元以上五万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
【解读】
本条明确了未履行数据安全保护义务的法律责任。
从法律责任形式看,本条基本借鉴了《网络安全法》第59条对于未履行网络安全保护义务的法律责任的规定,主要包括责令改正、警告、对组织罚款和对直接负责的主管人员罚款等,拒不改正或者造成大量数据泄露等严重后果的罚款金额会有较大幅度的上升。
第43条 数据交易中介机构未履行本法第三十条规定的义务,导致非法来源数据交易的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得的,处十万元以上一百万元以下罚款,并可以由有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
【解读】
本条明确了数据交易中介机构相关的法律责任。
若数据交易中介机构未要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录,导致非法来源数据交易的,需要根据本条承担责令改正、没收违法所得、罚款、吊销相关业务许可证或者吊销营业执照的法律责任。其中,吊销相关业务许可证或者吊销营业执照的处罚,对于数据交易中介机构而言是最重的处罚,将直接决定数据交易中介机构后续无法继续从事数据交易中介服务。
第44条 未取得许可或者备案,擅自从事本法第三十一条规定业务的,由有关主管部门责令改正或者予以取缔,没收违法所得,处违法所得一倍以上十倍以下罚款;没有违法所得的,处十万元以上一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
【解读】
本条明确了未经许可或备案专门提供在线数据处理等服务的法律责任。
专门提供在线数据处理等服务,需要取得许可或备案方能进行。未经许可或备案,将面临责令改正、没收违法所得、罚款的法律责任,甚至被取缔,责任还是较重的。
第45条 国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。
【解读】
本条明确了国家机关不履行数据安全保护义务的法律责任。
从条文对应上,本条主要规定的是第36条的相应法律责任。但第37条,即委托存储、加工、向他人提供政务数据,也可以纳入本条的法律责任的适用范围。需要指出的是,本条并未限制条件,即未要求造成数据安全事件等严重后果才适用,也就意味着,在日常数据安全检查等过程中发现国家机关不履行本法规定的数据安全保护义务的,就可以触发本条的法律责任。
第46条 履行数据安全监管责任的国家工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
【解读】
本条规定了国家工作人员玩忽职守、滥用职权、徇私舞弊的法律责任。
《刑法》397条对滥用职权罪、玩忽职守罪进行了规定,并对徇私舞弊情况下犯前述罪进行了规定。履行数据安全监管责任的国家工作人员,玩忽职守、滥用职权、徇私舞弊触犯刑事犯罪的,依照前述《刑法》规定承担相应责任;尚不构成犯罪的,依法给予处分,旨在督促国家工作人员切实履行数据安全监管责任。
第47条 通过数据活动危害国家安全、公共利益,或者损害公民、组织合法权益的,依照有关法律、行政法规的规定处罚。
【解读】
本条明确了数据活动危害国家安全、公共利益、公民、组织合法权益的法律责任。
本条并未直接规定数据活动在危害国家安全、公共利益、公民、组织合法权益情况下具体的法律责任,而是适用有关法律、行政法规的规定处罚。但本条使用的词语是“处罚”,相对应的应承担行政责任,而民事责任、行政责任都不适用“处罚”的表述。推测来看,似乎是依据《国家安全法》《网络安全法》等相关法律、行政法规进行处罚。但整体来说,本条规定可能造成执行上的困难和法律责任的不明确,而且本条与第48条的衔接问题,也有待进一步论证。
第48条 违反本法规定,给他人造成损害的,依法承担民事责任。
违反本法规定,构成违反治安管理处罚行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
【解读】
本条明确了民事、刑事责任及治安管理处罚的衔接性规定。
本条与《网络安全法》第74条“违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任”。基本一致,明确了民事、刑事责任及治安管理处罚的衔接性规定。
第七章 附则
第49条 涉及国家秘密的数据活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。
开展涉及个人信息的数据活动,应当遵守有关法律、行政法规的规定。
【解读】
本条明确了涉及国家秘密的数据活动和涉及个人信息的数据活动的法律适用。
通过本条的规定,妥善解决了涉及国家秘密的数据活动的和涉及个人信息的数据活动的法律适用,避免了法律之间的交叉和冲突。
第50条 军事数据安全保护的办法,由中央军事委员会另行制定。
【解读】
本条明确了军事数据安全保护的适用规定。
同《网络安全法》第78条规定“军事网络的安全保护,由中央军事委员会另行规定”相类似,本条规定军事数据安全保护的办法由中央军事委员会另行制定。
第51条 本法自 年 月 日起施行。
【解读】
本条规定了法律的施行时间。
鉴于《数据安全法(草案)》尚处于征求意见阶段,正式施行日期有待立法正式通过后确定。
作为数据安全领域的基本法律,《数据安全法(草案)》的制定对于我国数据安全管理具有重要意义。虽然尚处于草案阶段,很多问题仍有待进一步完善和论证,但整体反映出的数据安全要求和立法精神,仍然需要企业予以高度重视,并提前开展相应的数据安全合规安排。