【数据安全保护义务履行方式】
开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
【释义】
本条强调了开展数据活动的合规性要求以及重要数据处理者的管理责任。该条与第3章国家建立数据安全制度相关联,是对开展数据活动主体设置的安全保护义务[1]。
经济合作与发展组织,简称经合组织(OECD),1980年颁布了《隐私保护和个人数据跨境流通指南》(OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data),该指南第11条确立了安全保护原则(Security Safeguards Principle)[2]。
数据安全是指数据控制者应当妥善地储存其所收集的个人数据,并采取合理的安全保护措施,防止发生未经授权的数据丢失、泄露、修改、适用或毁坏等风险。要保障数据安全,不仅需要限制数据的用途和公开,还应当辅之以合理的安全保护措施[3]。该条明确了开展数据活动应当采取的数据安全保障措施,即一是建立健全全流程数据安全管理制度;二是组织开展数据安全教育培训;三是采取相应的技术措施和其他必要措施;四是重要数据的处理者应落实数据安全保护责任[4]。《网络安全法》《个人信息保护法》《数据安全管理办法(征求意见稿)》也有类似的条文,作为我国“数据安全领域的基础性法律”[5],《数据安全法》成为国家安全法律体系的重要组成部分,与《网络安全法》《个人信息保护法》等一起构成中国数字经济发展与安全的制度保障[6]。
数据中本身蕴含着可以被解读和分析的国家政治、经济、军事各方面重要信息,因而需要加以保护。同时,随着数据生产和使用的日益扩展,对于国家而言,数据已经成为基础性战略资源[7]。而数据的控制和运用,对社会产生了显著影响,也就形成了一种支配性权力的特征,从而也可能对国家治理权力的实施效果乃至基本结构产生重要影响。因此,对于数据安全的重视,被上升到“数据主权”这一层面,数据主权成为相关立法的基本立场[8]。
此条文在《数据安全法(一审稿)》和《数据安全法(二审稿)》基础上进行了修改,将“行政法规”修改为“法规[9]”;将“国家标准的强制性要求”删除;将“重要数据的处理者应当设立数据安全负责人和管理机构”中的“设立”修改为“明确”;将“在网络安全等级保护制度的基础上”调整修改为“利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务”。
就上述修改的目的与效果而言:一是扩大了调整数据处理行为的规范性文件的范围,地方国家权力机关制定的地方性法规也可以规制数据处理活动,这使得地方性法规的规范性功能得以适用,进一步补强了数据安全管理制度。二是删除“国家标准的强制性要求”,大抵是因为数据处理活动的行为人不知或者不明知哪些是国家标准的强制性要求[10],所以作此规定意义不大。三是将“设立”修改为“明确”具有可行性[11],在实践中,如果重要数据的处理者集数据安全负责人和管理人于一身,在此情况下如何去另行设立呢?作此规定,则难以与数据处理活动的实际相符合,导致该规定流于形式,而“明确”一词,既规定了责任主体又可强化责任主体的责任,使之更具有可操作性。四是更正了《数据安全法(二审稿)》中“在网络安全等级保护制度的基础上,建立健全全流程数据安全管理制度”逻辑不能自洽的问题,在逻辑上捋顺了“利用互联网等信息网络开展数据处理活动”与“网络安全等级保护制度”的对应关系,使条文之间的联系更为严密。
本条提出了“建立健全全流程数据安全管理制度”。这里的“全流程”涵括数据的生产、加工、筛选、分析、整合、处理、转让等各环节,任何一个环节都有出现数据泄露、遗失、被窃取、篡改的可能,因此强调全流程体现了过程管理的重要性。值得说明的是,“建立健全全流程数据安全管理制度”与《数据安全法》第21条、第22条、第24条、第25条规定的“确定重要数据目录”、重要数据“重点保护”要求,对“重要数据”施以“风险评估”“安全审查”“出口管制”等管理措施,较为接近和相似,均没有设计具体可操作的制度。该种规定过于原则化,不能很好地保障“重要数据”的安全。切实构建维护国家安全的数据安全管理制度,可以从下列方面进行:一是明确重要数据的认定制度[12]。在法律中明确规定哪些是重要数据较为困难,但是我们可以规定从所涉领域、职责部门、依据标准、具体程序四个方面来认定重要数据,完成国家数据安全管理的统一制度的架构。首先,明确重要数据涉及的重要领域和认定标准,即先列出所有涉及重要数据的重要领域和行业,如能源、电子政务、金融、医疗健康、交通等,认定标准为与国家安全和重大社会公共利益有直接关系的,可以表述为“一旦泄露可能严重危害国家安全、社会稳定、经济安全、公共健康和安全”,并需要与“重要数据”的定义保持一致[13]。其次,明确重要数据认定的负责部门和相应程序。不同领域的数据具有特殊性,不同地区相同领域的数据存在较小的差异性,为了遵循法治统一性的特点,可以将各领域各行业的主管部门设立为重要数据认定的负责部门[14]。因在重要数据保护范围内的经营者应该承担强制性的监管责任,所以在相关运营者不认可主管部门的行政认定时,应享有申请复议的权利,并将该救济程序纳入重要数据认定程序当中。二是健全重要数据的重点保护制度[15]。切实维护国家安全的关键在于对重要数据匹配相应的保护措施。《数据安全法》相关制度的设计仍过于原则化,还需要健全和完善。以《数据安全法》第30条规定的重要数据处理者定期开展“风险评估”制度为例,建议结合第22条“国家建立集中统一、高效权威的数据安全风险评估”机制,明确规定重要数据的处理者每年度需要评估的次数、评估的主体、谁来承担费用、对评估结果的处理。如果将该项工作交由数据安全检测评估机构承担,因重要数据涉及国家的安全,建议后续如出台司法解释时应增加数据安全检测评估服务机构许可准入制度,规定该服务机构的准入资质要求、测评的标准、流程、测评结果运用及保密义务等[16]。但考虑到企业的负担,建议增加:“重要数据安全风险评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。”
另外,值得思考的是,“……在网络安全等级保护制度的基础上,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全”。该条的规定似乎缺少主语,换言之,谁负有上述义务,承担上述责任。是第6条中的“各地区、各部门”,还是“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门”,又或是“公安机关、国家安全机关”,“主语”有待进一步明确。此外,“相应的技术措施和其他必要措施”系概括性规定,此条规定系法的模糊性,何谓“相应的技术措施和其他必要措施”[17],这里面既是一个事实判断的问题,又是一个面临诉讼时的举证责任问题,有必要对此进行廓清或释明,必要时还应出台相应的司法解释,否则极易导致适用上的混乱。笔者认为,“相应的技术措施和其他必要措施”应包括以下关键环节,即明确数据分级分类、数据角色授权、数据安全过程场景化管理,构建数据安全流程管理制度、数据安全应急管理机制等,闭环管理数据安全,及时根据政策合规与制度规范提升需求,滚动修订数据安全的制度、流程、标准,保障数据安全的规划、计划、实施、运行、监督的全程管控。
【关联规定】
本法第21条、第22条、第24条、第25条、第30条,《中华人民共和国网络安全法》第9条、第10条,《中华人民共和国个人信息保护法》第9条、第11条,《数据安全管理办法(征求意见稿)》第6条。
(撰稿人:刘建、赵精武)