【涉及国家秘密信息的数据处理活动,统计、档案工作中的数据处理活动,涉及个人信息的数据处理...
开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。
在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。
【释义】
本条规定了涉及国家秘密息的数据处理活动,统计、档案工作中的数据处理活动,涉及个人信息的数据处理活动的法律法规另行适用与衔接要求,明确了具体类型的数据保护与《数据安全法》的关系,奠定了《数据安全法》作为保护各类数据安全的基本规则的地位,明确了《数据安全法》与其他相关法律、行政法规的一般法与特别法关系。
本条第1款规定了涉及国家秘密的数据处理活动,适用《保守国家秘密法》等法律、行政法规。该款规定在《数据安全法〈一审稿〉》《数据安全法(二审稿)》及正式文本中的表述一致。数据是国家基础性战略资源,没有数据安全就没有国家安全。《数据安全法》贯彻落实总体国家安全观,聚焦数据安全领域的风险隐患,加强国家数据安全工作的统筹协调。关于“国家秘密”的定义,《保守国家秘密法》第2条规定:“国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。”可见,国家秘密数据是具备保密的必要性、非公开性和不可滥用性等特征的特殊数据。[1]因此,国家秘密的保密性固然决定其敏感性,故其数据处理活动的保护方式有别于其他个人数据、企业数据和公共数据。从内在构成上讲,我国保密法律体系主要由《宪法》《档案法》《保守国家秘密法》《国家安全法》《档案法实施办法》《保守国家秘密法实施办法》和《国家安全法实施细则》等法律法规构成。[2]1988年《保守国家秘密法》对国家秘密的认定和分级制度做了详细规定,第9条规定的七项国家秘密范围清晰直白,并在操作层面设计了一套完整的定密依据规范,即第10条和第11条的规定:“国家秘密及其密级的具体范围,由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关机关规定。”“各级国家机关、单位对所产生的国家秘密事项, 应当按照国家秘密及其密级具体范围的规定确定密级。”
《保守国家秘密法》的立法出发点在于维护国家安全与利益,而非数据的开发利用。涉及国家秘密息的数据处理活动必然面临保密与公开的协调性问题,也是数据安全与数据开放的衡量问题。首先,多源信息融合技术的发展模糊了国家秘密与非秘密之间的界限,既有的《保守国家秘密法》无法涵盖非国家秘密数据的获取、加工、处理和流转,因而产生了国家数据治理范围扩张的安全需求。传统上被认为与国家秘密无关的数据在达到一定规模后,通过与其他数据进行汇聚、整合、分析,很可能造成危害国家安全和社会公共利益的严重后果。以住房空置率为例,单纯的人口普查信息或许难以得出准确的结论,但如果结合海量的快递订单和水电运行数据,在某一区域甚至全国范围内得出准确的房屋空置率并非难事。[3]相似的方法如果应用在国防安全、军事等领域,可能会暴露我方的重要军事目标、泄露敏感地理信息。[4]国家秘密在公开与保密之间如何权衡,做到有进有退,全面协调。现代社会公认的道理是,公共事务上“公开是原则,保密是例外”,个人隐私则“保密是原则,公开是例外”。《保守国家秘密法》第4条明确指出保密工作要求“既确保国家秘密安全,又便利信息资源合理利用”。
采取分级分类管理的定密、解密以及其他管理方法,才能在政府权力和公民权利之间实现双赢。
本条第2款规定了对于统计、档案工作中的数据处理活动,涉及个人信息的数据处理活动的法律适用问题。《数据安全法(一审稿)》中仅强调了“开展开展涉及个人信息的数据活动,应当遵守有关法律、行政法规的规定”,《数据安全法(二审稿)》中对于“有关法律、行政法规”的表述进一步精确为“个人信息保护法律、行政法规”,两次草案审议稿并未单独设置“在统计、档案工作中开展数据处理活动”的法律适用,《全国人民代表大会宪法和法律委员会关于〈中华人民共和国数据安全法(草案三次审议稿)〉修改意见的报告》中有常委委员建议:“在本法中对与统计、档案有关的数据处理活动的法律适用问题作出衔接性规定。”[5]正式出台的《数据安全法》予以采纳,按照特殊法优于一般法的原则,对统计、档案工作中数据处理活动的法律适用问题进行了规定。
统计、档案工作中的数据处理活动具有特殊性。第一,统计和档案工作中的数据处理活动具有一定的保密性。统计工作和档案工作中,因为很多档案和统计资料是不对外公开的,特别是涉及国家秘密、商业秘密、个人隐私等内容的档案更要进行严密的保管。统计资料数据和档案数据既有一般数据共有的物理性、信息性、共享性等特性,又有其产生环境赋予的真实性、完整性、保密性等特征。[6]第二,统计和档案工作中的数据处理活动均存在为公共利益使用个人信息的情形,在利用这些数据进行数据处理活动时是要求去标识化。《档案法》第28条第3款规定:“利用档案涉及知识产权、个人信息的,应当遵守有关法律、行政法规的规定。”《统计法》第25条[7]规定了能够识别、推断统计调查对象身份的统计资料的保护,强调在统计工作中应当注重保密工作,以保护统计调查对象的合法权益。除统计调查中的国家秘密、商业秘密和个人信息外,统计机构、统计人员以及其他单位、个人还应当依照本条规定,对统计调查中获得的能够识别或者推断单个统计调查对象身份的资料保密,不得对外提供、泄露。欧盟《一般数据保护条例》(GDPR)第89条规定了“为了实现公共利益、科学或历史研究或统计目的处理中的安全保障与克减”规则,规定“为了实现公共利益、科学或历史研究或统计目而处理,应当采取符合本条例的恰当防护措施,保障数据主体的权利与自由。这些防护措施应当确保,为了保证数据最小化原则,已经采取技术与组织性的措施”。[8]提出对个人数据进行匿名化处理来实现安全保障,但为实现公共利益、科学或历史研究或统计目的处理可以对个人的权利进行克减,在具体情形下实现公共利益与个人利益的权衡。目前,我国《档案法》和《统计法》在档案数据安全和统计数据安全方面未有所着墨[9],在《数据安全法》的规则指导下,今后法律修改会进行相应补充。
第2款还规定了开展涉及个人信息的数据处理活动的法律适用。《数据安全法》将数据和个人信息进行了区分,《个人信息保护法》与《民法典》对“个人信息保护”立法思路一脉相承,与已有的《网络安全法》也有立场和体系的不同安排。相比较而言,《数据安全法》更加强调总体国家安全观,对国家利益、公共利益和个人、组织合法权益给予全面保护,也加大了惩罚力度;而《个人信息保护法》侧重于对个人信息、隐私等涉及公民自身安全的保护。《个人信息保护法》第4条规定“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”,而《数据安全法》规定的数据是指“任何以电子或者其他方式对信息的记录”,“数据”与“个人信息”的概念是包含关系,在《数据安全法》与规范数据或信息的其他法律的关系上,特别是与《个人信息保护法》的关系上,鉴于《数据安全法》是规范数据安全的专门法律,因此凡是与数据或信息安全有关的规范,均应纳入《数据安全法》中。[10]
此外,在第2款的法律适用上《数据安全法》较《数据安全法(二审稿)》增加了“还”字,强调在统计、档案工作中开展数据活动及开展涉及个人信息的数据处理活动既要遵守《数据安全法》的规定,也要遵守《档案法》《统计法》等有关法律和行政法规。《数据安全法》与现行的《档案法》《统计法》是一般法与特殊法的关系。如果《数据安全法》和有关法律、行政法规具体条文存在竞合或冲突,应当按照不同位阶的法律上位法优于下位法,同一位阶的法律按照特殊法优于一般法、新法优于旧法的原则处理。
【关联规定】
《中华人民共和国保守国家秘密法》第2条、第4条、第9条,《中华人民共和国统计法》第25条,《中华人民共和国档案法》第2条、第28条
(撰稿人:程喆)