我们已经迈入“大数据时代”,数据安全成为这个时代特有的安全重点。2020年4月9日,作为中央第一份关于要素市场化配置的文件,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》(以下简称《意见》)对外公布。数据作为一种新型生产要素写入文件中,《意见》明确,加快培育数据要素市场,推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护。生产要素的安全关系着国计民生的方方面面,从这个高度上看,也就不难理解数据安全法作为数据法中的基本法意义及其时代作用了。

一、数据安全保护与现有立法

我国的数据安全工作并非一张白纸,2016年发布的《网络安全法》就重点规范了网络数据的安全,其规范数据安全的条文共八条,广泛分布在第一章总则、第二章网络安全支持与促进、第三章网络运行安全和第六章法律责任中。分别规定了维护网络数据的完整性、保密性和可用性的安全原则(第10条);鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放的总方针(第18条);采取数据分类、重要数据备份和加密等数据安全保护措施以防止网络数据泄露或者被窃取、篡改,任何个人和组织不得窃取网络数据的网络安全义务(第21、27条);重点保护关键信息基础设施的数据,要求其存储在境内,并对重要系统和数据库进行容灾备份(第31、34、37条);并对违反数据安全保护义务和违法境外存储、向境外提供关键基础设施数据的,规定了罚则。(第66条)。

7月伊始,我国又公布了《数据安全法》草案(以下简称草案)更全面深入地保护数据安全,迎接随着数字经济、人工智能和物联网的飞速发展带来的安全挑战。总体上,草案对网络数据的保护遵循和细化了《网络安全法》的规定,但它所保护的数据并不限于网络数据,还包括了“非电子形式对信息的记录”,所以,草案又扩大了《网络安全法》的数据保护范围,保护对象更为宽泛,甚至涵盖了“以各种文字、图表、声像等不同形式的历史记录”——档案,和我国的《档案法》也形成了部分重合的关系。这么一个广泛丰富的保护范围,也是数据作为生产要素的资源性特点所决定的。而草案保护这一重要生产要素的一系列的数据安全法律制度,从全生命周期视角予以设计,凸显专业性和复杂性,也使草案设定的数据安全保护责任普遍化的实现带来不小挑战。

全面的数据安全管理制度

数据安全工作是专业性的活动,草案里更是从方方面面规定了数据安全专业管理的各项制度,可以从国家、政府层面的数据安全监管制度、组织层面的数据安全监管制度和数据安全配套制度三个层面来予以分类和理解。

(一)国家、政府层面的数据安全监管制度

1.数据分级分类保护制度。(第十九条)对数据进行分级分类保护是草案定下的基本保护制度,分级分类的标准是“数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度”,不同安全级别和类别的数据将设定不一样的法律保护责任和义务。

确定重要数据并予以专门保护是分级分类保护数据的核心内容之一。考虑到各地区、部门和行业存在的差异,草案规定由各地区、各部门确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。

2. 数据安全风险评估、报告、信息共享、监测预警制度。(第二十条)草案规定,国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判、预警工作。事实上,数据安全风险评估这一制度作为网络安全风险评估的一个内容,网络安全的法律法规也都有涉及,也是不少国外企业安全合规要做的一个内容,但是草案明确规定了国家层面的数据安全风险评估、报告、信息共享、监测预警制度,是将其从网络安全风险评估中单列和分离出来,设立国家层面的相应机制。

3. 数据安全应急处置制度。(第二十一条)草案将建立数据安全应急处置机制作为国家一项重要职责写入法律,规定:发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。根据这一规定,有数据安全职责的主管部门都将建立起数据安全应急处置制度,在数据安全事件发生后,及时有效而又合规地予以应对。这一制度应包括:制定预案,明确触发应急预案的事件范围和影响程度,部门人员报告安全事件的职责,启动应急处置预案的具体组织、个人及其相应职责,对应安全事件级别,采取消除安全隐患的程序、方法,根据危害的影响而与内外部门的信息共享,决定向社会发布与公众有关警示信息的程序、具体执行组织和个人。

4. 数据安全审查制度。(第二十二条)即国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。这一指导性规定,将会成为我国相关部门建立数据安全审查制度的法律依据,也将会成为相关部门开展数据安全国家审查部门的法定授权。这一职权无疑非常重大,草案在本条还明确规定,“依法作出的安全审查决定为最终决定。”

5.数据出口管制制度。(第二十三条)草案规定了基于安全的数据出口管制制度,规定:国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制。所以数据出口管制制度只针对属于管制物项的数据,而决定数据是否被列入管制清单,是基于履行国际义务和维护国家安全相关事项。

(二) 企事业单位、组织层面的安全管理制度

1. 全流程数据安全管理制度。(第二十五条)草案规定,开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全全流程数据安全管理制度。全流程的数据安全管理制度涵盖了数据从收集、处理、储存、使用到处理的整个过程,需要企业组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。

在全流程数据安全管理制度方面,要贯彻重要数据管理的保护,草案规定,重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。

2. 风险监测制度。(第二十七条)这是对开展数据活动的要求。风险监测制度需要明确开展数据活动时的风险监测人或组织,制定发现数据安全缺陷、漏洞等风险时候的响应计划,包括向上报告、立即采取补救措施,并在事件发生后总结经验,完善风险监测制度

3. 重要数据的风险评估制度。(第二十八条)草案规定,重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。

(三)数据安全配套制度

与上述管理制度相配套,促进数据安全与发展宗旨实现的,还有数据交易管理制度、数据贸易对等制裁机制和政务数据开放制度。

1. 数据交易管理制度(第十七条和第三十条)。安全不是目的,安全是发展的保障。为了安全的发展,草案规定国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。并规定从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。

2. 数据贸易对等制裁机制。(第二十四条)安全必须具备对抗的能力,为有效应对他国侵犯我国数据主权的行为,草案规定,在任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区采取相应的措施。

3. 政务数据开放制度。(第三十八条、第三十九条)在数据安全法里明确规定政务数据开放有着非常积极的意义。一是通过建立以公正、公平、便民为原则的数据开放制度,防止安全工作的极端化,违背安全发展的本意;二是数据开放的制度化也有利于通过建立和完善这一开放的制度而保证在开放中维护数据安全。所以,草案规定了及时、准确公开政务数据的要求,也规定了制定数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。

三、责任普及的解读

数据安全制度随着数据这一生产要素的生产和应用一起,全面深入国家的各项工作和人民的生活。随着数据安全制度的全面建立,数据安全的责任也在不断增加和细化。纵观草案的内容,就有四种概念来表达国家、企事业组织和个人,在数据安全方面的责任。

1.主体责任

草案第七条规定,各地区、各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任。主体责任在这里可以有三层涵义:一是主体责任是对自身占有数据的责任,这种占有者责任区分与对他人管理数据进行监督保护的责任;而是主体责任主要一种管理职责,各地区和各部门对本地区和本部门的数据活动及数据安全负有主要管理责任,这一职责和各地区、各部门对数据享有的职权直接对应;二是地区和部门可以成为数据安全责任主体,虽然地区和部门的准确涵义需要进一步的确定,但这里明显是一种单位责任,而非个人责任。

2.监管责任

草案中对数据的安全监管责任作为一种行业安全监管职责,做出了明确的规定,包括:

(1)一般行业监管责任:工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责。

(2)安全机构的监管责任:公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。

(3)网信部门的监管责任:即国家网信部门依法承担统筹协调网络数据安全和相关监管工作的责任。这一监管责任和主体责任都放在第七条,却有着不同性质,主体责任承担依据的是地区、部门自身具有的数据安全职责;监管责任则是在其职责管辖范围内,对其他主体的数据安全责任进行监督和管理。

3.安全保护责任

对于国家机关履行职责时收集、使用的数据,草案规定了数据安全的保护责任,即国家机关应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序,对数据安全进行保护。进一步地,国家机关还应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。(第三十六条)在国家机关委托他人存储、加工政务数据,或者向他人提供政务数据,应当经过严格的批准程序,并应当监督接收方履行相应的数据安全保护义务。(第三十七条)

4.数据安全的义务

对于行业主管部门和政府机关以外其他的企事业单位、组织和个人而言,也有数据安全方面的责任,包括:

(1)收集、使用数据合法合规的义务。即任何组织、个人收集数据,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。另外,法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。(第二十九条)

(2)配合数据安全侦查的义务。即对于公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要,按照国家有关规定经过严格的批准手续、依法进行的调取数据,有关组织、个人应当予以配合。(第三十二条)

(3)报告义务。草案还规定,境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告、获得批准后方可提供。(第三十三条)

四、草案进一步完善的建议

面对范围如此之广、且内容丰富的管理制度,要落实相应的责任,保证规定落到实处,自然不易,数据安全法作为一个普通法律,需要更多的配套法规落实。从现有的责任规定来看,实践这些制度、履行这些责任存在以下一些问题:

1. 责任增加后的授权问题

制定数据安全法,是我国依法治国、依法治网的治国理念的实现。法治注重权利义务要对等,职权和责任要平衡。我们看到,为了维护数据这个新时代重要生产物资,促进安全和发展,数据安全法撒开了一个责任的网,以保护公民、组织的合法权益,维护国家主权、安全和发展利益。那么,在依法追究增加责任的时候,我们尤其要注意以下问题:谁有权去行使权力、追究责任,如何去执行处罚,程序又是什么?数据安全法规定的责任范围宽广,责任的设置和承担方面的规定仍显得过于模糊。比如,增加的行业数据监管职权,具体履行的时候,是否需要明确履行机构;程序上又如何公开、合法以保证职权不被滥用,这些细节问题可能会直接影响到数据安全法的有效执行。

2. 增加救济制度

对于广大企事业单位和公民而言,义务和权利的对等还应表现在,当权利被侵犯或被追究责任时,不仅有正当程序予以保证,还应该有权利救济制度作保障。对于新增加的法律责任和义务,数据安全法律是否给予了相应的平衡呢?从现有草案来看,显然不够,像数据安全审查制度中还规定,“依法作出的安全审查决定为最终决定”,这是否意味着就排除了司法的审查监督权力呢?这样规定,是否也使当事人丧失了诉讼救济的机会和权利。如果是如此,那么这种最终决定的数据国家审查到底是针对那些数据安全事件,需要明确和进一步考量的。

3. 罚则的纠错与处罚功能的再考量

如果说法律惩罚的最终目的在于教育和纠错,那么在任何一项罚则的规定中,都不应为了处罚而处罚。数据时代仍存在许多数字鸿沟,一些数据违法行为也许在于教育的缺失,所以,处罚时要考虑到责任人的主观原因,考虑到事实造成的损失。罚则要考虑周全,不能一有违法行为就予以处罚,不考虑社会上存在的数字鸿沟问题。例如:

草案第三十条规定,从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。数据交易中介机构未履行本法第三十条规定的义务,导致非法来源数据交易的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得的,处十万元以上一百万元以下罚款,并可以由有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。(第四十三条)大数据时代,是否数据来源审核都可行呢?而且来源审核而且是否也涉及到保护隐私问题?这一处罚是否应当有量和质上的区分?

另外,草案第四十二条规定,第开展数据活动的组织、个人不履行全流程安全管理制度的规定、数据风险监测、数据风险评估、合法、正当的方式使用数据的安全保护义务或者未采取必要的安全措施的,由有关主管部门责令改正,给予警告,可以并处一万元以上十万元以下罚款,对直接负责的主管人员可以处五千元以上五万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。随着未来数据活动的普及,各种原因可能都会造成安全措施的缺失,这一条像个大帽子,能扣上多种情况,需要予以补充和完善。起码对于情节轻微、未造成严重后果的,应以教育、纠错为主要目的,而以此为目的,还有多种督促责任实现的手段,例如通过培训、信用、资质制度来避免由于认识不足而导致的行为错误。

4.明确处罚规定以避免口袋条款

在法律责任这一章里,我们看到有很多不明确的处罚,例如:通过数据活动危害国家安全、公共利益,或者损害公民、组织合法权益的,依照有关法律、行政法规的规定处罚。(第四十七条)违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理处罚行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。(第四十八条)

这些规定也许只是衔接条款,但是其他法律一定要给予相应的完善,否则,就会成为口袋条款,成为法律执行依据不清时的借口,为法律的执行带来不确定,为数据的发展增加法律成本和侵权隐患。

《数据安全法(草案)》的出台,使我国数据安全工作更加受到重视和瞩目,而且也必将推动我国数据安全工作走上新的台阶。我们相信,随着对草案内容进一步的讨论和完善,这部法律会更好地履行其时代使命,为国家和人民带来更多的安全福祉。

本文作者:朱莉欣 副教授

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。