6月28日,第十三届全国人大常委会第二十次会议初次审议《中华人民共和国数据安全法(草案)》(以下简称《草案》)。7月3日,《草案》在中国人大网公布,面向社会公开征求意见。《草案》明确了哪些要求?北京师范大学网络法治国际中心执行主任吴沈括对《草案》文本进行了解读,让你一目了然。

当前,数字化转型不断发展,数据资源迅猛增多,数据流转已经形成一个完整的生态链,涉及数据收集、存储、加工、使用、交付、流通等诸多环节。

《草案》的公布,标志着我国将数据治理的政策要求,通过法律文本的形式予以明确和强化。

《草案》明确提出保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益等核心要求,将成为数据要素国家战略的重要法制支撑。

在安全设计层面,《草案》赋予了中国的数据治理理念更为丰富的内涵。数据活动和数据治理不仅应当具备合法性,还应当具备安全性并且合乎伦理。实际上,《草案》的数据治理理念设计是合法设计、伦理设计和安全设计三个设计理念的汇合。

在制度设计层面,《草案》的主干构建了数据安全职能体系、数据安全应急处理机制和数据执法制度:

在总则部分,《草案》明确了中央国家安全领导机构负责数据安全工作的决策和统筹协调,研究制定、指导实施国家数据安全战略和有关重大方针政策。各地区、各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任。

而在《草案》第二章“数据安全与发展”中,第十二条到第十八条从数据安全检测评估、认证等服务、数据交易管理制度、数据开发利用技术和数据安全专业人才培养等方面进一步丰富了数据安全职能体系。

需要指出的是,数据安全法并不局限于狭义的数据安全,而是立足国家安全的总体布局,为此立法者设计了一整套数据安全职能体系。

《草案》中提及对数据实行分级分类保护,各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判、预警工作。

《草案》第三章“数据安全制度”中提及,国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。

《草案》第二十九条与《网络安全法》的相关条文相呼应,它强调了对收集、使用数据的合法性原则以及必要性原则,体现了《草案》在立法上对现有实践的回应和强化。

而针对数据执法制度(也可理解为数据执法的配合制度)这个当下数据安全国际治理领域的重大热点问题,《草案》强调了对内和对外两个制度要求:

  • 对内,公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。

  • 对外,境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。

同样值得肯定的是,《草案》第三十五条到第四十条,针对数据安全管理制度的建立、政务数据的监督安全保护义务、政务数据开放目录的制定等方面,都突出强调了“依照法律、行政法规规定”的基本要求。

从《草案》目前的制度设计中不难看出,数据安全工作既会涉及到技术安全要素,也会涉及到组织管理要素,同时还会涉及到在线内容要素等诸多方面。

在此意义上而言,无论是个人、组织、公共单位还是私营部门,在数据安全保障以及数据活动开展的过程中,都需要站在维护人民利益的高度,打造更为全面和立体的技术组织安全体系和合规风控机制,这也是数据安全立法本身蕴含的重要行为指引意义和价值导向意义。

✿本文作者吴沈括系北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长。

声明:本文来自网络传播杂志,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。