2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《数据安全法》三审稿,该法将于2021年9月1日起正式施行。《数据安全法》全文共七章五十五条,分别从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放的角度对数据安全保护的义务和相应法律责任进行规定。本文将对《数据安全法》的立法沿革和重点条款进行解读,以期帮助市场参与者在新法生效前及时做好数据安全建设,降低合规风险。
一、《数据安全法》的立法沿革
2020年6月28日,第十三届全国人大常委会第二十次会议对《数据安全法(草案)》进行了初次审议。2021年4月29日,中国人大网公布了《数据安全法(草案)》的二审稿。二审稿的主要亮点在于将数据分类分级制度作为数据安全的基本核心制度,强化了等保的基础作用,提出明确数据安全负责人和管理机构的要求,明确关键信息基础设施的运营者在重要数据的出境方面的义务和责任,调整数据处理服务的资质要求,加强向涉外司法机构提供数据的监管,大幅加重不履行数据安全保护义务的法律责任及拒不配合数据调取的法律责任等。
在近日通过的最终三审稿中,与二审稿相比,主要的亮点和变化体现在明确国家机关在数据安全管理的职责和配合机制,强调对重要数据重点保护,强调智能化公共服务对老年人等的适用性,完善政务数据安全保障,并进一步加大对违法行为的处罚力度。
二、《数据安全法》重点条款解读
第一章 第五条 中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
第一章 第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
《数据安全法》作为数据安全领域最高位阶的专门法,与2017年6月1日起施行的《网络安全法》一起补充了《国家安全法》框架下的安全治理法律体系,更全面地保障了国家安全在各行业、各领域保障的有法可依。
就监管机构而言,国家安全机构、公安机关、网信部门、以及工业、电信、交通、金融等主管部门均有权在各自的职权范围内对数据安全进行监督和管理。因此,《数据安全法》延续了《网络安全法》生效以来的“一轴两翼多级”的监管体系。“一轴”指国家安全机关,两翼指公安机关和网信部门,多级在行业横向范围主要体现在工业、电信、交通、金融等行业主管部门的共同参与,在行政架构方面主要体现在各地区、各部门对工作中收集和产生的数据进行安全管理上。
第一章 第十条 相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
第二章 第十六条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
第二章 第十七条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
在数据安全技术发展日新月异的背景下,立法的要求无法完全与科技发展保持同步,行业协会、评估认证专业机构和标准化机构等组织在推动技术发展、完善合规建设和实现行业自律方面的作用得到了法律的充分认可。
为了能够及时与行业的最新发展同步、参与引领行业发展的方向,建议市场参与者积极加入有关行业协会或组织,踊跃参与行业标准的讨论,积极分享企业在安全合规建设中探索出的实践经验,并以行业最佳实践为基线实时推进企业内部的合规建设。行业协会也可作为传达行业普遍面临的难题和最新技术进展的重要媒介,积极与监管形成有益、互信的良好互动。
在评估、认证方面,专业机构可基于对行业的深度认知、在咨询过程中积累的丰富行业经验,帮助行业的新进者识别合规义务和锚定风险隐患,有针对性地提出合规改进方案和措施,帮助相关企业降低合规风险。
第二章 第十五条 国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
疫情期间基于大数据的公共服务应用得到迅速的推广,与个人生活的参与深度也得到前所未有的提升。但高龄、视障等群体由于不会使用智能手机进行付款、预约等操作而举步维艰。在防疫智能应用迅速根据疫情需要进行适老化调整后,大量其他与生活息息相关的应用仍可能将部分人群排除在智能化、数字化的生活之外。《数据安全法》将智能化公共服务满足老年人、残疾人的需求列入国家重点支持的范围之内,充分体现了国家对弱势群体需求的关注。
第三章 第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
《网络安全法》第21条首次提出了数据分类分级保护制度,《数据安全法》进一步明确了相关部门在分类分级保护和重要数据保护中的职能。《数据安全法》原则性规定了数据分类分级的依据为在经济社会发展中的重要程度和遭到篡改、泄露等情形时的危害程度。由于不同行业、不同地区数据分类分级的具体规则和考虑因素差异巨大,《数据安全法》将重要数据具体目录和具体分类分级保护制度的制定权限下放到行业主管部门和各地区国家机关,充分平衡了法律规定的普适性和灵活性。对于市场参与者而言,我们建议首先关注《工业数据分级分类指南(试行)》、《基础电信企业数据分类分级方法》(YD/T 3813-2020)、《个人金融信息保护技术规范》(JR/T0171-2020)等行业数据分级分类的国家标准,另外也需要密切关注地方行业主管部门发布的数据分类分级目录等要求。
第三章 第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
第三章 第二十三条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
第三章 第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。
《数据安全法》提出建立数据安全风险评估、安全事件报告制度、监测预警机制、应急处置机制和安全审查等制度,有望在后期逐步推出具体机制体制的主管机构、适用范围、评估审查模式等配套制度。值得注意的是,国家依法作出的数据安全审查决定为最终决定,这意味着相关具体行政行为将无法通过行政复议、行政诉讼等形式进行救济。
第三章 第二十五条 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
第三章 第二十六条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
在国际竞争逐步蔓延到数据、网络领域后,各国之间的摩擦频发。例如2020 年8月,美国以保护国家安全为由,要求字节跳动出售TikTok应用程序及业务。美国对 TikTok 的封杀反映了《外国投资审查现代化法》对涉及美国公民敏感信息和来自于特殊国家投资项目严加审查的立法和执法态度。我国《数据安全法》一方面明确维护国家安全和利益、履行国际义务可作为禁止相关数据出口的合法依据,另一方面明确了对外国在数据领域的投资、贸易歧视可采取对等反制措施的立法主张,充分体现了我国在网络数据空间主张数据主权的立法思想。
第四章 第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第四章 第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
第四章 第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
第四章 第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
《数据安全法》明确了开展数据处理活动的市场参与者应当建立完善的数据安全管理制度、进行安全教育培训、风险监测和报告,采用技术手段落实内部制度的规定。因此,数据安全合规制度的建设已成为企业应当履行的法律义务。《数据安全法》延续《网络安全法》的规定,对重要数据提出更高的数据保护要求,具体的法律义务包括明确数据安全负责人和管理机构、开展风险评估并报送报告、符合数据出境安全管理要求等。就风险评估本身而言,关于评估的具体主体、报告报送的对象、评估的频率有待后续立法进一步明确。
《数据安全法》也在法律责任的部分明确了不履行第二十七、二十九、三十条规定的数据安全保护义务、尚未造成数据泄露等后果的,主管部门也可以采取责令改正、警告、罚款等行政处罚措施。在相关制度不健全,且拒不改正或造成大量数据泄露等严重后果的,主管部门则可以责令暂停相关业务、停业整顿、吊销许可证或营业执照和处以罚款。
第四章 第三十三条 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
第五章 第三十四条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
《数据安全法》特别对从事数据交易中介服务的市场参与者提出额外的安全保护要求。就数据交易中介服务本身而言,《数据安全法》尚未给出明确的范围,相关市场参与者可参考《数据交易服务安全要求》中“帮助数据需方和供方完成数据交易的活动”对自身的业务属性进行定位。
就中介机构需要进行审核的内容而言,《数据安全法》要求中介机构审核交易双方的身份,关于审核的具体内容、进行形式审核或实质审核、供需方的合规风险是否传导到中介机构等内容还有待立法和司法的进一步明确。
就数据处理的行政许可而言,《数据安全法》为后续数据交易的准入预留了口子。结合近期的立法和监管动向,例如《征信业务管理办法(征求意见稿)》和人行批准个人征信业务许可,后续可能会在多行业、多领域对市场的准入等环节加强监管。
第五章 第三十八条 国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
第五章 第三十九条 国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
第五章 第四十条 国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
政务数据已成为促进政府科学决策、提高公共管理效能的重要资源,疫情催生的大量公共服务数据采集、分析工具也进一步提升了政务数据的体量和质量。《数据安全法》敏锐洞察到政府履职过程中收集、使用数据的安全合规、数据保密、数据共享和委托第三方设计、运维电子政务系统带来的安全问题,并要求相关国家机关制定完善的数据安全管理制度、严格的批准程序以应对实践中存在的数据泄露等安全风险。
第六章 第四十一条 国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。
第六章 第四十二条 国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
在数据安全保障的大前提下,《数据安全法》明确了政务数据以公开为原则、不公开为例外的基本理念。在政务数据的互联互通方面,基于实践中普遍存在的政务数据“不愿开放、不敢开放、不会开放”孤岛,《数据安全法》要求在国家层面建立政务数据开放平台,并通过政务数据开放目录的形式应对政务数据领域数据资源碎片化、政务发展不均衡、政务协同缺乏互信基础等现实问题。
三、结语
《数据安全法》明确指出国家支持数据安全检测评估、认证等专业机构依法开展服务活动。在数据安全的评估认证方面,中国信息通信研究院(以下简称“中国信通院”)以“准确度量企业的数据安全治理能力现状,合理规划数据安全治理能力提升路径”为目标,推出了国内首个市场化的“数据安全治理能力评估”(以下简称“DSG评估”)项目。DSG评估为企业建设、度量、改进自身的数据安全治理体系提供了方法论和操作指南。在充分厘清法律合规义务的基础上,DSG评估基于国家、行业标准和行业最佳实践,可为参评企业明确指出当前安全合规建设的不足并给出相应的改进建议,从而帮助企业锚定安全风险和提升合规建设。(有意向参评和交流者可联系李雪妮,lixueni@caict.ac.cn,13581661287)
《数据安全法》要求开展数据活动应当采取相应的技术措施和其他必要措施以保障数据安全。隐私计算技术通过使用相关密码学技术和可信硬件,有助于在保护数据本身不出本地、减少对外泄露风险的前提下实现数据的融合建模计算,避免数据被泄露、盗用、滥用。中国信通院已推出隐私计算系列标准和相应的测试评估。目前的标准体系包括《基于多方安全计算的数据流通产品 技术要求与测试方法》《基于联邦学习的数据流通产品 技术要求与测试方法》《基于可信执行环境的数据计算平台 技术要求与测试方法》和《区块链辅助的隐私计算技术工具 技术要求与测试方法》4个功能性标准,隐私计算产品安全性能相关标准和测试方法制定工作也正在推进中。(有意向参评和交流者可联系袁博,yuanbo@caict.ac.cn)
附录:《数据安全法》的义务主体及义务清单
作者简介
仵姣姣,中国信息通信研究院云计算与大数据研究所工程师,主要研究方向为数据交易、数据流通、数据安全等。联系方式:wujiaojiao@caict.ac.cn
声明:本文来自中国信通院CAICT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。