《中華人民共和國數據安全法》解析

發布時間: 2021-11-08 16:25:25

來源: 市發改委

        2021年6月10日,《中華人民共和國數據安全法》(以下簡稱《數據安全法》)正式頒布,並將於2021年9月1日起正式實施。《數據安全法》(2021)將與《中華人民共和國國家安全法》(2015)、《中華人民共和國網絡安全法》(2017)、《網絡安全審查辦法》(2020)共同構成我國數據安全範疇下的法律框架。《數據安全法》作為我國第一部專門規定“數據”安全的法律,明確對“數據”的規製原則。

        一、明確將數據安全上升到國家安全範疇

        新出台的《數據安全法》第四條明確“維護數據安全,應當堅持總體國家安全觀”,並將“維護國家主權、安全和發展利益”寫入本法的立法目的條款中。隨著世界數據化進程的加快,各企業商業模式也在隨之改變,例如采用基於數據智能驅動的商業模式的公司“滴滴”,這些公司在運營過程中無可避免地涉及數據使用的一係列問題。隨著數據跨境流動等趨勢的愈發常見,數據已然轉換為關乎國家安全價值的利益形態,特別是當其掌握的數據足夠豐富時,經過數據分析處理得出的結果極可能包含國家隱私核心數據,這些核心數據的不當使用可能引發國家安全問題,主要包括涉及國家安全數據的審查、境外數據對國家安全的侵犯和相關數據的境外傳輸問題。《數據安全法》從數據全場景構建數據全監管體係,明確行業主管部門對本行業、本領域的數據安全監管職責,指出公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責範圍內承擔數據安全監管職責,而監管細節有待進一步的規定。

        1.涉及國家安全數據的審查

        《中華人民共和國國家安全法》第五十九條規定國家建立國家安全審查和監管的製度和機製,對影響國家安全的關鍵技術、網絡信息技術產品和服務等進行國家安全審查。但此條規定的國家安全審查和監管製度所需要的審查的內容眾多,其中“關鍵技術、網絡信息技術產品和服務”隻是一項,且審查重點為產品、服務本身,而對其獲取、分析、使用的數據並沒有專門的規定。而《中華人民共和國網絡安全法》第三十五條也對此做出了相應規定,但一般隻局限於網絡範圍內。對此,《數據安全法》規定了針對“數據”的國家安全審查,其第二十四條規定,國家建立數據安全審查製度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查,以此實施對相關數據的專門審查。同時,《數據安全法》明確數據處理服務提供者應當依法取得行政許可,為未來對數據處理服務市場準入環節實施準入資格監管提供了上位法依據。

        2.境外數據對國家安全的侵犯

        《數據安全法》不僅對國內範圍內的數據活動進行規範,同時其第二條規定,在中華人民共和國境外開展數據處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任,此條明確規定了境外數據侵犯國家安全屬於我國數據規範範圍。

        3.相關數據的境外傳輸

        如今數據所承載的不僅僅是個人信息和隱私,當大量的數據被分析處理,其所得出的結果有可能涉及國家重要信息和隱私。對此,《中華人民共和國網絡安全法》規定了關鍵信息基礎設施的運營者收集的數據的出境管理,在此基礎上《數據安全法》規定此外其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法由國家網信部門會同國務院有關部門製定。此款條文明確了針對“數據”的出境規製補全了以往的數據管理漏洞。

        不僅如此,《數據安全法》還對數據安全違法行為賦予了多項處罰說明,對違反國家核心數據管理製度,危害國家主權、安全和發展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,並根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。

        二、建立重要數據和數據分級分類管理製度

        《數據保護法》全文有三個條款對“數據分級”作出規定,其對數據級別的界定采用兩個方法,第一種方法是用概念表述,即“根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護”,此概念定義較為籠統,至於具體分類標準必須結合具體分級分類認定。

        二是重要數據保護目錄的製定,本法要求,國家數據安全工作協調機製統籌協調有關部門製定重要數據目錄,同時各地區、各部門應當按照數據分類分級保護製度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。

        三是本法第三十條還規定了風險評估報告製度。重要數據處理者要定期報送風險評估報告,本條增加了數據處理者的數據安全保護義務,提高對其數據保護的要求。

        三、完善數據出境風險管理

        1.《數據安全法》補充和完善了數據出境管理要求,強化境內數據出境風險控製。《數據安全法》出台之前,也有法律涉及數據境外傳輸的規定,如《中華人民共和國網絡安全法》第三十七條規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲,因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門製定的辦法進行安全評估。但由於《中華人民共和國網絡安全法》的立法目的主要是保護互聯網環境安全,對涉及國家安全的數據保護一般隻限於網絡範圍,因此有必要利用《數據安全法》對涉及國家安全的數據內容進行專門規製,《數據安全法》第三十一條繼續沿用了以上條款,同時規定此外其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門製定。

        2.《數據安全法》針對全球數據競爭形勢,作出應對性規定。其一,針對國外相關立法普遍具有域外適用效力、擴張本國立法管轄權的問題,如歐盟《通用數據保護條例》,如前所述,《數據安全法》第二條以實際後果為標準,明確將對“損害中華人民共和國國家安全、公共利益或者公民、組織合法權益”的境外數據處理活動,追究法律責任。其二,針對國外近期立法授權本國執法機構跨境調取數據,可能侵犯我國數據主權、威脅我國數據安全的問題(如美國《雲法案》),《數據安全法》第36條明確規定,非經我國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲於我國境內的數據。其三,針對我國網信企業在出海過程中頻遭他國國家安全審查等不平等對待的問題,《數據安全法》第26條明確任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方麵對我國采取歧視性的禁止、限製或者其他類似措施的,我國可以根據實際情況對該國家或者地區對等采取措施。

        四、明確規定數據安全保護義務

        《數據安全法》從多個方麵規定了相關企業的數據安全義務,包括製度管理、風險監測、風險評估、數據收集、數據交易、經營備案和配合調查等多個方麵。

        《數據安全法》明確,相關企業應在網絡安全等級保護製度的基礎上,建立健全全流程數據安全管理製度,組織開展教育培訓。重要數據的處理者應當明確數據安全負責人和管理機構,進一步落實數據安全保護責任主體。對出現缺陷、漏洞等風險,要采取補救措施:發生數據安全事件,應當立即采取處置措施,並按規定上報。並要求企業定期開展風險評估並上報風評報告。針對數據服務商或交易機構,要求其提供並說明數據來源證據,要審核相關人員身份並留存記錄。數據服務經營者應當取得行政許可的,服務提供者應當依法取得許可。《數據安全法》還明確要求企業依法配合公安、安全等部門進行犯罪調查。境外執法機構要調取存儲在中國的數據,未經批準,不得提供。

打印

《中華人民共和國數據安全法》解析

發布日期: 2021-11-08 16:25

瀏覽次數:

        2021年6月10日,《中華人民共和國數據安全法》(以下簡稱《數據安全法》)正式頒布,並將於2021年9月1日起正式實施。《數據安全法》(2021)將與《中華人民共和國國家安全法》(2015)、《中華人民共和國網絡安全法》(2017)、《網絡安全審查辦法》(2020)共同構成我國數據安全範疇下的法律框架。《數據安全法》作為我國第一部專門規定“數據”安全的法律,明確對“數據”的規製原則。

        一、明確將數據安全上升到國家安全範疇

        新出台的《數據安全法》第四條明確“維護數據安全,應當堅持總體國家安全觀”,並將“維護國家主權、安全和發展利益”寫入本法的立法目的條款中。隨著世界數據化進程的加快,各企業商業模式也在隨之改變,例如采用基於數據智能驅動的商業模式的公司“滴滴”,這些公司在運營過程中無可避免地涉及數據使用的一係列問題。隨著數據跨境流動等趨勢的愈發常見,數據已然轉換為關乎國家安全價值的利益形態,特別是當其掌握的數據足夠豐富時,經過數據分析處理得出的結果極可能包含國家隱私核心數據,這些核心數據的不當使用可能引發國家安全問題,主要包括涉及國家安全數據的審查、境外數據對國家安全的侵犯和相關數據的境外傳輸問題。《數據安全法》從數據全場景構建數據全監管體係,明確行業主管部門對本行業、本領域的數據安全監管職責,指出公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責範圍內承擔數據安全監管職責,而監管細節有待進一步的規定。

        1.涉及國家安全數據的審查

        《中華人民共和國國家安全法》第五十九條規定國家建立國家安全審查和監管的製度和機製,對影響國家安全的關鍵技術、網絡信息技術產品和服務等進行國家安全審查。但此條規定的國家安全審查和監管製度所需要的審查的內容眾多,其中“關鍵技術、網絡信息技術產品和服務”隻是一項,且審查重點為產品、服務本身,而對其獲取、分析、使用的數據並沒有專門的規定。而《中華人民共和國網絡安全法》第三十五條也對此做出了相應規定,但一般隻局限於網絡範圍內。對此,《數據安全法》規定了針對“數據”的國家安全審查,其第二十四條規定,國家建立數據安全審查製度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查,以此實施對相關數據的專門審查。同時,《數據安全法》明確數據處理服務提供者應當依法取得行政許可,為未來對數據處理服務市場準入環節實施準入資格監管提供了上位法依據。

        2.境外數據對國家安全的侵犯

        《數據安全法》不僅對國內範圍內的數據活動進行規範,同時其第二條規定,在中華人民共和國境外開展數據處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任,此條明確規定了境外數據侵犯國家安全屬於我國數據規範範圍。

        3.相關數據的境外傳輸

        如今數據所承載的不僅僅是個人信息和隱私,當大量的數據被分析處理,其所得出的結果有可能涉及國家重要信息和隱私。對此,《中華人民共和國網絡安全法》規定了關鍵信息基礎設施的運營者收集的數據的出境管理,在此基礎上《數據安全法》規定此外其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法由國家網信部門會同國務院有關部門製定。此款條文明確了針對“數據”的出境規製補全了以往的數據管理漏洞。

        不僅如此,《數據安全法》還對數據安全違法行為賦予了多項處罰說明,對違反國家核心數據管理製度,危害國家主權、安全和發展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,並根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。

        二、建立重要數據和數據分級分類管理製度

        《數據保護法》全文有三個條款對“數據分級”作出規定,其對數據級別的界定采用兩個方法,第一種方法是用概念表述,即“根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護”,此概念定義較為籠統,至於具體分類標準必須結合具體分級分類認定。

        二是重要數據保護目錄的製定,本法要求,國家數據安全工作協調機製統籌協調有關部門製定重要數據目錄,同時各地區、各部門應當按照數據分類分級保護製度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。

        三是本法第三十條還規定了風險評估報告製度。重要數據處理者要定期報送風險評估報告,本條增加了數據處理者的數據安全保護義務,提高對其數據保護的要求。

        三、完善數據出境風險管理

        1.《數據安全法》補充和完善了數據出境管理要求,強化境內數據出境風險控製。《數據安全法》出台之前,也有法律涉及數據境外傳輸的規定,如《中華人民共和國網絡安全法》第三十七條規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲,因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門製定的辦法進行安全評估。但由於《中華人民共和國網絡安全法》的立法目的主要是保護互聯網環境安全,對涉及國家安全的數據保護一般隻限於網絡範圍,因此有必要利用《數據安全法》對涉及國家安全的數據內容進行專門規製,《數據安全法》第三十一條繼續沿用了以上條款,同時規定此外其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門製定。

        2.《數據安全法》針對全球數據競爭形勢,作出應對性規定。其一,針對國外相關立法普遍具有域外適用效力、擴張本國立法管轄權的問題,如歐盟《通用數據保護條例》,如前所述,《數據安全法》第二條以實際後果為標準,明確將對“損害中華人民共和國國家安全、公共利益或者公民、組織合法權益”的境外數據處理活動,追究法律責任。其二,針對國外近期立法授權本國執法機構跨境調取數據,可能侵犯我國數據主權、威脅我國數據安全的問題(如美國《雲法案》),《數據安全法》第36條明確規定,非經我國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲於我國境內的數據。其三,針對我國網信企業在出海過程中頻遭他國國家安全審查等不平等對待的問題,《數據安全法》第26條明確任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方麵對我國采取歧視性的禁止、限製或者其他類似措施的,我國可以根據實際情況對該國家或者地區對等采取措施。

        四、明確規定數據安全保護義務

        《數據安全法》從多個方麵規定了相關企業的數據安全義務,包括製度管理、風險監測、風險評估、數據收集、數據交易、經營備案和配合調查等多個方麵。

        《數據安全法》明確,相關企業應在網絡安全等級保護製度的基礎上,建立健全全流程數據安全管理製度,組織開展教育培訓。重要數據的處理者應當明確數據安全負責人和管理機構,進一步落實數據安全保護責任主體。對出現缺陷、漏洞等風險,要采取補救措施:發生數據安全事件,應當立即采取處置措施,並按規定上報。並要求企業定期開展風險評估並上報風評報告。針對數據服務商或交易機構,要求其提供並說明數據來源證據,要審核相關人員身份並留存記錄。數據服務經營者應當取得行政許可的,服務提供者應當依法取得許可。《數據安全法》還明確要求企業依法配合公安、安全等部門進行犯罪調查。境外執法機構要調取存儲在中國的數據,未經批準,不得提供。