摘要:在《中华人民共和国数据安全法》(以下简称“数据安全法”)将即将实施之际,本文在分析“数据安全法”与“网络安全法”关系、数据开发利用和产业发展与数据安全关系、监管机构横向和纵向关系的基础上,论述了建立数据分类分级保护制度、完善数据确权和数据交易规则的必要性,提出了区别对待国家、企业、个人三类主体数据安全,以及数据安全监管应受到社会监督的观点。对贯彻落实数据安全法具有重要的现实意义。
万物互联时代,数据安全已成为人们关注的焦点。当前,跨地区、跨组织、跨平台、跨国境的数据交换和共享活动日益增多,大数据产业发展的如火如荼,数据泄露、加密勒索、病毒感染、网络攻击等网络安全事件时有发生。《中华人民共和国网络安全法》的实施,有力地推动了“网络安全等级保护制度”和“关键信息基础设施保护制度”的落地,获得了良好的社会效益。但网络安全的最终目的是要保护数据安全,《中华人民共和国数据安全法》(以下简称“数据安全法”)将于2021年9月1日正式实施,在此背景下,研究数据安全法的实施具有重要的现实意义。
“数据安全法”实施的主要目的是:规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。
“数据安全法”出台后,受到了社会各界的广泛关注。它的实施,标志着我国在数据安全领域有法可依,有章可循,为数字经济的健康发展提供了有力的支撑。本文重点探讨“数据安全法”实施过程需要关注的几个问题。
一、“数据安全法”与“网络安全法”的关系
1.两部法律调整的对象不同。“数据安全法”中的数据是指任何以电子或者其他方式对信息的记录,它主要规范数据处理活动,即规范数据的收集、存储、使用、加工、传输、提供、公开等。
“网络安全法”中的网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,它主要规范系统的安全。所以二者调节的对象不同。
2.数据安全和网络安全的内涵不同。数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性和可用性的能力。数据安全与网络安全均属于网络空间治理的范畴,网络安全侧重网络信息通信服务的持续稳定,数据安全则侧重数据自身的安全可控状态。
3.网络安全是基础,数据安全是结果。没有网络安全就没有数据安全,没有数据安全,网络安全就变得毫无意义,所有的网络安全都是为了数据安全。网络安全不可能系统地解决数据安全问题,只有数据安全才能进一步规范数据处理活动。
为贯彻“网络安全法”,公安部制定了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》。
“网络安全法”第21条规定“国家实行网络安全等级保护制度”。第31条规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定”。
“数据安全法”第21条规定“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护”。未来数据分类分级、重要数据具体目录、数据确权、数据交易规则的研究和制定将成为各行各业开展数据安全保护的重点。
二、数据开发利用和产业发展与数据安全的关系
“数据安全法”第13条规定“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”明确了二者的关系。
1.“数据安全法”既重视数据安全,同时,更强调数据开发利用和产业发展。正确理解二者的关系是落实“数据安全法”的关键。既不能为了数据安全而因噎废食,也不能为了数据开发利用和产业发展而放纵不管数据安全。必须坚持“国家统筹发展和安全,保障数据安全与促进数据开发利用并重”的原则。在国家主管部门制定的数据安全标准和体系框架下,开展数据开发利用和产业发展工作。
2.“数据安全法”体现了“相对安全”的理念,在强调数据安全保护的基础上,重视数据开发利用的合法性。第7条规定“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展”。
3.“数据安全法”鼓励数据依法、合理、有效利用,保障数据依法有序自由流动。数字经济已经成为我国在国际中的核心竞争力,腾讯数字产业、阿里淘宝、滴滴等已经成为我国经济发展的重要支柱,但出现的一些数据安全问题,必须通过“数据安全法”加以规范。
“数据安全法”第24条规定“国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用”。确保了政务数据开放共享的同时,保证数据安全,使数字经济市场具有更加广阔的发展前景。
三、监管机构的横向和纵向关系
无论是数据分类分级管理,还是监管体系的具体建构,都需要明确监管机构内部不同部门间的横向关系和从中央到地方不同部门之间的纵向关系。
1.横向关系。是指不同监管部门之间的权利和义务。数据安全法第6条规定“各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责”。明确了数据拥有单位是数据安全的责任单位。
第6条第一款规定“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责”。明确了行业主管部门要制定“数据保护行业规范”,并落地本部门的“数据安全规范”,同时对行业(领域)数据安全具有监管职责。
第6条第二款规定“公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责”。明确了公安机关、国家安全机关对数据安全具有监管职责。
第6条第三款规定“国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作”,明确了国家网信部门牵头负责统筹协调网络数据安全和相关监管工作。
2.纵向关系。数据安全法第6条明确了“省、市、县”等属地政府对工作中收集和产生的数据及数据安全负责。
数据安全法第21条规定“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护”。
3.条块关系的处理。数据安全法依次明确数据拥有部门、行业主管部门、公安(安全)监管部门和网信统筹部门各自的权力和义务,为数据安全监管理清了思路。
四、建立数据分类分级保护制度
为了数据的有效合法利用,不应对所有数据或国家、企业、个人数据进行“一刀切式”的“允许使用”或“禁止使用”,而应制定可使用、可交易或禁止的条件,划清国家、企业、个人的一般信息、保密信息、隐私信息或敏感信息的边界,制定数据资源目录及使用条件。
“数据安全法”第21条规定“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护”。
通过建立数据分类分级制度,对相关数据的类型和性质进行划分,对属于国家秘密、商业机密和个人隐私或敏感数据要进行严格保护。除国家、企业、个人等权利人的许可,应禁止任何企业、其他组织和个人使用、交易或披露。对于国家秘密、商业秘密、个人隐私信息的泄露、盗取和非法使用应当采取零容忍的态度,对违法行为给予严厉打击。
五、完善数据确权和数据交易规则
目前,我国已成为全球第一数据资源大国和全球数据中心和世界第二大经济体,数字经济规模从“十三五”初的11万亿元,增长到2020年的41.36万亿元,占GDP比重达到40%,对GDP贡献率超过70%,数据交易市场潜力巨大。数据确权和数据交易规则的制定已经成为共识。
数据确权是数据交易的前提,数据产权不明晰,就无法进行数据交易。数据确权主要面临问题是隐私数据和秘密数据的保护问题,隐私数据和秘密数据的利用不等同于披露当事人的隐私和公开秘密数据。如何在开放隐私数据和秘密数据的同时,保护个人隐私及商业秘密,需要通过法律层面来调节。
隐私数据和秘密数据的保护与开放需要定义不同的等级,应该针对隐私数据和秘密数据的不同等级建立不同的采集、检索、处理、交易规则,以此确定隐私数据和秘密数据的保护等级。
基本规则如下:第一,搜集和处理隐私数据和秘密数据必须经数据所有权人同意。第二,无论以何种方式开放、处理和利用隐私数据和秘密数据,开放者均负有保密、保护义务。第三,未经数据所有权人同意,造成国家、企业、个人隐私数据和秘密数据泄露,数据开放者应该承担相应的法律责任,后果严重的应当承担刑事责任。
数据安全法第19条规定“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场”。为数据确权和数据交易指明了方向。
六、区别对待国家、企业、个人三类主体的数据安全
数据安全包含国家数据安全、企业数据安全和个人数据安全三个层次。保障这三个层次数据安全的方法、手段和管理要求也不尽相同,因此,在实施“数据安全法”时,应区别对待三类主体的数据安全。
1.国家数据安全是数据安全的重中之重,这些数据安全保护除遵守“数据安全法”外,还应遵守《国家安全法》和《保密法》的相关规定。国家秘密的数据,一旦泄露可能会威胁社会秩序、公共利益或国家安全。
“数据安全法”第4条规定“维护数据安全,应当坚持总体国家安全观”。在数据收集、存储、使用、加工、传输、提供、公开过程中,均可产生涉及国家安全的数据,因此,第5条规定“中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制”
2.企业数据安全是保护企业合法权益,保障企业持续、稳定、健康发展的重要基石。企业秘密数据一旦泄露可能是企业的灭顶之灾。企业数据安全的焦点集中在系统安全和数据保护,主要关注数据的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。在确保数据安全的情况下,鼓励使用云系统,并倡导“数据以共享为原则,以不共享为例外”的数据利用策略。对泄露企业数据信息的行为要加大处罚力度。
企业数据安全除遵守“数据安全法”外,还要遵守《网络安全法》、《个人信息和重要数据出境安全评估办法》和各行业数据安全管理规范。
3.个人数据安全是保障个人合法权益、个人隐私权,使个人免受侵权行为的重要手段。涉及个人信息和隐私数据,一旦泄露会对个人的生活、学习、工作带来不必要的影响。个人数据安全除应该遵守“数据安全法”外,还应该遵守“网络安全法”的规定和“个人信息保护法”的相关规定。
“数据安全法”第22条规定“国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机构统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作”。这项规定进一步明确了国家在数据安全保护中采取的措施,对数据安全保护具有重要作用。
七、数据安全监管应该受到社会监督
“数据安全法”为数据安全保护工作指明了方向,对整个信息安全产业带来了积极的影响。明确了数据管理者在数据安全建设中责任,使数据安全建设有法可依,对数据安全事故的处罚更加明确,对促进经济社会信息化健康发展,保护公民、组织的合法权益具有重要的指导意义。
“数据安全法”以人为本,鼓励对违法行为的投诉、举报,对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。并充分考虑老年人、残疾人的需求,维护了每个公民的合法利益。
“数据安全法”对数据安全违法行为规定了多项处罚条款。如,对违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。国家对阿里、腾讯、滴滴等公司数据违法行为的调查,体现了数据安全法的威力。
未经作者同意,不得转载
如需转载,需要标明出处
