行業(yè)資訊
最新出臺的《數據安全法》是我國第一部有關數據安全的專門法律。與業(yè)已施行的《網絡安全法》不同,,《數據安全法》更強調數據本身的安全。而較之尚未出臺的《個人信息保護法》,,《數據安全法》主要關注數據宏觀層面(而非個人層面)的安全。
生效之后,,《數據安全法》將與《網絡安全法》以及正在立法進程中的《個人信息保護法》一起,,全面構筑中國信息及數據安全領域的法律框架。
其中,,數據分級分類,、加強核心數據治理、「數字鴻溝」,、加強對向境外司法或執(zhí)法機構提供存儲于中國境內數據的監(jiān)管,、相應處罰力度的增加都是值得關注的要點與亮點。
6月10日,,《中華人民共和國數據安全法》(以下簡稱《數據安全法》)經十三屆全國人大常委會第二十九次會議表決通過,,這是我國第一部有關數據安全的專門法律。自2020年6月28日以來,,《數據安全法》已經歷三次審議與修改,,確定將于2021年9月1日正式施行(法案原文見參考鏈接),。
隨著數字經濟的快速發(fā)展,,全球進入數據爆炸時代,數據在社會發(fā)展,、民眾生活中扮演起了越來越重要的角色,。與此同時,,持續(xù)爆出的數據安全事件一直令各國政府和民眾堪憂。
2018年4月,,扎克伯格因Facebook泄漏8700萬人數據,,并將其用于美國總統(tǒng)大選,出席美國參眾兩院聽證會,;就在本周四,,剛剛傳出歐盟隱私監(jiān)管機構因亞馬遜違規(guī)收集和使用個人數據,而決議對亞馬遜進行4.25億美元處罰的消息,。
數據安全與合規(guī),、經濟與技術發(fā)展之間的博弈與沖突日益被置于媒體與輿論的風頭浪尖。世界各國政府也相繼出臺數據保護法律法規(guī),。
歐盟于2016年審議通過《通用數據保護條例》(General Data Protection Regulation,,GDPR),并于2018年正式實施的數據安全法律,。以「屬人」「屬地」「保護性管轄」和「國際公法」等多個管轄原則相結合,,被認為是最嚴格的數據保護法令。美國也在2018年出臺《澄清域外合法使用數據法》,。
2016年11月,,我國立法機構審議通過《中華人民共和國網絡安全法》并于次年6月正式施行。隨著數字經濟的蓬勃發(fā)展正成為我國在國際環(huán)境中的核心競爭力,,2020年,,我國先后發(fā)布了《關于構建更加完善的要素市場化配置體制機制的意見》《關于新時代加快完善社會主義市場經濟體制的意見》等相關文件,明確將數據列為土地,、勞動力,、資本、技術之后的第五大生產要素并強調要加快數據要素市場的培育,。提出加快數據要素市場培育,,加強數據資源整合和安全保護。
《網絡安全法》強調網絡系統(tǒng)的安全,,《數據安全法》強調數據本身的安全,,而較之尚未出臺的《個人信息保護法》,《數據安全法》主要關注數據宏觀層面(而非個人層面)的安全,。生效之后,,本法也將與《網絡安全法》以及正在立法進程中的《個人信息保護法》一起,全面構筑中國信息及數據安全領域的法律框架,。
一 解讀法規(guī)要點,、亮點
「為了規(guī)范數據處理活動,保障數據安全,,促進數據開發(fā)利用,,保護個人,、組織的合法權益,維護國家主權,、安全和發(fā)展利益,,制定本法?!埂稊祿踩ā房倓t第一條開宗明義,,表明立法目的。
本法共七章五十五條,,主要內容包括數據安全與發(fā)展,、數據安全制度、數據安全保護義務,、政務數據安全與開放,、法律責任等。
1,、總則部分區(qū)分了「數據」和「信息」的概念,,規(guī)定《數據安全法》所稱數據,是指任何以電子或者非電子形式對信息的記錄,。
接著,,新法規(guī)定了數據安全與發(fā)展的支持措施,以及促進以數據為關鍵要素的數字經濟發(fā)展,,其中包括:實施大數據戰(zhàn)略,,制定數字經濟發(fā)展規(guī)劃;培育數據交易市場等,。
2,、為有效應對境內外數據安全風險,法律要求建立數據安全制度,。這一章也構成了本法的一大亮點,。
首先,包括建立數據分級分類管理制度,,確定重要數據保護目錄,。做好數據安全需要做很多事情,需要針對數據的收集,、存儲,、使用、加工,、傳輸,、提供、公開等各個環(huán)節(jié)進行數據安全風險的監(jiān)測、評估和防護等,,也需要用到權限管控、數據脫敏,、數據加密,、審計溯源等多種技術手段。
只有做好了數據分類分級工作,,才能做好的后續(xù)的數據安全建設,。國家將建立數據分類分級保護制度不僅是數據安全治理的第一步,也是瞄準了當前數據安全治理的痛點和難點,。
《數據安全法》特別強調,,「關系國家安全、國民經濟命脈,、重要民生,、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度,?!箤Α钢匾獢祿箤嵤┲攸c保護。
例如,,對違反國家核心數據管理制度,,危害國家主權、安全和發(fā)展利益的,,由有關主管部門處二百萬元以上一千萬元以下罰款,,并根據情況責令暫停相關業(yè)務、停業(yè)整頓,、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照,;構成犯罪的,依法追究刑事責任,。
其次,,數字鴻溝問題。近年來,,隨著公共服務數字化,,老年人、殘疾人在運用智能技術方面的問題逐漸浮現,。在草案基礎上,,《數據安全法》在「數據安全與發(fā)展」一章新增條款關注老年人、殘疾人「數字鴻溝」問題:
「國家支持開發(fā)利用數據提升公共服務的智能化水平,。提供智能化公共服務,,應當充分考慮老年人、殘疾人的需求,,避免對老年人,、殘疾人的日常生活造成障礙,。」
3,、加強對向境外司法或執(zhí)法機構提供存儲于中國境內的數據的監(jiān)管,。這一點對于企業(yè)來說,尤為重要,。
例如,,第三十六條規(guī)定,「非經中華人民共和國主管機關批準,,境內的組織,、個人不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數據?!?/p>
新法案擴大了向境外提供數據的監(jiān)管適用情形,。即只要中國境外的司法或者執(zhí)法機構要求提供存儲于中國境內的數據,均適用本條的規(guī)定,,有助于更好地封堵境外機構的「長臂管轄」,。
4、政務數據在數字化轉型中起著重要作用(例如農業(yè)),,本法也就政務數據開發(fā)利用作出明確指示,。
比如,要求省級以上人民政府應當將數字經濟發(fā)展納入本級國民經濟和社會發(fā)展規(guī)劃,,加強數據開放共享的安全保障措施,,建立統(tǒng)一規(guī)范、互聯互通,、安全可控的機制,,利用數據安全運營,提升數據服務對經濟社會穩(wěn)定發(fā)展的效果,。
5,、相比《網絡安全法》,本法規(guī)定了更為廣泛的域外司法管轄范圍(「屬地」加「保護性管轄」的管轄原則,,符合數字時代數據發(fā)展的客觀情況),,并將更為多樣的數據種類和數據活動納入其管轄范圍內。
對組織和個人規(guī)定了一系列開展數據活動時需遵守的義務,。較之草案,,違反義務的處罰力度也提升了。法律后果,,包括責令改正,、警告、沒收違法所得、取締以及吊銷業(yè)務許可證或營業(yè)執(zhí)照等在內的處罰,,且或將同時承擔其他適用的刑事,、行政及民事責任。
例如,,本法新增第四十六條「違反本法第三十一條規(guī)定,,向境外提供重要數據的,由有關主管部門責令改正,,給予警告,,可以并處十萬元以上一百萬元以下罰款,,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款,;情節(jié)嚴重的,處一百萬元以上一千萬元以下罰款,,并可以責令暫停相關業(yè)務,、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照,,對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,。」
二 解讀法規(guī)對行業(yè)的影響
大數據和人工智能產業(yè)的快速發(fā)展,,促使數據產業(yè)持續(xù)野蠻生長,,然而由于市場發(fā)展速度快于法律。一直以來,,數據采集,、存儲、管理,、加工,、應用和流通等環(huán)節(jié)都處在無法可依的無序發(fā)展狀態(tài)。
《數據安全法》的推出,,為國內的數據應用行業(yè)和整個市場提供了新的行為準則,,也設立了行業(yè)的準入門檻,從法律角度促進了數據應用和交易規(guī)范化,,也加強了全社會對數據安全防護的重視,。
數據應用規(guī)范化?!稊祿踩ā窞閿祿a業(yè),、數字經濟劃定了數據應用的邊界。在數據收集,、管理,、應用方面,做到合規(guī)、合法將成為企業(yè)運營數據業(yè)務的新門檻,。
規(guī)范數據應用,,既約束了數據的非法采集和濫用,又保護了數據提供方和普通民眾的信息,,讓數據真正成為數字經濟發(fā)展的血液,。以數據開放、數據保護,、數據流動等為基礎的數據規(guī)則或將構建并逐步完善,,不斷促進數字經濟發(fā)展。
例如,,數據分級制度有利于讓數據公司放開手腳,,明確「紅線」。政府有關部門從源頭上明確哪些數據屬于重點保護,,絕對不可觸及,;而其它數據可以有條件或者免費向公眾開放。
數據交易規(guī)范化,。數據資產化是近年來行業(yè)中的熱點話題,,隨著數據的應用水平逐步提高,數據市場化交易,、流通需求迅速擴大,。然而,數據市場在交易過程缺乏相關的法律法規(guī)管理,,交易機制不完善,,中介服務商不規(guī)范,直接導致了市場中存在大量損害消費者及企業(yè)利益的違規(guī),、違法交易,。同時,現存于市場中的數據中介服務機構在實際運營中也存在很大的法律風險,。
目前,,國內存在各種地方數據交易中心,例如貴陽數據交易中心,、上海大數據交易中心等數據交易平臺,,在各地之間的數據交易呈現地域化特點?!稊祿踩ā穼祿薪榉丈碳{入規(guī)范范疇,,提出規(guī)范數據交易,并制定了中介服務商的問責制度,,解決了長期以來,,我國數據交易市場缺乏具體的管理制度的局面,。
安全防護常態(tài)化。數字經濟加速各行各業(yè)發(fā)展的同時,,也帶來了相應的數據安全問題,。在過去的十年中,針對數據的安全事件不勝枚舉,,造成的損失小到工程停產,、設備損壞,大到核設施停擺,、國家能源運輸癱瘓,。《數據安全法》的出臺,,使數據安全保護有法可依,,對威脅數據安全的不法分子起到了約束作用。
與此同時,,《數據安全法》明確了企業(yè)在保護數據安全方面的責任,,對企業(yè)的數據安全建設提出了要求,。企業(yè)數據安全防護將逐步常態(tài)化,,企業(yè)在整個企業(yè)的數字化安全防護方面的投入也將有所擴大,這也從一定程度上加速了國內數字化安全防護產業(yè)的整體發(fā)展,。
三 行業(yè)未來與疑點
新法案通過后,,在中國陷于數據安全問題的特斯拉即在微博表態(tài)稱:「數據隱私安全,關乎著每一個消費者,。特斯拉將嚴格遵守《數據安全法》,,保護消費者數據相關權益。努力促進行業(yè)和數字經濟健康蓬勃發(fā)展,?!?/p>
力推數字化轉型的各大券商是數據安全產業(yè)的重點用戶?!稊祿踩ā吠ㄟ^后,,券商在數據安全治理、數據系統(tǒng)的流程體系建設及基礎數據服務等多方面,,即已做好相應的調整,。有分析指出,目前,,券商需要關注數據來源的合規(guī)性,、合法性,新法規(guī)會讓數據流程和商業(yè)變現變得更加規(guī)范,,券商需要進一步專注數據應用,,提升業(yè)務變現能力,。
據南財全媒體報道,《數據安全法》落地后,,各地會依據自身特點出臺相應的具體條例與措施,,目前,北京,、上海,、深圳、天津,、貴州,、安徽等地已啟動數據立法,江蘇也將公共數據管理辦法列入省政府2021年立法工作計劃,。
隱私保護,、數據確權、數據交易,、數據壟斷等議題未來將成為各地數據立法關注的焦點,。不過,從抽象的法律文字到具體生動的案例,,期間仍需跨越較大的鴻溝,。
草案討論期間,就有學者指出一些問題,。例如,,現在的大企業(yè)沒有幾個不涉及大規(guī)模的數據活動,將企業(yè)的數據活動完全置于政府的行政終局決定之下,,顯然不利于改善營商環(huán)境,,應當把「安全審查決定為最終決定」的規(guī)定刪去。
排除司法審查也違背法治政府的一般原則,,如何正當化,?
不過,正式通過的法律第二十四條并未予以采納,?!竾医祿踩珜彶橹贫龋瑢τ绊懟蛘呖赡苡绊憞野踩臄祿幚砘顒舆M行國家安全審查,。依法作出的安全審查決定為最終決定,。」
參考鏈接:
http://www.xinhuanet.com/2021-06/11/c_1127552204.htm
http://cc.ccpit.org/n8/c519/content.html