最新《数据安全法》解读
加载中...
2021.06.12
在大数据时代,数据如 “石油” 一样,是重要的生产要素。党的十九大第二次政治局会议通过《实施国家大数据战略加快建设数字中国》,数据具有显著的战略意义。一直以来,我国有关数据的法律规定层级低、分散,没有形成体系,保护方式单一,管理部门分散,有些规定可操作性不强,数据治理亟待完善。2021 年 6 月 10 日,第十三届全国人民代表大会常务委员会第二十九次会议通过的《数据安全法》,为数据治理及数据安全提供了全新的视角和法律依据。
一、第一部专门有关数据的法律
数据是新兴事物,此前有关数据的规定散见于法律法规及其他规范,如《民法典》《网络安全法》《信息安全技术个人信息安全规范》等。这些规范要么法律层级低,不能作为裁判或者行政处罚的依据;要么是非专门性规定,缺乏聚焦和体系。此次《数据安全法》以数据安全为核心,涵盖个人信息、政务数据等各类型数据,涉及数据利用与安全发展,规定了数据安全工作机制、职责与保护制度,兼顾数据政务数据安全与开放,是我国首部比较全面的、效力层级较高的、专门针对数据的法律。
二、自上而下全面落实数据安全工作机制
数据安全是本法的核心。本次立法建立了从中央到地方的数据安全工作机制,从纵向和横向两个方面规定了各地方、各部门的职责内容。中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。各行业主管部门、公安机关或国家安全机关、国家网信部门负责各自职责范围的数据安全及监管工作。只不过,没有建立统一的数据监管机构,某企业形成的数据可能受多个部门的监管,机构冗余,导致重复监管,浪费执法资源,不利于效率的实现。
三、兼顾数据利用和数据自由,软硬法双管齐下
数据具有私人属性和公共属性的双重特性,兼顾经济和信息安全。本法要求保障数据自由,国家推动政务数据开放,构建政务数据开放平台,推动政务数据开发利用。同时,不排除鼓励数据的商业利用,保障数据自由的基础上,保护个人、组织与数据有关的权益,促进以数据为关键要素的数字经济。
在数据处理活动中,各主体须遵纪守法,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信。各行业组织制定行为规范和团体标准,加强行业自律。在法律、社群规范“双管齐下”的数据治理中,软硬兼施,共同营造良好的数据安全与发展环境。
四、全面促进数据安全与发展,关注弱势群体
数据安全与数据发展协调发展,互相促进。本法坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。国家强力推行大数据战略,推进数据基础设施建设;省级以上人民政府将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。在支持数字经济及智能化服务同时,应关注老年人、残疾人的需求,避免对弱势群体造成生活障碍。
相关措施上,国家支持数据开发利用和数据安全技术研究,培育、发展相关产品或产业体系;广纳建言,推进数据开发利用技术和数据安全标准体系建设;促进数据安全检测评估、认证、风险防范等服务;支持数据开发利用和数据安全的教育和培训,培养人才,促进人才交流;建立健全数据交易管理制度,规范交易行为,培育数据交易市场。本次立法兼顾数据安全与利用的双向互动发展,从教育、人才、交易、评估、认证及社会发展规划等方面全面推进。
五、建立分类分级、风险评估与应急、国家安全审查制度
根据数据的不同类型,采取针对性的管理,以风险评估确保数据安全,乃国际数据治理的通行方法。本法建立数据分类分级保护制度,国家及各地区、各部门对数据进行分类,加强重要数据的保护,对关系国家安全、国民经济命脉、重要民生、重大公共利益等数据,实施更加严格的保护。根据对各数据的获取、分析、研判,制定风险评估、报告、信息共享、监测预警机制,定期开展风险评估、报告,发现数据安全事故时,立即采取措施并及时报告,且启动安全应急处置机制,向社会及时公布。国家建立数据安全审查制度,对影响或可能影响国家安全的数据处理活动进行国家安全审查。关键信息基础设施的运营者在境内收集和产生的重要数据出境的,按照《网络安全法》由国家网信部门会同国务院有关部门制定的办法进行安全评估。
六、加强处罚力度,多种手段共促数据安全监管
不同于传统行政调查或者处罚,数据安全更有赖于事前防范和及时处理,事前防范、事中制止比事后处罚效果更佳。约谈具有快速反应、程序简单、效果突出的特点,从而数据主管部门在数据安全监管过程中,可以通过约谈的方式,要求相关主体进行整改。对于违反数据安全保护义务的,主管部门不仅可以采取责令改正、警告、停业整顿、吊销证照等方式外,还可以对组织和主管人员或直接责任人同时处以罚款,组织最高罚款为 1000 万元,个人最高罚款为 20 万元;而向境外提供数据的组织的主管人员或者直接责任人,可处以 10 万至 100 万以下的罚款。本法对其他违反数据安全的行为规定了详细的行政责任,包括不同的责任方式及罚款幅度。对于特别严重的行为,构成犯罪的,依法可追究刑事责任。
总之,《数据安全法》作为我国首部全面规定数据安全的法律,有关数据安全的工作机制及保护制度框架基本呈现,国家与各地方、各部门着力推进数字发展与数字安全,实施软法与硬法协同治理,促进数据利用、数据自由与数据安全交互发展。分类分级、风险评估及报告、国家安全审查等具体制度与国际接轨,也符合数据安全的科学治理。只不过,数据概念本身模糊,利用多变,数据经济模式不断创新,协调法律稳定性与实践灵活性的难度大。此次立法存在概念不清、规则过于原则的问题,有的条款只是原则性或倡导性规定,缺乏可操作性,有待实施细则或者其他规定进一步细化。
————————————————— 作者介绍 —————————————————
