数据安全已经成为事关国家安全和经济社会发展的重大问题。党中央高度重视,习近平总书记多次作出重要指示批示,提出加快法律法规建设、切实保障国家数据安全等明确要求。党的十九大报告提出,推动互联网、大数据、人工智能与实体经济深度融合。十九届四中全会决定明确将数据作为新的生产要素。今年6月28日,《数据安全法(草案)》(以下简称《数字安全法》)提请十三届全国人大常委会第二十次会议初步审议。7月3日,《数字安全法》公开征求意见,专家和网友在网上展开热议。今天我们不做解读,因为它还是草案,距离正式出台还有一段时间。只分享最近学到的东西,结合自己的一些想法,说说。1《数据安全法》立法目的官方起草说明首先,让我们看看国家为何起草《数安法》。以下引用官方起草说明:根据党中央部署贯彻总体国家安全观的要求,制定数据安全领域的国家基本法非常必要:一、数据是基础国家战略资源,没有数据安全就没有国家安全。因此,应按照总体国家安全观的要求,通过立法加强数据安全保护,提升国家数据安全保障能力,有效应对非传统数据领域国家安全风险挑战,有效维护国家安全。国家主权、安全和发展利益。二是当前,各类数据拥有者多元化,处理活动复杂,安全风险不断增加。要通过立法建立健全各项制度和措施,切实加强数据安全保护,维护公民和组织的合法权益。三是充分发挥数据基础资源和创新引擎作用,加快形成以创新为引领和支撑的数字经济,更好服务我国经济社会发展。要通过立法规范数据活动,完善数据安全治理体系。以发展保障发展,以发展促安全。四是为适应电子政务发展需要,提高政府决策、管理和服务的科学性和效率,有必要通过立法明确政府数据安全管理制度和开放使用规则,大力推进政务数据资源开放和开发利用。起草工作要点:一是把握正确政治方向,贯彻落实总体国家安全观,坚持党对数据安全工作的领导。二是立足数据安全工作实际,着力解决数据安全领域的突出问题,同时坚持宽容审慎原则,鼓励和促进数据安全有效利用。根据法律。三是数据安全法作为数据领域的基础性法律,着重建立数据安全保护和管理的各项基础制度,与网络安全法和正在制定的个人信息保护法有很好的衔接。据了解,一些与?相关的法规、制度、标准已经在制定中,如:《个人信息保护法》(起草中)、《App违法违规收集使用个人信息行为认定方法》、《信息安全技术 个人信息安全规范》、《数据安全管理办法》(征求意见稿)、《个人信息出境安全评估办法》(征求意见稿)等。1.1法律地位不难看出,?的核心目的其实是坚持总体国家安全观,保障国家安全(草案第4条,维护数据安全,应坚持总体国家安全观安全理念,建立健全数据安全治理体系,完善这也符合《国家安全法》第三条的要求,即国家安全工作要坚持总体国家安全观,以人民安全为根本以政治安全为基础,以经济安全为基础,以军事、文化和社会安全为保障,以促进国际安全为基础,维护国家各领域安全,构建国家安全体系,走有中国特色的国家安全道路,目前欧盟的《GDPR》、美国的《Cloud》法案和CCPA都明确了国家的管控权限过数据,但我国在这方面仍处于被动局面。因此,我们有必要明确如何保障数据安全。那么,?在法律体系中的地位如何呢?据了解,有法律人士认为仅次于《国家安全法》,高于《网络安全法》和《个人信息保护法》。目前一些人的看法。1.2关注点《数安法》主要解决数据安全问题,包括数据和安全两个概念。不管数据是国内的还是国外的,对于数据的管理,首先要明确数据的定义和数据的权利。通常,数据一般包括重要数据、敏感数据、个人数据和其他数据。《数安法》第三条规定:本法所称数据,是指以电子或者非电子形式存在的信息记录。如果套用《网络安全法》第76条对网络数据的定义,我们可以看到,《数安法》中的数据包括网络数据和非网络数据。关于重要数据,据悉,国家正在制定重要数据定义指南。关于重要数据的概念,数据安全法没有提及。《数据安全管理办法》(征求意见稿)第38条对重要数据进行了定义,可以参考。指出,重要数据是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公众健康和安全的数据,如未公开的政府信息、大规模人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。国际社会(尤其是欧盟)主张促进数据开放和全球流动,各国不应阻碍其流动。我国也持同样态度,旨在促进数据跨境安全自由流动(草案第10条)。安全明确了数据的定义和类别,接下来就是保障数据安全。《数据安全法》定义了数据安全。?第三条规定:“数据安全,是指通过采取必要措施,确保数据得到有效保护和合法使用,并持续处于安全状态的能力。”这个概念有很大的不确定性,比如技术上如何判断:采取必要的措施;有效保护和合法利用;继续处于安全状态?而这个概念与《网络安全法》中网络安全的定义“以及保证网络数据的完整性、机密性和可用性的能力”也有所不同。未来如何从技术上定义数据安全,将是一个值得进一步探讨的问题。2???的主要内容及其可能产生的影响首先,让我们看一下?的内容结构。关于本法的适用范围,草案明确本法适用于在我国境内开展的数据活动,其中数据是指以电子或非电子形式存在的信息记录,数据活动是指数据的收集、存储、处理、使用、提供和收集。交易、披露等。同时,草案赋予本法域外适用的必要效力,规定:中华人民共和国境外的组织和个人进行损害国家安全、社会公共利益的数据活动,侵犯中华人民共和国公民和组织的合法权益的,依法追究法律责任。(草案第二条、第三条)《支持和促进数据安全与发展办法》征求意见稿坚持安全与发展并重,设立专章规定支持和促进数据安全与发展的措施,保护数据安全与发展。维护与数据相关的个人和组织的权益,提高数据安全治理和数据开发利用水平,促进以数据为关键要素的数字经济发展。包括:实施大数据战略,制定数字经济发展规划;支持数据相关技术研发和业务创新;推进数据相关标准体系建设,推动数据安全检测、评估、认证等服务发展;培育数据交易市场;支持采取多种方式对专业人员进行培训等(草案第十二条至第十八条)关于数据安全体系为有效应对国内外数据安全风险,需要建立健全国家数据安全管理体系,完善国家数据安全治理体系。对此,草案主要作出如下规定:一是建立数据分级分类管理制度,确定重要数据保护目录,对列入目录的数据重点保护(草案第十九条)。二是建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判和预警(第草案第20条)。三是建立数据安全应急机制,有效应对和处置数据安全事件(草案第21条)。四是建立符合相关法律规定的数据安全审查制度和出口管制制度(草案第二十二条、第二十三条)。五、针对一些国家对我国投资贸易采取歧视性等不合理措施的做法,明确我国可根据实际情况采取相应措施(草案第二十四条)。关于保障数据安全的数据安全保护义务,关键是落实开展数据活动的组织和个人的主体责任。对此,草案主要作出如下规定:一是数据活动必须遵守法律法规,尊重社会公德和道德规范,有利于促进经济社会发展,增进人民福祉。不得非法收集、使用数据,不得危害国家安全、公共利益,不得损害公民和组织的合法权益(草案第八条、第二十六条、第二十九条)。二是开展数据活动,应按规定建立健全全流程的数据安全管理制度,组织数据安全教育培训,采取相应的技术措施和其他必要措施,确保数据安全。(草案第25条)。三是开展数据活动,应当加强数据安全风险监测,定期开展风险评估,及时处置数据安全事件,履行相应的报告义务(《中华人民共和国企业法》第二十七条、第二十八条)。草稿)。四是规范数据交易中介服务和网络数据处理服务(草案第三十条、三十一条)。五是规定了公安机关、国家安全机关依法履行职责需要获取数据以及境外执法机构获取境内数据时有关组织和个人的相关义务(《中华人民共和国公安法》第三十二条、第三十三条)。草稿)。关于政务数据安全与开放为保障政务数据安全,促进政务数据开放使用,草案主要作出如下规定:利用数据服务经济社会发展的能力(草案第34条)。二是规定国家机关收集、使用数据,应当在法定职责范围内,依照法律、行政法规规定的条件和程序进行,落实数据安全保护责任,确保政务数据安全。安全(草案第35、36条)。三是规定国家机关委托他人存储、加工或者向他人提供政府数据的审批条件和监管义务(草案第三十七条)。四是要求国家机关按规定及时准确公开政府数据,制定政府数据公开目录,建设政府数据开放平台,推动政府数据开放使用(《中华人民共和国政府数据公开法》第三十八条、三十九条)草案)。关于数据安全工作职责,数据安全涉及各个行业、各个领域,涉及多个部门的职责。草案明确中央国家安全领导机构对数据安全工作的决策和统筹职责,加强对数据安全工作的组织领导;规定了相关行业部门和相关主管部门的数据安全监管职责。(草案第六条、第七条)这样的立法一旦出台,必然会在国内外产生较大的影响。让我们从国际和国内两个方面来看。目前(截至2020年6月),已有142个国家制定了数据隐私相关立法,全球已有60多个国家提出数据本地化存储要求,覆盖各大洲。欧盟提倡以基本权利为基础的模式,美国提倡自由市场和强监管模式,而我国提倡以安全风险防范为主,同时兼顾数字经济发展的模式。一个典型案例是美国吊销了四家中资电信公司的经营执照。美国联邦通信委员会已要求中国电信美洲公司、中国联通美洲公司、太平洋网络公司和信通电话公司解释美国不应启动取消授权程序的原因。此外,美国以危害国家安全为由抵制华为、中兴、大疆等具有自主研发能力的中国大企业,将华为、中兴列入危害美国国家安全的企业名单。联合抵制。欧盟方面,在新冠疫情下,欧盟、澳大利亚、印度、西班牙等9个国家纷纷出台限制外资、阻止收购国家关键资产和技术的措施。显然,这是别有用心的。面对这种情况,《数安法》的推出势在必行。针对这种情况,《数安法》规定了一些对策。例如:加快制定完善我国数据安全战略规划和实施方案。强调国家利益,同时体现全球化趋势,与国际接轨;加强我国数据保护能力。《数安法》第三十三条明确规定,境外司法执法机构转移存储在我国境内的数据,必须征得主管部门批准,不得随意使用。扩大管辖范围。与《GDPR》、《CCPA》、《数安法》类似,《数安法》第二条规定,在中华人民共和国境内开展的数据活动,适用本法。中华人民共和国境外的组织和个人进行数据活动,损害国家安全、社会公共利益或者中华人民共和国公民和组织的合法权益的,依法追究法律责任。出口管制。《数安法》第二十三条规定,国家对涉及履行国际义务和维护国家安全的管制物项数据实施出口管制。互惠原则。反击,但恰到好处,鱼不死。《数安法》第二十四条规定,任何国家或者地区在与数据和数据开发利用技术相关的投资和贸易方面对中华人民共和国采取歧视性禁止、限制或者其他类似措施的,中华人民共和国可以对该国家或地区采取相应措施。门户开放政策。继续开放,继续发展,促进区域经济一体化。推动中日韩自贸区建设、“一带一路”建设和中非合作。《数安法》第十条规定,国家积极开展数据领域国际交流与合作,参与制定与数据安全相关的国际规则和标准,促进数据跨境安全自由流动。近年来,数据安全、数据泄露等问题日益突出。面对这些国内问题,?提出了相应的对策。这些反制措施会对国家产生一定影响,具体影响将在后续进一步评估。具体如下:坚持安全与发展并重,积极响应中央和国务院政策变化。《数安法》第12-18条规??定了这一点。建立健全国家数据安全体系。见《数安法》第19-24条。明确数据安全义务,需要符合合规要求(《数安法》第八条、第二十六条、第二十九条),完善管理制度和相关培训(第二十五条),加强数据交易的安全风险监测和风险评估(第二十七条)中介服务和线上数据处理机构提出规范和要求(第三十条、三十一条)明确公安机关和国家安全机关获取数据的权利(第三十二条、三十三条)3.对《数安法》稿件的一些期待草案的审议表明国家对数据安全的重视程度,尤其是将其提升到国家安全的高度。中央国家安全领导机构负责数据安全工作的决策和统筹协调,研究制定并指导实施国家数据安全工作。安全战略及相关重大方针政策。但同时也看到目前的稿子可能还存在一些不完善的地方,希望能在后续的N次审稿中不断完善。以下是对草案的一些期望。(一)数据安全、重要数据等重要概念要严谨、清晰。数据安全概念是贯穿整个法律的概念,对各项制度的实施具有重要影响。建议贯彻落实数据安全法的理念。不论《GDPR》、《CCPA》、《CLOUD》对重要数据有明确、严格的定义,《数据安全法》作为国家数据安全立法,不应省略对重要数据的定义。(二)进一步完善重要数据识别制度重点保护。如果这样实施,势必会出现问题,增加各部门和企业的成本。举个简单的例子:数据A被杭州当地部门列为重要数据。当数据A流向北京时,北京当地部门认为数据A不是重要数据,只能归类为敏感数据。不同的区域会出现不同的属性,势必会产生重大的影响。因此,不能由各个地区来规定。建议各行业自行确定判断规则或制定国家统一标准。(三)减少制度重叠《数安法》第二十二条规定:国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。因为已经有《网络安全审查办法》和《办法》由工信部等12个部门联合制定发布。目前数据安全审查与网络安全审查存在一定程度的重叠,建议考虑是否可以在一定程度上融合。(四)部分制度不够清晰,可操作性不强。例如,?第三十条和第三十一条中的数据交易中介服务和网络数据处理机构只是提及,并没有界定什么样的机构属于此类。实际执法中可能会出现问题。另外,程序的描述过于简洁。例如,第二十八条规定,重要数据处理者应当按照规定定期对其数据活动进行风险评估,并向有关主管部门提交风险评估报告。这篇文章没有具体说明需要评估什么级别的风险,也没有说明评估的频率。这就像网络安全事件的应急预案。风险如何定义,什么级别的风险应该报告,向谁报告,如何报告,不报告将采取什么处罚措施?这些都没有解释清楚。《数安法》体现了安全与发展并重的价值取向。希望后续的数据安全法能够在立法过程中统筹数据安全和数据利用,齐头并进,构建长效安全趋势,共同成长治理产业。对于企业来说,数据安全不再是一种义务,而是一种制度和强烈的管理要求。国家应尽快完善数据安全治理体系和配套法规标准,同时研究完善的规章制度。这是我们目前最需要关心的。
