《数据安全法》亮点解读和实施展望?2021年6月10日,经过三次审议,第十三届全国人民代表大会常务委员会第二十九次会议于2021年9月1日正式施行。该法共七章共55条,分为总则、数据安全与发展、数据安全制度、数据安全保护义务、政府数据安全与开放、法律责任及附则。《数据安全法》统筹发展与安全,以基本法形式明确我国数据安全治理体系的顶层设计和“四梁八柱”,以安全保发展,推动建设数字中国,助力我国数字经济参与国际竞争。坚持总体国家安全观,明确数据安全治理体系顶层设计《数据安全法》坚持总体国家安全观,明确我国数据安全治理采用最高决策顶层设计-制定和协同治理以应对数据这一非传统领域的国家安全风险。首先,数据安全事关国家安全。该法第五条规定,中央国家安全领导机构站在国家战略高度,负责决策协调国家数据安全工作,研究制定和指导实施国家数据安全战略和工作。有关的重大问题。指导方针政策,统筹协调国家数据安全重大问题和重要工作,建立国家数据安全工作协调机制,实现最高决策。二是数据安全风险广泛渗透到各行业各领域,数据安全治理在行业间既有共性也有差异。该法第六条明确授权工业、电信、交通、金融等主管部门规范本行业和领域的数据安全工作。同时,该法第21条、第22条分别规定,国家数据安全工作协调机制应当统筹协调各部门开展重要数据目录制定、采集分析研判等工作,数据安全风险信息预警。部门协调机制保障重大数据安全治理问题,兼顾行业间数据安全治理标准的一致性和行业特殊性,避免部门利益纠纷损害国家数据安全利益。三是数据安全关系到网络安全。该法延续了《网络安全法》的授权,明确了国家网信部门负责协调网络数据安全和相关监管工作。同时,公安机关和国家安全机关也在各自的职责范围内。负责数据安全监管工作。坚持走风险管理路径,构建“四梁八柱”的数据安全治理体系。一是构建以数据分级分类为核心的数据安全监管体系。《数据安全法》第21条用“数据在经济社会发展中的重要性”和“数据一旦被篡改、毁坏、泄露或者非法获取、使用,将对国家安全、公共利益或者合法权益造成损害的,”个人和组织的利益。”危害度”为标准,对数据进行分类分级保护。在此基础上,对重要数据实行目录管理,国家数据安全工作协调机制协调有关部门制定重要数据目录。目录,强化重要数据处理者的数据安全保护义务,强化重要数据保护。此外,该法三审期间首次提出“国家核心数据”概念,明确对“关系国家安全、国家生命线”的国家核心数据实施更严格的管理制度。针对国计民生、重大公共利益等数据安全风险、细化制度安排等,预留系统接口。二是明确风险评估、监测预警、应急处置等管理要求第二十二条明确,国家建立数据安全风险评估、报告、信息共享、监测预警机制,实现事前风险评估、报告、信息共享,和过程中监控预警;第23条明确国家建立数据安全应急响应机制应急响应机制,防止数据安全事件扩大,消除安全隐患。同时,要求数据处理者履行相应的风险监控、数据安全事件报告、数据安全风险评估等义务。三是强化落实各类数据处理活动主体的数据安全保护义务和责任。该法第四章规定了各类数据处理者的数据安全保护义务。一般数据处理者应当建立健全全流程数据安全管理制度,加强风险监测,及时报告数据安全事件。同时,数据处理活动应符合社会公德和伦理,不得窃取或非法获取数据;重要数据处理者也有义务指定数据安全负责人和管理机构,定期对数据处理活动进行风险评估并向主管部门报告,并应遵守出境安全管理要求。对从事数据交易中介服务的机构,明确其有义务审核交易双方的身份和数据来源,并保存审核记录和交易记录。最后,《数据安全法》明确了数据处理服务提供者应当依法取得行政许可,为今后对数据处理服务市场准入实施准入资质监管提供了更高层次的法律依据。完善数据出境风险管理,对全球数据竞争做出应对性规定。一是补充完善数据出境管理要求,加强境内数据出境风险管控。第三十一条对重要数据出境监管作出规定:一方面明确关键信息基础设施运营者在境内运营过程中收集和产生的重要数据,第三十七条相关数据出境安全管理要求继续申请;另一方面,对境内其他数据处理者采集、产生的重要数据增加出境安全管理,授权国家网信部门会同国务院有关部门制定相应的出境安全管理办法。此外,《数据安全法》第25条增加了数据出口管制,明确对“涉及维护国家安全和利益、履行国际义务的受控物项数据”实施出口管制,完善了我国数据出口的框架。监督制度。二是针对全球数据竞争态势,制定应对性规定。一、针对国外相关立法普遍具有域外适用效力,扩大国内立法管辖范围的问题,例如欧盟第2条《通用数据保护条例》、《数据安全法》以实际后果为标准,并明确规定“危害中华人民共和国国家安全、危害中华人民共和国国家安全、社会公共利益或者公民和组织的合法权益”的境外数据处理活动,依法追究法律责任.二、针对近期国外立法授权本国执法机构跨境获取数据,可能侵犯我国数据主权,威胁我国数据安全,例如美国第36条《云法案》、《数据安全法》明确规定,未经我国主管部门批准,境内组织和个人不得向境外司法或执法机构提供存储在我国的数据。三、针对我国网络信息企业在出海过程中频频受到他国国家安全审查等不平等待遇的问题,《数据安全法》第24条明确在我国建立数据安全审查制度,并进行影响或可能影响国家安全的数据处理活动。国家安全审查;第二十六条明确,任何国家或者地区在与数据和数据开发利用技术相关的投资和贸易方面对我国采取歧视性禁止、限制或者其他类似措施的,我国可以根据实际情况采取相应措施。国家或地区采取类似的措施。加快配套制度建设,助力《数据安全法》实施。实施迫在眉睫。在实施过程中,要加快落实各项法律制度,着力解决各项制度与《网络安全法》《个人信息保护法》等立法之间的差距。系统间联动问题。一方面,《数据安全法》基本法的定位和“宜粗勿细”的立法风格,使得该法的很多条文过于原则化,其实施有赖于配套行政法规、部门规章的细化,和国家标准。虽然法律对数据分类分级保护、重要数据目录管理、重要数据出境安全管理等提出了要求,但各制度的具体内容以及如何实施的细则都缺乏,这势必会影响到各类数据处理者.数据安全保护义务。今后应尽快出台配套的行政法规和部门规章,明确上述制度的具体内容和统一要求,并通过国家标准和行业标准为企业合规提供详细指导。另一方面,《数据安全法》的诸多制度也迫切需要理清与现行法律制度的联系。《个人信息保护法》出台后,我国将形成《网络安全法》《数据安全法》《个人信息保护法》三法并行的局面,各制度之间存在一定的重叠。例如,《网络安全法》中的网络安全审查还包括对产品或服务中数据风险的审查;在目前数据市场主体为个人信息的情况下,数据安全事件报告、重要数据导出管理等制度与《个人信息保护法》不尽相同,个人信息泄露事件的报告也存在重叠以及个人信息的导出。对于此类事情,主管部门迫切需要有针对性地明确上述制度的适用边界,并建立相应的优化机制,避免制度重叠造成的监管资源浪费和企业合规成本。作者:中国信息通信研究院安全研究所葛鑫
