2021年6月10日,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式颁布,并将于2021年9月1日起正式实施。《数据安全法》(2021)将与《国家安全法》(2015)、《网络安全法》(2017)、《网络安全审查办法》(2020)共同构成我国数据安全范畴下的法律框架。《数据安全法》作为我国第一部专门规定“数据”安全的法律,明确对“数据”的规制原则。

一、明确将数据安全上升到国家安全范畴

新出台的《数据安全法》第四条明确“维护数据安全,应当坚持总体国家安全观”,并将“维护国家主权、安全和发展利益”写入本法的立法目的条款中。随着世界数据化进程的加快,各企业商业模式也在随之改变,例如采用基于数据智能驱动的商业模式的公司“滴滴”,这些公司在运营过程中无可避免地涉及数据使用的一系列问题。随着数据跨境流动等趋势的愈发常见,数据已然转换为关乎国家安全价值的利益形态,特别是当其掌握的数据足够丰富时,经过数据分析处理得出的结果极可能包含国家隐私核心数据,这些核心数据的不当使用可能引发国家安全问题,主要包括涉及国家安全数据的审查、境外数据对国家安全的侵犯和相关数据的境外传输问题。《数据安全法》从数据全场景构建数据全监管体系,明确行业主管部门对本行业、本领域的数据安全监管职责,指出公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责,而监管细节有待进一步的规定。

1.涉及国家安全数据的审查

《国家安全法》第五十九条规定国家建立国家安全审查和监管的制度和机制,对影响国家安全的关键技术、网络信息技术产品和服务等进行国家安全审查。但此条规定的国家安全审查和监管制度所需要的审查的内容众多,其中“关键技术、网络信息技术产品和服务”只是一项,且审查重点为产品、服务本身,而对其获取、分析、使用的数据并没有专门的规定。而《网络安全法》第三十五条也对此做出了相应规定,但一般只局限于网络范围内。对此,《数据安全法》规定了针对“数据”的国家安全审查,其第二十四条规定,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查,以此实施对相关数据的专门审查。同时,《数据安全法》明确数据处理服务提供者应当依法取得行政许可,为未来对数据处理服务市场准入环节实施准入资格监管提供了上位法依据。

2.境外数据对国家安全的侵犯

《数据安全法》不仅对国内范围内的数据活动进行规范,同时其第二条规定,在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任,此条明确规定了境外数据侵犯国家安全属于我国数据规范范围。

3.相关数据的境外传输

如今数据所承载的不仅仅是个人信息和隐私,当大量的数据被分析处理,其所得出的结果有可能涉及国家重要信息和隐私。对此,《网络安全法》规定了关键信息基础设施的运营者收集的数据的出境管理,在此基础上《数据安全法》规定此外其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法由国家网信部门会同国务院有关部门制定。此款条文明确了针对“数据”的出境规制补全了以往的数据管理漏洞。

不仅如此,《数据安全法》还对数据安全违法行为赋予了多项处罚说明,对违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。

二、建立重要数据和数据分级分类管理制度

《数据保护法》全文有三个条款对“数据分级”作出规定,其对数据级别的界定采用两个方法,第一种方法是用概念表述,即“根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”,此概念定义较为笼统,至于具体分类标准必须结合具体分级分类认定。

二是重要数据保护目录的制定,本法要求,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,同时各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。

三是本法第三十条还规定了风险评估报告制度。重要数据处理者要定期报送风险评估报告,本条增加了数据处理者的数据安全保护义务,提高对其数据保护的要求。

三、完善数据出境风险管理

1.《数据安全法》补充和完善了数据出境管理要求,强化境内数据出境风险控制。《数据安全法》出台之前,也有法律涉及数据境外传输的规定,如《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。但由于《网络安全法》的立法目的主要是保护互联网环境安全,对涉及国家安全的数据保护一般只限于网络范围,因此有必要利用《数据安全法》对涉及国家安全的数据内容进行专门规制,《数据安全法》第三十一条继续沿用了以上条款,同时规定此外其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

2.《数据安全法》针对全球数据竞争形势,作出应对性规定。其一,针对国外相关立法普遍具有域外适用效力、扩张本国立法管辖权的问题,如欧盟《通用数据保护条例》,如前所述,《数据安全法》第二条以实际后果为标准,明确将对“损害中华人民共和国国家安全、公共利益或者公民、组织合法权益”的境外数据处理活动,追究法律责任。其二,针对国外近期立法授权本国执法机构跨境调取数据,可能侵犯我国数据主权、威胁我国数据安全的问题(如美国《云法案》),《数据安全法》第36条明确规定,非经我国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于我国境内的数据。其三,针对我国网信企业在出海过程中频遭他国国家安全审查等不平等对待的问题,《数据安全法》第26条明确任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对我国采取歧视性的禁止、限制或者其他类似措施的,我国可以根据实际情况对该国家或者地区对等采取措施。

四、明确规定数据安全保护义务

《数据安全法》从多个方面规定了相关企业的数据安全义务,包括制度管理、风险监测、风险评估、数据收集、数据交易、经营备案和配合调查等多个方面。

《数据安全法》明确,相关企业应在网络安全等级保护制度的基础上,建立健全全流程数据安全管理制度,组织开展教育培训。重要数据的处理者应当明确数据安全负责人和管理机构,进一步落实数据安全保护责任主体。对出现缺陷、漏洞等风险,要采取补救措施:发生数据安全事件,应当立即采取处置措施,并按规定上报。并要求企业定期开展风险评估并上报风评报告。针对数据服务商或交易机构,要求其提供并说明数据来源证据,要审核相关人员身份并留存记录。数据服务经营者应当取得行政许可的,服务提供者应当依法取得许可。《数据安全法》还明确要求企业依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据,未经批准,不得提供。

2021年6月10日,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式颁布,并将于2021年9月1日起正式实施。《数据安全法》(2021)将与《国家安全法》(2015)、《网络安全法》(2017)、《网络安全审查办法》(2020)共同构成我国数据安全范畴下的法律框架。《数据安全法》作为我国第一部专门规定“数据”安全的法律,明确对“数据”的规制原则。

一、明确将数据安全上升到国家安全范畴

新出台的《数据安全法》第四条明确“维护数据安全,应当坚持总体国家安全观”,并将“维护国家主权、安全和发展利益”写入本法的立法目的条款中。随着世界数据化进程的加快,各企业商业模式也在随之改变,例如采用基于数据智能驱动的商业模式的公司“滴滴”,这些公司在运营过程中无可避免地涉及数据使用的一系列问题。随着数据跨境流动等趋势的愈发常见,数据已然转换为关乎国家安全价值的利益形态,特别是当其掌握的数据足够丰富时,经过数据分析处理得出的结果极可能包含国家隐私核心数据,这些核心数据的不当使用可能引发国家安全问题,主要包括涉及国家安全数据的审查、境外数据对国家安全的侵犯和相关数据的境外传输问题。《数据安全法》从数据全场景构建数据全监管体系,明确行业主管部门对本行业、本领域的数据安全监管职责,指出公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责,而监管细节有待进一步的规定。

1.涉及国家安全数据的审查

《国家安全法》第五十九条规定国家建立国家安全审查和监管的制度和机制,对影响国家安全的关键技术、网络信息技术产品和服务等进行国家安全审查。但此条规定的国家安全审查和监管制度所需要的审查的内容众多,其中“关键技术、网络信息技术产品和服务”只是一项,且审查重点为产品、服务本身,而对其获取、分析、使用的数据并没有专门的规定。而《网络安全法》第三十五条也对此做出了相应规定,但一般只局限于网络范围内。对此,《数据安全法》规定了针对“数据”的国家安全审查,其第二十四条规定,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查,以此实施对相关数据的专门审查。同时,《数据安全法》明确数据处理服务提供者应当依法取得行政许可,为未来对数据处理服务市场准入环节实施准入资格监管提供了上位法依据。

2.境外数据对国家安全的侵犯

《数据安全法》不仅对国内范围内的数据活动进行规范,同时其第二条规定,在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任,此条明确规定了境外数据侵犯国家安全属于我国数据规范范围。

3.相关数据的境外传输

如今数据所承载的不仅仅是个人信息和隐私,当大量的数据被分析处理,其所得出的结果有可能涉及国家重要信息和隐私。对此,《网络安全法》规定了关键信息基础设施的运营者收集的数据的出境管理,在此基础上《数据安全法》规定此外其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法由国家网信部门会同国务院有关部门制定。此款条文明确了针对“数据”的出境规制补全了以往的数据管理漏洞。

不仅如此,《数据安全法》还对数据安全违法行为赋予了多项处罚说明,对违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。

二、建立重要数据和数据分级分类管理制度

《数据保护法》全文有三个条款对“数据分级”作出规定,其对数据级别的界定采用两个方法,第一种方法是用概念表述,即“根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”,此概念定义较为笼统,至于具体分类标准必须结合具体分级分类认定。

二是重要数据保护目录的制定,本法要求,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,同时各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。

三是本法第三十条还规定了风险评估报告制度。重要数据处理者要定期报送风险评估报告,本条增加了数据处理者的数据安全保护义务,提高对其数据保护的要求。

三、完善数据出境风险管理

1.《数据安全法》补充和完善了数据出境管理要求,强化境内数据出境风险控制。《数据安全法》出台之前,也有法律涉及数据境外传输的规定,如《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。但由于《网络安全法》的立法目的主要是保护互联网环境安全,对涉及国家安全的数据保护一般只限于网络范围,因此有必要利用《数据安全法》对涉及国家安全的数据内容进行专门规制,《数据安全法》第三十一条继续沿用了以上条款,同时规定此外其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

2.《数据安全法》针对全球数据竞争形势,作出应对性规定。其一,针对国外相关立法普遍具有域外适用效力、扩张本国立法管辖权的问题,如欧盟《通用数据保护条例》,如前所述,《数据安全法》第二条以实际后果为标准,明确将对“损害中华人民共和国国家安全、公共利益或者公民、组织合法权益”的境外数据处理活动,追究法律责任。其二,针对国外近期立法授权本国执法机构跨境调取数据,可能侵犯我国数据主权、威胁我国数据安全的问题(如美国《云法案》),《数据安全法》第36条明确规定,非经我国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于我国境内的数据。其三,针对我国网信企业在出海过程中频遭他国国家安全审查等不平等对待的问题,《数据安全法》第26条明确任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对我国采取歧视性的禁止、限制或者其他类似措施的,我国可以根据实际情况对该国家或者地区对等采取措施。

四、明确规定数据安全保护义务

《数据安全法》从多个方面规定了相关企业的数据安全义务,包括制度管理、风险监测、风险评估、数据收集、数据交易、经营备案和配合调查等多个方面。

《数据安全法》明确,相关企业应在网络安全等级保护制度的基础上,建立健全全流程数据安全管理制度,组织开展教育培训。重要数据的处理者应当明确数据安全负责人和管理机构,进一步落实数据安全保护责任主体。对出现缺陷、漏洞等风险,要采取补救措施:发生数据安全事件,应当立即采取处置措施,并按规定上报。并要求企业定期开展风险评估并上报风评报告。针对数据服务商或交易机构,要求其提供并说明数据来源证据,要审核相关人员身份并留存记录。数据服务经营者应当取得行政许可的,服务提供者应当依法取得许可。《数据安全法》还明确要求企业依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据,未经批准,不得提供。