2018年10月全國人大開始組成專班針對《數據安全法》進行研討,歷時一年多公布《數據安全法(草案)》(下稱“草案”),體現了國家對數據安全領域的高度關注。《草案》共分為七章,分別為總則、數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放、法律責任及附則。從整體來看,《草案》全面而宏觀,實現了某些方面的突破,也存在一些值得商榷的地方。本文匯集多位專家及行業代表對《草案》的亮點解讀及其建議,以期讀者對《數據安全法(草案)》有更深刻更全面的了解。
專家亮點解讀:
01 鐘宏:《數據安全法》,是數據要素國家戰略的法制基礎
《數據安全法(草案)》,是數據要素國家戰略的基本法,清華 x-lab數權經濟實驗室主任鐘宏表示。(草案)明確提出維護國家數據主權,保護個人、機構數據權益,將成為數據要素國家戰略重要的法制基礎。數字經濟歷經70年發展,從計算經濟到網絡經濟,正迎來數字經濟3.0——數據智能經濟(數智經濟)時代。數據作為數字經濟最重要的生產要素,被國家正式列為“土地、勞動力、資本、技術”后的第五種生產要素。中國發展數據要素產業,實現數字經濟持續高速增長,需要充分保護數據權力和權益,應盡快完成數權立法。
02 吳沈括:解讀《數據安全法(草案)》四個亮點
北京師范大學網絡法治國際中心執行主任、博導吳沈括教授對《數據安全法(草案)》進行全文解讀,指出(草案)勾勒出國家數據安全的整體布局,(草案)呈現四個亮點:一是在立法理念上強調堅持總體國家安全觀和建立健全數據安全治理體系,凸顯了從傳統管理思維向現代治理思維的歷史性轉變;二是在立法技術上關注追求數據安全與發展利益的動態化、流程化平衡;三是在適用范圍和規制主體上實現公共部門和私營部門的全覆蓋,并強化了中國法律的域外效力;四是在執法機制上突出了中央國家安全領導機構的決策和統籌協調職能,旨在確保國家數據安全戰略和有關重大方針政策的制定和落地。
03 麻策 :《數據安全法(草案)》填補政策和法律的鴻溝
浙江墾丁律師事務所聯合創始人麻策認為,數據安全法(草案)》填補政策和法律的鴻溝,把法律跟政策結合得非常緊密,相信在數據安全法出臺之后,還有大量的合規體系需要細化。對于數據服務商而言,在數據控制、網絡運營、數據風控等環節,去盡快了解并規范業務流程,符合法規與監管要求。比如數據安全評估要求,你怎么處理?數據在處理服務結束之后必須要刪除等等,這些要求都是接下來對數據服務商的考驗。
04 馬臣云:《數據安全法(草案)》明確數據活動的紅線
粵港澳數據要素產業化聯盟籌備組組長馬臣云認為,《數據安全法(草案)》一個重要的意義在于,明確數據活動的紅線是什么,在法律法規允許的條件下,推動數據共享,發現數據價值。(草案)提出建立健全國家數據安全協同治理體系,有關部門、行業組織、企業、個人,共同維護數據安全和促進數據經濟發展。
專家建議:
01 王克:數據資源利用和保護是一項復雜社會系統工程
中關村網絡安全與信息化產業聯盟副秘書長王克認為,數據是國家現代化建設的基礎資源,如同礦產、森林、水利等自然資源,數據伴隨社會生產、生活、國家建設和治理以及國際交往的方方面面,數據處理涉及到采集、傳輸、存儲、計算、挖掘、利用及交易等環節,涉及的主體包括個 人、私企、民企、國企、事業單位、黨政機構及社會團體。數據利用和保護是一項復雜的社會系統工程,其法規建設同傳統的國家自然資源一樣,需要一個實踐積累和理論總結過 程才能建立和完善,不能指望一部或幾部法律解決問題,不能為立法而立法,須從總體上系統把握國家數據資源法規架構,才能保證國家數據資源法規制度健康、持續發展。因此,研究建立國家數據資源法律法規體系,是搞好頂層設計的重要一步。
02 郭俊秀:對《數據安全法(草案)》的四個建議
中國通信學會網絡空間戰略與法律委員會副主任委員、中國東方航空集團總法律顧問、首席數據安全保護官郭俊秀博士針對《草案》的內容,他提出了四點建議:一是進一步明確數據安全的含義和范圍,對“數據”、“數據安全”等概念進行準確辨析;二是建議賦予民航局承擔民航業數據安全監管的職責,民航業是國家重要的戰略產業,上下游企業具有明顯的行業特征,航空公司在日常經營中處理海量的旅客數據,對個人數據的保護需求較為突出;三是對數據的合理使用,應當制定明確的標準和范圍,數據的意義在于使用,建議一方面應明確如何依法合規利用數據,另一方面應明確提供數據處理服務供應商的法定義務,嚴格限制其處理范圍;四是建議明確第二十五條中“數據安全負責人”的職責范圍,推動數據安全保護工作隊伍水平的提升。
03 李廣乾:《數據安全法(草案)》涉及數據保護的方方面面仍有不足
國務院發展研究中心李廣乾研究員認為,《數據安全法(草案)》涉及數據保護的方方面面,但仍有不足。首先,數據和信息的概念上有所差別,在草案中應該進一步予以區分;其次,在行業數據的保護方面,每一類行業數據都有其特殊的性質,故其安全的要求也有很大的不同,在制定法律時應該充分予以考慮,且政務數據不應該設定為《草案》單獨的一章;第三,《草案》應針對數據的采集方、控制方、處理方等不同的主體,制定數據流轉機制的根本性規定;第四,在跨境數據流動方面,我國的跨境數據流動戰略還有所不足,無法解決社會的根本性的需要。目前,我國已成為數據發展的強國,相應的數據流動政策也應與世界發達國家進行對接,從而最大程度地利用我國的數據生產要素,滿足國家和人民的數據利益。
04 時建中:要體現出多元的立法目標
中國通信學會網絡空間安全戰略與法律委員會主任委員、中國政法大學副校長時建中教授認為,目前征求意見稿的具體條款并沒有很好地體現出多元的立法目標,征求意見稿對“數據”“數據安全”“數據活動”等本法核心概念的定義均需要完善。他認為,域外效力制度是征求意見稿的亮點之一,但是需要進一步明細,體現主權平等、工具對等的原則。征求意見稿在數據安全義務與法律責任方面不甚匹配,存在有義務無責任的情況。同時,在法律責任方面,責任形式不夠,違法成本明顯過低。此外,征求意見稿對于重要的安全制度只是粗線條描述。他強調,數據安全標準體系、數據交易管理制度、重要數據保護目錄制度、數據安全監測預警機制、國家數據安全應急處置機制、國家數據安全審查制度、國家數據出口管制制度、企業數據安全管理制度等,這些制度應該是數據安全法的重點內容。此外,數據安全與已經實施的國家安全法、網絡安全法、保密法以及正在制定的個人信息保護法的關系,需要認真處理。
行業代表觀點:
01 衛士通副總經理張劍
《數據安全法(草案)》的出臺,首先從宏觀層面上明確了國家的大數據發展戰略是引導安全需求要與數據的開發利用相結合,不是為了保護而保護。同時,草案從立法層面確立了我國數據安全治理與監管體系,表明數據安全已成為事關國家安全與經濟社會發展的重大關鍵點。國家關于數據安全的總體戰略,是鼓勵數據活動的各方共同參與數據安全的保護工作,并且對開展數據活動的主體、相關的監管部門提出了義務和安全責任。
在(草案)中,對數據的定義、數據各參與方的責任和義務都進行了清晰的厘定,明確規定了數據保護的主體責任和義務是進行數據活動的主體,特別規范了國家機關在進行政務信息開放時的責任和義務。國家相關部門(行業主管部門、公安機關、網信部門等)從監管的角度規范數據處理的環境,國家將從數據的安全風險評估、監測預警、應急處置和安全審查四個方面進行數據安全的監管。
其次,國家也規范了在線數據處理和數據交易,要求專門提供在線數據處理等服務的經營者需要依法取得經營業務許可或者備案。針對個人信息、重要數據和涉密數據的處理者來說,都需要采取合法、正當的方式,并有保護的義務,包括在境內開展數據活動的境外組織。
再次,國家要求數據活動主體加強風險監測,針對重要數據的處理者還應定期開展風險評估,并向有關主管部門報送風險評估報告。
綜上所述,《數據安全法(草案)》可以說為國家后續規范數據活動環境、保障數據安全奠定了基礎。
02 字節跳動數據法務總監田申
征求意見稿是在國家總體安全觀的視野下尋求數據安全與發展的包容并進,通過完善數據領域的重要制度,應對傳統的、新型的以及國際的數據安全風險。
03 美團點評數據合規法務總監劉笑岑
征求意見稿在配套制度機制、重要數據定義、主管機關以及跨境取證四個方面仍有進一步細化和明確的空間。
04 百度平臺法務部總監譚俊
征求意見稿在數據分類保護、數據主權、數據流通等方面都有較大的創新,期待未來在數據安全監管機構、條文的可操作性等方面進一步細化。
05 阿里巴巴集團法律研究中心副主任顧偉博士
根據總體國家安全觀的要求和黨中央的貫徹部署,制定數據安全領域基礎性法律十分必要。他認為,《數據安全法(草案)》緊緊抓住了國家安全保障和數據要素流通兩個關鍵問題,比較好地把握了安全與發展的平衡關系;《數據安全法(草案)》在《網絡安全法》對網絡數據安全保障的基礎上,進一步覆蓋了網絡數據和非網絡數據安全的管理,并在政府數據開放問題上實現了更大突破。
顧偉認為,在中國企業全球化經營的背景下,我國的數據安全立法應當積極回應新的國際數據安全態勢和國際競爭格局。他建議,《數據安全法(草案)》應當進一步考慮國際數據安全合作的機制設計,明確制度接口,以便更好地推動中國數據產業的國際合作與全球化發展。
來源:信息安全與通信保密
