6月10日,《中华人民共和国数据安全法》(以下简称《数据安全法》)经十三届全国人大常委会第二十九次会议表决通过,这是我国第一部有关数据安全的专门法律。自2020年6月28日以来,《数据安全法》已经历三次审议与修改,确定将于2021年9月1日正式施行。
数据安全法的出台是对当前数据安全内外部形势的积极回应,是护航数字经济发展的重要举措,开创了新时代数据安全治理的新局面。当下,面对大数据的洪流,数据安全问题如何应对,国家数据安全制度怎样布局,不仅关涉国家安全、公共安全、个人安全,也关系我国在全球新一轮信息技术变革中如何实现从跟跑、并跑到领跑的转变。
立法背景
随着人类社会进入数字化时代,网络空间、物理世界和人类社会开始实现深度融合。数据不仅是网络室间自身运行的产物,也是物理世界、人类社会运行的数字画像,蕴含着数字化世界的运行规律。在数字化时代,数据同时兼具国家安全、数字经济、社会治理、个人隐私等多个属性,因此,发达国家陆续开展相关立法工作,我国数据安全立法可谓恰逢其时。
数据安全法作为国家安全法律体系的部分,既要解决现有数据安全制度供给不足的问题,又要符合总体国家安全观的整体性要求,避免过度介入应由其他法律规制的领域。因此,数据安全法是一部数据安全领域基础性、框架性的法律,为后续各类数据领域配套制度、规范及标准的制定提供了依据。
要点解读
明确管理制度
数据安全法中明确了数据分类分级管理与核心数据保护制度、数据安全风险评估与工作协调机制、数据安全应急处置机制、数据安全审查制度,数据出口管制制度和歧视反制制度6项数据安全制度,为我国数据安全工作开展提供了指引。
数据安全义务
数据安全法中规定了4类数据安全义务
(1)数据处理者的安全义务。重要数据处理者应明确数据安全负责人和管理机构,定期开展风险评估,并向主管部门报送风险评估报告;关键信息基础设施的运营者在国内运营中收集和产生的重要数据的出境安全管理依据网络安全法执行,其他数据处理者的数据出境管理由网信办另行制定政策;组织、个人应合法、依规收集和使用数据等。
(2)数据交易中介服务机构义务。数据交易中介服务机构应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
(3)有关组织、个人的数据支持义务。公安或国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
(4)跨境司法或执法机构数据提供审批义务。未经主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于境内的数据。
政务数据安全与开放。
数据安全法就政务数据安全与开放作出相应规定。(1)政务数据安全要求。一方面,国家机关应当依法合规收集、使用数据,并对履职中知悉的个人隐私个人信息、商业秘密等数据予以保密。另一方面,国家机关需要建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
(2)外包政务系统数据安全要求。国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,同时国家机关应当监督受托方履行相应的数据安全保护义务。
(3)政务数据开放要求。除依法不予公开的数据外,国家机关应当遵循公正、公平、便民的原则,按照规定及时、谁确地公开政务数据,同时应制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
法律责任
对于数据处理者与数据交易中介服务机构不履行数据安全义务、数据安全监管履职国家工作人员滥权舞弊、违法获取或滥用数据等行为,数据安全法也作出了相应的处罚规定。其中,对于不履行数据安全义务的数据处理者除罚款外可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,而对于违反国家核心数据管理制度且构成犯罪的可以追究刑事责任,对于违规数据出境或未经授权向外国司法或者执法机构提供数据的,同样会处以相应处罚。