2021年6月10日�,第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十九次會(huì)議審議通過了《中華人民共和國(guó)數(shù)據(jù)安全法》(簡(jiǎn)稱“《數(shù)據(jù)安全法》”)�����,該法將于2021年9月1日起施行。
許多學(xué)者及律師將《數(shù)據(jù)安全法》稱為數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律����,究其原因�,該法不僅起到了規(guī)制數(shù)據(jù)處理活動(dòng)、保障數(shù)據(jù)安全的作用��,同時(shí)也構(gòu)建了數(shù)據(jù)安全與數(shù)據(jù)處理的整體框架����,為理論體系與實(shí)踐經(jīng)營(yíng)提供了聯(lián)系的通道。
《數(shù)據(jù)安全法》分為七章�����,共有五十五條���,各章分別為“總則”����、“數(shù)據(jù)安全與發(fā)展”、“數(shù)據(jù)安全制度”��、“數(shù)據(jù)安全保護(hù)義務(wù)”���、“政務(wù)數(shù)據(jù)安全與開放”�、“法律責(zé)任”�����、“附則”�,分別確立了數(shù)據(jù)分類分級(jí)保護(hù)制度、數(shù)據(jù)安全審查體系及數(shù)據(jù)出境管理制度的立法框架����,為未來進(jìn)一步落實(shí)數(shù)據(jù)安全合規(guī)體系提供了有力的支撐。
一��、數(shù)據(jù)分級(jí)分類保護(hù)制度
(一)數(shù)據(jù)分級(jí)分類保護(hù)
根據(jù)《數(shù)據(jù)安全法》第二十一條前文規(guī)定���,“國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度�,根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度����,以及一旦遭到篡改�����、破壞����、泄露或者非法獲取����、非法利用��,對(duì)國(guó)家安全����、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度�,對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)?��!?/span>
此處的數(shù)據(jù)分級(jí)分類保護(hù)制度類似于網(wǎng)絡(luò)安全等級(jí)保護(hù)制度��,針對(duì)不同領(lǐng)域不同重要程度的數(shù)據(jù)進(jìn)行分類管理���,能夠在數(shù)據(jù)安全和數(shù)據(jù)流通之間找到一個(gè)風(fēng)險(xiǎn)控制與合規(guī)經(jīng)營(yíng)的平衡點(diǎn)��,是數(shù)據(jù)安全領(lǐng)域的重大突破����,未來數(shù)據(jù)分級(jí)分類保護(hù)制度在具體落地的過程中產(chǎn)生的效果需要我們進(jìn)一步的關(guān)注����。
根據(jù)《數(shù)據(jù)安全法》第二十一條后文規(guī)定,“國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄�,加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。關(guān)系國(guó)家安全��、國(guó)民經(jīng)濟(jì)命脈�、重要民生、重大公共利益等數(shù)據(jù)屬于國(guó)家核心數(shù)據(jù)��,實(shí)行更加嚴(yán)格的管理制度����。各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度����,確定本地區(qū)、本部門以及相關(guān)行業(yè)����、領(lǐng)域的重要數(shù)據(jù)具體目錄��,對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)�?�!睂?duì)于重要數(shù)據(jù)����,《數(shù)據(jù)安全法》和《網(wǎng)絡(luò)安全法》都沒有進(jìn)一步明確其定義。
《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見稿)》的第九條規(guī)定對(duì)重要數(shù)據(jù)進(jìn)行了界定���,“重要數(shù)據(jù),是指與國(guó)家安全���、經(jīng)濟(jì)發(fā)展���,以及社會(huì)公共利益密切相關(guān)的數(shù)據(jù),具體范圍參照國(guó)家有關(guān)標(biāo)準(zhǔn)和重要數(shù)據(jù)識(shí)別指南”��?���!稊?shù)據(jù)安全管理辦法(征求意見稿)》的第三十九條規(guī)定給出了更為詳細(xì)的定義�����,“重要數(shù)據(jù)����,是指一旦泄露可能直接影響國(guó)家安全�����、經(jīng)濟(jì)安全��、社會(huì)穩(wěn)定�、公共健康和安全的數(shù)據(jù),如未公開的政府信息����,大面積人口、基因健康����、地理、礦產(chǎn)資源等��。重要數(shù)據(jù)一般不包括企業(yè)生產(chǎn)經(jīng)營(yíng)和內(nèi)部管理信息、個(gè)人信息等��?!币陨蟽蓚€(gè)征求意見稿中的定義可以作為實(shí)踐中界定重要數(shù)據(jù)的重要參考。隨著立法工作的進(jìn)一步推進(jìn)���,重要數(shù)據(jù)的定義也將愈發(fā)明晰��。
在數(shù)據(jù)分級(jí)分類保護(hù)的基礎(chǔ)上���,除一般保護(hù)外,《數(shù)據(jù)安全法》同時(shí)強(qiáng)化了對(duì)重要數(shù)據(jù)的保護(hù)要求��。首先���,第二十七條第一款規(guī)定了數(shù)據(jù)處理者開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律法規(guī)的規(guī)定��,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓(xùn)�,采取相應(yīng)的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全�;其次,第二十七條第二款明確了數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)的義務(wù)��,要求重要數(shù)據(jù)處理者落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任����;最后�,第三十條對(duì)重要數(shù)據(jù)處理者開展風(fēng)險(xiǎn)評(píng)估提出了要求���,重要數(shù)據(jù)處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開展風(fēng)險(xiǎn)評(píng)估��,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告��。風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括其所處理的重要數(shù)據(jù)的種類和數(shù)量����、開展數(shù)據(jù)處理活動(dòng)的情況���、面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等��。
除了上述對(duì)于重要數(shù)據(jù)的保護(hù)要求���,《數(shù)據(jù)安全法》還深化了對(duì)國(guó)家核心數(shù)據(jù)的保護(hù),將關(guān)系國(guó)家安全����、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等的數(shù)據(jù)列入國(guó)家核心數(shù)據(jù)����,并要求對(duì)國(guó)家核心數(shù)據(jù)制定并實(shí)行更加嚴(yán)格的管理制度。
《數(shù)據(jù)安全法》第十七條規(guī)定����,由國(guó)家推進(jìn)數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)����。國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門和國(guó)務(wù)院有關(guān)部門根據(jù)各自的職責(zé),組織制定并適時(shí)修訂有關(guān)數(shù)據(jù)開發(fā)利用技術(shù)�����、產(chǎn)品和數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)����。第十八條還規(guī)定了支持?jǐn)?shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等專業(yè)機(jī)構(gòu)依法開展服務(wù)活動(dòng)��。同時(shí)��,第二十四條確立了國(guó)家建立數(shù)據(jù)安全審查制度����,要求對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查。
上述一系列相關(guān)條款均體現(xiàn)了《數(shù)據(jù)安全法》在數(shù)據(jù)安全標(biāo)準(zhǔn)體系及數(shù)據(jù)安全審查制度建設(shè)的努力�。首先,在數(shù)據(jù)安全標(biāo)準(zhǔn)體系方面��,由國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門和國(guó)務(wù)院有關(guān)部門負(fù)責(zé)����,企業(yè)、社會(huì)團(tuán)體和教育��、科研機(jī)構(gòu)等機(jī)構(gòu)參與���,最終制定具體的數(shù)據(jù)安全標(biāo)準(zhǔn)體系����;其次��,隨著《數(shù)據(jù)安全法》的實(shí)施��,《數(shù)據(jù)安全法》對(duì)于審查的程序性規(guī)定將進(jìn)一步明確��,《網(wǎng)絡(luò)安全法》及《網(wǎng)絡(luò)安全審查辦法》構(gòu)建的網(wǎng)絡(luò)安全審查制度對(duì)于數(shù)據(jù)安全審查體系的建立具有很高的參考價(jià)值。隨著數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)的落地��,未來數(shù)據(jù)安全審查體系的完整性將逐步提升����,國(guó)家對(duì)企業(yè)數(shù)據(jù)活動(dòng)的干預(yù)方向和干預(yù)程度,也將隨著相關(guān)法規(guī)和標(biāo)準(zhǔn)的制定和實(shí)施逐步顯現(xiàn)�。
《數(shù)據(jù)安全法》第三十一條的規(guī)定主要確立了重要數(shù)據(jù)的出境要求�,“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定��;其他數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法�����,由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定�����?�!?/span>
該條規(guī)定直接指向了《網(wǎng)絡(luò)安全法》的第三十七條規(guī)定�,“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ),如因業(yè)務(wù)需要�,確需向境外提供的����,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估”���。盡管《網(wǎng)絡(luò)安全法》指出了重要數(shù)據(jù)出境安全管理的大致方向,但是不論是《數(shù)據(jù)安全法》還是《網(wǎng)絡(luò)安全法》���,均未明確重要數(shù)據(jù)出境安全評(píng)估的實(shí)操辦法��,國(guó)家網(wǎng)信部門也并未實(shí)際開展數(shù)據(jù)出境安全評(píng)估業(yè)務(wù)����,因此該規(guī)定如何走向落地尚待明確�。
相較于《數(shù)據(jù)安全法》與《網(wǎng)絡(luò)安全法》的規(guī)定,目前尚未出臺(tái)的法律法規(guī)和規(guī)范性文件已對(duì)重要數(shù)據(jù)在其他情況下的安全評(píng)估和出境審批作出了相應(yīng)的指引��。在《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見稿)》第九條就規(guī)定了六條需要安全評(píng)估的情況:“(一)含有或累計(jì)含有50萬人以上的個(gè)人信息�;(二)數(shù)據(jù)量超過1000GB;(三)包含核設(shè)施�����、化學(xué)生物�����、國(guó)防軍工、人口健康等領(lǐng)域數(shù)據(jù)��,大型工程活動(dòng)����、海洋環(huán)境以及敏感地理信息數(shù)據(jù)等;(四)包含關(guān)鍵信息基礎(chǔ)設(shè)施的系統(tǒng)漏洞�����、安全防護(hù)等網(wǎng)絡(luò)安全信息�;(五)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供個(gè)人信息和重要數(shù)據(jù);(六)其他可能影響國(guó)家安全和社會(huì)公共利益���,行業(yè)主管或監(jiān)管部門認(rèn)為應(yīng)該評(píng)估����。行業(yè)主管或監(jiān)管部門不明確的��,由國(guó)家網(wǎng)信部門組織評(píng)估����?���!?此外����,《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南》附錄B(個(gè)人信息和重要數(shù)據(jù)出境安全風(fēng)險(xiǎn)評(píng)估方法)所規(guī)定的相關(guān)評(píng)估標(biāo)準(zhǔn)也能為企業(yè)重要數(shù)據(jù)出境提供數(shù)據(jù)合規(guī)層面的參考���。
數(shù)據(jù)出境合規(guī)中另外一個(gè)值得關(guān)注的制度是《數(shù)據(jù)安全法》第二十五條規(guī)定的數(shù)據(jù)出口管制制度����。根據(jù)《數(shù)據(jù)安全法》第二十五條規(guī)定��,國(guó)家對(duì)與維護(hù)國(guó)家安全和利益����、履行國(guó)際義務(wù)相關(guān)的屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制。該條與《出口管制法》第二條規(guī)定中所述的“管制物項(xiàng)����,包括物項(xiàng)相關(guān)的技術(shù)資料等數(shù)據(jù)”相銜接。若根據(jù)《出口管制法》涉及的清單和目錄及上述標(biāo)準(zhǔn)��,某項(xiàng)數(shù)據(jù)可被判定為出口管制物項(xiàng)��,則出口管制主管部門有權(quán)對(duì)該項(xiàng)數(shù)據(jù)實(shí)施出口管制,該項(xiàng)數(shù)據(jù)的出境應(yīng)依法取得相應(yīng)的出口許可��。
此外�����,與出口管制相關(guān)的信息中���,也存在數(shù)據(jù)出口管制的對(duì)象���。《出口管制法》第三十二條第一款規(guī)定���,“中華人民共和國(guó)境內(nèi)的組織和個(gè)人向境外提供出口管制相關(guān)信息����,應(yīng)當(dāng)依法進(jìn)行�����;可能危害國(guó)家安全和利益的�����,不得提供”。該條并非限制一般貿(mào)易信息的正?���?缇沉鲃?dòng),而是對(duì)企業(yè)的信息篩查能力提出了一定的要求��。企業(yè)在向境外提供數(shù)據(jù)前�,首先應(yīng)確認(rèn)相關(guān)數(shù)據(jù)不存在影響我國(guó)國(guó)家安全、社會(huì)公共利益以及國(guó)際義務(wù)履行的風(fēng)險(xiǎn)��。一般而言��,向境外母公司�����、境外交易相對(duì)方�、境外供應(yīng)商提供出口管制相關(guān)審查結(jié)果��,在不涉及敏感對(duì)象(國(guó)家����、地區(qū)或不可靠實(shí)體),且相關(guān)信息不存在上述風(fēng)險(xiǎn)的情況下,無需相關(guān)監(jiān)管部門進(jìn)行評(píng)估����。
(三)司法執(zhí)法活動(dòng)涉及的數(shù)據(jù)提供
《數(shù)據(jù)安全法》第三十六條規(guī)定:“中華人民共和國(guó)主管機(jī)關(guān)根據(jù)有關(guān)法律和中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定��,或者按照平等互惠原則�����,處理外國(guó)司法或者執(zhí)法機(jī)構(gòu)關(guān)于提供數(shù)據(jù)的請(qǐng)求���。非經(jīng)中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn)���,境內(nèi)的組織、個(gè)人不得向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的數(shù)據(jù)����。”
首先��,所有向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)的行為��,無論所涉數(shù)據(jù)是否屬于重要數(shù)據(jù)�����,均應(yīng)經(jīng)過中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn)。其次�����,對(duì)于外國(guó)司法或者執(zhí)法機(jī)構(gòu)關(guān)于提供數(shù)據(jù)的請(qǐng)求���,中國(guó)主管機(jī)關(guān)將以有關(guān)法律和中國(guó)締結(jié)或參加的國(guó)際條約�、協(xié)定為依據(jù)�,或在尚無法律、國(guó)際條約�、協(xié)定的情況下,以平等互惠原則為基礎(chǔ)進(jìn)行綜合判斷���,最終決定是否同意該請(qǐng)求。
四�、數(shù)據(jù)安全中的對(duì)等原則
最終出臺(tái)的《數(shù)據(jù)安全法》在國(guó)家層面對(duì)于數(shù)據(jù)安全的反制措施有了突破性規(guī)定。其中�,針對(duì)他國(guó)數(shù)據(jù)歧視政策的對(duì)等措施作為新制度值得關(guān)注?!稊?shù)據(jù)安全法》第二十六規(guī)定,“任何國(guó)家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術(shù)等有關(guān)的投資����、貿(mào)易等方面對(duì)中華人民共和國(guó)采取歧視性的禁止�����、限制或者其他類似措施的�,中華人民共和國(guó)可以根據(jù)實(shí)際情況對(duì)該國(guó)家或者地區(qū)對(duì)等采取措施”�����。
對(duì)等原則作為國(guó)際法領(lǐng)域的一項(xiàng)基本原則�,常常出現(xiàn)在涉外商事與國(guó)際貿(mào)易中,例如《出口管制法》第四十八條規(guī)定���,“任何國(guó)家或者地區(qū)濫用出口管制措施危害中華人民共和國(guó)國(guó)家安全和利益的��,中華人民共和國(guó)可以根據(jù)實(shí)際情況對(duì)該國(guó)家或者地區(qū)對(duì)等采取措施”����。在《外商投資法》第四十條中也能找到類似規(guī)定���,“任何國(guó)家或者地區(qū)在投資方面對(duì)中華人民共和國(guó)采取歧視性的禁止�、限制或者其他類似措施的��,中華人民共和國(guó)可以根據(jù)實(shí)際情況對(duì)該國(guó)家或者該地區(qū)采取相應(yīng)的措施”。
同一時(shí)間出臺(tái)的《中華人民共和國(guó)反外國(guó)制裁法》第三條第二項(xiàng)規(guī)定的“外國(guó)國(guó)家違反國(guó)際法和國(guó)際關(guān)系基本準(zhǔn)則��,以各種借口或者依據(jù)其本國(guó)法律對(duì)我國(guó)進(jìn)行遏制�、打壓,對(duì)我國(guó)公民����、組織采取歧視性限制措施,干涉我國(guó)內(nèi)政的���,我國(guó)有權(quán)采取相應(yīng)反制措施”����,更是跨越了“對(duì)等采取措施”以及“采取相應(yīng)的措施”的表述���,在我國(guó)內(nèi)政受到干涉的情形下���,直接賦予國(guó)家有關(guān)部門“采取相應(yīng)反制措施”的權(quán)利�����。
本次出臺(tái)的《數(shù)據(jù)安全法》將對(duì)等原則運(yùn)用在數(shù)據(jù)安全領(lǐng)域�,正是考慮到目前各國(guó)之間在數(shù)據(jù)安全領(lǐng)域政治博弈頻發(fā)的大背景����。對(duì)等原則在《數(shù)據(jù)安全法》中的明確�,能夠使中國(guó)在未來可能遭遇他國(guó)數(shù)據(jù)開發(fā)及利用的歧視性政策時(shí),擁有更好的反制手段�,同時(shí)也為中國(guó)企業(yè)開展數(shù)據(jù)開發(fā)及利用活動(dòng)提供了立法的保障。
據(jù)安全法》評(píng)述.jpg "《數(shù)據(jù)安全法》評(píng)述.jpg")
