数安风向 | 数据发展日新月异,中国如何构建数据安全法律体系

读三法,看中国数安法律体系!

《岩谈》第5期——数据安全专刊

“码”上掌握,数安新风向

 

山石视点:在【数安风向】专栏首期——《全球数据博弈战升级,中国如何应对布局》中,我们向大家介绍了包括我国在内的世界各国数据发展战略。支撑国家数据战略最重要的托手便是政府层面出台的若干法律法规。因此,不论是数据的产生者、控制者、处理者、抑或是监管者,任何与数据相关的参与方都有责任和义务深入了解现阶段我国出台的数据安全相关法规。本期,我们将借助对“三法”及“条例”的深入解读,向大家介绍现阶段我国数据安全法律体系。 

数据作为新时代的一种资源,随着互联网的发展,数据进入到爆炸式阶段,随着大数据技术的不断发展以及个人信息不断上传,数据的相关保护显得尤为重要。 近几年国家密集的出台了数个跟数据保护相关的法律,其中最主要的就是《个人信息保护法》、《数据安全法》、《网络安全法》这三部法律以及《网络数据安全管理条例(征求意见稿)》这部法规。

“三法”的出台构建了我国数据安全法律体系,为我国数据安全合规建设指明了方向,“条例”的推出在承载了 “三法”法律目标的同时也给出了细化的实现路径,下面笔者将针对“三法一条例”的要点进行重点介绍。

 

一、背景介绍 

2015 年 7 月 1 日,我国正式颁布《国家安全法》,其中提出要“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。2017 年 12 月,中共中央政治局就实施大数据战略的学习中,习近平总书记强调:大数据发展日新月异,我们应该审时度势、精心谋划、超前布局、力争主动,深入了解大数据发展现状和趋势及其对经济社会发展的影响,分析现在的成绩与问题,推动实施大数据战略,加快完善数字基础设施,推动资源整合与共享,保障数据安全,加快建设数字中国。

近几年,国家陆续出台相关法律政策,统筹发展和安全,推动数据安全建设,中共中央国务院《关于构建更加完善的要素市场化配置体制机制的意见》明确要求加强数据安全,《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》明确提出:保障国家数据安全,加强个人信息保护。随着《国家安全法》《网络安全法》《密码法》《民法典》《数据安全法》《个人信息保护法》“五法一典”出台,我国数据安全法制化建设不断推进,监管体系不断完善,安全由“或有”变“刚需”。结合顶层设计、法律法规,数据安全新监管同时体现对过程和结果的合规要求。数据处理者既应当从过程方面积极履行数据安全保护义务,也要对数据安全防护的最终结果负责,下面简要介绍一下数据安全方向主要法律涉及的要点。

 

二、《网络安全法》

《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。《网络安全法》第 10 条将数据安全目标明确为“维护网络数据的完整性、保密性和可用性”;第 21 条规定网络运营者(包括关键信息基础设施的运营者)的安全保护义务,明确提出要按照安全等级保护的制度采取数据分类、重要数据备份和加密等措施,防止网络数据泄露或者被窃取、篡改;第 27 条则是要求任何人不得提供专门用于窃取网络数据的程序和工具;第 31 条从数据泄露可能造成的危害角度界定了关键信息基础设施的范围;第 34 条则提到关键信息基础设施的运营者还应当对重要系统和数据库进行容灾备份,同时制定网络安全事件应急预案,并定期组织演练。

个人信息保护方面,第 40 条明确将收集和使用个人信息的网络运营者,设定为个人信息保护的责任主体;第 41 条增加了对个人信息收集的“最少够用原则”;第 42 条增设了进行个人信息共享的条件;第 43 条增加了个人在一定情形下删除或更正其个人数据的权利;第 44 条在法律层面首次给予个人信息交易一定的合法空间

在重要数据保护方面,第 51 条规定“国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作 “;第 52 条规定“负责关键信息基础设施安全保护工作的部门”,应当按照规定报送网络安全监测预警信息。

图片

三、《数据安全法》 

2021 年 6 月 10 日,十三届全国人大常委会第二十九次会议通过了数据安全法。这部法律是数据领域的基础性法律,也是国家安全领域的一部重要法律,将于 2021 年 9 月 1 日起施行。随着《数据安全法》的出台,我国在网络与信息安全领域的法律法规体系得到了进一步的完善。按照总体国家安全观的要求,《数据安全法》明确数据安全主管机构的监管职责,建立健全数据安全协同治理体系,提高数据安全保障能力,促进数据出境安全和自由流动,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,让数据安全有法可依、有章可循,为数字化经济的安全健康发展提供了有力支撑。

《数据安全法》从各个方面提供了数据安全治理的指导思路:

  • 一是坚持以数据开发利用和产业发展促进数据安全,坚持维护数据安全与促进数据开发利用并重,互相促进。《数据安全法》的正式实施将为我国在国际数据经济市场中提供坚实有力的保障。
  • 二是深化数据安全体制建设,在大数据时代背景下,政务、社会、城市数字化转型快速发展,依据本法建立数据安全管理制度,明确数据责任主体,从统一化及可落地性出发,结合现有数据业务建设需求和建设情况,遵从整体策略方针,全面优化管理体制,为我国数字化转型的健康发展提供法治保障,为构建智慧城市、数字政务、数字社会提供法律依据。
  • 三是强化数据安全监管制约,《数据安全法》明确了数据管理者和运营者的数据保护责任,指明了数据保护的工作方向,对整个信息安全产业都带来了积极的影响,全面消除数据管理者和运营者在数据安全建设中的盲区,数据安全建设有法可依,数据安全事故造成的损失有法可惩,这对促进经济社会信息化健康发展,保护公民、组织的合法权益具有非常大的价值。
  • 四是深度覆盖的全场景数据安全评估与防护要求,《数据安全法》特别指出“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度”,提出对数据全生命周期各环节的安全保护义务,加强风险监测与身份核验,结合业务需求,从数据分级分类到风险评估、身份鉴权到访问控制、行为预测到追踪溯源、应急响应到事件处置,全面建设有效防护机制,保障数字产业蓬勃健康发展。
  • 五是加大政务数据开放共享中的安全机制,《数据安全法》针对政务数据开发利用做出了明确的指示,要求省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,加强数据开放共享的安全保障措施,建立统一规范、互联互通、安全可控的机制,利用数据安全运营,提升数据服务对经济社会稳定发展的效果。
  • 六是加大违法的处罚力度,《数据安全法》对数据安全违法行为赋予了多项处罚说明,对违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。

 

四、《个人信息保护法》

2021 年 11 月 1 日,《个人信息保护法》正式实施。它是我国第一部专门针对个人信息保护的法律。该法明确了个人信息的定义和处理规则,对个人和信息处理者双方的权利义务进行了细化,并建立了个人信息保护投诉、举报工作机制,全面系统地回应了关于个人信息安全的热点问题,堪称一把保护个人信息的“安全锁”

首先,《个人信息保护法》确立了个人信息处理活动基本原则,个人信息保护法包括合法、正当、必要、诚信、目的限制、最小必要、质量、责任等原则。这些原则的根本目的就是要规范个人信息处理者的处理活动保护个人信息权益。例如,依据第六条所确立的目的限制原则,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。无论什么样的个人信息处理者为了何种处理目的,以何种方式实施个人信息处理活动,都应当遵循这些基本原则。

其次,《个人信息保护法》详细规定了告知同意规则,明确个人信息处理者处理个人信息前,必须以显著方式、清晰易懂的语言真实、准确、完整地向个人告知法律规定的事项,除非法律、行政法规规定应当保密或者不需要告知,或者告知将妨碍国家机关履行法定职责。如果个人信息处理者基于个人同意而处理个人信息,那么个人的同意必须是个人在充分知情的前提下自愿、明确地作出,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。

同时,《个人信息保护法》对“大数据杀熟”“人脸识别”等问题予以回应,界定敏感个人信息并给予严格保护,专章规定个人在个人信息处理活动中的权利,对个人信息处理者的义务作出详细规定,明确违法行为处罚规定,规定民事责任制度以及民事公益诉讼。

 

五、《网络数据安全管理条例(征求意见稿)》 

2021 年 11 月 14 日,国家互联网信息办公室(“网信办”)首次公布了《网络数据安全管理条例(征求意见稿)》(以下简称《条例》),并向社会公开征求意见。条例征求意见稿以《个人信息保护法》、《数据安全法》和《网络安全法》等法律为上位法,落实法律中提出的数据安全制度,执行上位法设立的制度,给出了这些制度的实施路径。进一步细化上位法的原则,对“合法、正当、必要”原则、告知事项、同意制度、数据出境这些关于个人信息和重要数据保护的规定做了细化。

《个人信息保护法》、《数据安全法》和《网络安全法》等法律法规之间相互关联,相互支持,强调了不同的安全防护点,但在具体落地和实践上,却都留有一定空白。值得关注的是,正是这一空白的存在,推动了《条例》的出台,为法律法规的具体落地提供了最佳实践方向与路径。

与以往网安行业相关政策法规内容不同的是,在《条例》中,明确对数据采取分类分级保护制度,数据分为一般数据、重要数据、核心数据等三个级别,不同级别的数据采取不同的保护措施。《条例》对重要数据的具体解释与定义,以及明确了如何对数据要素中的重要数据进行管理等内容也成为此次意见稿中值得关注的关键内容。

《条例》共有 9 章 75 条,很多条款是为了执行上位法设立的制度,给出了这些制度的实施路径,值得关注的是总则中对数据分类分级有专门的提及。按照惯例,《条例》首先对适用范围和基本定义做出明确,然后对监管部门及其职责、数据安全制度建设(包括分类分级保护制度、数据交易管理制度、数据安全管理制度、数据安全应急响应机制、安全审计制度等等)做出指示

关于数据处理者,《条例》提出了总体要求、处理个人信息特别要求、处理个人信息强制性要求、处理重要数据的特别要求、13 处理跨境数据特别要求,等等。对于网络数据的载体平台,尤其是互联网平台,《条例》提出了更多的义务。

《条例》作为三个数据安全相关上位法的具体落地条例,对数据安全来说有着重要意义,如果说《数据安全法》是为数据安全指明了目标,那《条例》则是告诉我们如何迈出第一步并为我们做了安全导航。

“三法一条例”的发布对数字时代产生了深远的影响,不仅保障了数据安全的现实需要,而且补全了数字时代的法治体系,健全了国家数据安全管理制度。法律、法规导航新形势下社会发展原则、唤醒尊重和保护的意识,培育全社会共同维护数据安全和促进发展的良好环境,从而促进“数字社会”向着更文明、更先进、更现代、更宜居的方向发展,实现数据安全法等信息技术类立法的远大目标和深远价值。