六、我国数据安全法律法规体系
6.1 法律法规体系
作为数字化转型的关键与核心,数据对于数字经济的发展有着举足轻重的地位。数据安全问题给个人隐私保护、经济安全发展和国家安全带来挑战,各国亟需建立健全和完善数据安全法律法规体系。2020年9月,在“抓住数字机遇,共谋合作发展”国际研讨会上,我国提出了《全球数据安全倡议》,提出“秉持发展和安全并重的原则,平衡处理技术进步、经济发展与保护国家安全和社会公共利益的关系”,并呼吁各国应尊重他国主权、司法管辖权和对数据的安全管理权。因此,提出数据安全治理相关立法的中国方案,也成为践行《全球数据安全倡议》的题中之意。
6.1.1 现行法律法规梳理
在国家层面,2014年4月15日,在中央国家安全委员会第一次全体会议上首次提出“总体国家安全观”的重大战略思想,提出了“构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系”的要求。基于此,2015年颁布的《国家安全法》 第25条明确提出了“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”,将数据安全纳入国家安全的范畴。作为我国网络安全领域的首部综合性立法,《网络安全法》 于2017年正式施行,引入了网络数据的概念,将网络数据定义为“通过网络收集、存储、传输、处理和产生的各种电子数据”,提出了“维护网络数据完整性、保密性和可用性”“鼓励开发网络数据安全保护和利用技术”“防止网络数据泄露”等要求,并要求在中国境内收集和产生的个人信息和重要数据应当在境内存储。通过建立网络安全等级保护、关键信息基础设施保护以及数据本地化和跨境流动等制度,对数据及关键基础设施安全进行保护。国家互联网信息办公室于2017年4月发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》,于2017年7月发布了《关键信息基础设施安全保护条例(征求意见稿)》,于2019年5月发布了《数据安全管理办法(征求意见稿)》,于2019年6月发布了《个人信息出境安全评估办法(征求意见稿)》。2018年6月中国发布了《网络安全等级保护条例(征求意见稿)》。上述配套制度均在研究制定中,尚未颁布实施。
在地方层面,吉林、山西、海南、贵州、天津等地相继出台了的本地大数据发展和应用相关条例,对大数据安全问题提出了原则性的规定。在本地大数据发展和应用的地方性条例的基础上,贵阳市于2018年10月颁布了《贵阳市大数据安全管理条例》,旨在保障该市辖区内大数据发展和应用的安全保护、监督管理及相关活动。该条例要求数据安全责任单位从制度、人员、系统设备等方面对大数据安全进行保护,并要求市政府建立联席会议制度推进解决大数据安全相关重大事项。天津市于2019年6月发布了《天津市数据安全管理办法(暂行)》,是全国首部数据安全相关的省级地方性专门规章。该办法提出了“数据运营者”的概念,对“数据运营者”提出了信息备案、落实安全管理制度和技术措施、建立系统资产安全规范和资产清单、指定数据安全管理部门岗位及人员、向境外提供数据时进行安全评估、合法采集、安全传输存储和访问、合规使用、信息通报和指定安全预案等的要求,同时明确了由市政府网信主管部门关于数据安全监督检查、数据安全信息通报、数据安全监测的职责,要求市政府统筹应对安全事件的职责。贵州省在贵阳市的实践基础上,于2019年10月出台了《贵州省大数据安全管理条例》。此外,宁波于2020年9月出台了《宁波市公共数据安全管理暂行规定》。另外值得注意的是,2020年,深圳特区公布了《深圳特区数据条例(征求意见稿)》,该条例在诸多方面进行了大胆的尝试,如设立了“数据权”,明确了公共数据作为新型国有资产,提出了各级政府设立数据工作委员会,建立决策协调机制等。但该《条例》同样也存在立法权限、混同隐私权和财产权、数据权利主体权利冲突等问题。目前上述条例仍在审议过程中。总而言之,各地政府就数据安全问题出台了地方性法规、规章及规范性文件超过14个,各地的数据安全相关制度基本基于《网络安全法》以及各地的大数据发展和应用条例,主要以地方政府及网信办作为主导力量,关数据的运营方提出了从获取到存储再到使用的全生命周期安全管理要求。
在专项数据安全管理方面,国务院及各部委颁布了相关行政法规及各类规范性文件。在行政法规方面,出台了《科学数据管理办法》《档案法》《保守国家秘密法》《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《促进大数据发展行动纲要》《国务院办公厅关于运用大数据加强对市场主体服务和监管的若干意见》《电信条例》等。在部门规范规章及规范性文件方面,科技部、工业和信息化部、国土资源部、财政部、教育部、农业农村部、交通部、国家税务总局、中国银保监会、中国人民银行、中国民航局、中国气象局、国家卫健委等部委均出台了对各自领域数据的管理相关的规范性文件。
在个人信息保护方面,我国出台了《民法典》《刑法》《电子商务法》、《消费者权益保护法》《居民身份证法》《基本医疗卫生与健康促进法》等法律法规,加强对个人信息保护。值得注意的是,《民法典》在总则部分明确规定,自然人的个人信息受法律保护,并要求获取他人个人信息的应确保信息的安全。同时,《民法典》通过专章的形式,将隐私权与个人信息保护列为《民法典》人格权编的重要内容,对个人信息的定义、处理个人信息的原则、自然人对本人个人信息的权利、信息处理者及国家机关和法定机构的安全保障义务进行了规定。其中,明确要求了信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失,并在发生上述情形时告知自然人并向有关主管部门报告的义务。
总体来看,目前我国的数据安全相关的法律法规是基于《国家安全法》及《网络安全法》建立的,并在网络安全等级保障制度、关键信息基础设施保护制度以及数据本地化和跨境流动制度等中有所体现。各地围绕数据安全、数据跨境等问题积极探索。同时,在个人信息保护上,基本以《网络安全法》《民法典》及即将出台的《个人信息保护法》为主;在国家秘密、档案等相关特殊性质的数据,通过特定单行法律法规进行保护;而对于其他特定行业数据而言,则通过各部门规章由进行管理和保护。由此可以看出,在现行已颁布的法律法规体系下,数据安全相关法律法规还存在着交叉和空白,配套制度的细则尚未出台等问题。
6.1.2 《数据安全法(草案)》 体系下的立法趋势洞察
2020年7月,十三届全国人大常委会对《数据安全法(草案)》进行了第一次审议,并公开征求意见。2021年4月,十三届全国人大常委会进行了二次审议。该草案将“数据”定义为“以电子或非电子形式对信息的记录”,同时对数据安全的内涵进行了诠释,即“数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用状态,以及保障持续安全状态的能力”。另外,该草案明确了中央国家安全领导机构负责数据安全工作的决策和统筹协调。
首先,通过相关定义我们不难看出,该草案填补《网络安全法》对于非电子数据保护的空白。同时,也是对呼应2020年3月国务院《关于构建更加完善的要素市场化配置体制机制的意见》中对于“加快培育数据要素市场”的要求,在第5条中规定了“鼓励数据依法合理有效利用”“促进以数据为关键要素的数字经济发展”,并在第二章以专章的形式对数据开发利用和数据安全产业发展进行了阐述。
其次,草案第三章中提出了将建立数据分级分类保护制度、重要数据保护目录、数据安全审查制度、特定场景下的数据出口管制制度、数据安全风险预警机制和数据安全应急处理机制组成的数据安全制度。但对于上述数据安全相关制度,草案同样仅做了总体性规定,没有具体实施细则,还需相关部门进一步制定细则进行落地实施。
再次,草案第四章规定了数据处理者的数据安全保护义务。主要包括明确数据安全负责人和管理机构,开展风险监测和风险评估,发生数据安全事件时立即采取处置措施以及主动报告,以及境外司法或执法机构要求调取中国境内数据时应经中国主管机关批准等制度。其中,草案特别规定了从事数据交易中介服务的机构,需要要求提供方对数据来源进行说明,审核双方身份。
另外,草案第五章主要就政务数据的安全与开放进行了原则性的规定,并将管理公共事务职能的组织履行法定职责开展的数据处理活动纳入政务数据的安全与开发相关管理规定中。
最后,在法律责任层面,草案就数据处理者不履行数据安全保护义务的行为、数据交易中介服务机构不履行相关审核义务、国家机关不履行数据安全保护义务等行为的处罚进行了规定。
总体而言,在立法定位上,即将出台的《数据安全法》是数据安全领域的基础法律,与现行的《网络安全法》和即将要出台的《个人信息保护法》并行成为网络空间治理和数据保护的三驾马车,《网络安全法》负责网络空间安全整体的治理,《数据安全法》负责数据处理活动的安全与开发利用,《个人信息保护法》负责个人信息的保护。
在立法趋势上,根据现有的草案文本,《数据安全法》将“维护数据安全”与“促进数据开发利用”并重,建立“数据主权”的概念。一方面,通过数据分级分类保护、重要数据保护目录、数据安全风险预警机制、数据安全应急处置机制、数据活动国家安全审查机制,确立了数据安全保障的相关制度。另一方面,通过政务数据和公共事务管理部门数据开放,推进数据基础设施建设、数据安全标准体系建设、数据安全服务发展、数据交易管理制度健全等,促进数据开发利用。同时,通过要求相关主体在境外司法或执法机构要求调取境内数据时,向主管机关报告获批的义务的“阻断”机制,在他国就数据和数据开发利用技术相关贸易和投资对我国采取歧视性措施时的反制措施,对与履行国际义务和维护国家安全的属于管制物项的数据采取出口管制措施,确立了我国的数据主权概念。
根据以上定位和趋势,我们可以预见,未来《数据安全法》一方面需要通过厘清相关定义,处理好与《网络安全法》和《个人信息保护法》之间的管理界限;另一方面需要通过制定具体的实施细则、产业政策、操作指南,将数据安全保障制度、促进数据开利用的政策和落实数据主权的举措进行进一步落实。
6.2 组织保障体系
在现行数据安全相关法律法规体系下,《网络安全法》规定了数据安全的组织保障体系。
一方面,《网络安全法》明确了网络运营者的内部责任,要求网络运营者通过建立内部安全管理制度,确认安全负责人,通过内部组织来落实相关安全的保护责任。另一方面,在外部组织保障上,《网络安全法》明确了网信统筹,电信、公安和其他机关各自负责的监督管理体系。除监督管理的组织体系外,《网络安全法》同时鼓励企业、高校、行业组织参与相关标准制定,并鼓励通过社会化服务体系推动相关安全认证、检测和风险评估等服务的开展。
在具体的网络安全等级保护制度和关键信息基础设施制度方面,主要由公安部主要负责相关网络安全等级保护,并与国家网信部门共同统筹协调有关部门对关键信息基础设施进行风险监测、应急演练、信息共享等。在对网络安全应急机制机制和预案制定方面,由国家网信部门制定了《国家网络安全事件应急预案》,建立了国家网络安全事件应急工作机制,各省(区、市)、各部门、各单位根据本预案制定或修订本地区、本部门、本行业、本单位网络安全事件应急预案。在相关网络安全事件风险增大时,由省级政府有关部门采取相关措施加强监测、评估风险,并发布风险预警及减轻危害的措施。在相关数据跨境传输上,由国家网信部门会同国务院有关部门进行安全评估。
6.3 监管执行体系
根据《网络安全法》,国家网信部门负责统筹协调网络安全和相关监督管理工作,国务院电信主管部门、公安部门及其他有关机关依据有关法律、行政法规在各自职责范围内负责网络安全保护和监督管理工作。
目前而言,对于数据安全的监督与执行以APP治理和个人信息保护为主。网信办、公安部、工业和信息化部与市场监管总局四部门于2019年1月联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》,成立了专项治理工作组,在全国范围内开展APP违法违规收集和使用个人信息专项治理行动,通过群众举报获得相关线索并通过公开、约谈、下架等措施对违规收集个人数据的APP进行警告和处罚。此外,针对金融、教育等特定领域,相应的监管机构如银保监会、中国人民银行、 教育部等部门也开展了各自领域内数据相关问题的治理活动。
6.4 数据安全评价体系
以数据安全的视角来剖析国家通用信息安全标准,主要分为技术支撑类标准、信息系统安全类标准、以数据为中心的数据安全类标准。技术支撑类标准规范了通用安全支撑技术,可以直接用于数据安全保护,如密码技术类标准。信息系统安全类标准主要是从系统的视角来规范各种安全控制措施,如网络安全等级保护、云计算安全、数据库管理系统、灾难恢复、网络存储设备安全相关标准,其中诸多安全控制措施都对数据安全起到重要作用。以数据为中心的数据安全类标准通常从数据全生命周期来考虑各种数据安全保护需求,以此提出相关技术要求和管理规范。另外,以数据为中心的数据安全类标准中,有一部分标准是以个人信息安全为目标,围绕业务系统中对个人信息的采集、存储、处理、共享、转让等各个处理环节提出安全要求。
其中,以数据为中心的数据安全类标准是在全国信息安全标准化技术委员会(TC260)研制,如下表所示:
个人信息保护系列国家标准主要包括以个人信息安全规范为核心的通用个人信息保护系列标准。通用个人信息保护系列标准在全国信息安全标准化技术委员会(TC260)研制,如下表所示:
从行业领域来看,金融、政务、交通、医疗、电信等重点行业领域都相继制定数据安全标准,整体数据安全治理思路与国家标准保持一致。主要在各行业领域结合业务场景进行了相应的细化,如下表所示:
综上,我国数据安全及个人信息保护相关标准逐步建立健全,已形成数据分类分级、全生命周期安全、分级别差异化保护的通用数据安全治理思路。在执行落地方面,主要是有关部门在结合《App违法违规收集使用个人信息行为认定方法》《2020年电信和互联网企业网络数据安全合规性评估要点》等文件,对APP运营者、电信和互联网信息系统运营者进行个人信息、网络数据安全方面的监督管理。预计后续有关部门及第三方测评、认证机构会逐步以政策法规为纲领,将数据安全及个人信息保护相关国家、行业标准作为执行准则,对网络运营者进行数据及个人信息保护能力、信息系统落实情况的细化监管和评测。
