2018年10月全国人大开始组成专班针对《数据安全法》进行研讨,历时一年多公布《数据安全法(草案)》(下称“草案”),体现了国家对数据安全领域的高度关注。《草案》共分为七章,分别为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任及附则。从整体来看,《草案》全面而宏观,实现了某些方面的突破,也存在一些值得商榷的地方。本文汇集多位专家及行业代表对《草案》的亮点解读及其建议,以期读者对《数据安全法(草案)》有更深刻更全面的了解。
专家亮点解读:
01 钟宏:《数据安全法》,是数据要素国家战略的法制基础
《数据安全法(草案)》,是数据要素国家战略的基本法,清华 x-lab数权经济实验室主任钟宏表示。(草案)明确提出维护国家数据主权,保护个人、机构数据权益,将成为数据要素国家战略重要的法制基础。数字经济历经70年发展,从计算经济到网络经济,正迎来数字经济3.0——数据智能经济(数智经济)时代。数据作为数字经济最重要的生产要素,被国家正式列为“土地、劳动力、资本、技术”后的第五种生产要素。中国发展数据要素产业,实现数字经济持续高速增长,需要充分保护数据权力和权益,应尽快完成数权立法。
02 吴沈括:解读《数据安全法(草案)》四个亮点
北京师范大学网络法治国际中心执行主任、博导吴沈括教授对《数据安全法(草案)》进行全文解读,指出(草案)勾勒出国家数据安全的整体布局,(草案)呈现四个亮点:一是在立法理念上强调坚持总体国家安全观和建立健全数据安全治理体系,凸显了从传统管理思维向现代治理思维的历史性转变;二是在立法技术上关注追求数据安全与发展利益的动态化、流程化平衡;三是在适用范围和规制主体上实现公共部门和私营部门的全覆盖,并强化了中国法律的域外效力;四是在执法机制上突出了中央国家安全领导机构的决策和统筹协调职能,旨在确保国家数据安全战略和有关重大方针政策的制定和落地。
03 麻策 :《数据安全法(草案)》填补政策和法律的鸿沟
浙江垦丁律师事务所联合创始人麻策认为,数据安全法(草案)》填补政策和法律的鸿沟,把法律跟政策结合得非常紧密,相信在数据安全法出台之后,还有大量的合规体系需要细化。对于数据服务商而言,在数据控制、网络运营、数据风控等环节,去尽快了解并规范业务流程,符合法规与监管要求。比如数据安全评估要求,你怎么处理?数据在处理服务结束之后必须要删除等等,这些要求都是接下来对数据服务商的考验。
04 马臣云:《数据安全法(草案)》明确数据活动的红线
粤港澳数据要素产业化联盟筹备组组长马臣云认为,《数据安全法(草案)》一个重要的意义在于,明确数据活动的红线是什么,在法律法规允许的条件下,推动数据共享,发现数据价值。(草案)提出建立健全国家数据安全协同治理体系,有关部门、行业组织、企业、个人,共同维护数据安全和促进数据经济发展。
专家建议:
01 王克:数据资源利用和保护是一项复杂社会系统工程
中关村网络安全与信息化产业联盟副秘书长王克认为,数据是国家现代化建设的基础资源,如同矿产、森林、水利等自然资源,数据伴随社会生产、生活、国家建设和治理以及国际交往的方方面面,数据处理涉及到采集、传输、存储、计算、挖掘、利用及交易等环节,涉及的主体包括个 人、私企、民企、国企、事业单位、党政机构及社会团体。数据利用和保护是一项复杂的社会系统工程,其法规建设同传统的国家自然资源一样,需要一个实践积累和理论总结过 程才能建立和完善,不能指望一部或几部法律解决问题,不能为立法而立法,须从总体上系统把握国家数据资源法规架构,才能保证国家数据资源法规制度健康、持续发展。因此,研究建立国家数据资源法律法规体系,是搞好顶层设计的重要一步。
02 郭俊秀:对《数据安全法(草案)》的四个建议
中国通信学会网络空间战略与法律委员会副主任委员、中国东方航空集团总法律顾问、首席数据安全保护官郭俊秀博士针对《草案》的内容,他提出了四点建议:一是进一步明确数据安全的含义和范围,对“数据”、“数据安全”等概念进行准确辨析;二是建议赋予民航局承担民航业数据安全监管的职责,民航业是国家重要的战略产业,上下游企业具有明显的行业特征,航空公司在日常经营中处理海量的旅客数据,对个人数据的保护需求较为突出;三是对数据的合理使用,应当制定明确的标准和范围,数据的意义在于使用,建议一方面应明确如何依法合规利用数据,另一方面应明确提供数据处理服务供应商的法定义务,严格限制其处理范围;四是建议明确第二十五条中“数据安全负责人”的职责范围,推动数据安全保护工作队伍水平的提升。
03 李广乾:《数据安全法(草案)》涉及数据保护的方方面面仍有不足
国务院发展研究中心李广乾研究员认为,《数据安全法(草案)》涉及数据保护的方方面面,但仍有不足。首先,数据和信息的概念上有所差别,在草案中应该进一步予以区分;其次,在行业数据的保护方面,每一类行业数据都有其特殊的性质,故其安全的要求也有很大的不同,在制定法律时应该充分予以考虑,且政务数据不应该设定为《草案》单独的一章;第三,《草案》应针对数据的采集方、控制方、处理方等不同的主体,制定数据流转机制的根本性规定;第四,在跨境数据流动方面,我国的跨境数据流动战略还有所不足,无法解决社会的根本性的需要。目前,我国已成为数据发展的强国,相应的数据流动政策也应与世界发达国家进行对接,从而最大程度地利用我国的数据生产要素,满足国家和人民的数据利益。
04 时建中:要体现出多元的立法目标
中国通信学会网络空间安全战略与法律委员会主任委员、中国政法大学副校长时建中教授认为,目前征求意见稿的具体条款并没有很好地体现出多元的立法目标,征求意见稿对“数据”“数据安全”“数据活动”等本法核心概念的定义均需要完善。他认为,域外效力制度是征求意见稿的亮点之一,但是需要进一步明细,体现主权平等、工具对等的原则。征求意见稿在数据安全义务与法律责任方面不甚匹配,存在有义务无责任的情况。同时,在法律责任方面,责任形式不够,违法成本明显过低。此外,征求意见稿对于重要的安全制度只是粗线条描述。他强调,数据安全标准体系、数据交易管理制度、重要数据保护目录制度、数据安全监测预警机制、国家数据安全应急处置机制、国家数据安全审查制度、国家数据出口管制制度、企业数据安全管理制度等,这些制度应该是数据安全法的重点内容。此外,数据安全与已经实施的国家安全法、网络安全法、保密法以及正在制定的个人信息保护法的关系,需要认真处理。
行业代表观点:
01 卫士通副总经理张剑
《数据安全法(草案)》的出台,首先从宏观层面上明确了国家的大数据发展战略是引导安全需求要与数据的开发利用相结合,不是为了保护而保护。同时,草案从立法层面确立了我国数据安全治理与监管体系,表明数据安全已成为事关国家安全与经济社会发展的重大关键点。国家关于数据安全的总体战略,是鼓励数据活动的各方共同参与数据安全的保护工作,并且对开展数据活动的主体、相关的监管部门提出了义务和安全责任。
在(草案)中,对数据的定义、数据各参与方的责任和义务都进行了清晰的厘定,明确规定了数据保护的主体责任和义务是进行数据活动的主体,特别规范了国家机关在进行政务信息开放时的责任和义务。国家相关部门(行业主管部门、公安机关、网信部门等)从监管的角度规范数据处理的环境,国家将从数据的安全风险评估、监测预警、应急处置和安全审查四个方面进行数据安全的监管。
其次,国家也规范了在线数据处理和数据交易,要求专门提供在线数据处理等服务的经营者需要依法取得经营业务许可或者备案。针对个人信息、重要数据和涉密数据的处理者来说,都需要采取合法、正当的方式,并有保护的义务,包括在境内开展数据活动的境外组织。
再次,国家要求数据活动主体加强风险监测,针对重要数据的处理者还应定期开展风险评估,并向有关主管部门报送风险评估报告。
综上所述,《数据安全法(草案)》可以说为国家后续规范数据活动环境、保障数据安全奠定了基础。
02 字节跳动数据法务总监田申
征求意见稿是在国家总体安全观的视野下寻求数据安全与发展的包容并进,通过完善数据领域的重要制度,应对传统的、新型的以及国际的数据安全风险。
03 美团点评数据合规法务总监刘笑岑
征求意见稿在配套制度机制、重要数据定义、主管机关以及跨境取证四个方面仍有进一步细化和明确的空间。
04 百度平台法务部总监谭俊
征求意见稿在数据分类保护、数据主权、数据流通等方面都有较大的创新,期待未来在数据安全监管机构、条文的可操作性等方面进一步细化。
05 阿里巴巴集团法律研究中心副主任顾伟博士
根据总体国家安全观的要求和党中央的贯彻部署,制定数据安全领域基础性法律十分必要。他认为,《数据安全法(草案)》紧紧抓住了国家安全保障和数据要素流通两个关键问题,比较好地把握了安全与发展的平衡关系;《数据安全法(草案)》在《网络安全法》对网络数据安全保障的基础上,进一步覆盖了网络数据和非网络数据安全的管理,并在政府数据开放问题上实现了更大突破。
顾伟认为,在中国企业全球化经营的背景下,我国的数据安全立法应当积极回应新的国际数据安全态势和国际竞争格局。他建议,《数据安全法(草案)》应当进一步考虑国际数据安全合作的机制设计,明确制度接口,以便更好地推动中国数据产业的国际合作与全球化发展。
来源:信息安全与通信保密
