数字化改革的浪潮正在推动我国生产模式的变革,随着经济、政府、企业的数字化进程加速,数据已经成为我国政府和企业的核心资产。随着合资企业、跨境贸易、多厂商全球合作模式的变迁,数据在企业之间、政府与企业之间以及国与国之间流转、融合、使用、直至泄露。在这个数字化时代,数据的价值被日益凸显,数据的保护和管理也变得尤为重要。
2021年6月10日,新华社报道,十三届全国人大常委会第二十九次会议通过了数据安全法。这部法律是数据领域的基础性法律,也是国家安全领域的一部重要法律,将于2021年9月1日起施行。
一、立法背景
1、外力驱动
当前,世界主要经济体和大国纷纷发布以发展数字经济、保护数据安全为核心的数据战略。2018 年 5 月 25 日,欧盟《一般数据保护条例》(GDPR)正式实施,欧盟的《通用数据保护条例》(2018)、《欧盟数据战略》(2020)以及美国的《联邦数据战略与2020年行动计划》(2019)、《数据战略》(2020)等政策,都突显了各国对于数据安全的重视。随着数字经济的蓬勃发展,数据安全保障能力已成为国家发展数字经济、维护数据安全的核心能力。多个国家都在积极进行数据安全保障领域的立法与战略规划,数据安全保障能力也成为评价国家竞争力高低的重要指标。
2、内部需求
近年来,数字经济以惊人的速度发展,其广阔的发展空间得到了充分验证。据中国信息通信研究院发布的《中国数字经济发展白皮书》数据显示,我国数字经济的总体规模已从2005年的2.62万亿元增长至2019年的35.84万亿元;数字经济总体规模占GDP的比重也从2005年的14.2%提升至2019年的36.2%。这一显著增长再次证明,数字经济已经成为推动我国国民经济增长的重要力量。
自2015年起,中国政府开始大力推动大数据发展,先后发布了《促进大数据发展行动纲要》、《科学数据管理办法》等重要政策文件。这些政策的推出,体现了中国政府对数据安全和发展的高度重视,也明确了国家数据战略的清晰导向。
随着时间的推移,中国政府对数据安全的重视程度不断提高。2020年,国务院发布了《关于构建更加完善的要素市场化配置体制机制的意见》,进一步强调了数据要素市场化的重要性和必要性。2021年3月12日,新华社公布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》,更是将数据安全提升到了国家战略的高度。
在这样的背景下,中国亟需一部国家的基本法来保障数字经济发展的安全与稳定。这部法律应当为中国数字经济提供强有力的法律保障,确保其健康、有序、可持续发展。同时,也应当明确政府、企业、社会组织等各方在数字经济发展中的职责和权利,建立起完善的数据安全保障体系。
因此,在外部和内部因素的双重作用下,《数据安全法》应运而生。
二、立法目的
为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。
三、适用范围
在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任
四、数安法要点解读和提炼
数安法一共七章五十五条,其中“总则”、“法律责任”及“附则”三章属于常规章节,另外四个章节围绕着“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”来提出要求。
1、总则要点
1)适用范围:在中国境内开展数据活动的组织和个人。
2)定义:定义数据是指任何以电子或者其它方式对信息的记录;定义数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等;定义数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
3)保护要求:釆取必要措施,对数据进行有效保护和合法利用,并持续保持其安全能力。
4) 责任任务:工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主要行业会落地数据保护行业规范,并且落地本部门的数据安全规范。公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。网信部门负责统筹协调和监管。
5) 特别的对行业组织提出了制定安全行为规范,加强行业自律,指导会员加强数据安全保护的要求。这项法规有效的消灭了灰色地带,对各行业都形成了法律约束,杜绝了数据的随意共享和流转。
2、数据安全与发展要点
1)发展原则:国家统筹发展和安全,以数据安全保障数据开发利用和产业发展。
2)战略要求:国家实施大数据战略,省级以上政府将数字经济发展纳入本级规划。
3)标准体系:国家推进数据开发利用技术和安全标准体系建设。各部门按职责制定修订相关标准,支持企业、社会团体等参与制定。
4)评估认证:支持检测评估、认证等专业机构提供服务,鼓励有关部门、行业组织、企业、教育和科研机构、专业机构等共同参与数据安全风险评估、防范、处置等工作。
5)市场培育:支持数据开发利用与安全技术研究,鼓励技术推广与商业创新,培育和发展数据产品与产业,国家建立健全数据交易管理制度,规范交易行为,培育数据交易市场。
6)人才培养:支持教育和科研机构、企业开展数据开发技术和安全培训,培养专业人才。
7)公共服务:国家支持开发利用数据提升公共服务智能化水平,需充分考虑老年、残疾人需求,避免生活障碍。
3、数据安全制度要点
1)分级分类:国家建立数据分类分级保护制度,对数据实行分类分级保护。
2)风险评估:国家建立集中统一的数据安全风险评估、报告、信息共享、监测预警机制。
3)应急机制:国家建立数据安全应急处置机制。
4)安全审查:国家建立数据安全审查制度,对影响国家安全的数据处理活动进行安全审查,作出审查决定为最终决定。
5)出口管制:国家对与维护国家安全和利益、履行国际义务相关的数据实施出口管制。任何国家或地区若对数据和数据开发利用技术等采取歧视性的禁止、限制或其他类似措施,将面临中华人民共和国的相应措施。
4、数据安全保护义务要点
1)管理制度:开展数据处理活动应依法建立全流程安全管理制度,进行教育培训,采取技术措施,保障数据安全。遵循网络安全等级保护制度,明确负责人和管理机构,落实责任。
2)风险监测与评估:加强风险监测,发现数据安全缺陷、漏洞等风险时,立即采取补救措施;发生数据安全事件时,立即采取处置措施,按规定及时告知用户并向主管部门报告。重要数据处理者定期开展风险评估,报送风险评估报告。
3)数据采集:任何组织、个人收集数据,应采用合法、正当方式,不得窃取或非法获取数据。
4)数据交易与经营许可:数商或交易机构提供服务需说明来源、审核交易双方身份并留存记录。需取得行政许可的,依法取得许可。
5)数据出境:关键信息基础设施运营者适用《网络安全法》管理重要数据出境;其他数据处理者由国家网信部门会同国务院有关部门制定管理办法。中华人民共和国主管机关根据法律、国际条约、协定或平等互惠原则处理外国司法或执法机构的数据请求;境内组织、个人不得向外国提供数据。
6)调查配合: 公安、安全机关进行犯罪调查,应按国家规定批准手续执行,相关组织和个人应配合。
5、政务数据安全与开放要点
1)管理制度:建立数据安全管理制度,落实保护责任,确保政务数据安全。
2)数据公开:制定政务数据开放目录,构建平台,推动数据开放利用。
3)存储加工:委托建设、维护电子政务系统需经过批准,受托方履行数据安全保护义务,不得擅自留存、使用、泄露或向他人提供政务数据。
4)适用主体:法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用本章规定。
6、法律责任要点
1)不履行规定保护义务:责令改正、给予警告、并处单位五万至五十万罚款;对责任人员可处一万元至十万元罚款。若拒不改正或造成严重后果,处单位五十万至二百万元罚款,并责令暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照,对责任人员处五万元至二十万元罚款。
2)危害国家:处二百万元以上一千万元以下罚款,并责令暂停相关业务、停业整顿、吊销相关业务许可证或营业执照;构成犯罪的,依法追究刑事责任。
3)违规出境:责令改正,给予警告,并处单位十万元以上一百万元以下罚款;对责任人员可处一万元以上十万元以下罚款;情节严重,处单位一百万元以上一千万元以下罚款,并可责令暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照;对责任人员处十万元以上一百万元以下罚款。
4)交易机构违规交易: 责令改正,没收违法所得,处一倍以上十倍以下罚款;无违法所得或不足十万元的,处十万元以上一百万元以下罚款,并可暂停相关业务、停业整顿、吊销许可证或营业执照;对责任人员处一万元以上十万元以下罚款。
5)不配合调查:拒不配合数据调取的,责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接责任人员处一万元以上十万元以下罚款。
6)未经批准向外国司法或执法机构提供数据:给予警告及罚款,对责任人员可处一万元至十万元罚款;造成严重后果,罚款五百万元并可责令暂停业务、整顿、吊销许可证或营业执照,对责任人员处五万元至五十万元罚款。
7)国家机关不履行保护义务:对直接负责的主管人员和其他直接责任人员依法给予处分。
8)国家工作人员违法:玩忽职守、滥用职权、徇私舞弊的,依法给予处分。
9)非法获取:依照有关法律、行政法规的规定处罚。
10)违法违规,造成损害:依法承担民事责任,构成犯罪的,依法追究刑事责任。
7、附则要点
1)涉及国家秘密的数据:依据《中华人民共和国保守国家秘密法》以及相关法律法规执行。
2)涉及军事秘密的数据:由中央军事委员会依据本法另行制定。
数安法作为国家在数据安全立法层面的重大里程碑,继《网络安全法》提出数据概念之后,注定成为中国数字经济高速发展的压舱石和定海神针。这一法律为保障国家数据安全、促进数字经济发展提供了有力支撑,将引领中国迈向更加繁荣、安全的数字未来。
