业界呼声颇高的数据安全法草案,即将在本月28日-30日举行的十三届全国人大常委会第二十次会议迎来初次审议。

6月24日,全国人大常委会法工委发言人、研究室主任臧铁伟透露,数据安全法草案的内容主要包括:

  • 确立数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度;

  • ‍‍‍明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;

  • ‍‍‍坚持安全与发展并重,规定支持促进数据安全与发展的措施;

  • 建立保障政务数据安全和推动政务数据开放的制度措施。‍‍‍‍‍‍‍‍‍

在2018年9月被列入十三届全国人大常委会立法规划之前,关于数据安全立法的公开讨论极少。因此,这部“横空出世”的法律引发了不少期待和好奇:数据安全法将解决哪些问题?它与网络安全法、个人信息保护法的关系是什么?


文|蒋琳

编辑|石莹

全球数据博弈深化加速数据安全法制定

南都记者梳理发现,早在2015年,中央决策层就已经开始关注数据安全问题。当年印发的《国务院关于印发促进大数据发展行动纲要的通知》提出,要“科学规范利用大数据,切实保障数据安全”。

一年后,中共中央总书记习近平在“4·19讲话”中指出:“要依法加强对大数据的管理。一些涉及国家利益、国家安全的数据,很多掌握在互联网企业手里,企业要保证这些数据安全。企业要重视数据安全。如果企业在数据保护和安全上出了问题,对自己的信誉也会产生不利影响。”

“习近平总书记的讲话为《数据安全法》的立法工作定下了基调,数据的控制者,尤其是互联网企业,将会成为数据安全法规制的重点。”法学博士、元达律师事务所数据合规顾问史宇航曾撰文分析。

谈及数据安全法的必要性,中国信息安全研究院副院长左晓栋表示,数据是新的生产要素,是国家基础性资源和战略性资源。数据安全问题影响国家发展与国家安全,关系公众利益,也与公民权益密切相关,需要在法的层面对数据的安全保护作出规范。

在对外经济贸易大学数字经济与法律创新研究中心执行主任许可看来,2018年3月的Facebook剑桥分析事件很大程度上也推动了数据安全法的立法进程。

在这起引发全球关注的事件中,8700万用户的数据泄露,并被用于干预美国总统选举。“最早期,中国将数据理解为一种特殊的知识产权,后来慢慢地和个人相关。Facebook事件之后,更意识到与国家安全的关系。”许可说。

另一方面,全球各国围绕数据的争夺和博弈在不断深化,这也加速了数据安全法的制定,并使其由“内向型”向“外向型”转变——不光解决国内的问题,还要参与国际竞争,甚至建立数据的全球治理规则。

许可表示,去年美国“云法案”出台之后,全球的数据博弈变得更加紧张。比如去年G20发布《大阪数字经济宣言》,印度以需要加强数据本地储存为由拒绝签字;在所谓中美科技脱轨的背景下,美国则凭借出口管制法,限制相关数据出境,“世界各国都在发力”。

数据安全法是国家安全法的下位法

在国家安全法和网络安全法已经生效的背景下,数据安全法的定位显得尤其重要。由于互联网的快速发展与应用,网络数据的安全问题引起了人们的重视,近些年的法规标准也主要是围绕网络数据的保护制定。

但左晓栋指出,作为一种战略资源,数据的形态不是决定数据重要性的主要因素。因此,数据安全法应该从更广义的范围去看待“数据”。

他表示,数据安全法是专门法,国家安全法和网络安全法虽然对数据安全有些原则性规定,但还远远不够;而个人信息保护法定位于个人信息的保护,属于数据中的一类,例如重要数据的保护就是个人信息保护法不能涵盖的。

许可进一步提出,数据安全法和网络安全法均是国家安全法的下位法。为了避免两者不当交叉,并发挥互补效果,在网络安全法已规定“数据自身安全”的前提下,数据安全法可以将“数据自主可控”和“数据宏观安全”作为规制重心。

“网络安全法对数据仅限于保密性、完整性、可用性的形式化要求,没有涉及数据可控,特别是一个国家对数据的控制权”,他指出,尽管网络安全法谈到了重要数据,但没有展开,而数据安全法在分级分类的基础上,可以将能够影响国家安全的重要数据作为重点内容展开。

至于个人信息保护法,许可表示,首先要区分信息和数据的概念。“信息是数据所表现的内容,数据是底层载体或形式。数据安全法只需要保护载体或形式,不管上面承载的是企业经营信息还是国家安全信息,都不在这部法律的讨论范围之内。”

但他同时强调,个人信息保护也会遇到数据相关的问题。比如说个人信息泄露,这跟数据是连在一起的,背后实际上是数据的泄露。除此以外,“两部法律其实没有太大关系”。

加快制定数据安全法,明确数据主权

鉴于数据安全法的特殊性和必要性,近两年,已有多位全国人大代表、政协委员呼吁加快制定数据安全法,并提出立法建议。

全国人大代表,中国移动浙江公司党委书记、董事长、总经理郑杰连续两年提出加快制定数据安全法。他强调,“我国如不确立数据主权,将在数据跨境转移以及国际数据竞争中面临劣势。”

他在议案中提到,随着各国之间数据资源竞争愈发激烈,数据主权成为各方博弈的焦点。在美国“云法案”和欧盟《通用数据保护条例》中,数据主权得到明确,“长臂管辖”效应则为其他各国数据主权带来了挑战。

全国人大代表、广东移动董事长、总经理魏明也指出,尽管中国近年已加快数据及信息安全方面的立法进度,并制定了《数据安全管理办法(征求意见稿)》,但仍存在基本法缺位、数据主权地位尚未确立、数据经营难有效监管等问题。

他举例称,网络安全法主要是针对网络层面的安全规范,但未能从数据信息全维度进行规范,相关配套政策文件法律层级低,要求较为分散,难以系统性解决数据安全保障问题。

对此,郑杰建议,要对数据本地存储和数据跨境流动进行双重监管,对个人信息和重要数据进行分类监管,规定多元化个人数据跨境流动的合法事由及专业评估等,并针对欧盟、美国等数据出境监管法规的域外效力完善中国在数据跨境流动监管方面的措施。但与此同时,在保障数据安全的前提下,也要推进跨国的大数据治理合作,促进数据跨境流动和数字经济领域的国际合作。

全国政协委员、东航集团董事长、党组书记刘绍勇则在提出加快推进制定《数据安全法》的基础上,建议在数据保护立法中设立域外适用条款,为国家数据主权保驾护航。既要为打击境外不法分子针对中国的数据犯罪行为提供执法依据,同时还要维护中国的数据主权。

企业最关注数据出境和本地化问题

左晓栋对南都记者表示,希望《数据安全法》能解决两方面问题:一是明确数据安全监管职责,二是提出建立中国的数据安全监管制度体系。

多位企业负责人告诉南都记者,有关数据出境和数据存储本地化是他们最关注的问题。

“确实,重要数据本地化和跨境问题需要在数据安全法中得到解决。”许可表示,这就需要区分两种不同的数据管制方式:一种是数据存储本地化,但并不意味着不能出境;另一种是不要求存储本地化,但对出境要求管制。

截至2016年,全球已有超过60个国家做出数据本地化存储的要求。“采取‘数据出口限制’还是‘数据本地化’,这对企业来说事关重大。”他说。

不过,史宇航撰文指出,重要数据与非重要数据的主要区别在于,一旦发生数据泄露事件,其危害程度与范围不同,但两者面临的安全威胁基本类似,需要采取的保护措施也基本相同。因此,数据安全法应对非重要数据也给予相应的保护。

他还提出,数据安全法可以效仿网络安全法中要求关键信息基础设施运营者不仅需要承担一般网络运营者的网络安全保护义务,还需要承担更高的网络安全保护义务的模式,要求重要数据的控制者承担更高要求的保护义务。

许可也认为,数据安全法草案会确立数据安全的一般规则,比如一般性的数据安全保护、数据风险评估、应急事件特别是数据泄露处理等等。但考虑到数据安全法的位阶,相关规定不会特别细致,技术性规范也不会太多。

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。