当前,新一轮科技革命与产业变革正在深度改变世界与中国,人类面临百年未有之变局,数字经济正在迅速崛起,建设数字社会与数字政府的要求也随之而来。为了适应数字经济的发展,我国加强了相关立法工作,《数据安全法》在2021年6月10日通过,是我国贯彻总体国家安全观,落实统筹安全与发展,将数据安全治理体系建设纳入法治化轨道的重要举措。该法第4条规定“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”

在数字经济发展过程中,数据成为了继土地、劳动力、资本、科技等之后的第五大生产要素。通过国家立法界定数据安全责任范围,将数据安全保护义务的政策要求明确为强制性的法律要求,将对于数据安全的道义责任、社会责任上升为法律责任,构建和完善数据安全法律责任体系,是建立健全数据安全治理体系和提高数据安全保障能力的关键环节,也是未来数据安全法在实践中发挥作用的重要抓手。

中央财经大学教授、金融法研究所所长  黄震

界定数据安全责任范围

欧盟2016年通过、2018年正式实施的《通用数据保护条例》旨在更新欧盟1995年生效的个人数据保护法规,进一步加强对个人数据的保护,也给企业数据安全合规管理带来了一定的挑战。美国也十分重视个人隐私保护,但也没有专门法律规范个人数据,《加州消费者隐私法案》仅为美国一个州层面的立法。美国判例法倾向于个人数据权利主体在于个人,个人数据权利受到侵害时可以诉诸法庭。

与欧美加强个人数据保护有关判例和法案相比,我国的数据安全立法更具有系统性、总体性和协同性,由国家统筹安全与发展、传统安全与非传统安全、数据安全与数字经济发展等方面。数据安全法既要保障数据安全,也强调了促进数据开发利用;既要保护个人、组织的合法权益,也要维护国家主权、安全和发展利益。《数据安全法》既是一部行为法,也是一部监管法,在中华人民共和国境内开展数据处理活动及其安全监管均适用此法。因此《数据安全法》坚持属地主义管辖的同时,也适当发展了属人主义的内容,对境外开展数据处理活动,损害我国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。

《数据安全法》扩大了数据的内涵,所称数据是指任何以电子或者其他方式对信息的记录,并重新定义了“数据安全”,让数据安全法律责任不止于数据收集存储环节避免泄露事件的发生,而是从数据处理全流程提出数据安全的保护义务和法律责任。该法所说的数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等,流程上所有主体均负有数据安全保护义务,采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。同时国家建立数据分类分级保护制度,在此基础上区别化确定各主体的数据安全保护义务与法律责任。

明确数据安全保护义务

在我国数据安全法的立法中,明确数据安全保护义务是前提。我国数据安全法基于全流程对“数据处理”的重新定义,明确要求“开展数据处理活动应当依照法律法规的规定,建立健全全流程数据安全管理制度”,让数据安全的保护义务落实到流程上相关的组织个人及具体负责人和直接责任人,并对落实数据安全保护义务的具体措施进行了一般性制度安排:组织开展数据安全培训,采取相应技术措施和其他必要措施,保障数据安全。如果利用互联网等信息网络开展数据处理活动,还应该在网络安全等级保护制度的基础上履行数据安全保护义务。重要数据的处理中应当明确数据安全负责人和管理机构,落实数据安全保护责任。

基于数据分级分类保护制度,我国的数据安全保护义务也进行了区别性风险管理要求,要求开展数据处理活动应当加强风险监测,发现数据安全风险时应立即采取补救措施,发生数据安全事件应立即采取处置措施,并告知用户和报告有关部门;对于重要数据的处理者,要求按规定定期开展风险评估,并向有关主管部门报送风险评估报告;对于关键信息基础设施的运营者,遵守《网络安全法》规定进行出境安全管理;对于从事数据交易中介服务的机构,要求数据提供方说明数据来源、审核交易双方的身份和留存审核交易记录。

值得一提的是,我国数据安全法将“有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理”作为数据安全保护义务的重要内容,区别于西方国家宣传所谓的“技术中立”原则,我国高度重视运用数据及相关技术可能产生的社会影响,积极将道德义务转化为法律义务,起到用法律引导技术向善的效果。此外,对于特许领域的数据服务,法律法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可,为我国进一步规范特许领域的数据处理提供了法律保障。

压实数据安全法律责任

对于违背或违反数据安全保护义务的追究方式,在法律责任专章对于法律责任进行明确和细化。《数据安全法》法律责任体系构建的系统性、协同性和严密性,在我国数据安全法的立法中都得到了明确的体现。法律责任有关条文均与数据安全保护义务一一对应,形成了“义务—责任”的闭环规定。与草案相比,正式通过时加大了对于违法行为的处罚力度,进一步压实了数据安全法律责任。

在数据安全的责任体系中,我国采取行政责任为主、其他责任为辅的方式构建综合性的法律责任体系,由民事责任、行政责任和刑事责任构成。第52条规定:违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。三种法律责任如果同时发生,则可能出现责任竞合的问题,需要加强协同和规范。按照第52条的排序,民事责任为第一顺序,行政责任为第二顺序,刑事责任为第三顺序。在法律责任一章中突出行政责任有关主管部门采取措施的内容,从而增强了法律的可执行性,成为本法一个显著的特征。

我国数据安全法有关的法律责任是基于数据安全的有关组织和个人的数据安全保护义务。如第45条规定,开展数据处理活动的组织、个人,不履行本法第27条、第29条、第30条规定的数据安全保护义务的,由主管部门责令改正,予以警告,可以并处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处50万元以上200万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处以5万元以上20万元以下的罚款。

这种组织和个人的责任分配方式不仅考虑到目前数据安全保护义务承担者有组织和个人,还有直接负责的主管人员和其他直接责任人员等,将责任最终压实到直接负责的个人,从而落实了组织和个人双责双罚的制度设计,这对于以后的有关企业和个人有震慑作用,在实施过程中也将产生激励相容的作用。

对于违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处200万元以上1000万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。

这一规定,无论是罚款1000万元,还是依法追究刑事责任,对于违反数据安全保护义务的惩罚力度是空前的。

有待进一步细化和明确的建议

在今后数据安全法实施过程中,如果发生责任竞合情况,可能还需要进一步明确处理的原则。原《民法总则》187条:民事主体因同一行为应当承担民事责任、行政责任和刑事责任,承担行政责任或者刑事责任不影响承担民事责任;民事主体的财产不足以支付的,优先用于承担民事责任。《侵权责任法(2009)》第四条:“侵权人因同一行为应当承担侵权责任和行政责任、刑事责任,侵权人的财产不足以支付的,先承担侵权责任”。《数据安全法》是否可以引据民法典有关规定处理?对于国家机关和国家工作人员的有关法律责任部分的规定,如何认定国家机关不履行数据安全保护义务,如何认定国家工作人员玩忽职守、滥用职权、徇私舞弊等行为,由谁认定,谁来处分?以及处分之后是否可以进行行政复议等行政救济行为,还有待通过制定更为详细的实施条例予以明确。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。