一个EXIN DPO眼中的《数据安全法》
刘志诚一、明确目标,建立基础,达成共识,形成原则:
第一章数据安全法总则概述了立法的目的,管辖范围,其立法涉及的意义和本质以及立法的指导思想、组织保障以及基本原则。
首先定义了立法目标(第一条)保障数据安全与开发利用放在第一项,在强调数据安全的同时强调了数据利用是根本,保护公民和组织合法权益放在第二项,是对社会组织与个人数据保障要求的回应,国家主权,安全与发展权益放在第三项,确定国家安全的基本原则不能动摇。
数据安全法的范围(第二条)确立了境内相关活动适用,同时增加了长臂管辖条款,境外数据损害第一条规定目标利益的适用本法管辖。
数据安全涉及的主体以及意义的本质(第三条),数据包含电子、非电子的信息和记录,概念的内涵和外延包含了通常意义的电子信息也包含其他介质和形式,内容在数字身份,敏感数据的基础上包含了数据记录等。活动范围与欧盟《通用数据保护条例》包含了收集、存储、加工、使用、提供、交易、公开,其中提供、交易、公开的活动进一步扩充了活动的本质,相对于数据安全保障的目标,增加了数据利用的合法保障。数据安全强调了采取必要措施,对数据实时有效保护,保障合法利用的前提下使数据处于安全状态的能力。
数据安全的指导思想(第四条、第五条),第四条强调国家安全观的宏观视野下建立数据安全的治理体系,具备整体性思维,建设保障能力,强调数据安全的能力导向。第五条强调数据利用的根本思想,保障权益的前提下做到合法利用,支持有序的自由流动,把数据作为促进数字经济发展,增进人民福祉的有效手段。
数据安全的组织保障(第六条、第七条),第六条体现国家意志,从国家安全领导机构的角色承担数据安全与数据利用的决策、协调与方针政策的制定,体现数据利用与数据安全的战略定位和政治高度。第七条,从条各部门,块各地区的角度,强调行政主管部门对数据产生、汇总、加工数据和数据安全的主体责任,行业主管部门对所管辖范围内组织的数据安全监管职责,公安与国家安全机关对涉及到国家和公共安全职责范围内的数据安全监管工作,网信部门对整体数据安全工作的统筹协调和监管。延续传统网络与信息安全职责范围的基础上,明确了责任主体和负责范围,为后续的数据利用与数据安全的有序监管提供了基础。
数据安全的基本原则(第八-十一条),第八条规定了法律、道德基础上的义务和责任,核心是不得侵犯数据安全的立法目标。第九条强调建设协同的治理体系,形成良好的数据安全环境。第十条,强调参与国际规则和标准的制定促进跨境安全和数据的自由流动,保持开放的基本原则。第十一条,对投诉、举报的支持以及要求相关部门及时依法处理,强调本法实施的严肃性。
二、辩证数据安全与发展,政策扶持,标准先行,推动流动,培养人才
数据安全法第二章的安全与发展重点从数据利用开发与安全的关系,从战略规划、政策、标准、检测、评估、认证与教育的角度促进数据开发与数据安全。
数据安全与数据开发利用的关系(第十二条)是以利用促安全,以安全保发展。主旋律是在安全保障的前提下促进数据的开发与利用。数据利用与安全的发展(第十三条)首先从战略与规划的角度提出大数据战略以及数据利用和安全的基础设施建设,强调创新应用促进数字经济的发展。要求各省把数据利用与安全纳入数字经济发展与规划,列入本级国民经济和社会发展规划,再次强调数据利用与安全的战略价值和重要地位。
数据利用与安全的支持政策(第十四条)涉及技术基础研究、开发利用、安全技术与推广,创新产业体系等层面的政策支持和扶持。
数据利用与安全的标准(第十五条)、评估、检测与认证(第十六条),强调体系化、标准化、规范化、专业化在数据利用与安全方面的价值,鼓励相关政策标准的制定,落实,检测,评估与认证。
数据交易管理(第十七条)发挥数据生产要素在促进数字产业发展过程中的作用,提高数据利用价值,离不开数据交易,规范数据交易行为,健全管理制度,培育数据交易市场是明确了数据交易的合法性基础和地位,为数据交易的健康发展奠定了基础。
数据人才培养(第十八条),从国家各级教育体系以及人才培养体系的角度,鼓励专业人才的培养和流动。
三、制度保障,对内分类分级,措施落实,对外安全审查,出口管制,对等保护
数据安全法第三章数据安全制度从国家立法角度强调数据分类分级保护,完善信息安全保障措施,落实数据安全事件应急处置,对影响国家安全的活动的安全审查,出口管制以及对海外歧视限制措施的对等条款,保障数据安全工作有序、合规的开展,保护国家安全和利益。
数据分类分级保护(第十九条)国家根据数据的重要程度以及破坏后危害程度建立分级分类保护,并要求条块建立重要数据保护目录,并对列入目录的数据进行保护。
加强统一的数据保护措施落实,事前(第二十条)国家建立集中、统一高效的风险评估、报告、监测预警机制。事后(第二十一条)建立数据安全应急处置机制,通过应急预案,落实应急处置措施,消除安全隐患,防止危害扩大,及时向公众警示。
加强国家安全相关的数据安全策略,安全审查(第二十二条)对影响或者可能影响国家安全的数据活动进行审查,并确定了安全审查决定为最终决定的法律地位。对履行国际义务或国家安全的管制物项数据纳入出口管制(第二十三条)。针对其他国家地区在投资、贸易方面的歧视、禁止、限制的,根据实际情况采取对应措施(第二十四条),上述基于国家安全和国家义务以及对等原则的数据保护条款,从制度上保障了对第三国长臂法案的平衡和制约。
四、合法活动,数据源合法,全程风险评估,监控预警,应急服务,交易留痕,经营备案,政府依法调取,出境报备审核
第四章义务重点阐述合法开展数据利用业务保障数据安全的责任,符合道德标准以及正面向善的伦理要求。强调相关组织对数据安全风险的监测、补救与报告,事前做好风险评估,合法、正当、获取必要数据。对从事交易的中介机构要求数据来源以及交易各方保存认证交易记录。对在线数据处理企业提出备案经营机制,对国家强力机关数据需求的合发合规以及数据拥有组织的配合义务。对向国外提供的数据需要报告和审核批准。这些义务作为数据安全法后续处罚的基础,虽然言简意赅,却信息量丰富。
由于数据安全法未像欧盟确定数据决策者和处理者身份界定,对所有数据活动的参与实体均纳入义务要求,首先是数据活动主体的合法参与义务,在合法的前提下建立制度,做好培训,采取措施保障安全,对重要的数据处理者需要有数据安全负责人和管理机构,承担责任(第二十五条)。第二十六条从合法的基础上提出道德要求以及积极向上的价值观导向。
从数据安全具体措施角度,第二十七条强调风险监控,风险发现的补救措施,风险事件的用户告知以及报告机制。第二十八条,强调持续风险评估和报告的机制,并细化了组织掌握的数据种类,数量,数据活动的过程,风险以及应对措施。第二十九条重点强调数据源与数据收集的合法性,正当性和最小化。第三十条强调中介组织数据源的合法性以及对交易者审核以及对审核交易予以记录备查。第三十一条,强调在线数据处理的经营备案机制,并确定工信部的主管单位地位。
公安机关、国家安全机关调取数据强调合法合规以及严格审批机制,依法执行,对合法的数据调取需要被调取者的配合(第三十三条),这在一定程度上避免执法权的滥用也保障强力机关调取数据的法律保护。
针对境外执法机构的数据调取,除明确国家缔约场景外需要申报批准方可调取(第三十三条),强调中国境内数据调取的决定权,保障国家以及组织与公民的合法权益不受国外执法机构的侵害,同样也是构建数据调取的对等立法条款。
五、政务数据,义务同等,依法开放,推动利用
第五章政务数据安全与开放强调电子政务建设中运用数据服务经济社会发展(第三十五条),规范国家机关数据收集处理的合法性以及数据安全义务(第三十六条),对委托第三方处理的审批与监管,保障第三方履行数据安全责任的义务(第三十七条)。除依法不得公开的数据外要及时、准确的公开政务数据(第三十八条),建立数据开放目录,建立数据开放平台,推动政务数据开放利用(第三十九条),公共事务管理职能的组织相关活动适用本法(第四十条)。政务数据公开从数据安全法的角度明确相关范围和义务,对推动各级政府主管部门的政务数据公开落实十分必要,也是推动数据作为生产要素的核心举措,当然,其中的数据安全风险首当其冲,机遇与风险并存。
六、约谈整改,行政处罚,吊销许可,后果法律衔接
第六章的法律责任从监管发现风险的约谈制度,到处理数据活动主体在相关义务不到位的行政处罚,以及对国家机关和主管部门工作失责的处分与处罚,涉及到民事责任的追责和处罚等。
对数据处理主体合法性活动(第二十五条)、风险监测(第二十七条)、风险评估(第二十八条)、合法获得数据(第二十九条)相关义务落实不到位的责令整改并处以1万-10万罚款,主管人员5千-5万罚款,拒不整改,造成严重后果的处以10万-100万罚款,主管人员1万-10万罚款(第四十二条)。
对数据交易中介数据源违法的责令整改,没收非法所得处以经营所得1倍-10倍罚款,无经营所得的处以10万-100万罚款,吊销业务许可证和执照,并对主管和责任人处以1万-10万罚款(第四十三条)
对于未进行备案(第三十一条)的在线数据处理商,责令整改,没收非法所得处以经营所得1倍-10倍罚款,无经营所得的处以10万-100万罚款,吊销业务许可证和执照,并对主管和责任人处以1万-10万罚款(第四十四条)。
国家机关未履行数据安全保护业务的,对直接负责的主管人员和其他直接责任人员依法予以处分(第四十五条),履行监管责任的国家工作人员滥用职权,徇私舞弊,尚不构成犯罪的依法予以处分(第四十六条)。对国家机关和工作人员的处罚仍有待商榷。
数据活动危害国家安全,公民组织合法权益的,依照法律法规处罚(第四十七条)违法民法的追究民事责任,违法治安处罚的,治安处罚,构成犯罪的,依法追究刑事责任(第四十八条)。衔接现行法律体系,对相关后果依法进行处置。
第七章对涉密数据以及军事数据按照相关法律执行的例外条款。
本篇文章来源于微信公众号: IT的阿土
