第三部分 数据保护相关新规解读
一、《数据安全法》逐条解读
中华人民共和国数据安全法
第一章 总则
第1条 为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。
【解读】
本条规定了《数据安全法》的立法目的。
《数据安全法》坚持安全与发展并重,旨在实现数据在安全的基础上发展,在数据发展的过程中持续保障安全。
第2条 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
【解读】
本条规定了《数据安全法》的适用范围。
从适用范围看,《数据安全法》不仅适用于在中国境内开展数据活动的情形,也赋予了必要的域外适用效力,彰显了我国维护国家安全和数据主权的信息和决心。具体到适用地域,只要在中国境内开展数据活动,无论是中国境内的组织、个人还是中国境外的组织、个人均适用本法。对于未在中国境内开展数据活动的中国境外组织和个人,如果其数据活动损害了中国国家安全、公共利益或者公民、组织的合法权益,我国也会依法追究其法律责任。规定必要的域外适用效力,与世界各国通过立法扩大数据方面管辖权的作法相一致和相对应,有助于我国在激烈的数据竞争中掌握主动权和话语权,维护我国的国家主权和数据主权完整。
第3条 本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
【解读】
本条规定了与《数据安全法》适用范围相关的重要定义。
从“数据”的定义看,本条将所有对信息进行记录的载体均认定为数据。电子之外的“其他方式”可以将常见的纸质登记表格等纳入数据安全管理范畴,填补了已有立法无法有效规制纯线下、不借助网络开展数据活动的立法空白。
从“数据活动”的定义看,采取了列举+兜底的方式,数据全生命周期的相关活动基本都被纳入数据活动的范畴。
从“数据安全”的定义看,《数据安全法》对数据安全提出了行为要求和效果要求。对于行为要求,这里的“必要措施”一般来说包括技术措施、管理措施等;对于效果要求,本条强化了安全的持续性。与网络安全相类似,数据安全也并非一劳永逸,而是需要持续的投入和关注,以不断应对可能出现的安全问题和漏洞。
最后,需要指出的是,结合本条对“数据活动”的定义和第53条规定的“……开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定”,《数据安全法》将如何厘清数据和个人信息关系的问题进行了明确界定,将涉及个人信息的数据活动交由《民法典》《网络安全法》和《个人信息保护法》等有关法律和行政法规加以规范,妥善解决了法律之间的适用和协调问题。
第4条 维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。
【解读】
本条规定了《数据安全法》的核心观念。
数据是国家基础性战略资源,没有数据安全就没有国家安全。因此,《数据安全法》按照总体国家安全观的要求,通过立法加强数据安全保护,有助于更好地规制与中国国家、公民和组织相关的全部数据活动,有助于提升国家数据安全保障能力,有利于有效应对数据这一非传统领域的国家安全风险与挑战,切实维护国家主权、安全和发展利益,维护公共利益和公民、组织的合法权益。
第5条 中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
【解读】
本条明确了数据安全管理工作的顶层设计。
中央国家安全领导机构统筹数据安全管理工作,可见数据安全的重要性和影响力,有助于建立集中统一、高效权威的数据安全领导体制。
第6条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
【解读】
本条明确了数据安全管理工作的具体分工。
整体而言,本条确立了在集中领导的基础上由各部门、各地区分工负责的管理模式,具体体现为国家网信部门统筹网络数据监管+公安机关、国安机关依职责监管数据安全+各地区、各部门承担主体责任+各行业主管部门承担本行业监管职责,强调了数据安全管理工作的统一性,也兼顾了各地区、各部门和各行业的差异性。但在实践过程中,如何厘清各地区、各部门和各行业主管部门的职责界限,有待探索和明确。
此外,需要指出的是,《数据安全法》并未对“网络数据”进行定义。可供参考的“网络数据”的定义出现在《网络安全法》第76条,其将“网络数据”界定为“通过网络收集、存储、传输、处理和产生的各种电子数据”。
最后,笔者梳理了现有各行业主管部门和各地区对于数据安全管理的相应规定供参考:
1.各行业主管部门对数据安全管理的相关规定
续表
2.各地区对数据安全管理的相关规定
第7条 国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。
【解读】
本条表明了对数据发展的鼓励和保障,当然,数据发展需要在法律允许的范围内有序发展,最大程度挖掘数据价值,打破“数据孤岛”,更好地服务我国经济社会发展。
第8条 开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
【解读】
本条明确了开展数据处理活动的原则性要求。
对于开展数据处理活动的要求,《数据安全法》第四章对数据安全保护义务进行了具体规定,本条作为宣誓性条款明确了基本的原则,在具体规定无法有效、准确覆盖个案时可能会适用本条进行相应认定。
第9条 国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。
【解读】
本条明确了数据安全协同治理体系的建立要求。
数据安全与每一个个人、组织、行业组织、有关部门均息息相关,在集中领导+分工负责数据安全管理工作的基础上,全社会协同治理数据安全,有助于群策群力,切实维护数据安全,促进数据依法有序发展。
第10条 相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
【解读】
本条明确了数据安全的行业自律要求。
基于各个行业自身的特殊性,对于数据安全的具体要求自然也会存在差异,相比适用“一刀切”的普遍性规范,由各行业组织自行制定适应本行业需要的行为规范和团体标准无疑是更好的选择。同时,本条也强调了此类行为规范和团体标准必须“依法制定”,即不得以行为规范或团体标准突破国家现有的数据保护规则,损害数据安全。
第11条 国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
【解读】
本条明确了数据领域国际合作的机制。
大数据时代和经济全球化浪潮下,数据跨境流动日益频繁。积极参与国际交流与合作,参与国际规则和标准的制定,能够在推动国际合作的同时更好地维护我国的国家利益。
第12条 任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。
有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。
【解读】
本条明确了数据安全相关的投诉、举报机制。
从举报主体看,任何组织和个人都可以进行举报,意味着用户、非用户、竞争对手、第三方测评机构、自媒体等都可以作为举报主体,有助于实现第9条提出的“数据安全协同治理体系”。
从举报部门看,结合数据安全管理体系的职责分工,“有关主管部门”应该指向公安部门、国安部门、网信部门以及各地区、各部门和各行业的主管部门。以网络数据违法为例,就应当向国家及地方网信部门进行举报。
从举报处理看,收到投诉、举报的部门应当及时依法处理。也就是说,如果投诉、举报后出现杳无音讯或怠于处理等不作为、慢作为的情形,该等部门可能需要承担相应的责任。
第二章 数据安全与发展
第13条 国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。
【解读】
本条明确了数据安全工作的基本原则。
数据安全和数据发展并重是《数据安全法》坚持的基本原则。但从立法体例角度看,本条规定的内容为原则性要求。
第14条 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。
省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。
【解读】
本条明确了支持数字经济发展的配套要求。
2021年4月25日,中国信通院正式发布《中国数字经济发展白皮书(2021年)》,报告显示,2020年,我国数字经济增加值规模达到39.2万亿元,占GDP比重达到38.6%,2020年我国数字经济同比名义增长9.7%,是同期GDP名义增速的3.2倍多,数字经济在逆势中加速腾飞,有效支撑经济社会发展。[1]从产业角度来看,我国已形成较为完整的数据供应链,在数据采集、数据标注、时序数据库管理、数据存储、商业智能处理、数据挖掘和分析、数据安全、数据交换等各环节形成了数据产业体系,数据管理和数据应用能力不断提升。可以看出,数字经济对我国国民经济发展具有重要意义,完善数字经济发展的配套措施有助于更好地促进数字经济发展。
第15条 国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
【解读】
本条明确了数据开发对公共服务的提升应当保障弱势群体。
通过开发数据并提升公共服务的智能化程度,确实可以带来极大的便利,但对于不擅长使用电子设备的老年人或者身体机能不便的残疾人而言,一些无法使用的智能化设备反而可能为日常生活带来障碍。“公共服务”的对象是社会大众,因此也应当考虑到弱势群体的需求。本条为此特别强调,在提升公共服务智能化程度的同时,不能忘记保障弱势群体的权益。
第16条 国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。
【解读】
本条体现了促进数据资源开发利用的精神。
大数据时代,数据有价,只有不断完善数据开发利用技术和数据安全技术,培训发展数据开发利用和数据安全产品和产业体系,才能更好、更大程度上挖掘和实现数据的价值。
第17条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
【解读】
本条明确了数据安全与发展的标准体系建设要求。
从制定主体看,与网络安全标准体系制定主体相类似,国务院标准化行政主管部门和国务院有关部门为数据开发利用技术、产品和数据安全相关标准的制定主体。
从参与主体看,可以预见的是,后续数据安全与发展的相关标准,将会与个人信息相关标准的制定一样,有互联网企业、研究机构、高校、行业协会等参与其中。
第18条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
【解读】
本条体现了国家对数据安全社会化服务体系建设的支持。
对于企事业单位而言,数据安全必将成为企事业单位的一张名牌,数据安全工作做得好,企事业单位的形象会添光加彩,反之则会影响声誉,降低公众的信任以及好感度。数据安全检测评估、认证等服务构成了数据安全的社会化服务体系,有助于协助企事业单位发现数据安全方面存在的问题并加以改进和完善。
第19条 国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
【解读】
本条明确了国家对合法数据交易的支持。
《数据安全法》作为数据领域的基本法,首次从法律层面明确了国家对合法数据交易的支持,对于数据交易而言无疑是利好消息。本条未明确数据交易的定义,可供参考的是《信息安全技术 数据交易服务安全要求》(GB/T 37932—2019,以下简称《数据交易服务安全要求》)将“数据交易”定义为“数据供方和需方之间以数据商品作为交易对象,进行的以货币或货币等价物交换数据商品的行为”。就数据交易管理制度而言,本条并未明确其具体内容,包括数据权属、交易标的、定价机制等都有待后续明确。
现有的数据交易一般在大数据交易所和企业自主运营的数据交易平台进行,其中大数据交易所主要有贵阳大数据交易所、东湖大数据交易中心、上海数据交易中心、华东江苏大数据交易中心等,企业自主运营的数据交易平台主要包括京东万象、数据宝、聚合数据、优易数据、发源地、数粮等。
第20条 国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
【解读】
本条体现了国家对数据安全相关人才培养的支持。
数据安全发展离不开数据相关人才的支撑,加强数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据安全相关人才,有助于数据安全工作的常态化发展。
第三章 数据安全制度
第21条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
【解读】
本条明确了数据分类分级的制度要求。
从数据分类分级的基本要求看,《网络安全法》第21条首次从法律层面提出了“数据分类”的要求,本条则首次从法律层面完整地提出了“数据分类分级”的要求。分类分级的标准主要包括两个维度,一个是数据的重要程度,另一个是数据安全事件发生的危害程度。《大数据安全管理指南》第7.1条和第7.2条明确了数据分类分级的原则和流程,笔者也整理了部分行业涉及数据分类分级的文件供参考。
从重要数据看,本条并未明确重要数据的定义和识别标准,现行文件中可供参考的“重要数据”的定义主要出现在《数据安全管理办法(征求意见稿)》第38条,其将“重要数据”界定为“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等”。此外,《信息安全技术 数据出境安全评估指南(征求意见稿)》(以下简称《数据出境安全评估指南(征求意见稿)》)第3.5条对“重要数据”也进行了定义,“相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)”。
同时,本条将首次提出了“核心数据”的概念,将“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”作为国家核心数据。对于核心数据,将适用更为严格的管理制度。
第22条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
【解读】
本条明确了数据安全的监测预警机制。
集中统一、高效权威的公权力监测预警机制,有助于及时发现和准确识别数据安全风险,并在此基础上有效预测事件发生的可能性、影响范围和危害程度,准确发布避免、减轻危害的措施。
第23条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
【解读】
本条明确了建立数据安全应急处置机制的要求。
应急处置措施的实施会较大程度地影响数据安全事件所造成的后果。建立数据安全应急机制,在数据安全事件发生后,及时启动应急预案并采取相应的应急处置措施,并及时向社会发布与公众有关的警示信息,能够有效减少事件造成的损失和危害。
第24条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
依法作出的安全审查决定为最终决定。
【解读】
本条明确了建立数据安全审查制度的要求。
数据安全审查制度的审查范围和重点是“影响或者可能影响国家安全的数据活动”,但《数据安全法》对数据安全审查的审查主体、审查流程、审查期限、审查内容等未进行具体规定,具体可参照《网络安全审查办法(修订草案征求意见稿)》。
此外,本条第2款规定“依法作出的安全审查决定为最终决定”,意味着数据安全审查的决定一经作出即告生效,不会进入行政复议或行政诉讼程序。
第25条 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
【解读】
本条明确了数据出口管制的要求。
对于出口管制的含义,《数据安全法》未进行明确,《出口管制法》第2条将“出口管制”定义为“国家对从中华人民共和国境内向境外转移管制物项,以及中华人民共和国公民、法人和非法人组织向外国组织和个人提供管制物项,采取禁止或者限制性措施”,可供参考。
《数据安全法》首次提出了数据出口管制的要求,管制的内容为“与维护国家安全和利益、履行国际义务相关的属于管制物项的数据”。但《数据安全法》并未对具体的管制范围进行明确,有待后续配套立法明确。
第26条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
【解读】
本条明确了数据方面的国际对等反制,以有效应对数据方面的限制、打压、歧视等措施,有助于维护我国数据主权和国家利益。
第四章 数据安全保护义务
第27条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
【解读】
本条明确了数据安全保护义务的基本要求。
对于建立全流程数据安全管理制度,结合第3条对于“数据活动”的定义,数据安全管理制度应覆盖数据收集、存储、加工、使用、提供、交易、公开等流程。
对于数据安全教育培训,从培训时间点看,在新员工入职培训时,就应当将数据保护作为培训内容之一,后续每年定期或不定期进行数据安全培训。从培训内容看,数据保护的相关法律法规规定、内部制度、操作流程等都应该纳入培训内容,特别是最新出台的规定和内部制度流程等的重要修订。从培训对象看,这里的员工不应限于基层员工,而应是包含高层员工在内的全体员工,领导层高度重视、基层员工严格践行,方能更好地开展数据保护工作。
对于采取相应的技术措施和其他必要措施,这里使用的是“相应”和“必要”,而非统一提出某些技术措施和其他措施要求,这有助于企事业单位根据数据的重要性、数据安全事件发生后的危害程度等采取相对应的措施。
设立数据安全负责人和管理机构并非是一项对所有企事业单位均提出的要求,而是针对重要数据的处理者,后续可能会有配套文件对于数据安全负责人的资质、职责等提出要求。
第28条 开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。
【解读】
本条要求数据活动和数据技术应符合社会公德和伦理。
新技术发展在推动社会进步的同时,也出现被用于违反社会公德和伦理的实验、商业行为等情况。因此,《数据安全法》强调数据活动和数据技术应符合社会公德和伦理,虽然更多是宣誓性的意义,但能够写入法律条文,本身已经体现出国家对该问题的重视。
第29条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
【解读】
本条明确了数据安全风险监测和后续处置要求。
与《网络安全法》第22条第1款对网络安全风险监测和后续处置的要求相类似,本条对数据安全风险监测和后续处置提出了要求,以便企事业单位可以及时发现数据安全风险并采取补救措施。如果发生数据安全事件,还应及时通过公告、站内信等方式告知用户,并向有关主管部门报告。
第30条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
【解读】
本条对重要数据处理者提出了定期开展风险评估和报送评估报告的要求。
从定期开展风险评估看,本条并未明确限定评估主体。结合第18条的规定,可以理解为重要数据的处理者可以自行评估,也可以委托数据安全检测评估专业机构进行评估。
从风险评估报告的内容看,本条第2款采用“列举+兜底”的方式提出了内容要求,包括重要数据的种类、开展数据处理活动的情况,面临的数据安全风险及其应对措施都被列入了风险评估报告的范围内。
第31条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
【解读】
本条对重要数据的出境安全管理提出了要求。
首先,就关键信息基础设施的定义,可以参考《关键信息基础设施安全保护条例》第2条的规定,即“关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。对于此类设施运营者在中国境内运营收集和产生的重要数据,应当根据《网络安全法》第37条的规定,按照国家网信部门会同国务院有关部门制定的办法进行安全评估,或依据法律、行政法规的另行规定执行。
其次,对于其他数据处理者,未来可能由国家网信部门会同国务院有关部门制定专门的出境安全管理办法。在此之前,监管部门已经发布了《个人信息出境安全评估办法(征求意见稿)》《数据出境安全评估指南(征求意见稿)》等文件,可以作为参考。
第32条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
【解读】
本条明确了收集数据的合法、正当要求。
相较于收集个人信息的合法、正当、必要要求,对于收集数据,本条未当然强调必要的要求,而是在“法律、行政法规对收集、使用数据的目的、范围有规定的”情况下才强调收集数据不得超过必要的限度,这里也体现出对于数据和个人信息的差异管理。对于“合法、正当”的理解,笔者认为,主要包括不得从非法的渠道收集数据、不得隐秘收集数据、不得以欺诈、诱骗、误导的方式收集数据等。
第33条 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
【解读】
本条明确了数据交易中介服务机构的服务要求。
《数据安全法》并未对“数据交易中介服务”进行定义,可供参考的是,《数据交易服务安全要求》第3.4条将“数据交易服务”定义为“帮助数据供方和需方完成数据交易的活动”。结合本条对数据交易中介服务机构的服务要求,数据交易中介服务机构应该主要指向《数据交易服务安全要求》第3.6条定义的“数据交易服务平台”,即“为数据交易提供各项服务的信息化平台”,实践中主要包括大数据交易所和企业自营的数据交易平台。对此,前面已经进行介绍,不再赘述。
从数据交易中介服务机构的服务要求看,主要包括说明来源+审核身份+留存记录三项要求。而三项要求是否妥善履行,将决定数据交易中介服务机构是否会依据第47条承担相应的法律责任。
第34条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
【解读】
本条提出了数据处理相关服务经营者的许可或备案要求。
目前实践中,典型的需要取得许可的数据处理者包括《电信业务分类目录》中B21类别的“在线数据处理与交易处理业务”服务的提供者。未来法律、行政法规也可能进一步扩大需要取得行政许可和备案的行业范畴。
第35条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
【解读】
本条明确了组织、个人配合调取数据的要求。
从有权调取数据的机关和调取数据的条件看,限定在公安机关和国家安全机关,在依法维护国家安全或者侦查犯罪需要的情况下,可以调取数据。
从调取数据的程序要求看,相较于《网络安全法》第28条的规定,《数据安全法》增加了“按照国家有关规定,经过严格的批准手续,依法进行”的规定,有助于依法行政的落实,避免有权机关滥用权力。
第36条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
【解读】
本条明确了组织及个人向中国境外司法、执法机构提供数据需经报批的原则性要求。
对于向境外机构提供证据材料、文件和资料,《国际刑事司法协助法》第4条第3款和《证券法》第177条第2款已经分别从刑事角度和证券监督管理角度提出了未经境内有关主管部门同意不得向境外机构提供证据材料、文件和资料等的要求。《数据安全法》从数据监管的角度,通过本条明确了组织及个人向中国境外司法、执法机构提供数据需经报批的原则性要求,旨在一定程度上封堵境外机构的长臂管辖,有助于维护数据主权和国家安全。同时,明确了本条规定的例外情形,即我国缔结或参加的国际条约、协定对此有规定的,依照其规定,妥善解决了法律与国际条约、协定的适用问题。
此外,对于本条规定,《数据安全法》规定了相应的、明确的罚则,面对境外执法机构调查取证的要求,如果企业未经主管机关批准向外国司法或者执法机构提供数据的,可能将按照第48条的规定承担法律责任。
第五章 政务数据安全与开放
第37条 国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。
【解读】
本条明确了国家对于电子政务建设的支持和对政务数据的要求。
电子政务建设的推进,有助于更好地提升行政效率,进一步降低行政成本,更好地发挥社会管理职能。而电子政务的推进,政务数据的数量、广度等都会进一步提升,但如果要最大程度上发挥政务数据的价值,需要确保政务数据满足科学性、准确性和时效性的要求,否则如数据存在遗漏、错误、延迟等问题,可能会让政务数据的价值大打折扣,甚至出现负面作用。
第38条 国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
【解读】
本条对国家机关收集使用数据提出了规范化要求。
从规范化要求看,主要包括以下两点:第一,基于履行法定职责的需要并在履行法定职责的范围内收集、使用数据,避免随意收集、使用数据;第二,需要依照法律、行政法规规定的条件和程序进行,也就是说,如未经法定条件和程序,即使在法定职责范围内也不得收集、使用数据。例如,根据《刑事诉讼法》第128条第1款规定,进行搜查,必须向被搜查人出示搜查证。一般情况下,需要出示搜查证才能进行搜查,这里的出示搜查证就是法律规定的搜查程序要求。
第39条 国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
【解读】
本条对国家机关提出了数据安全保护的要求。
政务数据数量庞大,关系国计民生、国家安全和国家主权,如果出现数据安全事件,其后果可能不堪设想。因此,《数据安全法》对国家机关提出了数据安全保护的要求,强调保障政务数据安全。
第40条 国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
【解读】
本条对国家机关委托存储、加工、向他人提供政务数据提出了规范性要求。
实践中,为了对数据进行分析整理或者基于提供公共职能服务需要,国家机关委托存储、加工或向他人提供政务数据的情形并不少见。由于此前规制较少,不乏未经审批程序而直接通过微信对外发送数据等政务数据不规范对外提供的案例。《数据安全法》通过本条强化了委托存储、加工,向他人提供政务数据的审批要求和监督履行数据安全保护义务的要求,旨在降低政务数据在该等环节出现数据安全事件的概率。
第41条 国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。
【解读】
本条明确了政务数据公开为常态、不公开为例外的要求。
《政府信息公开条例》第5条规定了政府信息公开为常态、不公开为例外的要求,本条明确了政务数据公开为常态、不公开为例外的要求。实践中,部分省市已经开始了政务数据公开的探索,笔者整理了现有的地方政务数据公开方面的规定供参考:
续表
第42条 国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
【解读】
本条明确了政务数据开放平台的构建要求。
通过构建统一规范、互联互通、安全可控的政务数据开放平台,有助于统一规范政务数据的开放与管理,依法有序进行政务数据的开放利用。从实践探索角度,
贵阳市政府数据开放平台(网址:data.guiyang.gov.cn/city/index.htm)于2017年1月初正式上线运营,根据平台数据显示,截至2021年8月17日,平台已提供1413792次下载服务,涉及2728个数据集,380个API。[2]
第43条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用本章规定。
【解读】
本条明确了对具有公共事务管理职能的组织开展数据活动的要求。
《数据安全法》第37~42条规制的主体均为国家机关,本条将具有公共事务管理职能的组织履行法定职责开展数据处理活动的情形也纳入前述规定的适用范围。举例来说,国家科技管理信息系统公共服务平台(网址:https://service.most.gov.cn/)由中国科学技术信息研究所建设运行并提供相关技术服务,负责对中央财政科技计划(专项、基金等)的需求征集、指南发布、项目申报、立项和预算安排、监督检查、验收结果等进行全过程信息管理,并主动向社会公开非涉密信息。这里所说的中国科学技术信息研究所为运行该平台开展数据活动,应该适用前述规定。
第六章 法律责任
第44条 有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。
【解读】
本条明确了数据安全监管的约谈制度。
与《网络安全法》第56条规定的网络安全监管的约谈制度相类似,数据安全监管也将约谈制度法定化。
第45条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
【解读】
本条明确了未履行数据安全保护义务的法律责任。
从法律责任形式看,本条基本借鉴了《网络安全法》第59条对于未履行网络安全保护义务的法律责任的规定,主要包括责令改正、警告、对组织罚款和对直接负责的主管人员罚款等。
就罚款的金额而言,相较于草案二审稿,《数据安全法》对于法人与个人的罚款上限有所调整。就一般违反数据安全保护义务的行为,《数据安全法》降低了法人和个人的罚款上限。同时,增加了“违反国家核心数据管理制度,危害国家主权、安全和发展利益”的法律责任,并将罚款金额确定为“二百万元以上一千万元以下”,这一区间明显高于草案二审稿规定的违反数据安全保护义务的法律责任。上述调整使不同行为的法律责任差异更为明显,进而可以使行政处罚与违法行为的程度更为匹配。
第46条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
【解读】
本条明确了重要数据违规出境的法律责任。
相较于草案二审稿,本条为新增条款。对于违反《数据安全法》规定向境外提供重要数据的,可对企业处以10万到100万的罚款,对直接负责的主管人员和其他直接责任人员处以1万到10万的罚款。如果涉及严重的情节,那么企业将可能被处以100万到1000万的罚款,且可能被责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,而直接负责的主管人员和其他直接责任人员将面临10万到100万的罚款。其中吊销相关业务许可证或者吊销营业执照的处罚最重,可能直接导致企业无法开展任何业务。这在另一方面也体现了国家保护重要数据的决心。
第47条 从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
【解读】
本条明确了数据交易中介机构相关的法律责任。
若数据交易中介机构未要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录,且导致非法来源数据交易的,需要根据本条承担责令改正、没收违法所得、罚款、吊销相关业务许可证或者吊销营业执照的法律责任。与上一条类似,本条同样设置了吊销相关业务许可证或者吊销营业执照的处罚,对于数据交易中介机构而言是处罚最重,将直接导致数据交易中介机构无法继续从事数据交易中介服务。
第48条 违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
【解读】
本条明确了未经许可或备案专门提供在线数据处理等服务的法律责任。
提供数据处理等服务需要取得许可或备案方能进行。未经许可或备案,可能面临责令改正、没收违法所得、罚款的法律责任,甚至被吊销相关业务许可证或者吊销营业执照,与前几条类似,本条的法律责任相对较重,因此数据处理者也应当重视此类问题。
第49条 国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。
【解读】
本条明确了国家机关不履行数据安全保护义务的法律责任。
从条文对应上,本条主要规定的是第39条的相应法律责任。但第40条,也就是委托存储、加工、向他人提供政务数据,也可能纳入本条法律责任的适用范围。需要指出的是,本条并未限制条件,即未要求造成数据安全事件等严重后果才适用本条,也就意味着,如果在日常数据安全检查中发现国家机关不履行本法规定的数据安全保护义务的,就可能触发本条的法律责任。
第50条 履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。
【解读】
本条规定了国家工作人员玩忽职守、滥用职权、徇私舞弊的法律责任。
《刑法》第397条对滥用职权罪、玩忽职守罪进行了规定,并对徇私舞弊情况下犯前述罪进行了规定。履行数据安全监管责任的国家工作人员,玩忽职守、滥用职权、徇私舞弊触犯刑事犯罪的,依照前述《刑法》规定承担相应责任;尚不构成犯罪的,依法给予处分,本条旨在督促国家工作人员切实履行数据安全监管责任。
第51条 窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。
【解读】
本条明确了数据活动危害国家安全、公共利益、公民、组织合法权益的法律责任。
本条并未直接规定数据活动危害国家安全、公共利益、公民、组织合法权益情况下具体的法律责任,而是适用有关法律、行政法规的规定处罚。但本条使用的词语是“处罚”,相对应的应该是承担行政责任,而民事责任、刑事责任都不适用“处罚”的表述。推测是依据《国家安全法》《网络安全法》等相关法律、行政法规进行处罚。
第52条 违反本法规定,给他人造成损害的,依法承担民事责任。
违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
【解读】
本条明确了民事、刑事责任及治安管理处罚的衔接性规定。
本条与《网络安全法》第74条“违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任”基本一致,明确了民事、刑事责任及治安管理处罚的衔接性规定。
第七章 附则
第53条 开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。
在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。
【解读】
本条明确了涉及国家秘密的数据活动和涉及个人信息的数据活动的法律适用。
通过本条的规定,妥善解决了涉及国家秘密的数据活动的和涉及个人信息的数据活动的法律适用,避免了法律之间的交叉和冲突。
第54条 军事数据安全保护的办法,由中央军事委员会依据本法另行制定。
【解读】
本条明确了军事数据安全保护的适用规定。
同《网络安全法》第78条规定“军事网络的安全保护,由中央军事委员会另行规定”相类似,本条规定军事数据安全保护的办法由中央军事委员会另行制定。
第55条 本法自2021年9月1日起施行。
【解读】
本条规定了法律的施行时间。
结语
作为我国数据领域的基础性法律,《数据安全法》对于护航数据安全,助力数字经济发展具有重要意义,其相关规定对于企业在经营过程中开展的相关数据处理活动亦可能产生重大影响。考虑到《数据安全法》项下的违法成本相对较高,建议企业应结合《数据安全法》的相关条文,充分梳理业务开展过程中既有数据活动的合规性,并及时做好相应的合规安排。