全面數(shù)據(jù)保護(hù)體系的構(gòu)建—簡評《數(shù)據(jù)安全法(草案)》
作者:吳衛(wèi)明 2020-08-04近期,全國人大常委會公布了《中華人民共和國數(shù)據(jù)安全法(草案)》(以下簡稱“《草案》”),并向社會公開征集意見。作為規(guī)范數(shù)據(jù)數(shù)據(jù)活動(dòng)的基本法,《草案》似乎是希望構(gòu)建一個(gè)數(shù)據(jù)安全的基礎(chǔ)框架。
筆者認(rèn)為,《草案》在以下幾個(gè)方面值得予以關(guān)注。
一、對于“數(shù)據(jù)”內(nèi)涵的完整界定 按照通常的理解,數(shù)據(jù)是電子化的信息,但對于什么是“數(shù)據(jù)”,理論與實(shí)務(wù)界界一直沒有準(zhǔn)確的定義。本次《草案》對于“數(shù)據(jù)”采取了全面的界定。《草案》第三條規(guī)定“本法所稱數(shù)據(jù),是指任何以電子或者非電子形式對信息的記錄。”即,除了《網(wǎng)絡(luò)安全法》所界定的“網(wǎng)絡(luò)數(shù)據(jù)”外,還將“非電子形式對信息的記錄”納入了數(shù)據(jù)范疇。按照這一界定,紙質(zhì)的檔案信息以及其他書面形式對信息所作的記錄,也屬于數(shù)據(jù)。 顯然,對于《草案》所界定的“數(shù)據(jù)”內(nèi)涵與此前的法律法規(guī)及有關(guān)政策的界定并不完全等同。 如,國務(wù)院2015年8月31日發(fā)布的《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》(簡稱“《綱要》”)。《綱要》提到“信息技術(shù)與經(jīng)濟(jì)社會的交匯融合引發(fā)了數(shù)據(jù)迅猛增長,數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略資源。”從《綱要》的提法看,數(shù)據(jù)與信息技術(shù)或互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的關(guān)聯(lián)性更強(qiáng),數(shù)據(jù)似乎與“電子數(shù)據(jù)”具有類似的含義。 2017年生效的《網(wǎng)絡(luò)安全法》,并未采取“數(shù)據(jù)”的表述,而是采用了“網(wǎng)絡(luò)數(shù)據(jù)”的定義,按照該法第第七十六條的界定,網(wǎng)絡(luò)數(shù)據(jù),是指通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。 但與此同時(shí),《網(wǎng)絡(luò)安全法》對于“個(gè)人信息”則界定為“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個(gè)人身份的各種信息。”按照這一表述,個(gè)人信息可以是電子的,也可以是非電子的。顯然,個(gè)人信息定義與“網(wǎng)絡(luò)數(shù)據(jù)”也并非同一內(nèi)涵。 而《民法總則》、《民法典》在規(guī)定“數(shù)據(jù)”的時(shí)候,則采用了如下表述:“法律對數(shù)據(jù)、網(wǎng)絡(luò)虛擬財(cái)產(chǎn)的保護(hù)有規(guī)定的,依照其規(guī)定。上述法律表述中將“數(shù)據(jù)”與“網(wǎng)絡(luò)虛擬財(cái)產(chǎn)”并列,似乎表明數(shù)據(jù)的內(nèi)涵更偏向于電子化的信息。 界定并不清晰,與信息時(shí)代整體信息保護(hù)及整體信息安全的要求不相適應(yīng)。 從《網(wǎng)絡(luò)安全法》的規(guī)定看,如果僅僅將“數(shù)據(jù)”理解為“電子數(shù)據(jù)”或“網(wǎng)絡(luò)數(shù)據(jù)”,則數(shù)據(jù)與信息的關(guān)系將難以平衡,信息的外延將會大于數(shù)據(jù)。將電子化記錄與其他方式記錄的信息,統(tǒng)一納入數(shù)據(jù)范疇,符合數(shù)字化時(shí)代的信息安全要求。 當(dāng)然,《草案》對于“數(shù)據(jù)”的界定也存在一定的不足之處,主要體現(xiàn)為,電子化的信息與非電子化的信息,在信息安全事故或者信息不當(dāng)利用情況下的危害程度是不同的,納入同一保護(hù)范疇,在執(zhí)法、司法裁判標(biāo)準(zhǔn)方面將會存在執(zhí)法、司法標(biāo)準(zhǔn)不易確當(dāng)?shù)那闆r。此外,如果《草案》對于數(shù)據(jù)的界定獲得通過,則需要對其他涉及信息保護(hù)的法律法規(guī)進(jìn)行相應(yīng)的修正,以保持法律的銜接和協(xié)調(diào)。 二、突出保護(hù)與利用并重的原則 該《草案》第十二條規(guī)定:“國家堅(jiān)持維護(hù)數(shù)據(jù)安全和促進(jìn)數(shù)據(jù)開發(fā)利用并重,以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全,以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展。” 該條款將數(shù)據(jù)開發(fā)利用與數(shù)據(jù)安全的關(guān)系概括為相互促進(jìn)、相互保障,數(shù)據(jù)安全不是簡單的依靠保護(hù)與封鎖,而是通過數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展予以促進(jìn)。數(shù)據(jù)安全不是對數(shù)據(jù)利用與開發(fā)進(jìn)行限制,而是為數(shù)據(jù)有序、良性利用提供保障。 《草案》第十三條規(guī)定了國家實(shí)施大數(shù)據(jù)戰(zhàn)略。并規(guī)定“省級以上人民政府應(yīng)當(dāng)制定數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃,并納入本級國民經(jīng)濟(jì)和社會發(fā)展規(guī)劃。” 按照這一規(guī)定,省級以上人民政府制定數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃不再是一個(gè)簡單的地方規(guī)劃問題,而是該級人民政府的法定義務(wù)。 此外,《草案》還規(guī)定了數(shù)據(jù)交易問題。該法第十七條規(guī)定:“國家建立健全數(shù)據(jù)交易管理制度,規(guī)范數(shù)據(jù)交易行為,培育數(shù)據(jù)交易市場。”雖然這一條的規(guī)定非常原則,但數(shù)據(jù)交易管理制度的提出,則為進(jìn)一步的立法預(yù)留了空間。筆者認(rèn)為,《草案》第十七條的規(guī)定作為數(shù)據(jù)流轉(zhuǎn)、共享的基礎(chǔ)制度,如果能夠通過,并且能夠出臺科學(xué)、合理,且均衡社會利益的細(xì)則,對于促進(jìn)我國大數(shù)據(jù)發(fā)展無疑具有積極的作用和價(jià)值。 三、確定了數(shù)據(jù)安全審查制度 《草案》第二十二條規(guī)定了數(shù)據(jù)安全審查制度,國家建立數(shù)據(jù)安全審查制度,對影響或者可能影響國家安全的數(shù)據(jù)活動(dòng)進(jìn)行國家安全審查。 2020年6月1日起實(shí)施的《網(wǎng)絡(luò)安全審查辦法》(簡稱“《審查辦法》”),確立了網(wǎng)絡(luò)安全審查制度,該《審查辦法》第二條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者(以下簡稱運(yùn)營者)采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),影響或可能影響國家安全的,應(yīng)當(dāng)進(jìn)行網(wǎng)絡(luò)安全審查。《審查辦法》是對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)設(shè)定的安全審查,其中,將產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞,以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險(xiǎn)作為審查的重要內(nèi)容。 通過分析《中華人民共和國數(shù)據(jù)安全法(草案)》和《網(wǎng)絡(luò)安全審查辦法》的內(nèi)容不難看出,雖然兩種審查都屬于國家安全審查的范疇,但其審查的對象和內(nèi)容卻并不相同。 《草案》審查的對象包括所有的影響或可能影響國家安全的數(shù)據(jù)活動(dòng),既包括線上的數(shù)據(jù)活動(dòng),也包括線下的數(shù)據(jù)活動(dòng),且對數(shù)據(jù)活動(dòng)主體并未做出限制。 而《審查辦法》所設(shè)查的主體僅為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者,審查活動(dòng)主要針對產(chǎn)品或服務(wù)的采購環(huán)節(jié),而審查的內(nèi)容則除了重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險(xiǎn)外,還包括產(chǎn)品或服務(wù)是否具有連續(xù)性,以及是否收購政治等因素影響,從而威脅供應(yīng)鏈的安全。 數(shù)據(jù)安全審查制度將數(shù)據(jù)活動(dòng)對國家安全的影響作為其規(guī)制的價(jià)值目標(biāo),這也意味著,企業(yè)或其他社會主體,在從事數(shù)據(jù)活動(dòng)時(shí),應(yīng)首先進(jìn)行國家全判斷。當(dāng)然,《草案》對于審查的程序并未做進(jìn)一步規(guī)定,有待相關(guān)細(xì)則加以界定。 四、確立了重要數(shù)據(jù)保護(hù)與評估制度 1、關(guān)于重要數(shù)據(jù)的概念 重要數(shù)據(jù)的概念、內(nèi)涵、外延,一直是實(shí)踐中較難掌握的問題。《草案》第十九條規(guī)定了數(shù)據(jù)分級分類保護(hù)。并規(guī)定:“各地區(qū)、各部門應(yīng)當(dāng)按照國家有關(guān)規(guī)定,確定本地區(qū)、本部門、本行業(yè)重要數(shù)據(jù)保護(hù)目錄,對列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。”并在第二十五條對重要數(shù)據(jù)的處理者應(yīng)當(dāng)設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)做出了規(guī)定。不過,遺憾的是,《草案》對于重要數(shù)據(jù)并未做出界定,哪些數(shù)據(jù)構(gòu)成重要數(shù)據(jù)?《草案》并未解決。對此,可以借鑒其他法律及規(guī)則的定義加以識別。 《網(wǎng)絡(luò)安全法》首次提出了“重要數(shù)據(jù)”概念,并對重要數(shù)據(jù)的分類保護(hù)以及出境做了規(guī)定。該法第二十一條規(guī)定了網(wǎng)絡(luò)運(yùn)營者應(yīng)“采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施”。但這一條款并沒有界定什么是重要數(shù)據(jù)。 國家互聯(lián)網(wǎng)信息辦公室于2017年4月11日公布的《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》第九條,對重要數(shù)據(jù)界定為:“重要數(shù)據(jù),是指與國家安全、經(jīng)濟(jì)發(fā)展,以及社會公共利益密切相關(guān)的數(shù)據(jù),具體范圍參照國家有關(guān)標(biāo)準(zhǔn)和重要數(shù)據(jù)識別指南。” 2019年5月28日,國家互聯(lián)網(wǎng)信息辦公室公布了《數(shù)據(jù)安全管理辦法(征求意見稿)》,對“重要數(shù)據(jù)”界定為:“重要數(shù)據(jù),是指一旦泄露可能直接影響國家安全、經(jīng)濟(jì)安全、社會穩(wěn)定、公共健康和安全的數(shù)據(jù),如未公開的政府信息,大面積人口、基因健康、地理、礦產(chǎn)資源等。重要數(shù)據(jù)一般不包括企業(yè)生產(chǎn)經(jīng)營和內(nèi)部管理信息、個(gè)人信息等。” 雖然《草案》及《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》、《數(shù)據(jù)安全管理辦法(征求意見稿)》當(dāng)前均未生效,但考慮到數(shù)據(jù)分類保護(hù)的法定要求,建議《數(shù)據(jù)安全法》對重要數(shù)據(jù)的定義進(jìn)行明確界定,以便在數(shù)據(jù)活動(dòng)中更具有可操作性。 2、確立了數(shù)據(jù)安全評估制度 事實(shí)上,在《網(wǎng)絡(luò)安全法》及《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》、《數(shù)據(jù)安全管理辦法(征求意見稿)》中,均規(guī)定了數(shù)據(jù)出境的安全評估制度,但上述制度僅限于數(shù)據(jù)或重要數(shù)據(jù)出境過程中的評估。 如《網(wǎng)絡(luò)安全法》第三十七條則規(guī)定:關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估。 《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》第九條則規(guī)定了多種需要評估的數(shù)據(jù)出境行為,其中第(五)條款提到了“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者向境外提供個(gè)人信息和重要數(shù)據(jù)。”這一規(guī)定《網(wǎng)絡(luò)安全法》基本一致。 在《數(shù)據(jù)安全管理辦法(征求意見稿)》中,則在第二十八條規(guī)定了:“網(wǎng)絡(luò)運(yùn)營者發(fā)布、共享、交易或向境外提供重要數(shù)據(jù)前,應(yīng)當(dāng)評估可能帶來的安全風(fēng)險(xiǎn),并報(bào)經(jīng)行業(yè)主管監(jiān)管部門同意;行業(yè)主管監(jiān)管部門不明確的,應(yīng)經(jīng)省級網(wǎng)信部門批準(zhǔn)。” 應(yīng)該說,《網(wǎng)絡(luò)安全法》及《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》、《數(shù)據(jù)安全管理辦法(征求意見稿)》對于需要出境安全評估的數(shù)據(jù)界定并不一致。前兩個(gè)規(guī)定針對的是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者需要出境的重要數(shù)據(jù),而后一個(gè)規(guī)定則針對網(wǎng)絡(luò)運(yùn)營者的重要數(shù)據(jù)出境。但是這幾部法律及規(guī)則的征求意見稿,評估制度針對的均為數(shù)據(jù)出境。 而《草案》所規(guī)定的數(shù)據(jù)安全評估,范圍則更廣,針對重要數(shù)據(jù)處理者的全部數(shù)據(jù)活動(dòng)。《草案》第二十八條規(guī)定:“重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)活動(dòng)定期開展風(fēng)險(xiǎn)評估,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告。風(fēng)險(xiǎn)評估報(bào)告應(yīng)當(dāng)包括本組織掌握的重要數(shù)據(jù)的種類、數(shù)量,收集、存儲、加工、使用數(shù)據(jù)的情況,面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對措施等。” 綜上,對于重要數(shù)據(jù),《草案》的主要突破在于設(shè)置了重要數(shù)據(jù)安全評估制度,但對于重要數(shù)據(jù)的定義并未明確界定,仍需在進(jìn)一步立法中予以明確。 五、數(shù)據(jù)歧視的對等措施 《草案》還有一個(gè)值得關(guān)注的新制度,即:針對數(shù)據(jù)歧視的對等措施。《草案》第二十四條規(guī)定,任何國家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術(shù)等有關(guān)的投資、貿(mào)易方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據(jù)實(shí)際情況對該國家或者地區(qū)采取相應(yīng)的措施。 對等原則是國際投資與貿(mào)易的基本原則之一,對此,我國《外商投資法》已經(jīng)做了明確的規(guī)定,任何國家或者地區(qū)在投資方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據(jù)實(shí)際情況對該國家或者該地區(qū)采取相應(yīng)的措施。 《草案》的規(guī)定是投資、貿(mào)易對等原則在數(shù)據(jù)活動(dòng)領(lǐng)域的特別體現(xiàn),也在很大程度上反映了當(dāng)前主要大國之間圍繞網(wǎng)絡(luò)安全與數(shù)據(jù)安全進(jìn)行激烈博弈的特點(diǎn)。近期,印度針對多款中國企業(yè)開發(fā)的APP采取了封禁措施;與此同時(shí),美國政府也在考慮封禁中資控股的短視頻APP-TikTok。雖然當(dāng)前相關(guān)方并未披露原因,但媒體猜測,最終的借口可能會包含隱私保護(hù)和數(shù)據(jù)安全。 《草案》對于與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術(shù)等有關(guān)的投資、貿(mào)易方面的歧視性政策以對等原則進(jìn)行反制,是維護(hù)中國數(shù)據(jù)安全及中國企業(yè)開展正常數(shù)據(jù)活動(dòng)的必要措施。 此外,《草案》還規(guī)定了數(shù)據(jù)交易中介服務(wù)機(jī)構(gòu)的責(zé)任、在線數(shù)據(jù)處理服務(wù)經(jīng)營者的許可或備案、境外執(zhí)法機(jī)構(gòu)調(diào)取中國境內(nèi)數(shù)據(jù)的報(bào)告制度等。限于篇幅,本文不做展開。 總體而言,《數(shù)據(jù)安全法(草案)》意在構(gòu)建一個(gè)包括電子數(shù)據(jù)與非電子數(shù)據(jù)在內(nèi)的全面的數(shù)據(jù)安全保護(hù)體系,其內(nèi)容覆蓋較為全面。但同時(shí),也存在一定的缺失和需要進(jìn)一步完善的地方。
