全面數據保護體系的構建—簡評《數據安全法(草案)》
作者:吳衛明 2020-08-04近期,全國人大常委會公布了《中華人民共和國數據安全法(草案)》(以下簡稱“《草案》”),并向社會公開征集意見。作為規范數據數據活動的基本法,《草案》似乎是希望構建一個數據安全的基礎框架。
筆者認為,《草案》在以下幾個方面值得予以關注。
一、對于“數據”內涵的完整界定 按照通常的理解,數據是電子化的信息,但對于什么是“數據”,理論與實務界界一直沒有準確的定義。本次《草案》對于“數據”采取了全面的界定。《草案》第三條規定“本法所稱數據,是指任何以電子或者非電子形式對信息的記錄。”即,除了《網絡安全法》所界定的“網絡數據”外,還將“非電子形式對信息的記錄”納入了數據范疇。按照這一界定,紙質的檔案信息以及其他書面形式對信息所作的記錄,也屬于數據。 顯然,對于《草案》所界定的“數據”內涵與此前的法律法規及有關政策的界定并不完全等同。 如,國務院2015年8月31日發布的《促進大數據發展行動綱要》(簡稱“《綱要》”)。《綱要》提到“信息技術與經濟社會的交匯融合引發了數據迅猛增長,數據已成為國家基礎性戰略資源。”從《綱要》的提法看,數據與信息技術或互聯網、物聯網的關聯性更強,數據似乎與“電子數據”具有類似的含義。 2017年生效的《網絡安全法》,并未采取“數據”的表述,而是采用了“網絡數據”的定義,按照該法第第七十六條的界定,網絡數據,是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據。 但與此同時,《網絡安全法》對于“個人信息”則界定為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息。”按照這一表述,個人信息可以是電子的,也可以是非電子的。顯然,個人信息定義與“網絡數據”也并非同一內涵。 而《民法總則》、《民法典》在規定“數據”的時候,則采用了如下表述:“法律對數據、網絡虛擬財產的保護有規定的,依照其規定。上述法律表述中將“數據”與“網絡虛擬財產”并列,似乎表明數據的內涵更偏向于電子化的信息。 界定并不清晰,與信息時代整體信息保護及整體信息安全的要求不相適應。 從《網絡安全法》的規定看,如果僅僅將“數據”理解為“電子數據”或“網絡數據”,則數據與信息的關系將難以平衡,信息的外延將會大于數據。將電子化記錄與其他方式記錄的信息,統一納入數據范疇,符合數字化時代的信息安全要求。 當然,《草案》對于“數據”的界定也存在一定的不足之處,主要體現為,電子化的信息與非電子化的信息,在信息安全事故或者信息不當利用情況下的危害程度是不同的,納入同一保護范疇,在執法、司法裁判標準方面將會存在執法、司法標準不易確當的情況。此外,如果《草案》對于數據的界定獲得通過,則需要對其他涉及信息保護的法律法規進行相應的修正,以保持法律的銜接和協調。 二、突出保護與利用并重的原則 該《草案》第十二條規定:“國家堅持維護數據安全和促進數據開發利用并重,以數據開發利用和產業發展促進數據安全,以數據安全保障數據開發利用和產業發展。” 該條款將數據開發利用與數據安全的關系概括為相互促進、相互保障,數據安全不是簡單的依靠保護與封鎖,而是通過數據開發利用和產業發展予以促進。數據安全不是對數據利用與開發進行限制,而是為數據有序、良性利用提供保障。 《草案》第十三條規定了國家實施大數據戰略。并規定“省級以上人民政府應當制定數字經濟發展規劃,并納入本級國民經濟和社會發展規劃。” 按照這一規定,省級以上人民政府制定數字經濟發展規劃不再是一個簡單的地方規劃問題,而是該級人民政府的法定義務。 此外,《草案》還規定了數據交易問題。該法第十七條規定:“國家建立健全數據交易管理制度,規范數據交易行為,培育數據交易市場。”雖然這一條的規定非常原則,但數據交易管理制度的提出,則為進一步的立法預留了空間。筆者認為,《草案》第十七條的規定作為數據流轉、共享的基礎制度,如果能夠通過,并且能夠出臺科學、合理,且均衡社會利益的細則,對于促進我國大數據發展無疑具有積極的作用和價值。 三、確定了數據安全審查制度 《草案》第二十二條規定了數據安全審查制度,國家建立數據安全審查制度,對影響或者可能影響國家安全的數據活動進行國家安全審查。 2020年6月1日起實施的《網絡安全審查辦法》(簡稱“《審查辦法》”),確立了網絡安全審查制度,該《審查辦法》第二條規定了關鍵信息基礎設施運營者(以下簡稱運營者)采購網絡產品和服務,影響或可能影響國家安全的,應當進行網絡安全審查。《審查辦法》是對關鍵信息基礎設施運營者采購網絡產品和服務設定的安全審查,其中,將產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險作為審查的重要內容。 通過分析《中華人民共和國數據安全法(草案)》和《網絡安全審查辦法》的內容不難看出,雖然兩種審查都屬于國家安全審查的范疇,但其審查的對象和內容卻并不相同。 《草案》審查的對象包括所有的影響或可能影響國家安全的數據活動,既包括線上的數據活動,也包括線下的數據活動,且對數據活動主體并未做出限制。 而《審查辦法》所設查的主體僅為關鍵信息基礎設施運營者,審查活動主要針對產品或服務的采購環節,而審查的內容則除了重要數據被竊取、泄露、毀損的風險外,還包括產品或服務是否具有連續性,以及是否收購政治等因素影響,從而威脅供應鏈的安全。 數據安全審查制度將數據活動對國家安全的影響作為其規制的價值目標,這也意味著,企業或其他社會主體,在從事數據活動時,應首先進行國家全判斷。當然,《草案》對于審查的程序并未做進一步規定,有待相關細則加以界定。 四、確立了重要數據保護與評估制度 1、關于重要數據的概念 重要數據的概念、內涵、外延,一直是實踐中較難掌握的問題。《草案》第十九條規定了數據分級分類保護。并規定:“各地區、各部門應當按照國家有關規定,確定本地區、本部門、本行業重要數據保護目錄,對列入目錄的數據進行重點保護。”并在第二十五條對重要數據的處理者應當設立數據安全負責人和管理機構做出了規定。不過,遺憾的是,《草案》對于重要數據并未做出界定,哪些數據構成重要數據?《草案》并未解決。對此,可以借鑒其他法律及規則的定義加以識別。 《網絡安全法》首次提出了“重要數據”概念,并對重要數據的分類保護以及出境做了規定。該法第二十一條規定了網絡運營者應“采取數據分類、重要數據備份和加密等措施”。但這一條款并沒有界定什么是重要數據。 國家互聯網信息辦公室于2017年4月11日公布的《個人信息和重要數據出境安全評估辦法(征求意見稿)》第九條,對重要數據界定為:“重要數據,是指與國家安全、經濟發展,以及社會公共利益密切相關的數據,具體范圍參照國家有關標準和重要數據識別指南。” 2019年5月28日,國家互聯網信息辦公室公布了《數據安全管理辦法(征求意見稿)》,對“重要數據”界定為:“重要數據,是指一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據,如未公開的政府信息,大面積人口、基因健康、地理、礦產資源等。重要數據一般不包括企業生產經營和內部管理信息、個人信息等。” 雖然《草案》及《個人信息和重要數據出境安全評估辦法(征求意見稿)》、《數據安全管理辦法(征求意見稿)》當前均未生效,但考慮到數據分類保護的法定要求,建議《數據安全法》對重要數據的定義進行明確界定,以便在數據活動中更具有可操作性。 2、確立了數據安全評估制度 事實上,在《網絡安全法》及《個人信息和重要數據出境安全評估辦法(征求意見稿)》、《數據安全管理辦法(征求意見稿)》中,均規定了數據出境的安全評估制度,但上述制度僅限于數據或重要數據出境過程中的評估。 如《網絡安全法》第三十七條則規定:關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。 《個人信息和重要數據出境安全評估辦法(征求意見稿)》第九條則規定了多種需要評估的數據出境行為,其中第(五)條款提到了“關鍵信息基礎設施運營者向境外提供個人信息和重要數據。”這一規定《網絡安全法》基本一致。 在《數據安全管理辦法(征求意見稿)》中,則在第二十八條規定了:“網絡運營者發布、共享、交易或向境外提供重要數據前,應當評估可能帶來的安全風險,并報經行業主管監管部門同意;行業主管監管部門不明確的,應經省級網信部門批準。” 應該說,《網絡安全法》及《個人信息和重要數據出境安全評估辦法(征求意見稿)》、《數據安全管理辦法(征求意見稿)》對于需要出境安全評估的數據界定并不一致。前兩個規定針對的是關鍵信息基礎設施運營者需要出境的重要數據,而后一個規定則針對網絡運營者的重要數據出境。但是這幾部法律及規則的征求意見稿,評估制度針對的均為數據出境。 而《草案》所規定的數據安全評估,范圍則更廣,針對重要數據處理者的全部數據活動。《草案》第二十八條規定:“重要數據的處理者應當按照規定對其數據活動定期開展風險評估,并向有關主管部門報送風險評估報告。風險評估報告應當包括本組織掌握的重要數據的種類、數量,收集、存儲、加工、使用數據的情況,面臨的數據安全風險及其應對措施等。” 綜上,對于重要數據,《草案》的主要突破在于設置了重要數據安全評估制度,但對于重要數據的定義并未明確界定,仍需在進一步立法中予以明確。 五、數據歧視的對等措施 《草案》還有一個值得關注的新制度,即:針對數據歧視的對等措施。《草案》第二十四條規定,任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區采取相應的措施。 對等原則是國際投資與貿易的基本原則之一,對此,我國《外商投資法》已經做了明確的規定,任何國家或者地區在投資方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者該地區采取相應的措施。 《草案》的規定是投資、貿易對等原則在數據活動領域的特別體現,也在很大程度上反映了當前主要大國之間圍繞網絡安全與數據安全進行激烈博弈的特點。近期,印度針對多款中國企業開發的APP采取了封禁措施;與此同時,美國政府也在考慮封禁中資控股的短視頻APP-TikTok。雖然當前相關方并未披露原因,但媒體猜測,最終的借口可能會包含隱私保護和數據安全。 《草案》對于與數據和數據開發利用技術等有關的投資、貿易方面的歧視性政策以對等原則進行反制,是維護中國數據安全及中國企業開展正常數據活動的必要措施。 此外,《草案》還規定了數據交易中介服務機構的責任、在線數據處理服務經營者的許可或備案、境外執法機構調取中國境內數據的報告制度等。限于篇幅,本文不做展開。 總體而言,《數據安全法(草案)》意在構建一個包括電子數據與非電子數據在內的全面的數據安全保護體系,其內容覆蓋較為全面。但同時,也存在一定的缺失和需要進一步完善的地方。
