据中国人大网报道,第十三届全国人大常委会第二十次会议对《数据安全法(草案)》(以下简称“草案”)进行了审议,并将草案内容对外发布。草案全文共计七章,五十一条。
这是我国进入数据时代后,对数据安全问题一次积极的立法回应,该法在数据安全领域具有基础性法律地位,将与《网络安全法》、《个人信息保护法》等共同构建起我国的数据监管与保障法律体系。
本文从经济、法律、国际环境三个角度切入,对草案进行解读。
一、明确数据安全与数据开发利用并重,共同促进数字经济发展
草案第十二、十五条明确了数据安全与数据开发利用的关系紧密。数据作为重要的生产要素,此次立法从国家战略层面,更加明确了数据在数字经济发展中的地位。
草案第十三、十四条要求加强数据基础建设与创新应用的发展,对省级政府提出了数据经济发展规划要求,在数据安全领域进行产业化的培育。在政府引导的加强下,激发企业自我革新、有序竞争的内生动力。数据活动中主体多元,企业、组织、政府等都有不同的发展目标,但多方也是一个利益共同体,更应该协调互补,形成产业联动的高质量发展。
同时,我国处于数字经济发展的起步阶段,在数据开发规则未完全达成共识的情况下,遵循经济和法律的发展规律,为未来制度建设留下空间。在确保数据安全的前提下,对数据进行合法有序的开发利用,挖掘数据价值,从而更好地促进数字经济发展。
草案原文:
第十二条 国家坚持维护数据安全和促进数据开发利用并重,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。
第十三条 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用,促进数字经济发展。
第十四条 国家加强数据开发利用技术基础研究,支持数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品和产业体系。
第十五条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、研究机构、高等学校、相关行业组织等参与标准制定。
二、完善数据安全制度的建设,落实安全保护责任
草案将数据安全制度单独作为一章节进行了规定,明确规定了数据的分级分类保护制度,提出建立数据安全应急处理机制等。弥补了当前数据保护方面重视技术防护而忽视内部控制的不足,有关主管部门需落实数据安全保护责任,切实履行义务,更好地发挥政府的作用,避免因为内控制度不健全导致的安全问题的出现。
依据数据的重要程度以及遭遇破坏后造成的危害程度,对数据进行分级分类。对于重要数据的处理,草案规定了相关负责人要对数据活动定期开展风险评估,评估报告需包括数据的种类、数量,以及如何应对数据安全风险的应急处理机制。
这是我国对数据相关法律体系建设的一个起点,是一个大的基础框架,之后可能还会有相应的法律法规的完善,比如更加具体的数据分级保护制度、数据安全应急处置机制等。
草案原文:
第十九条 国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。
各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。
第二十一条 国家建立数据安全应急处置机制。
发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。
第二十八条 重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。
第三十六条 国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
三、全球数据博弈加速数据安全法制定
在美国“云法案”和欧盟《通用数据保护条例》中,数据主权得到明确,各国之间数据资源竞争愈发激烈,数据主权成为各方博弈的焦点。没有数据安全,就没有国家安全。国家对数据的掌控能力成为当前衡量国家实力的关键因素。
全球各国围绕数据的博弈在不断深化,这加速了数据安全法的制定,并使其由“内向型”向“外向型”转变——不光解决国内的问题,还要参与国际竞争,甚至建立数据的全球治理规则。这对以后我国“出海”企业的数据安全提供了一定保障,能够促进跨境数据的自由流动和开发应用。
草案原文:
第二条 在中华人民共和国境内开展数据活动,适用本法。
中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
第四条 维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。
随着信息技术和人类生产生活交汇融合,各类数据海量增长,对社会、经济都产生了重大而深刻的影响,数据安全已成为事关国家安全与经济社会发展的重大问题。
这部社会各界已期待多年的法律草案的出台,将相关分散法律法规形成“合力”,从国家战略层面明确了数据安全的重要性,以更好地适应大数据时代发展和国际形势变化的需要。