《数据安全法(草案)》解读
发布时间:2020-07-03
文 | 黄春林 合伙人 刘月莹 律师 汇业律师事务所
2020年7月,《数据安全法(草案)》(下称“草案”)对外发布并公开征求意见。在此之前,第十三届全国人大常委会第二十次会议首次审议了《草案》。
《草案》全文七章五十一条,内容涉及法律适用、数据安全原则、政务数据安全、数据安全制度以及企业、组织等的数据安全合规义务。《草案》从体例到内容上,完全摒弃了网信办2019年发布的《数据安全管理办法(征求意见稿)》(下称“办法”)立法模式,相对科学、准确的理清了网络安全、数据安全与个人信息保护的法律关系,确立了我国数据安全的基本制度和治理体系。
根据最新立法趋势及近期执法实践,本文中,汇业律师事务所黄春林律师团队简要解读《数据安全法(草案)》重要内容如下:
一、进一步明确了网络安全、数据安全与个人信息保护的法律适用
如何把握《数据安全法》与《网络安全法》、《个人信息保护法》的法律适用边界与衔接,确保立法之间的横向兼容性,这是《数据安全法》与《个人信息保护法》制定过程中的核心问题之一。
从安全角度而言,《网络安全法》更多的是侧重“网络/系统”的运行安全(例如网络安全等级保护制度及关键信息基础设施保护制度)和“网络信息”内容安全(例如网安法47、48条等),《个人信息保护法》更多的侧重“个人信息”的安全性。《草案》摈弃了《办法》的立法模式,将规范的对象严格限制为“数据”及数据法律关系,明确将“数据”定义为“对信息的记录”, 舍弃了对“网络”、“内容”、“个人信息”等的重复规制,很好的理清了法律规制边界。
“数据”是客观的,是以数字的形式对事物/事件的客观记载,是信息的载体;“信息”是主观的、表意的,是人对客观数据的认识、表达与理解。也只有理解了信息的主观性,才会理解个人信息识别与保护中的相对性原则。
二、从立法层面确立了我国数据安全治理与监管体系
《草案》从立法层面,明确了我国数据安全治理与监管体系。
首先,将数据安全纳入总体国家安全观范畴,明确我国数据治理的顶层设计,将数据安全工作的决策和统筹协调机构升格为中央国家安全领导机构。
其次,沿袭我国网络监管的基本格局,明确了“一轴两翼”的数据监管体系。“一轴”指国家网信部门,负责统筹协调网络数据安全和相关监管工作;“两翼”指行业主管部门(例如工信部、人民银行、卫健委等)和国家公安/安全部门,分别从不同角度监管数据安全。
三、确立了数据安全有关的几个重要制度
《草案》第三章中,明确了我国数据安全有关的几个重要制度,对于平衡数据安全与数据流动、利用具有重要价值。
1. 再次明确了数据分级分类制度。在此之前,《网络安全法》首次规定了数据分类制度,各行业也已经逐步推进行业数据分级分类工作,例如《工业数据分类分级指南(试行)》(工信厅信发〔2020〕6号)、《证券期货业数据分类分级指引》(JR/T 0158—2018)、《金融数据安全 数据安全分级指南(送审稿)》等。
2. 明确建立国家数据安全风险管理制度和数据安全应急处置制度。
3. 明确建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。之前,多部委发布了《网络安全审查办法》,已经于2020年6月1日生效,但目前相关细则及配套指引仍然还未公布。
4. 明确管制物项数据出口管制制度及国际间数据监管对等原则。之前,网信办发布的《个人信息出境安全评估办法(征求意见稿)》将原来的“重要数据”出境管制部分内容去掉了,但衔接的制度迟迟未公布。
由此可见,上述制度更多的立法倡导性、原则性规定,相关的配套细则及监管措施还不明晰,最终落地还任重道远,而我们未来学习的步伐远不能停歇。所以,老板们,虽然世道艰难,但网络与数据合规的人才绝不能降薪啊。
四、企业的数据安全合规义务
《草案》第四章中,将原来规范性文件、国标文件等规定的合规要求上升为法律,在法律层面,详细规定了企业、组织及个人等的数据安全合规义务,对开展数据活动的企业经营及日常合规建设具有重要的规范意义。
至于何为“数据活动”,《草案》明确为“数据的收集、存储、加工、使用、提供、交易、公开等行为”。因此,如果按照这个定义,几乎所有的企业都会被认定为“开展数据活动”,进而应当相应的履行包括但不限于如下合规义务:
(1)企业应当建立全生命周期的数据安全管理制度;
(2)企业应当开展数据安全教育培训;
(3)企业应当建立数据及数据技术的伦理审查机制;
(4)企业应当确立数据风险监测与处置机制;
(5)企业收集、使用数据应当坚持合法、正当等原则;
(6)企业应当建立面向执法机关的数据协助、配合与报告机制;
(7)数据交易所、交易平台等应当建立完善的内控机制;
(8)大数据、人工智能等开展经营性在线数据处理业务的,应当持牌经营;
(9)处理重要数据的企业,还应当设立数据安全负责人和管理机构,定期开展风险评估并向主管部门备案;等等。
汇业黄春林律师介绍,企业在推进专项数据合规项目时,除了参照上述规定外,还应当充分评估企业数据资产现状,完整梳理法律适用及国标/行标情况,全面调研执法标准与行业最佳实践,综合确立合规策略,有效平衡合规风险与经营效率。