数据安全法草案:明确区分数据和信息 各地可建重要数据保护目录

南方都市报   2021-06-11



7月3日,《中华人民共和国数据安全法(草案)》(下称《草案》)正式发布并公开征求意见。全文共七章五十一条,分为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则。

有专家对南都记者表示,《草案》整体上关注数据安全与发展利益的动态化平衡,在重要数据上保持与国家安全法、网络安全法等基本法律一致,未来还需进一步明确对重要数据的判断标准、数据交易的尽职免责规则等内容。

用域外保护性管辖回应欧美“长臂管辖”

随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、社会治理、人民生活都产生了重大而深刻的影响,制定一部数据安全领域的基础性法律十分必要。

《草案》第一条明确,数据安全法是为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益而制定,体现出安全与发展并重的价值观。

在对外经济贸易大学数字经济与法律创新研究中心执行主任许可看来,草案中有不少亮点。比如第二条明确了中国在域外管辖上采用保护性管辖的方式,可以简单理解为“对中国造成损害的才去管,没有的话就不管”。

随着各国之间数据资源竞争愈发激烈,数据主权成为各方博弈的焦点。美国“云法案”和欧盟《通用数据保护条例》的“长臂管辖”为其他各国数据主权带来了挑战。

许可认为,与欧盟和美国相比,《草案》提出的是一个比较折中的做法。“我非常赞同这项规定,因为它既体现了域外管辖权,也不会过分扩张,引起一些无谓的摩擦。”

另一亮点在于《草案》第三条对数据的定义:数据是指任何以电子或者非电子形式对信息的记录。这一条将数据和信息进行了明确区分,也进一步厘清了数据安全法的定位。

许可进一步指出,信息是数据所表现的内容,数据是底层载体或形式。“数据安全法只需要保护载体或形式,不管上面承载的是企业经营信息还是国家安全信息,都不在这部法律的讨论范围之内。”

事实上,草案第四十九条第二款也印证了上述观点。该款规定,开展涉及个人信息的数据活动,应当遵守有关法律、行政法规的规定。这也为个人信息保护法的制定留出了空间。

各地区、各部门、各行业确定重要数据保护目录

南都记者统计发现,“重要数据”一词在《草案》中出现了三次。其中《草案》第十九条规定,各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。

根据此前公布的《信息安全技术 数据出境安全评估指南》(征求意见稿),重要数据是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。其附录《重要数据识别指南》则列明了各行业中重要数据的范围。

不过,由于上述指南还未正式实施,重要数据的定义和范围还有待确定。北京师范大学网络法治国际中心执行主任吴沈括指出,《草案》对重要数据的规定保持了与国家安全法、网络安全法等基本法律一致的价值、功能判断标准。

他还表示,《草案》把具体数据类型的确定权授予各地方、各部门、各行业,既是面对中国幅员辽阔、行业众多的实际现状的务实选择,也与当下已经开展的重要数据确定工作的实践机制保持协调。

“目录机制有助于各地方、各部门、各行业根据自身实际、专业水平和能力基础,做出弹性、灵活的数据价值判断和安全机制要求,还可以逐步基于自身发展情况以及内外部形势变化做出必要的目录调整”,吴沈括强调,目录编制最重要的是确保所适用的数据分级分类标准的统一性,避免出现不同地区、不同行业部门之间的“数据安全洼地”现象。

许可则认为,目前海南自贸港等地有意开展数据跨境试点区域,由这些地方尝试制定重要数据保护目录是可以的,但重要数据毕竟涉及国家安全,属于中央事权,应该慎重考虑是否把这一权力完全下放给各地区。

清华大学法学院院长申卫星也持同样观点,他认为对重要数据的判断标准应该作为中央事权来对待。“如果不同地区重要数据的判断标准不同,可能会造成同样一家企业在不同地区需要报备的数据范围不同,这样的话也会使企业的负担加重。”

此前的国家标准、规范拟上升为法律

从2018年3月的Facebook剑桥分析事件以来,在全球范围内,数据泄露的事件频频受到大众关注。在数据安全事件发生时,企业需尽到的合规义务和需承担的法律责任也急需在法律层面得以明确。

此前,针对企业数据安全合规的各种问题,一系列国家标准已相继出台。此次《草案》的第二十五条明确,开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求。有专家认为,这是将原来规范性文件、国家标准等规定的合规要求上升为法律。

谈及企业的合规义务,许可重点提到了第二十七条。他认为,“发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告”的规定有些“粗糙”,因为有些安全事件不见得会对用户造成损害。

“就全世界范围来看,考虑到告知的效率,数据安全事件必须第一时间向主管部门报告,但只有确实可能损害用户权益的情况下,才在合理时间内向用户告知”,他说,在实践中,凡事均告知用户的做法不仅让数据控制者不堪重负,用户也不一定想要探究。

此外,《草案》第三十一条规定,专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或者备案。这里的“经营者”具体该如何理解?

华东政法大学教授高富平认为,从主体上来讲,专指提供数据处理、分析业务的大数据公司,尤其是通过间接方式收集、分析数据后提供智能化服务的公司。也有观点认为,人脸识别、新零售、物联网等平台都应纳入进来。

若违法或面临一百万元罚款并吊销营业执照

南都记者注意到,《草案》还规定,要健全数据交易管理制度,规范数据交易行为,培育数据交易市场。

自去年在中国共产党十九届四中全会上首次明确数据可作为生产要素按贡献参与分配以来,今年4月发布的《关于构建更加完善的要素市场化配置体制机制的意见》(下称《意见》)明确,推进政府数据开放共享是数据要素市场的三大发展方向之一。

对此,《草案》在第五章规定,国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行。

申卫星指出,这个提法是法律层面首次,划定了数字经济时代的政企数据共享的基本原则,也充分体现了对数字化企业数据财产权益的尊重和保护。

吴沈括提到,《草案》的制度设计一方面呼应了《意见》的政策立场,另一方面 延伸明确了数据权属、数据定价、数据流转和数据安全四大规则,以有效维护各方合法权益,助益激发数据要素潜力,提高国家数据竞争力。

“数据交易管理制度是重大的制度设计”,中国信息安全研究院副院长左晓栋则建议,应在目前《草案》的相关条文基础上明确该制度的基本内容。申卫星也建议,要明确数据交易的尽职免责规则,开创数字经济时代的避风港原则。

值得注意的是,《草案》还明确了相关部门、人员的法律责任。比如开展数据活动的组织、个人,数据交易中介机构不履行相关义务,或在线数据处理等服务经营者未取得许可、备案,最高将面临一百万元或违法所得十倍罚款,并吊销营业执照。

社会公众可以直接登录中国人大网提出意见,也可以将意见寄送全国人大常委会法制工作委员会(北京市西城区前门西大街1号,邮编:100805。信封上请注明数据安全法草案征求意见)。征求意见截止日期:2020年8月16日。

出品:南都个人信息保护研究中心

采写:南都记者 蒋琳 李慧琪 南都个人信息保护研究中心研究员 尤一