随着互联网的飞速发展,大数据呈井喷式增长,市场的快速发展急需相配套法律进行规制。2021年6月10日,十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》(以下简称《数据安全法》),并将于2021年9月1日起正式施行,此法与2016年11月已经开始施行的《中华人民共和国网络安全法》(以下简称《网络安全法》)以及目前还正在立法进程中的《个人信息保护法》一起将成为我国信息与数据安全领域的三大基础法律。《数据安全法》共七章五十五条,主要内容包括数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等。
与《网络安全法》的网络安全等级制度相类似的,《数据安全法》根据数据在经济社会发展中的重要程度以及遭到破坏、泄露等手段的危害程度,建立了数据分类分级保护制度。将数据分为三类三级:
第一级为国家核心数据,即关系国家安全、国民经济命脉、重要民生、重大公共利益等数据,对此类数据将实行最严格的管理制度;
第二级为重要数据,《数据安全法》对重要数据并未进行定义,而是确定了制定重要数据的部门,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护;
第三级为普通数据,即除国家核心数据和重要数据以外的其他数据。
《数据安全法》对于数据的分级分类要求仅是宏观层面的初步规定,对于国家核心数据和重要数据的具体分类以及如何进行保护并未细说,还需要通过制定其他配套法规进行进一步明确。
目前已有的行业数据分级分类的国家标准/行业标准主要有:
1、全国信息安全标准化技术委员会于2017年5月27日发布的国家标准征求意见稿《信息安全技术数据出境安全评估指南(草案)》在《重要数据识别指南》(附录A)中列举了27个行业的重要数据及其主管部门,对行业主管部门及相关企业提供了较为清晰的指引。
2、中国人民银行于2020年2月13日发布的《个人金融信息保护技术规范》(JR/T0171-2020),按敏感程度、泄露后造成的危害程度对个人金融信息从高到低分为C3、C2、C1三个类别。
3、工业和信息化部于2020年2月27日发布的《工业数据分级分类指南(试行)》,按照每类工业数据遭篡改、破坏、泄露或非法利用后可能带来的潜在影响,将数据划分为3个级别。旨在指导企业全面梳理自身工业数据,提升数据分级管理能力,企业结合行业要求、业务规模、数据复杂程度等实际情况,围绕数据域进行类别梳理,形成分类清单。
4、工业和信息化部于2020年12月9日发布的《基础电信企业数据分类分级方法》(YD/T 3813-2020),规定了基础电信企业数据分类分级原则、数据分类工作流程和方法,数据分级方法,并给出基础电信企业数据分类分级示例。
上述标准亦可作为相关部门后续制定重要数据目录及配套法规的参考。
1、其他法规对重要数据的定义
《数据安全法》虽然没有对重要数据进行明确定义,但已有的相关法规对重要数据的定义可作为参考。
(1)国家互联网信息办公室于2017年4月11日发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条,对重要数据界定为:“重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。”
(2)全国信息安全标准化技术委员会于2017年5月27日发布的国家标准征求意见稿《信息安全技术数据出境安全评估指南(草案)》在《重要数据识别指南》(附录A)就重要数据给出的定义为,“重要数据,是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能对国家安全、国家经济和金融安全、社会公共利益、个人合法权益等造成相关严重后果的数据”。
(3)2019年5月28日,国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》,对“重要数据”界定为:“重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”
2、重要数据处理者的义务
(1)数据安全保护责任
对于在开展数据处理活动中如何保障数据安全,《数据安全法》规定开展数据处理活动,应当按照相关规定建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。而作为重要数据的处理者,在开展重要数据处理活动中,在前述基础之上还应当明确数据安全负责人和管理机构,落实数据安全保护责任。
(2)风险评估义务
重要数据处理者除了承担比一般数据处理者更高的数据安全保护责任外,此次《数据安全法》还明确规定,重要数据处理者还应当定期对其数据处理活动开展风险评估,并将风险评估报告报送有关主管部门。风险评估报告的内容应当包括:重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
1、数据出口管制
《数据安全法》规定,对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据国家依法实施出口管制。
2、向境外司法、执行机构提供境内数据需经批准
《数据安全法》规定,对于外国司法或者执法机构关于提供数据的请求,需按照中国缔结或者参加的国际条约、协定,或者按照平等互惠原则进行处理。境内的组织、个人向外国司法或者执法机构提供存储于境内的数据前,必须要经过主管机关批准,不得擅自提供。该条款不仅仅是针对重要数据,而是包括任何储存在境内的数据。
3、数据出境安全管理的法律依据
对于重要数据的出境安全管理,《数据安全法》区分了关键信息基础设施的运营者和其他数据处理者,前者在境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定,而后者在境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
《网络安全法》及《个人信息和重要数据出境安全评估办法(征求意见稿)》《数据安全管理办法(征求意见稿)》中,均规定了数据出境的安全评估制度,这就意味着关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境前,必须要进行安全评估。
为了进一步保障数据安全,此次《数据安全法》对相关的数据中介服务也进行了相应的规定,支持和鼓励数据安全检测评估、认证等专业机构依法开展服务活动。目前市面上已经存在一些数据中介公司,提供相应的评估和认证服务,比如2021年5月份刚刚在贵州揭牌的数据安全认证(贵州)有限公司,就是中国首家DSMM认证机构[1]和贵州省首家大数据领域认证机构。
《数据安全法》还明确了数据交易中介服务的审核义务,在提供数据交易中介服务过程中,必须要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。目前市场上已经有非常多的数据交易平台,比如政府类的贵阳大数据交易所、上海数据交易中心、华东江苏大数据交易平台、哈尔滨数据交易中心等,以及平台类的京东万象、聚合数据、数据宝等,《数据安全法》的上述规定对于以上中介机构提出了更高的合规要求。
上述中介服务提供者按照法律、行政法规规定需要取得行政许可的,需取得相应的行政许可后方可提供服务。
近年来,国家大力推行公共服务数字化、智能化,而此次《数据安全法》也充分考虑了老年人、残疾人等弱势群体在面对智能化公共服务时可能存在一些障碍,要求在提供智能化公共服务时,要充分考虑老年人、残疾人的需求,在提升公共服务智能化水平的基础上避免对老年人、残疾人的日常生活造成不必要的障碍,充分体现了国家对弱势群体的关注。
《数据安全法》参考国际投资与贸易中的对等原则,规定了数据歧视对等原则。任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中国采取歧视性的禁止、限制或者其他类似措施的,中国可以根据实际情况对该国家或者地区对等采取措施。
《数据安全法》规定了数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。虽然对于审查程序并未做出具体的规定,但值得注意的是,国家有关机关依法作出的安全审查决定为最终决定。
2008年5月1日起施行的《中华人民共和国政府信息公开条例》是我国政府信息公开的基本法规,而此次《数据安全法》再次强调了,除依法不予公开的除外,国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据,并且要制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。政务数据公开制度有助于公众监督政府行为,是法治社会进程的重要体现。
综上,作为数据安全领域的基础法律,《数据安全法》的内容总体比较宏观,随着《数据安全法》的发布,想必相应的配套规则也会陆续出台。相关数据处理者应密切关注相关立法动态,将数据安全合规管理纳入企业合规体系的重要一环。
[1] DSMM是中国首部数据安全管理的国家标准。该标准自2020年3月1日开始实施,用来衡量一个组织的数据安全能力成熟度水平,可以帮助行业、企业和组织发现数据安全能力短板,相关主管部门也可以用于数据安全治理,提升区域的数据安全水平和竞争力,促进大数据产业及数字经济发展。