《數(shù)據(jù)安全法》要點解讀

《數(shù)據(jù)安全法》要點解讀2021年6月10日，第十三屆全國人民代表大會常務(wù)委員會第二十九次會議通過《數(shù)據(jù)安全法》三審稿，該法將于2021年9月1日起正式施行?！稊?shù)據(jù)安全法》全文共七章五十五條，分別從數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護義務(wù)、政務(wù)數(shù)據(jù)安全與開放的角度對數(shù)據(jù)安全保護的義務(wù)和相應(yīng)法律責(zé)任進行規(guī)定。本文將對《數(shù)據(jù)安全法》的立法沿革和重點條款進行解讀，以期幫助市場參與者在新法生效前及時做好數(shù)據(jù)安全建設(shè)，降低合規(guī)風(fēng)險。一、《數(shù)據(jù)安全法》的立法沿革2020年6月28日，第十三屆全國人大常委會第二十次會議對《數(shù)據(jù)安全法（草案）》進行了初次審議。2021年4月29日，中國人大網(wǎng)公布了《數(shù)據(jù)安全法（草案）》的二審稿。二審稿的主要亮點在于將數(shù)據(jù)分類分級制度作為數(shù)據(jù)安全的基本核心制度，強化了等保的基礎(chǔ)作用，提出明確數(shù)據(jù)安全負責(zé)人和管理機構(gòu)的要求，明確關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在重要數(shù)據(jù)的出境方面的義務(wù)和責(zé)任，調(diào)整數(shù)據(jù)處理服務(wù)的資質(zhì)要求，加強向涉外司法機構(gòu)提供數(shù)據(jù)的監(jiān)管，大幅加重不履行數(shù)據(jù)安全保護義務(wù)的法律責(zé)任及拒不配合數(shù)據(jù)調(diào)取的法律責(zé)任等。在近日通過的最終三審稿中，與二審稿相比，主要的亮點和變化體現(xiàn)在明確國家機關(guān)在數(shù)據(jù)安全管理的職責(zé)和配合機制，強調(diào)對重要數(shù)據(jù)重點保護，強調(diào)智能化公共服務(wù)對老年人等的適用性，完善政務(wù)數(shù)據(jù)安全保障，并進一步加大對違法行為的處罰力度。二、《數(shù)據(jù)安全法》重點條款解讀第一章第五條中央國家安全領(lǐng)導(dǎo)機構(gòu)負責(zé)國家數(shù)據(jù)安全工作的決策和議事協(xié)調(diào)，研究制定、指導(dǎo)實施國家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策，統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項和重要工作，建立國家數(shù)據(jù)安全工作協(xié)調(diào)機制。第一章第六條各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負責(zé)。工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔(dān)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)。公安機關(guān)、國家安全機關(guān)等依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)承擔(dān)數(shù)據(jù)安全監(jiān)管職責(zé)。國家網(wǎng)信部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，負責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)管工作?！稊?shù)據(jù)安全法》作為數(shù)據(jù)安全領(lǐng)域最高位階的專門法，與2017年6月1日起施行的《網(wǎng)絡(luò)安全法》一起補充了《國家安全法》框架下的安全治理法律體系，更全面地保障了國家安全在各行業(yè)、各領(lǐng)域保障的有法可依。就監(jiān)管機構(gòu)而言，國家安全機構(gòu)、公安機關(guān)、網(wǎng)信部門、以及工業(yè)、電信、交通、金融等主管部門均有權(quán)在各自的職權(quán)范圍內(nèi)對數(shù)據(jù)安全進行監(jiān)督和管理。因此，《數(shù)據(jù)安全法》延續(xù)了《網(wǎng)絡(luò)安全法》生效以來的”一軸兩翼多級”的監(jiān)管體系?！币惠S”指國家安全機關(guān)，兩翼指公安機關(guān)和網(wǎng)信部門，多級在行業(yè)橫向范圍主要體現(xiàn)在工業(yè)、電信、交通、金融等行業(yè)主管部門的共同參與，在行政架構(gòu)方面主要體現(xiàn)在各地區(qū)、各部門對工作中收集和產(chǎn)生的數(shù)據(jù)進行安全管理上。第一章第十條相關(guān)行業(yè)組織按照章程，依法制定數(shù)據(jù)安全行為規(guī)范和團體標(biāo)準(zhǔn)，加強行業(yè)自律，指導(dǎo)會員加強數(shù)據(jù)安全保護，提高數(shù)據(jù)安全保護水平，促進行業(yè)健康發(fā)展。第二章第十六條國家促進數(shù)據(jù)安全檢測評估、認證等服務(wù)的發(fā)展，支持?jǐn)?shù)據(jù)安全檢測評估、認證等專業(yè)機構(gòu)依法開展服務(wù)活動。第二章第十七條國家推進數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)。國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)部門根據(jù)各自的職責(zé)，組織制定并適時修訂有關(guān)數(shù)據(jù)開發(fā)利用技術(shù)、產(chǎn)品和數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)。國家支持企業(yè)、社會團體和教育、科研機構(gòu)等參與標(biāo)準(zhǔn)制定。在數(shù)據(jù)安全技術(shù)發(fā)展日新月異的背景下，立法的要求無法完全與科技發(fā)展保持同步，行業(yè)協(xié)會、評估認證專業(yè)機構(gòu)和標(biāo)準(zhǔn)化機構(gòu)等組織在推動技術(shù)發(fā)展、完善合規(guī)建設(shè)和實現(xiàn)行業(yè)自律方面的作用得到了法律的充分認可。為了能夠及時與行業(yè)的最新發(fā)展同步、參與引領(lǐng)行業(yè)發(fā)展的方向，建議市場參與者積極加入有關(guān)行業(yè)協(xié)會或組織，踴躍參與行業(yè)標(biāo)準(zhǔn)的討論，積極分享企業(yè)在安全合規(guī)建設(shè)中探索出的實踐經(jīng)驗，并以行業(yè)最佳實踐為基線實時推進企業(yè)內(nèi)部的合規(guī)建設(shè)。行業(yè)協(xié)會也可作為傳達行業(yè)普遍面臨的難題和最新技術(shù)進展的重要媒介，積極與監(jiān)管形成有益、互信的良好互動。在評估、認證方面，專業(yè)機構(gòu)可基于對行業(yè)的深度認知、在咨詢過程中積累的豐富行業(yè)經(jīng)驗，幫助行業(yè)的新進者識別合規(guī)義務(wù)和錨定風(fēng)險隱患，有針對性地提出合規(guī)改進方案和措施，幫助相關(guān)企業(yè)降低合規(guī)風(fēng)險。第二章第十五條國家支持開發(fā)利用數(shù)據(jù)提升公共服務(wù)的智能化水平。提供智能化公共服務(wù)，應(yīng)當(dāng)充分考慮老年人、殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙。疫情期間基于大數(shù)據(jù)的公共服務(wù)應(yīng)用得到迅速的推廣，與個人生活的參與深度也得到前所未有的提升。但高齡、視障等群體由于不會使用智能手機進行付款、預(yù)約等操作而舉步維艱。在防疫智能應(yīng)用迅速根據(jù)疫情需要進行適老化調(diào)整后，大量其他與生活息息相關(guān)的應(yīng)用仍可能將部分人群排除在智能化、數(shù)字化的生活之外。《數(shù)據(jù)安全法》將智能化公共服務(wù)滿足老年人、殘疾人的需求列入國家重點支持的范圍之內(nèi)，充分體現(xiàn)了國家對弱勢群體需求的關(guān)注。第三章第二十一條國家建立數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實行分類分級保護。國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強對重要數(shù)據(jù)的保護。關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實行更加嚴(yán)格的管理制度。各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護?！毒W(wǎng)絡(luò)安全法》第21條首次提出了數(shù)據(jù)分類分級保護制度，《數(shù)據(jù)安全法》進一步明確了相關(guān)部門在分類分級保護和重要數(shù)據(jù)保護中的職能?！稊?shù)據(jù)安全法》原則性規(guī)定了數(shù)據(jù)分類分級的依據(jù)為在經(jīng)濟社會發(fā)展中的重要程度和遭到篡改、泄露等情形時的危害程度。由于不同行業(yè)、不同地區(qū)數(shù)據(jù)分類分級的具體規(guī)則和考慮因素差異巨大，《數(shù)據(jù)安全法》將重要數(shù)據(jù)具體目錄和具體分類分級保護制度的制定權(quán)限下放到行業(yè)主管部門和各地區(qū)國家機關(guān)，充分平衡了法律規(guī)定的普適性和靈活性。對于市場參與者而言，我們建議首先關(guān)注《工業(yè)數(shù)據(jù)分級分類指南（試行）》、《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級方法》（YD／T3813－2020）、《個人金融信息保護技術(shù)規(guī)范》（JR／T0171－2020）等行業(yè)數(shù)據(jù)分級分類的國家標(biāo)準(zhǔn)，另外也需要密切關(guān)注地方行業(yè)主管部門發(fā)布的數(shù)據(jù)分類分級目錄等要求。第三章第二十二條國家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警機制。國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強數(shù)據(jù)安全風(fēng)險信息的獲取、分析、研判、預(yù)警工作。第三章第二十三條國家建立數(shù)據(jù)安全應(yīng)急處置機制。發(fā)生數(shù)據(jù)安全事件，有關(guān)主管部門應(yīng)當(dāng)依法啟動應(yīng)急預(yù)案，采取相應(yīng)的應(yīng)急處置措施，防止危害擴大，消除安全隱患，并及時向社會發(fā)布與公眾有關(guān)的警示信息。第三章第二十四條國家建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。依法作出的安全審查決定為最終決定?！稊?shù)據(jù)安全法》提出建立數(shù)據(jù)安全風(fēng)險評估、安全事件報告制度、監(jiān)測預(yù)警機制、應(yīng)急處置機制和安全審查等制度，有望在后期逐步推出具體機制體制的主管機構(gòu)、適用范圍、評估審查模式等配套制度。值得注意的是，國家依法作出的數(shù)據(jù)安全審查決定為最終決定，這意味著相關(guān)具體行政行為將無法通過行政復(fù)議、行政訴訟等形式進行救濟。第三章第二十五條國家對與維護國家安全和利益、履行國際義務(wù)相關(guān)的屬于管制物項的數(shù)據(jù)依法實施出口管制。第三章第二十六條任何國家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術(shù)等有關(guān)的投資、貿(mào)易等方面對采取歧視性的禁止、限制或者其他類似措施的，可以根據(jù)實際情況對該國家或者地區(qū)對等采取措施。在國際競爭逐步蔓延到數(shù)據(jù)、網(wǎng)絡(luò)領(lǐng)域后，各國之間的摩擦頻發(fā)。例如2020年8月，美國以保護國家安全為由，要求字節(jié)跳動出售TikTok應(yīng)用程序及業(yè)務(wù)。美國對TikTok的封殺反映了《外國投資審查現(xiàn)代化法》對涉及美國公民敏感信息和來自于特殊國家投資項目嚴(yán)加審查的立法和執(zhí)法態(tài)度。我國《數(shù)據(jù)安全法》一方面明確維護國家安全和利益、履行國際義務(wù)可作為禁止相關(guān)數(shù)據(jù)出口的合法依據(jù)，另一方面明確了對外國在數(shù)據(jù)領(lǐng)域的投資、貿(mào)易歧視可采取對等反制措施的立法主張，充分體現(xiàn)了我國在網(wǎng)絡(luò)數(shù)據(jù)空間主張數(shù)據(jù)主權(quán)的立法思想。第四章第二十七條開展數(shù)據(jù)處理活動應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護義務(wù)。重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負責(zé)人和管理機構(gòu)，落實數(shù)據(jù)安全保護責(zé)任。第四章第二十九條開展數(shù)據(jù)處理活動應(yīng)當(dāng)加強風(fēng)險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時，應(yīng)當(dāng)立即采取補救措施；發(fā)生數(shù)據(jù)安全事件時，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。第四章第三十條重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估，并向有關(guān)主管部門報送風(fēng)險評估報告。風(fēng)險評估報告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動的情況，面臨的數(shù)據(jù)安全風(fēng)險及其應(yīng)對措施等。第四章第三十一條關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《網(wǎng)絡(luò)安全法》的規(guī)定；其他數(shù)據(jù)處理者在境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定?！稊?shù)據(jù)安全法》明確了開展數(shù)據(jù)處理活動的市場參與者應(yīng)當(dāng)建立完善的數(shù)據(jù)安全管理制度、進行安全教育培訓(xùn)、風(fēng)險監(jiān)測和報告，采用技術(shù)手段落實內(nèi)部制度的規(guī)定。因此，數(shù)據(jù)安全合規(guī)制度的建設(shè)已成為企業(yè)應(yīng)當(dāng)履行的法律義務(wù)?！稊?shù)據(jù)安全法》延續(xù)《網(wǎng)絡(luò)安全法》的規(guī)定，對重要數(shù)據(jù)提出更高的數(shù)據(jù)保護要求，具體的法律義務(wù)包括明確數(shù)據(jù)安全負責(zé)人和管理機構(gòu)、開展風(fēng)險評估并報送報告、符合數(shù)據(jù)出境安全管理要求等。就風(fēng)險評估本身而言，關(guān)于評估的具體主體、報告報送的對象、評估的頻率有待后續(xù)立法進一步明確?！稊?shù)據(jù)安全法》也在法律責(zé)任的部分明確了不履行第二十七、二十九、三十條規(guī)定的數(shù)據(jù)安全保護義務(wù)、尚未造成數(shù)據(jù)泄露等后果的，主管部門也可以采取責(zé)令改正、警告、罰款等行政處罰措施。在相關(guān)制度不健全，且拒不改正或造成大量數(shù)據(jù)泄露等嚴(yán)重后果的，主管部門則可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷許可證或營業(yè)執(zhí)照和處以罰款。第四章第三十三條從事數(shù)據(jù)交易中介服務(wù)的機構(gòu)提供服務(wù)，應(yīng)當(dāng)要求數(shù)據(jù)提供方說明數(shù)據(jù)來源，審核交易雙方的身份，并留存審核、交易記錄。第五章第三十四條法律、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關(guān)服務(wù)應(yīng)當(dāng)取得行政許可的，服務(wù)提供者應(yīng)當(dāng)依法取得許可?！稊?shù)據(jù)安全法》特別對從事數(shù)據(jù)交易中介服務(wù)的市場參與者提出額外的安全保護要求。就數(shù)據(jù)交易中介服務(wù)本身而言，《數(shù)據(jù)安全法》尚未給出明確的范圍，相關(guān)市場參與者可參考《數(shù)據(jù)交易服務(wù)安全要求》中”幫助數(shù)據(jù)需方和供方完成數(shù)據(jù)交易的活動”對自身的業(yè)務(wù)屬性進行定位。就中介機構(gòu)需要進行審核的內(nèi)容而言，《數(shù)據(jù)安全法》要求中介機構(gòu)審核交易雙方的身份，關(guān)于審核的具體內(nèi)容、進行形式審核或?qū)嵸|(zhì)審核、供需方的合規(guī)風(fēng)險是否傳導(dǎo)到中介機構(gòu)等內(nèi)容還有待立法和司法的進一步明確。就數(shù)據(jù)處理的行政許可而言，《數(shù)據(jù)安全法》為后續(xù)數(shù)據(jù)交易的準(zhǔn)入預(yù)留了口子。結(jié)合近期的立法和監(jiān)管動向，例如《征信業(yè)務(wù)管理辦法（征求意見稿）》和人行批準(zhǔn)個人征信業(yè)務(wù)許可，后續(xù)可能會在多行業(yè)、多領(lǐng)域?qū)κ袌龅臏?zhǔn)入等環(huán)節(jié)加強監(jiān)管。第五章第三十八條國家機關(guān)為履行法定職責(zé)的需要收集、使用數(shù)據(jù)，應(yīng)當(dāng)在其履行法定職責(zé)的范圍內(nèi)依照法律、行政法規(guī)規(guī)定的條件和程序進行；對在履行職責(zé)中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù)應(yīng)當(dāng)依法予以保密，不得泄露或者非法向他人提供。第五章第三十九條國家機關(guān)應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定，建立健全數(shù)據(jù)安全管理制度，落實數(shù)據(jù)安全保護責(zé)任，保障政務(wù)數(shù)據(jù)安全。第五章第四十條國家機關(guān)委托他人建設(shè)、維護電子政務(wù)系統(tǒng)，存儲、加工政務(wù)數(shù)據(jù)，應(yīng)當(dāng)經(jīng)過嚴(yán)格的批準(zhǔn)程序，并應(yīng)當(dāng)監(jiān)督受托方履行相應(yīng)的數(shù)據(jù)安全保護義務(wù)。受托方應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護義務(wù)，不得擅自留存、使用、泄露或者向他人提供政務(wù)數(shù)據(jù)。政務(wù)數(shù)據(jù)已成為促進政府科學(xué)決策、提高公共管理效能的重要資源，疫情催生的大量公共服務(wù)數(shù)據(jù)采集、分析工具也進一步提升了政務(wù)數(shù)據(jù)的體量和質(zhì)量?！稊?shù)據(jù)安全法》敏銳洞察到政府履職過程中收集、使用數(shù)據(jù)的安全合規(guī)、數(shù)據(jù)保密、數(shù)據(jù)共享和委托第三方設(shè)計、運維電子政務(wù)系統(tǒng)帶來的安全問題，并要求相關(guān)國家機關(guān)制定完善的數(shù)據(jù)安全管理制度、嚴(yán)格的批準(zhǔn)程序以應(yīng)對實踐中存在的數(shù)據(jù)泄露等安全風(fēng)險。第六章第四十一