國家保密局網(wǎng)站>>政策法規>>法律法規

數據安全法有哪些重點(diǎn)

2021年12月10日    來(lái)源:宣傳教育司【字體: 打印

9月1日,《中華人民共和國數據安全法》正式實(shí)施。數據安全法的出臺是對當前數據安全內外部形勢的積極回應,是護航數字經(jīng)濟發(fā)展的重要舉措,開(kāi)創(chuàng )了新時(shí)代數據安全治理的新局面。當下,面對大數據的洪流,數據安全問(wèn)題如何應對,國家數據安全制度怎樣布局,不僅關(guān)涉國家安全、公共安全、個(gè)人安全,也關(guān)系我國在全球新一輪信息技術(shù)變革中如何實(shí)現從跟跑、并跑到領(lǐng)跑的轉變。


 

隨著(zhù)人類(lèi)社會(huì )進(jìn)入數字化時(shí)代,網(wǎng)絡(luò )空間、物理世界和人類(lèi)社會(huì )開(kāi)始實(shí)現深度融合。數據不僅是網(wǎng)絡(luò )空間自身運行的產(chǎn)物,也是物理世界、人類(lèi)社會(huì )運行的數字畫(huà)像,蘊含著(zhù)數字化世界的運行規律。在數字化時(shí)代,數據同時(shí)兼具國家安全、數字經(jīng)濟、社會(huì )治理、個(gè)人隱私等多個(gè)屬性,因此,發(fā)達國家陸續開(kāi)展相關(guān)立法工作,我國數據安全立法可謂恰逢其時(shí)。

2021年6月10日,經(jīng)全國人民代表大會(huì )常務(wù)委員會(huì )審議,通過(guò)了《中華人民共和國數據安全法》(簡(jiǎn)稱(chēng)數據安全法),并于9月1日起施行。數據安全法作為國家安全法律體系的一部分,既要解決現有數據安全制度供給不足的問(wèn)題,又要符合總體國家安全觀(guān)的整體性要求,避免過(guò)度介入應由其他法律規制的領(lǐng)域。因此,數據安全法是一部數據安全領(lǐng)域基礎性、框架性的法律,為后續各類(lèi)數據領(lǐng)域配套制度、規范及標準的制定提供了依據。

主要內容

數據安全法以總體國家安全觀(guān)為指導,堅持統籌發(fā)展與安全的原則,明確了一系列數據安全制度,規定了數據處理主體的數據安全義務(wù),并就政務(wù)數據安全與開(kāi)放提出了相關(guān)要求,此外還明確了主管部門(mén)的職責及違規的法律責任。

1.數據安全與發(fā)展。當前,數據已經(jīng)成為我國數字經(jīng)濟的核心生產(chǎn)要素之一,其有效利用事關(guān)社會(huì )和經(jīng)濟發(fā)展,同時(shí)又從微觀(guān)到宏觀(guān)層面影響國家安全。因此,數據安全法首先闡明了數據安全與發(fā)展的關(guān)系,強調“國家統籌發(fā)展和安全,堅持以數據開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數據安全,以數據安全保障數據開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展”。同時(shí),數據安全法還明確了同步促進(jìn)數據開(kāi)發(fā)利用、數據安全的技術(shù)研究與應用、標準化以及教育培訓的措施,要求鼓勵數據安全檢測評估、認證等服務(wù)的發(fā)展,支持有關(guān)專(zhuān)業(yè)機構依法開(kāi)展服務(wù)活動(dòng);建立健全了數據交易管理制度,要求規范數據交易行為,培育數據交易市場(chǎng)。

 2.數據安全制度。數據安全法明確了6項數據安全制度:(1)數據分類(lèi)分級與核心數據保護制度。確立了依據對國家安全、公共利益或者個(gè)人、組織合法權益造成的危害程度進(jìn)行分類(lèi)分級的原則,要求國家網(wǎng)信部門(mén)協(xié)調編制重要數據目錄,各地區、各部門(mén)負責地方、領(lǐng)域的目錄編制和數據保護,特別強調對于關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等國家核心數據,實(shí)行更加嚴格的管理制度。(2)數據安全風(fēng)險評估與工作協(xié)調機制。規定國家建立集中統一、高效權威的數據安全風(fēng)險評估、報告、信息共享、監測預警機制,建立工作協(xié)調機制統籌協(xié)調有關(guān)部門(mén)加強數據安全風(fēng)險信息的獲取、分析、研判、預警工作。(3)數據安全應急處置機制。要求對于發(fā)生數據安全事件的,主管部門(mén)應當依法啟動(dòng)應急預案,采取相應的應急處置措施,防止危害擴大,消除安全隱患。(4)數據安全審查制度。要求對影響或者可能影響國家安全的數據處理活動(dòng)進(jìn)行國家安全審查。(5)數據出口管制制度。要求對與維護國家安全和利益、履行國際義務(wù)相關(guān)的屬于管制物項的數據依法實(shí)施出口管制。(6)歧視反制制度。規定對我國采取相關(guān)歧視性的禁止、限制或者其他類(lèi)似措施的國家和地區,我國可以對其采取對等措施。

3.數據安全義務(wù)。數據安全法規定了4類(lèi)數據安全義務(wù):(1)數據處理者的安全義務(wù)。重要數據處理者應明確數據安全負責人和管理機構,定期開(kāi)展風(fēng)險評估,并向主管部門(mén)報送風(fēng)險評估報告;關(guān)鍵信息基礎設施的運營(yíng)者在國內運營(yíng)中收集和產(chǎn)生的重要數據的出境安全管理依據網(wǎng)絡(luò )安全法執行,其他數據處理者的數據出境管理由網(wǎng)信辦另行制定政策;組織、個(gè)人應合法、依規收集和使用數據等。(2)數據交易中介服務(wù)機構義務(wù)。數據交易中介服務(wù)機構應當要求數據提供方說(shuō)明數據來(lái)源,審核交易雙方的身份,并留存審核、交易記錄。(3)有關(guān)組織、個(gè)人的數據支持義務(wù)。公安或國家安全機關(guān)因依法維護國家安全或者偵查犯罪的需要調取數據,應當按照國家有關(guān)規定,經(jīng)過(guò)嚴格的批準手續,依法進(jìn)行,有關(guān)組織、個(gè)人應當予以配合。(4)跨境司法或執法機構數據提供審批義務(wù)。未經(jīng)主管機關(guān)批準,境內的組織、個(gè)人不得向外國司法或者執法機構提供存儲于境內的數據。

4.政務(wù)數據安全與開(kāi)放。數據安全法就政務(wù)數據安全與開(kāi)放作出相應規定。(1)政務(wù)數據安全要求。一方面,國家機關(guān)應當依法合規收集、使用數據,并對履職中知悉的個(gè)人隱私、個(gè)人信息、商業(yè)秘密等數據予以保密。另一方面,國家機關(guān)需要建立健全數據安全管理制度,落實(shí)數據安全保護責任,保障政務(wù)數據安全。(2)外包政務(wù)系統數據安全要求。國家機關(guān)委托他人建設、維護電子政務(wù)系統,存儲、加工政務(wù)數據,應當經(jīng)過(guò)嚴格的批準程序,受托方應當依照法律、法規的規定和合同約定履行數據安全保護義務(wù),同時(shí)國家機關(guān)應當監督受托方履行相應的數據安全保護義務(wù)。(3)政務(wù)數據開(kāi)放要求。除依法不予公開(kāi)的數據外,國家機關(guān)應當遵循公正、公平、便民的原則,按照規定及時(shí)、準確地公開(kāi)政務(wù)數據,同時(shí)應制定政務(wù)數據開(kāi)放目錄,構建統一規范、互聯(lián)互通、安全可控的政務(wù)數據開(kāi)放平臺,推動(dòng)政務(wù)數據開(kāi)放利用。

5.法律責任。對于數據處理者與數據交易中介服務(wù)機構不履行數據安全義務(wù)、數據安全監管履職國家工作人員濫權舞弊、違法獲取或濫用數據等行為,數據安全法也作出了相應的處罰規定。其中,對于不履行數據安全義務(wù)的數據處理者除罰款外可以責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照,而對于違反國家核心數據管理制度且構成犯罪的可以追究刑事責任,對于違規數據出境或未經(jīng)授權向外國司法或者執法機構提供數據的,同樣會(huì )處以相應處罰。

需要關(guān)注的重點(diǎn)

1.基礎性與可實(shí)施性的關(guān)系。數據安全法是我國數據安全領(lǐng)域的一部基礎性法律,系統地搭建了一系列的制度框架,但目前在數據分類(lèi)分級與重要數據保護、數據安全風(fēng)險評估與工作協(xié)調、數據安全應急處置、數據安全審查、數據出口管制、歧視反制等方面的制度建設都尚處于初級階段,在執行層面還需要制定大量的配套法規、制度、標準,以保障法律的細化實(shí)施。

2.主權性與全球化的關(guān)系。數據安全法涉及的數據絕大部分處于高度全球化的網(wǎng)絡(luò )空間,各大互聯(lián)網(wǎng)巨頭的數據處理都是全球化的,而數據本身無(wú)論作為數字經(jīng)濟的要素還是國家安全的重要資源都具有強烈的主權屬性。我國必將成為全球最大的數據生產(chǎn)與消費國,因此必須具備域外執法能力,同時(shí)也要有效限制境外的長(cháng)臂管轄,這也是應對全球數據競爭的需要。數據安全法賦予了我國司法機構域外管轄權,同時(shí)還加強了對向境外司法或執法機構提供數據的監管,以封堵境外機構的長(cháng)臂管轄。在未來(lái)執法實(shí)踐過(guò)程中,我國與美歐等發(fā)達國家在數據管轄權爭奪上必然是長(cháng)期激烈博弈。

3.戰略打壓與反制的關(guān)系。與數據安全法同時(shí)頒布的反外國制裁法明確規定,外國以各種借口或者依據其本國法律對我國進(jìn)行遏制、打壓,對我國公民、組織采取歧視性限制措施,干涉我國內政的,我國有權采取相應反制措施。同時(shí)數據安全法明確規定,任何國家或者地區在與數據和數據開(kāi)發(fā)利用技術(shù)等有關(guān)的投資、貿易等方面對中國采取歧視性的禁止、限制措施的,中國可以對該國家或者地區采取對等措施。這表明我國既堅持數據自由流動(dòng),又對他國不正當的歧視行為作出了有力的回應。

4.信息基礎設施依賴(lài)與數據安全的關(guān)系。隨著(zhù)云計算、大數據的快速普及,個(gè)人、企業(yè)、政務(wù)等各類(lèi)系統開(kāi)始日益依賴(lài)信息基礎設施,然而這些信息基礎設施大多由國內外大型信息技術(shù)企業(yè)運營(yíng)維護的。部署于這些信息基礎設施之上的系統及其數據控制權實(shí)際為這些大型企業(yè)所擁有。數據安全法規定,擁有國家機關(guān)數據控制權的企業(yè)必須履行數據保護義務(wù)。然而,目前對這些擁有國家機關(guān)數據控制權的企業(yè)很難進(jìn)行有效監督,也很難有效追究其數據泄露責任。因此,國家還需要進(jìn)一步明確信息基礎設施運營(yíng)者的數據安全責任,同時(shí)針對信息基礎設施運營(yíng)者建立行之有效的數據安全監管機制,以切實(shí)保障數據安全。

 對保密工作的啟示

 首先,可借鑒數據安全法統籌發(fā)展和安全的理念,在涉密的政務(wù)、軍工、科研等領(lǐng)域,引進(jìn)和研發(fā)新型數據處理基礎設施,推動(dòng)數據的高效利用與開(kāi)發(fā),同時(shí)構建新型安全保密技術(shù)體系,保障重要數據的安全保密。

 其次,鑒于當前在線(xiàn)數據處理全面采用云計算或大數據等信息基礎設施,傳統基于網(wǎng)絡(luò )和終端的監管能力已力不從心,建議系統性構建面向新型信息基礎設施的數據安全保密監管體系,提升對網(wǎng)絡(luò )空間的安全保密監管能力。

 最后,隨著(zhù)“一帶一路”倡議的推進(jìn),以及我國各個(gè)領(lǐng)域的全球影響力提升,我國涉密數據處理也必然要實(shí)現全球化布局,在這樣的格局下,域外數據處理的保密管理也需要從法律、法規到技術(shù)體系的有力支撐。

 

(轉載自《保密工作》雜志2021年第9期)