1、数据安全法要点解读数据安全法要点解读 2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过数据安全法三审稿,该法将于2021年9月1日起正式施行。数据安全法全文共七章五十五条,分别从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放的角度对数据安全保护的义务和相应法律责任进行规定。本文将对数据安全法的立法沿革和重点条款进行解读,以期帮助市场参与者在新法生效前及时做好数据安全建设,降低合规风险。 一、数据安全法的立法沿革 2020年6月28日,第十三届全国人大常委会第二十次会议对数据安全法(草案)进行了初次审议。2021年4月29日,中国人大网公布了数据安全
2、法(草案)的二审稿。二审稿的主要亮点在于将数据分类分级制度作为数据安全的基本核心制度,强化了等保的基础作用,提出明确数据安全负责人和管理机构的要求,明确关键信息基础设施的运营者在重要数据的出境方面的义务和责任,调整数据处理服务的资质要求,加强向涉外司法机构提供数据的监管,大幅加重不履行数据安全保护义务的法律责任及拒不配合数据调取的法律责任等。 在近日通过的最终三审稿中,与二审稿相比,主要的亮点和变化体现在明确国家机关在数据安全管理的职责和配合机制,强调对重要数据重点保护,强调智能化公共服务对老年人等的适用性,完善政务数据安全保障,并进一步加大对违法行为的处罚力度。 二、数据安全法重点条款解读
3、第一章第五条中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。 第一章第六条各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。 公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。 国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。 数据安全法作为数据安全领域最高
4、位阶的专门法,与2017年6月1日起施行的网络安全法一起补充了国家安全法框架下的安全治理法律体系,更全面地保障了国家安全在各行业、各领域保障的有法可依。 就监管机构而言,国家安全机构、公安机关、网信部门、以及工业、电信、交通、金融等主管部门均有权在各自的职权范围内对数据安全进行监督和管理。因此,数据安全法延续了网络安全法生效以来的”一轴两翼多级”的监管体系。”一轴”指国家安全机关,两翼指公安机关和网信部门,多级在行业横向范围主要体现在工业、电信、交通、金融等行业主管部门的共同参与,在行政架构方面主要体现在各地区、各部门对工作中收集和产生的数据进行安全管理上。 第一章第十条相关行业组织按照章程,
5、依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。 第二章第十六条国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。 第二章第十七条国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。 在数据安全技术发展日新月异的背景下,立法的要求无法完全与科技发展保持同步,行业协会、评估认证专业机构和标准化机构等组织在推动技术发
6、展、完善合规建设和实现行业自律方面的作用得到了法律的充分认可。 为了能够及时与行业的最新发展同步、参与引领行业发展的方向,建议市场参与者积极加入有关行业协会或组织,踊跃参与行业标准的讨论,积极分享企业在安全合规建设中探索出的实践经验,并以行业最佳实践为基线实时推进企业内部的合规建设。行业协会也可作为传达行业普遍面临的难题和最新技术进展的重要媒介,积极与监管形成有益、互信的良好互动。 在评估、认证方面,专业机构可基于对行业的深度认知、在咨询过程中积累的丰富行业经验,帮助行业的新进者识别合规义务和锚定风险隐患,有针对性地提出合规改进方案和措施,帮助相关企业降低合规风险。 第二章第十五条国家支持开发
7、利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。 疫情期间基于大数据的公共服务应用得到迅速的推广,与个人生活的参与深度也得到前所未有的提升。但高龄、视障等群体由于不会使用智能手机进行付款、预约等操作而举步维艰。在防疫智能应用迅速根据疫情需要进行适老化调整后,大量其他与生活息息相关的应用仍可能将部分人群排除在智能化、数字化的生活之外。数据安全法将智能化公共服务满足老年人、残疾人的需求列入国家重点支持的范围之内,充分体现了国家对弱势群体需求的关注。 第三章第二十一条国家建立数据分类分级保护制度,根据数据在经济社会发展中
8、的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。 各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。 网络安全法第21条首次提出了数据分类分级保护制度,数据安全法进一步明确了相关部门在分类分级保护和重要数据保护中的职能。数据安全法原则性规定了
9、数据分类分级的依据为在经济社会发展中的重要程度和遭到篡改、泄露等情形时的危害程度。由于不同行业、不同地区数据分类分级的具体规则和考虑因素差异巨大,数据安全法将重要数据具体目录和具体分类分级保护制度的制定权限下放到行业主管部门和各地区国家机关,充分平衡了法律规定的普适性和灵活性。对于市场参与者而言,我们建议首先关注工业数据分级分类指南(试行)、基础电信企业数据分类分级方法(YDT38132020)、个人金融信息保护技术规范(JRT01712020)等行业数据分级分类的国家标准,另外也需要密切关注地方行业主管部门发布的数据分类分级目录等要求。 第三章第二十二条国家建立集中统一、高效权威的数据安全风
10、险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。 第三章第二十三条国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。 第三章第二十四条国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。 数据安全法提出建立数据安全风险评估、安全事件报告制度、监测预警机制、应急处置机制和安全审查等制度,有望在后期逐步推出具体机制体制的主管机构、适用
11、范围、评估审查模式等配套制度。值得注意的是,国家依法作出的数据安全审查决定为最终决定,这意味着相关具体行政行为将无法通过行政复议、行政诉讼等形式进行救济。 第三章第二十五条国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。 第三章第二十六条任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对采取歧视性的禁止、限制或者其他类似措施的,可以根据实际情况对该国家或者地区对等采取措施。 在国际竞争逐步蔓延到数据、网络领域后,各国之间的摩擦频发。例如2020年8月,美国以保护国家安全为由,要求字节跳动出售TikTok应用程序及业务。美国对TikTok的封杀
12、反映了外国投资审查现代化法对涉及美国公民敏感信息和来自于特殊国家投资项目严加审查的立法和执法态度。我国数据安全法一方面明确维护国家安全和利益、履行国际义务可作为禁止相关数据出口的合法依据,另一方面明确了对外国在数据领域的投资、贸易歧视可采取对等反制措施的立法主张,充分体现了我国在网络数据空间主张数据主权的立法思想。 第四章第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。 重要数据的处理者
13、应当明确数据安全负责人和管理机构,落实数据安全保护责任。 第四章第二十九条开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。 第四章第三十条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。 风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。 第四章第三十一条关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境安全管理,适用网络安全法的规定;其他数据处理者在境内运
14、营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。 数据安全法明确了开展数据处理活动的市场参与者应当建立完善的数据安全管理制度、进行安全教育培训、风险监测和报告,采用技术手段落实内部制度的规定。因此,数据安全合规制度的建设已成为企业应当履行的法律义务。数据安全法延续网络安全法的规定,对重要数据提出更高的数据保护要求,具体的法律义务包括明确数据安全负责人和管理机构、开展风险评估并报送报告、符合数据出境安全管理要求等。就风险评估本身而言,关于评估的具体主体、报告报送的对象、评估的频率有待后续立法进一步明确。 数据安全法也在法律责任的部分明确了不履行第二十七、二十九、
15、三十条规定的数据安全保护义务、尚未造成数据泄露等后果的,主管部门也可以采取责令改正、警告、罚款等行政处罚措施。在相关制度不健全,且拒不改正或造成大量数据泄露等严重后果的,主管部门则可以责令暂停相关业务、停业整顿、吊销许可证或营业执照和处以罚款。 第四章第三十三条从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。 第五章第三十四条法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。 数据安全法特别对从事数据交易中介服务的市场参与者提出额外的安全保护要求。就数据交易中介服务本身而言,数据安全法尚未给出明确的范围,相关市场参与者可参考数据交易服务安全要求中”帮助数据需方和供方完成数据交易的活动”对自身的业务属性进行定位。 就中介机构需要进行审核的内容而言,数据安全法要求中介机构审核交易双方的身份,关于审核的具体内容、进行形式审核或实质审核、供需方的合规风险是否传导到中