《数据安全法》完善了我国数据安全治理体系中最重要的一块拼图。《数据安全法》从数据安全与发展、数据安全管理制度、数据安全保护义务、政务数据开放多个角度对数据安全保护的义务和相应法律责任进行规定。
《数据安全法》构建起一道全新的数据安全法律保障体系屏障,对提升我国国际竞争力大有裨益。如何把握好数据安全与鼓励数据开发提升公共服务之间的平衡点,实现数据价值释放过程的数据安全均衡治理,需要我们在这个基础上继续探索。
2021年6月10日,历经三审的《中华人民共和国数据安全法》正式通过,并将于今年9月1日实施。作为我国数据安全领域的基本法,《数据安全法》完善了我国数据安全治理体系中最重要的一块拼图。
《数据安全法》的出台应时及时
当前世界范围内,各国数据主权意识不断增强,数据日益成为各国争夺的基础性战略资源,利益之所在,亦争端之所在。数据安全治理能力成为国际竞争的关键要素,域外各国以国家安全、商业利益、公民隐私保护等目的推进数据安全立法进程已经纵深化和精细化。欧盟《通用数据保护条例》不仅对欧盟境内数据处理活动作出具体规定,同时也对其他国家数据安全立法产生直接影响,数据安全官、关键数据本地化处理以及跨境数据流动规则等内容成为全球数据立法工作的主要内容。数据安全也构成现代风险社会中全世界共同面对的问题。
此次正式通过的《中华人民共和国数据安全法》可谓正逢其时,作为我国数据安全领域的基本法,《数据安全法》完善了我国数据安全治理体系中最重要的一块拼图。《数据安全法》全文共七章五十五条,从数据安全与发展、数据安全管理制度、数据安全保护义务、政务数据开放多个角度对数据安全保护的义务和相应法律责任进行规定。
保障数据安全与促进数据开发利用并重
从价值定位上来看,该法的出台解决了我国数据安全领域长期没有一个独立且融贯的法律体系问题。《数据安全法》并非一味强调安全,而是秉持安全与发展并重的指导思想,坚持保障数据安全与促进数据开发利用并重的原则。
数据安全并不局限于以数据存储安全为代表的静态数据安全,而是试图构建全生命周期的数据安全理念,即数据处理的所有环节都应当满足正当、合法、有效之要求。这种立法理念的背后彰显我国数据治理模式的动态化、多层次和整体性的基本特征。《数据安全法》创设了风险共治的数据安全治理模式,强调多元主体协作机制在数据安全保护体系中的重要作用,明确了各类法律主体的数据安全保护义务,包括内部与外部的双控制机制、数据安全风险动态评估、监测预警与应急响应以及数据安全交易注意义务,打通数据安全保障义务与网络安全保障义务的内容衔接与体系嵌套。
侧重实现数据自身的安全可控状态
从体系定位上来看,《数据安全法》与《网络安全法》属于同一效力层级的规范性法律文件。数据安全与网络安全这两类立法目标均属于网络空间治理效果不同维度的表述,网络安全侧重网络信息通信服务的持续稳定,数据安全则侧重数据自身的安全可控状态。
此外,《数据安全法》与即将颁布的“个人信息保护法”之间仅在部分内容存在重叠。我国将绝大部分有关个人信息保护的内容留待个人信息保护法解决,不在《数据安全法》中单独规定。
强化国家总体安全观
在体例安排上,《数据安全法》立法目标统筹于国家总体安全观的框架内,与《网络安全法》同属于国家安全和网络空间主权的重要组成部分。
信息技术的发展使得虚拟和现实的边界、国家秘密与非秘密的边界变得日趋模糊,大型互联网企业掌握大量关涉国家经济命脉、社会稳定的核心数据,强化国家总体安全观指导的数据安全治理成为维护国家安全的必然要求。作为确保国家数据安全领域的专门法,《数据安全法》与《网络安全法》共同构成国家数据安全治理体系,更全面地保障国家安全在各行业、各领域有法可依。
以维护动态安全目标为导向
从制度创新来看,《数据安全法》以维护动态安全目标为导向。数据安全的监管具有很强的功能主义属性,讲究令行禁止、精准施效,化解问题。以往部门监管格局存在萧规曹随的问题,因此,《数据安全法》提出建立以中央国家安全领导机构负责的国家数据安全工作协调机制,完善了数据安全协同治理体系,明确了“中央统筹主导,地方行业自治”的框架。
中央层面将由国家安全领导机构领衔负责数据安全工作的重大决策与议事协调,国家安全机构、公安机关、网信部门以及工业、电信、交通、金融等主管部门均有权在各自的职权范围内对数据安全进行监督和管理。
这种制度安排是在充分考量数据安全的整体性与公共部门运作的独立性之间做出的选择。不同的地区和行业部门在长期的发展和专业化过程中,在专业、人员、管理、控制上形成了符合各自部门特点的独立性。数据活动不断发展、迭代与深化,使得数据安全风险更为多样、复杂和多变,《数据安全法》授权地区与行业部门对各自工作中收集和产生的数据及数据安全负责的放权思路,可以有效填补模糊地带、不明之处的数据安全风险防控。但当前的规定仍过于原则,未来行业和地方之间的监管事项上仍然有重叠的可能,“九龙治水”的监管难题仍会持续存在,有待在重要数据目录的构建、数据跨境传输、数据交易制度、政务数据公开与开放等《数据安全法》配套制度中予以解决。
此外,《数据安全法》还专门明确了国家网信部门对网络数据安全和监管工作的统筹协调职能,因而未来国家网信部门将会很快出台专门规制网络数据处理活动的管理细则。
侧重维护数据处理活动中的公共秩序和国家安全
从规范对象上来看,《数据安全法》所规范的数据类型不仅包括电子数据,亦包括以电子以外的其他形式存在的数据;既包括个人数据、商业数据,亦包括政务数据。
原则上来说,我国的《数据安全法》在确定管辖范围时采取了以属地管辖为原则、以保护管辖为补充的方式,以行为人的行为地即数据处理活动发生地,而非行为主体的身份作为确定管辖权的基准。同时辅之以保护原则,以全面维护国家利益、公共利益、公民和组织的合法权益。
与强调对民事主体的数据权益进行确认和保护的《民法典》不同,《数据安全法》从整体上看侧重从公法角度对数据活动进行规范,侧重维护数据处理活动中的公共秩序和国家安全。同时,更加强调对一般性数据活动的规制,强化了基于国家安全为目的的数据的分级分类管理,在区分重要数据和非重要数据的基础之上,强化对国家核心数据的重点规制,以专章明确了政务数据的安全与开放制度。《数据安全法》搭载了以重要数据为核心的监管制度,充分体现了我国数据治理的分级分类管理和保护原则。
兼顾数据安全保护与创新
从条文构成上来看,《数据安全法》留白了大量倡导性规范的内容,较强的制度弹性能够兼顾数据安全保护与创新。
法律规定了数据技术研究和产品、产业体系培育以及鼓励数据开发提升公共服务条款,体现了国家的温柔底色。国家注重培育、发展数据开发利用和数据安全产品、产业体系。培育、发展一个安全可控、布局合理、可持续发展的产业体系和产品体系,对于数据开发利用和数据安全保障,具有至关重要的关键意义,也是我国数据开发利用和数据安全保障产业做大做强的基本前提和重要标志。
《数据安全法》进一步强化了对弱势群体的特殊保护。技术与人们的日常生活广泛连接,但老年人、残疾人等由于无法使用智能手机导致日常出行举步维艰,将高龄、视障等群体的特殊需求列入国家重点支持的范围之内,充分体现了国家对弱势群体需求的关注。
完善了促进数据跨境流动的制度
从制度特色来看,《数据安全法》完善了促进数据跨境流动的制度规范。在经济和科技全球化的时代背景下,数据的跨境流动将会越来越频繁,支持数据领域国际合作,促进数据跨境流动的国家立场在本法中得到了贯彻落实。由于当前在数据的跨境流动方面并未建立拥有广泛共识的国际规则和标准,我国应当把握机遇积极参与数据安全相关的国际规则和标准的制定,只有基于统一的数据安全的国际规则和标准,数据的跨境自由流动才能实现。
此外,《数据安全法》不仅规制互联网行业,同样对政府相关的数据处理行为提出了很高的要求,对政府的数据处理活动,如档案、统计工作提出了更高要求。政务数据是国家提高管理效能的重要资源,政府履职过程中收集、使用数据的安全合规、数据保密、数据共享以及运行电子政务系统带来的安全问题在本法中被多次重申,这也要求国家机关制定完善的数据安全管理制度、严格的批准程序以应对实践中存在的数据泄露等安全风险。
总的来说,《数据安全法》构建起一道全新的数据安全法律保障体系屏障。这部关乎国家安全的特殊立法对提升我国国际竞争力大有裨益,但如何把握好数据安全与鼓励数据开发提升公共服务之间的平衡点,实现数据价值释放过程的数据安全均衡治理,是下一步值得思考的问题。