7月2日,在中国人大网(http://www.npc.gov.cn/)公布并征求意见的《中华人民共和国数据安全法(草案)》(以下简称“草案”),迅速引发业界的关注和讨论。
草案与以往讨论的《网络安全法》、《信息安全法》、《信息安全等级保护制度》、《个人信息保护法》等到底有哪些实质性差别?将对数据产业各界产生哪些影响?产业各界纷纷表示“有话说”。
傻傻分不清?《数据安全法(草案)》大不同
大数据时代,人们的衣食住行与信息技术紧密相连,各类数据迅猛增长,数据安全已成为事关国家安全与经济社会发展的重大问题。正如草案第一条指出的那样,“为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益,制定本法”,其重要性与跨时代的意义不言而喻。
从法律专业角度来看,上海汉盛律师事务所高级合伙人李旻(律师)表示,此次针对数据安全保护的特殊立法,展现出我国法律制订“与时俱进”的态势和依法治国的国策。长期以来,数据产业已经形成一个完整产业链,涉及数据收集、存储、加工、使用、交付、流通等诸多环节,但是,数据产业却存在法律法规相对滞后的情况,《数据安全法(草案)》填补了政策和法律的鸿沟。
上海汉盛律师事务所高级合伙人李旻(律师)
在《数据安全法草案》发布之前,以往关于信息安全、网络安全的法律法规还有《信息安全法》、《信息安全等级保护制度》、《个人信息保护法》、《网络安全法》等,它们到底有何区别?
李旻律师解释到,目前而言,《信息安全法》仍在立法计划中,其草案尚未公布;针对个人信息保护的法规尚停留在2013年工业和信息化部发布的《电信和互联网用户个人信息保护规定》,属于部门规章;《信息安全等级保护管理办法》系公安部、国家保密局、国家密码管理局、国务院信息化工作办公室于2007年制定,亦属于部门规章;2019年升级为《网络安全等级保护测评标准》(等保2.0)。在这样的背景下,《数据安全法(草案)》无疑是我国数据及信息安全方面立法进程中的重大事件。从法律效力位阶上讲,该法适用于各行业、各部门,在法律位阶上高于其他部门规章,当两者发生冲突时,应以法律为准。
目前与之相似的法律为2017年正式施行的《中华人民共和国网络安全法》,但其主要针对的是网络层面的安全规范,包括对网络数据进行安全规范,而没有对非网络数据的安全进行细致、针对性的规范,难以系统性解决数据安全保障问题。《数据安全法(草案)》对数据安全保障制度的建设也作了进一步完善,包括数据分类分级保护、建立数据安全风险预警机制及应急处置机制等,可以说是为我国基础性数据安全制度的建设夯实了基础。
《草案》第三条对数据进行了明确的定义:数据是指任何以电子或者非电子形式对信息的记录。这对数据和信息进行了明确区分,也进一步厘清了数据安全法的定位。而信息是数据所表现的内容,数据是底层载体或形式。
“《数据安全法》只需要保护载体或形式,不管上面承载的是企业经营信息还是国家安全信息,都不在这部法律的讨论范围之内。这也为个人信息保护法的制定留出了空间”,对外经济贸易大学数字经济与法律创新研究中心执行主任许可表示。
浙江大学教授、博导/中国通信学会网络空间战略与法律委员会副主任委员、国家社科基金重大专项“建立健全我国网络综合治理体系研究”首席专家程乐对《草案》部分条款提出了完善建议。比如,他建议对《草案》第一条中“立法目的”更加明晰,同时明确立法依据,这样对正式出台的《数据安全法》在法律位阶方面的确定就可以厘定本法与其他法律之间的关系,也便于实际解决有可能产生的法律之间的不一致现象。
另外,《草案》第三条是本法的三个核心定义,即“数据、数据活动、数据安全”,但是这三个核心定义边界都不够清晰,也不具有可操作性,影响了整部法律的实操性。总则之后的具体条款的操作性也不是很强,不少条款可有可无,实际意义不大。
一般而言,草案在广泛征求社会意见后,会进行部分条文的针对性修改,再由全国人大进行审议,通过之后,向社会公示,并载明该法生效时间。以《民法典》为例,其从草案到正式法律法规的出台,历时一年左右。
违法责任引争议
谈到这部草案对于数据产业会带来哪些实质性影响?
李旻律师表示,《数据安全法(草案)》对数据产业主要产生的实质性影响在于,通过法律的形式促进数据产业发展和商业利用。草案第十二条明确国家坚持“维护数据安全”与“促进数据开发利用”并重的立法与监管理念,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。同时,草案第十三条及第十四条明确国家鼓励和支持数据在各行业的技术推广和创新应用。由此可见,国家对于数据安全的立法价值取向是,通过数据安全制度建设保障数据安全,进一步促进数据产业发展,发挥数据的经济效益。
《数据安全法(草案)》对跨境数据问题进行了法律规范上的明确,比如,《草案》第二条明确了中国在域外管辖上采用保护性管辖的方式。以往对于跨境数据活动,由于法律的域外效力不足,可能会引起部分法律冲突问题,而该法对跨境数据活动设定一定的域外效力或长臂管辖,其对境外主体开展的损害我国国家安全、公共利益或境内主体合法权益的数据活动,亦有管辖权。
许可解释到,这可以简单理解为“对中国造成损害的才去管,没有的话就不管”。相对于美国“云法案”和欧盟《通用数据保护条例》的“长臂管辖”,《草案》提出的是一个比较折中的做法,“它既体现了域外管辖权,也不会过分扩张,引起一些无谓摩擦。”
此外,该法在政府数据开放问题上也实现了较大突破,明确了我国数据安全工作由中央国家安全领导机构决策和统筹协调,明确各地区、各部门对各自工作中涉及的数据及数据安全承担主体责任,针对数据事件,有了切实的责任主体,在出现问题时亦可进行反向追责。
《草案》涉及到的具体法律责任与《网络安全法》第六章中的法律责任大同小异。比如,《草案》第四十一条提到,有关主管部门在履行数据安全监管职责中,发现数据活动存在较大安全风险的,可以按照规定的权限和程序对有关组织和个人进行约谈。有关组织和个人应当按照要求采取措施,进行整改,消除隐患。
同时,《草案》明确提出,在开展数据活动的组织、个人不履行数据安全保护义务或者未采取必要的安全措施的,由有关主管部门责令改正,给予警告,可以并处一万元以上十万元以下罚款,对直接负责的主管人员可以处五千元以上五万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
若数据交易中介机构未履行要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录的义务,导致非法来源数据交易的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得的,处十万元以上一百万元以下罚款,并可以由有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
此外,在未取得许可或者备案,擅自从事专门提供在线数据处理等服务的经营者,由有关主管部门责令改正或者予以取缔,没收违法所得,处违法所得一倍以上十倍以下罚款;没有违法所得的,处十万元以上一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
对于以上法律责任,工信部信息通信经济专家委员会委员、中国通信学会网络空间安全战略与法律委员会副主任委员、中国法学会网络与信息法学研究会常务理事王春晖教授表示了担忧,“法律责任设置的处罚力度不足,就像一只没有牙齿的老虎,难以震慑数据违法行为,必须加大数据活动的违法成本”。
他建议,应当为数据处理者设定四项强制性规范并加大大惩罚力度,一是任何数据处理者不得泄露或者篡改其收集、存储的数据;二是未经数据主体同意,不得向他人非法提供或交易其数据,但是经过加工无法识别特定个人或组织且不能复原的数据除外;三是数据处理者应当采取技术措施和其他必要措施,确保其收集、存储的各类数据安全,防止数据泄露、篡改、丢失;四是发生或者可能发生数据泄露、篡改、丢失的,应当立即启动数据安全应急响应机制,及时采取补救措施,并按照规定告知数据主体并向有关主管部门报告。
“数据确权”仍难界定、合规细则有待深化
虽然《草案》具有法律层面的突破,以及对跨境数据管辖、数据安全承担主体责任的明确以及数据管理等级制度划分等,但也面临着诸多挑战。
比如,有关数据纠纷的热门问题之一是”数据的确权问题”,即数据归谁所有,《草案》对此没有明确界定。
最近几年,关于数据争议问题屡见报端,如华为与腾讯的数据之争、 顺风与菜鸟之争的接口门事件、 新浪诉脉脉案、 大众点评诉百度案中,各方所争议的核心问题都是:平台的数据到底属于谁?
人民大学法学院副教授、未来法制研究院副院长丁晓东,曾经在《数据到底属于谁?》一文中,对于数据确权问题进行了专门论述,引发关注。
丁晓东表示,网络平台数据已经成为互联网企业的核心资产,但平台数据常常包含大量的个人数据。平台数据既可以被认为个人所有、平台所有、个人与平台共有,也可以被认为是互联网空间的公共数据。无论是法律条文和法律教义的分析,还是基于正当性与后果主义的分析,都无法完全明确界定数据权属。究其原因,平台数据具有多重属性,而且其属性高度依赖场景。
因此,对平台数据进行确权,应当遵循场景化的规则制定方式,以理性规则和个案自下而上地推动数据规则体系演进,而非寻求数据的统一性规则。在实体判断上,应当综合考虑平台性质、数据爬虫行为等多种因素,最大限度推动数据流通与数据保护的平衡。
关于数据确权问题,粤港澳数据要素产业化联盟筹备组组长、北京信任度科技CEO马臣云表示,区块链技术可以突破性解决传统数据确权的难题。目前,地方政府正在联合清华x-lab数权经济实验室,与国家部委、中央企业合作,研究搭建数据确权流通监管沙盒,探索基于区块链技术的数据治理体系。
粤港澳数据要素产业化联盟筹备组组长、北京信任度科技CEO马臣云
目前,北京、广州和杭州的三家互联网法院,都采用区块链技术打造司法区块链平台。以广州互联网法院为例,司法数据的产生、固化以及采集、采信过程中,全部在区块链上完成。基于区块链的可信数据安全技术,依托司法网络平台,连接数据方、中介方、应用方,与各级政府打造政务数据安全开放治理体系。北京互联网法院的天平链,也实现证据要素的规范管理,完善互联网法治治理模式。
除了数据确权问题,一些合规细则也有待深化。比如,《草案》第十九条规定,各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。
根据此前公布的《信息安全技术 数据出境安全评估指南》,重要数据是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据。其附录《重要数据识别指南》则列明了各行业中重要数据的范围。由于上述指南还未正式实施,重要数据的定义和范围还有待确定。
此外,对于具体数据类型的确定权到底授予各地方、各部门、各行业,还是交给中央,这个问题也存在争议。《草案》把具体数据类型的确定权授予各地方、各部门、各行业,目的是有助于各地方、各部门、各行业根据自身实际、专业水平和能力基础进行数据价值判断和安全机制设计。
但是,许可则认为,重要数据涉及国家安全,属于中央事权,应该慎重考虑是否把这一权力完全下放给各地区。清华大学法学院院长申卫星也表示,如果不同地区重要数据的判断标准不同,可能会造成同样一家企业在不同地区需要报备的数据范围不同,也会加重企业负担。
谈及《草案》内容是否显得有些宏大、宽泛,马臣云表示,从立法技巧来看,这样便于各地根据实际情况,再出具体管理办法。
数据、安全服务商这样说
谈到草案对信息安全产业的影响,作为国内专业网络安全厂商代表,绿盟科技公司解决方案中心高级总监张旭表示,《数据安全法(草案)》的发布,为数据安全工作指明发展方向,提供了法律依据,对整个信息安全产业——无论是安全厂商还是企事业单位——都带来积极影响,不仅保证数据安全建设有法可依,数据安全事故造成的损失有法可惩,也对促进经济社会信息化健康发展,保护公民、组织的合法权益具有重要意义。
绿盟科技公司解决方案中心高级总监张旭
具体来说,《数据安全法(草案)》为建立健全数据安全协同治理体系指明了方向,从管理和技术的角度明确了数据分类分级的重要性。这对安全厂商提出了比较高的要求:首先要保证数据治理方法可落地,从数据分类分级到数据安全防护,要求安全厂商应该有完整、可落地的数据安全治理的方法论和解决方案,以数据安全保障数据开发利用和产业发展。其次,安全厂商还要具备专业的安全技术人才,用人才革新技术,为数据安全和数据开发利用的发展提供运营支撑。最后,安全厂商应具备专业的服务工具,降低投入成本,提高安全效率。
张旭也表示,未来希望在《网络安全法》、《数据安全法》、《密码法》和其他网络信息安全法律法规的基础上,《草案》相关细则解释、技术标准、监督执法等能够不断完善,更好地促进法律法规的落地执行。
作为国内最大的云计算服务商,千万企业提供数据托管在阿里云上。阿里云也是国内最早“出海”的云服务商。阿里巴巴集团法律研究中心副主任顾伟博士在7月7日举办的在线研讨会上表示,制定数据安全领域基础性法律十分有必要。在中国企业全球化经营的背景下,我国的数据安全立法应当积极回应新的国际数据安全态势和国际竞争格局。《草案》应当进一步考虑国际数据安全合作的机制设计,明确制度接口,以便更好地推动中国数据产业的国际合作与全球化发展。
作为数据服务商的典型代表,数库科技是一家重点面向金融行业、创办近10年的数据服务商。数库科技联合创始人沈鑫表示,相对数据安全来说,目前更关心“数据产品的知识产权保护”。目前很多新型数据产品无法申请专利,但其在研发阶段需要高成本前沿技术投入以及大量数据梳理工作。这不仅阻碍了数据产品的创新,也导致数据产业内抄袭成风、大打价格战,导致数据产业陷入低水平竞争的恶性循环。希望能够有相关法律法规对此问题进行规范。