2021年6月10日,《数据安全法》经第十三届全国人大常委会第二十九次会议通过并正式发布,于2021年9月1日起施行。
作为数据安全领域的基础性法律和国家安全法律制度体系的重要组成,《数据安全法》的出台有着深刻的时代背景和现实意义,是对当前数据安全内外部形势的回应,是护航数字经济发展的重要举措,开创新时代中国数据安全治理新局面。
因应时代需求
构建数据安全制度框架
放眼全球,数据安全问题已成为各国网络空间治理的热点和难点。
数据安全问题如何应对、国家数据安全制度如何布局不仅关涉到大数据时代个人安全、公共安全、国家安全,也关系到我国在全球新一轮的信息技术变革中如何实现从跟跑、并跑到领跑的转变。
近年来我国数据安全顶层制度设计加速推进。2015年施行的《国家安全法》第25条明确提出“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。作为网络安全综合性立法,2017年施行的《网络安全法》将数据安全纳入网络安全范畴,网络安全等级保护制度、关键信息基础设施保护制度、个人信息保护制度等为保障数据安全提供重要制度支撑。
针对数据这一非传统领域的国家安全风险与挑战,《数据安全法》全面贯彻落实总体国家安全观,确立国家数据安全工作体制机制,构建数据安全协同治理体系,明确预防、控制和消除数据安全风险的一系列制度、措施,提升国家整体数据安全保障能力。
适用范围方面,《数据安全法》在属地管辖之外引入保护性管辖原则,赋予该法域外效力。
治理机制方面,《数据安全法》构建起政府、行业组织、科研机构、企业、个人多元共治的数据安全治理体系。一方面,《数据安全法》第5条将数据安全最高监管机构提升至中央国家安全领导机构这样前所未有的高度,并明确建立国家数据安全工作协调机制,加强对数据安全工作的统筹,推进《国家安全法》在数据安全领域的落地。第6条明确各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责,行业主管部门承担本行业、本领域数据安全监管职责,公安机关、国家安全机关在各自职责范围内承担数据安全监管职责,国家网信部门统筹协调网络数据安全和相关监管工作。另一方面,明确推动行业组织、科研机构、企业、个人等共同参与数据安全保护工作,并专设第10条“行业自律”条款。
制度设计方面,《数据安全法》统筹数据静态安全与动态利用安全,一般数据与重要数据、国家核心数据安全,内向安全与外向安全,围绕数据处理全流程建构数据安全保障的基本框架,涵盖数据分类分级、重要数据保护目录、国家核心数据管理,数据安全风险评估、报告、信息共享、监测预警,数据安全应急处置,数据安全审查、出口管制、数据领域的对等措施、重要数据出境管理、数据交易、数据处理服务许可、执法数据调取配合、境外数据调取阻断、政务数据安全与开发等制度,同时加大对相关违法行为的处罚力度。
可以预见,《数据安全法》的一系列数据安全风险防范制度设计将通过下位配套和实施细则等予以落实。2021年4月27日,作为《网络安全法》重要配套之一的《关键信息基础设施安全保护条例》经国务院常务会议通过,自9月1日施行。2021年5月27日,《数据安全管理条例》纳入国务院2021年度立法工作计划。2021年7月10日,以落实《数据安全法》第24条数据安全审查制度为目的的《网络安全审查办法(修订草案征求意见)》向社会公开征求意见。
发挥部门职能优势
承继公安数据安全监管职能
作为保障社会公共安全与国家安全的主力军,公安机关是《人民警察法》《计算机信息系统安全保护条例》明确的负责主管计算机信息系统(含网络)安全保护部门,历来高度重视社会关注的数据安全问题。
数据是影响网络安全等级保护制度中定级、关键信息基础设施认定的重要因素。包含个人信息数据在内的数据安全保护已成为网络安全等级保护2.0制度、关键信息基础设施保护制度的重要内容。
2020年公安部发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》多处强调数据安全、重要数据和个人信息保护。正在制定中的《网络安全等级保护条例》体现出对数据安全问题的集中考量。将与《数据安全法》同日施行的《关键信息基础设施安全保护条例》明确“国务院公安部门负责指导监督关键信息基础设施安全保护工作”,强化数据安全保护责任,明确运营者个人信息和数据安全保护职责,确立重要数据泄露等特别重大网络安全事件发生后运营者向保护工作部门、国家网信部门和国务院公安部门的三层报告机制。
实践层面,公安机关积极组织大数据安全、APP违法违规专项整治,与中央网信办共同建立打击危害公民个人信息和数据安全违法犯罪长效机制,依法严厉打击数据安全违法犯罪,各地公安机关常态化实施监督、检查和指导,督促相关组织强化安全保护,从行动上切实保障国家关键信息基础设施、重要网络和数据安全、个人信息安全。
《数据安全法》充分考虑部门职能优势和实践效果,在总则中明确公安机关的数据安全监管职责。
制度设计上,《数据安全法》第27条要求全流程的数据安全管理制度应当在网络安全等级保护制度的基础上开展,即“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。”
开展数据处理活动的组织、个人不履行第27条安全保护义务的,第45条明确了相较《网络安全法》第59条更严格的法律责任,“由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。”
《数据安全法》第21条确立国家数据分类分级制度,这是本法整个数据安全保障的基础,在此基础上提出重要数据的强化保护和国家核心数据的特别保护要求,并明确重要数据目录从国家到地区、自上而下的落实机制。
国家总体安全保障工作中,重要数据与关键信息基础设施与密不可分,2015年《国家安全法》强调“关键基础设施和重要领域信息系统及数据的安全可控”,《网络安全法》第37条创设性规定关键信息基础设施运营者重要数据境内存储与出境评估制度,2016年《国家网络空间安全战略》将“保护关键信息基础设施”作为9大战略任务之一,明确要求“采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏”。
如何保持不同法律同一概念内涵和外延的一致性、重要制度实施事实上的关联性,需在接下来《数据安全法》配套的重要数据概念界定、认定机制、保护方式等工作中一并考虑。
主动应对挑战,依法履行职责
《数据安全法》实施在即,公安机关需主动应对挑战,依法履行职责,服务发展大局,夯实社会数字化转型升级这一重大变革时代的工作内容。
首先,完善数据合规标尺。公安机关应充分落实《数据安全法》《网络安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规要求,整合数据安全制度体系,包括不限于制定数据安全行政执法裁量基准,细化网络安全等级保护数据安全要求,强化关键信息基础设施及其承载的重要数据和个人信息的安全保护,形成从一般数据到重要数据、静态数据到动态数据、从个人信息数据到非个人信息数据、从结构化到非结构化数据、从数据资产到数据资源的自洽体系,为开展数据处理活动的组织、个人提供规范指引。
其次,凝聚数据监管合力。公安机关应切实履行监督管理职责,依法定期组织重点行业、领域主管监管部门开展专项监督检查,推动重点单位、各类组织落实在数据采集、存储、传输、处理、使用、加工、交换、提供、共享、跨境、公开等环节的安全保护措施,提升相关单位和行业的个人信息和数据安全保护能力,促进数据安全有序流动。
最后,加大执法打击力度。公安机关应做好行刑衔接,针对侵害公民个人信息与数据安全的各类违法犯罪,加强线索分析,追查数据源头,打掉危害数据安全的黑色产业链条,坚决维护国家安全、公共利益和公民、组织合法权益。