深度 |《中华人民共和国数据安全法(草案)》解读
星期四, 七月 16, 2020
2020年6月28日,《中华人民共和国数据安全法(草案)》在十三届全国人大常委会第二十次会议上提请审议。
2020年7月2日,中国人大网发布《中华人民共和国数据安全法 (草案) 》(以下简称“本法草案”)全文发布,并公开征求意见。内容涉及7章51条,包括:总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则。针对草案内容,美创科技专家进行研究和解读。
1.关于本法的适用范围
明确适用范围应当是理解本法草案的前提,草案第二条明确规定:在中华人民共和国境内开展数据活动,适用本法。这里的境内包括了港澳两个特别行政区。同时草案也赋予了本法必要的域外适用效力,规定:中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
这样的适用范围,实际上与GDPR中“凡涉及处理欧盟个人数据的行为,都可被管辖”这条规定有着异曲同工之妙,同属符合长臂管辖原则,笔者认为可以两点理解这个问题:
第一、虽然在传统的法学理论中,法律规定只能在主权国家的领土和空间范围内才是主导性的,但是法律本身实质为主权者意志的体现,在整个世界互联互通的今天,数据主权的延伸势必要打破传统意义上的空间效力。
第二、除了主权原则,管辖制度的设计其实还需要满足效果原则,也就说即使作出处罚决定,在没有办法予以执行的情况下,效果也就无从体现,就像对超出欧盟范围之外的事宜,欧盟实际上可能并没有能力单方进行调查与执法。这时,原本的国家内部问题就会演变为国际问题,这就促进了从国家层面考虑通过订立双边、多边协议的方式,经外交途径促进数据安全问题解决。
2.关于数据安全工作管理职责
以政务数据安全来看,目前地方上涉及数据安全的主管部门包括网信、公安和数据局,政务数据一般是由数据局作为行政主管部门承担主要职责,但是三方之间,实际上目前普遍尚未建立起统一的安全管理组织体系,在数据安全管理上存在着一些职能交叉、模糊与空白地带,出现问题后无法有效落实责任人,所以体会法规的职责要求应当是理解本法草案的关键。
本次草案的内容,首先明确了中央国家安全领导机构负责数据安全的决策和统筹协调,然后明确了各地区、各部门对产生、汇总、加工的数据及数据安全负主体责任,行业主管部门、公安机关、国家安全机关在各自职责范围内承担安全监管职责,最后第四章还详尽明确了数据安全保护义务,对职责管理可能遗漏的方面进行兜底补充,形成了一套完善的管理职责体系。
3.数据安全体系化管理
自党的十八届三中全会以来,“推进国家治理体系和治理能力现代化”的理念一直被贯彻实施。所谓治理体系化,是指通过系列的制度安排和宏观顶层设计使得整套方案能够系统完备、规范科学。而能力现代化,是通过不断迭代技能能力及工具,愈加贯彻和落实设计方案,两者实质是同向同行的有机统一体。
数据政府建设作为落实网络强国、数字中国的重要战略举措,数据安全是其重要组成部分,也是其根本保障,所以提炼数据安全的体系化管理要求应当是理解本法草案的核心。
从机制与制度层面,本法草案明确以下内容将逐步建立健全。
而机制与制度的落实,需要平台与技术能力的支撑,在这一层面,其实本法草案也有一定的明确要求,如第二十条明确国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判、预警工作。后面在第二十八条,继续明确了风险评估报告应当包括本组织掌握的重要数据类型、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。
又如第十七条,明确国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场,后文在第三十和第三十一条,继续明确了数据交易相关的相关要求和主管部门。
在理解好本法草案的前提、关键与核心之后,后续管理者也就明确了干什么、谁来干、怎么干和如何保障的闭环管理目标,而后需要的就是各地各部门继续制定出台相关配套法规文件,根据各地特色,细化包括数据安全责任划分、数据审批授权管理、数据运行监管等方面的详细规定。
《数据安全法(草案)》的发布,是我国数据时代的重要一步,体现了国家对支持数字经济的决心与信心,是数字经济“安全与发展”并重的体现。在《中华人民共和国数据安全法(草案)》的契机下,未来数字经济发展、数据交易市场、数据安全检测与认证等服务机会将大有可为。
杭州美创科技有限公司成立于2005年,是国内领先的数据安全和数据治理综合服务商,产品和解决方案涵盖数据安全、灾难备份、数据治理、智能运维四大领域,是IDC中国数据创新者、中国网络与信息安全百强企业。