6月20日,全国人大常委会2020年度立法工作计划公布,在初次审议的29个法律案中,“数据安全法”榜上有名,这部备受众人瞩目的法律,可能在不久将来在“数据主权、数据经营、数据交易”等方面,通过法律条文的形式,推动数据时代的快速发展。
“数据安全法”全称《中华人民共和国数据安全法》,2018年9月7日,十三届全国人大常委会公布立法规划(共116件),《中华人民共和国数据安全法》位于第一类项目:条件比较成熟、任期内拟提请审议的法律草案。
2020年5月25日,十三届全国人大三次会议举行第二次全体会议,全国人民代表大会常务委员会的工作报告提到:今年将加强重要领域立法,且在下一步主要工作安排中指出,围绕国家安全和社会治理,将制定“数据安全法”。
所有的网络安全都是为了数据安全。数据安全相关法律法规,一直是国家非常重视的立法工作。2019年5月28日,国家互联网信息办公室就发布了《数据安全管理办法(征求意见稿)》,其中第一章第一条规定:
为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规,制定本办法。
在前面重要内容中,第一章第三条规定:
国家坚持保障数据安全与发展并重,鼓励研发数据安全保护技术,积极推进数据资源开发利用,保障数据依法有序自由流动。
第一章第十八条规定,数据安全责任人履行下列职责:
(一)组织制定数据保护计划并督促落实;
(二)组织开展数据安全风险评估,督促整改安全隐患;
(三)按要求向有关部门和网信部门报告数据安全保护和事件处置情况;
(四)受理并处理用户投诉和举报。
这是从国家层面的法律规范企业组织第一责任人的职责,有助于“数据安全管理”向“一把手工程”推进。
那么,在“网络安全法”、“等保2.0”“数据安全管理办法”等系列涉及网络信息数据安全的法律法规面前,“数据安全法”的独特之处和地位是什么呢?
今年全国两会,全国人大代表、广东移动党委书记、总经理魏明在接受记者采访时表示,尽管我国近年已加快数据及信息安全方面的立法进度,并制定了《数据安全管理办法(征求意见稿)》,但仍存在基本法缺位、“数据主权”地位尚未确立,数据经营难有效监管等问题。例如,“网络安全法”主要是针对网络层面的安全规范,但未能从数据信息全维度进行规范,相关配套政策文件法律层级低,要求较为分散,难以系统性解决数据安全保障问题。此外,数据采集、加工和利用等业务缺乏准入资格和管理依据,难以进行有效监管,部分业务“野蛮生长”或者侵害他人合法权益的事件时有发生。
魏明认为,加快制定《中华人民共和国数据安全法》已刻不容缓,并提出了确立数据主权、明确数据安全法的管辖范围,对数据经营进行牌照化管理,建立数据采集、加工和利用业务的准入制度,完善数据安全监管体系和数据安全监测预警、应急处置机制,建立责任主体问责制度等一系列建议。
对于“数据安全法”,有业内人士表示,除了不断追求基于字节级数据复制、数据库语义级数据复制等先进技术外,还要在非人为因素方面加强防范,例如防“内鬼”的监守自盗、删库跑路等事故的发生,从源头保护数据安全,防止组织的商业数据、保密数据、敏感数据的丢失和泄露。