2020年7月2日,全国人大常委会第二十次会议审议了《数据安全法(草案)》(“《数安法》”或“本法”)并公开征求意见。全文7章51条,包括:总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则。《数安法》与去年5月28日国家互联网信息办公室公布的《数据安全管理办法(征求意见稿)》(“《办法》”)互为补充和支撑,搭建了一个更为全面的数据安全保护体系。同时,在《国家安全法》的基础上,本法作为在数据安全领域的专项法律,体现了国家立法层面对数据安全的高度重视。
下文拟从《数安法》的保护客体、监管体系、规范行为及对象、数据跨境等主要方面作简要解读。
一、 保护的客体
1.1《数安法》与《办法》的保护客体比较
与去年公布的《办法》比较,《数安法》保护的客体范围更加广泛。首先,《数安法》所保护的客体不仅局限在《办法》所界定的网络数据范围,而且还包括线下物理场所存在的数据。其次,相对于《办法》所专注于“个人信息”和“重要数据”,《数安法》则普遍适用于所有数据。以上区别的背后原因,笔者认为是因为《办法》作为《网络安全法》下位法,遵循了《网络安全法》主要规范数据自身安全(即网络数据的完整性、保密性、可用性)的思路,而《数安法》更侧重于数据宏观安全,即从维护国家主权、安全和发展利益方面对数据进行有效保护和合法利用。
1.2 “数据”与“信息”的关系
另外,《数安法》将“数据”与“信息”的区别予以明确。《数安法》将“数据”定义为任何以电子或者非电子形式对信息的记录。可见,信息是数据所外在表现的内容,数据是底层载体或形式。以“个人信息”为例,《数安法》仅保护记录这些信息载体的合法使用与客观安全状态,而涉及这些载体之上具体内容的部分,即“信息”部分,则由《个人信息保护法》(正处于全国人大常委会审议阶段)等其他相关专门法律所规范。
1.3数据安全保护的意义
平衡数据“发展/开放”与数据“安全”之间的关系是贯彻《数安法》全文的主要基调,因为数据的开发利用是数字经济发展的引擎,而数据安全事件又会给国家安全带来威胁和挑战。
a.数据是数字时代的“石油”根据中国信通院2019年10月11日发布的《全球数字经济新图景(2019年)》显示,全球数字经济蓬勃发展,在国民经济中占据核心地位,47个国家数字经济总规模超过30.2万亿美元,占GDP比重高达40.3%。数字经济发展的关键要素是数据。今年3月30日《中共中央、国务院关于构建更加完善的要素市场优化配置体制机制的意见》中明确提出了数据成为土地、资本、劳动力及技术之外的第五大基本市场要素。今年5月28日全国人大通过的《民法典》就首次将数据和网络虚拟财产纳入保护范围,赋予数据一定的财产属性。因此,确保数据安全对我国的经济发展至关重要。
b.数据安全是国家安全的新领域大数据带来了万物互联,但频频引发的各类数据安全事件也随之而来。其导致的后果既有对个人隐私的侵害,更有对国家安全的威胁。例如,2018年脸书公司(Facebook)5000万用户信息泄露,被“剑桥分析”盗取用于大数据分析,影响了美国总统大选。所以,数据安全是国家安全治理的一个重要组成部分。
二、 监管体系
在数据安全的监管方面,《数安法》构建了“一个顶点、多维度配合”的体系。“一个顶点”即中央国家安全领导机构。该机构将针对全国的数据安全情况进行整体指导和战略规划,对具体涉及数据安全的主体进行间接管理。在具体的执行层面,直接监管机构将接受中央国家安全领导机构的领导或指导。“多维度配合”则指各地区、各部门、各行业、线上与线下的全方位、交叉监管:
1、工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门将在本专业领域内针对特定事项进行监管;
2、公安机关、国家安全机关等在职责范围内进行监管;
3、国家网信部门将直接负责网络数据安全方面的监管,包括具体的日常监督、专项整改、管理细则的制定等等。
此外,笔者注意到虽然《网络安全法》与《数安法》同为《国家安全法》的下位法,但只有《数安法》强调其与《国家安全法》一样,均由中央国家安全领导机构间接管理。这可能也印证了《数安法》与《网络安全法》在规范客体和重心上的差异。为了方便读者理解,笔者整理了如下结构图以说明监管体系之间的关系:
三、 规范的行为及对象
3.1规范的行为
《数安法》规范的“数据活动”包括:数据的收集、存储、加工、使用、提供、交易、公开等行为。与《办法》作比较,本法增加了加工、提供、交易、公开等四个环节,同时删除了《办法》中“纯粹家庭和个人事务除外”的规定。可见,《数安法》不仅将“数据活动”范围扩大,亦将单纯个人用途使用数据的行为纳入监管。
3.2规范的对象
a.规范对象的范围针对企业而言,目前蓬勃发展的大数据、云计算、人工智能、数据处理软件开发机构等将最直接地适用《数安法》。然而,从事数据活动的主体远不止上述这类企业,还有例如:电商平台、数据交易中介这类企业会从事数据的收集、储存、提供等环节;社交软件类企业会从事数据的收集、储存、加工等环节;甚至企业APP或公众号,在运营中也会收集、储存用户的数据等。整体上,《数安法》规范对象所涵盖范围很广,不仅企业,也包括涉及数据活动的机构、社会团体、政府部门,甚至个人。需要注意的是,《数安法》第2条采用了具有域外适用效力的条款,将违反或损害中国数据安全的境外机构也一并纳入管辖对象的范围。
b.规范对象的义务为了方便读者理解,笔者汇总整理了各规范对象所对应的合规义务如下:
四、 数据跨境的“矛”与“盾”
由于经济全球化和互联网的天然属性,数据在不同国家和地区之间大规模、高频率的流动,数据全球化成为推动全球经济发展的重要力量。在地缘政治方面,美国“棱镜门”事件推动了各国政府将数据跨境流动与国家安全、国家主权等政策逐渐挂钩,加剧了世界各国在网络空间的战略博弈和数据资源争夺。在这方面,《数安法》构建了我国数据跨境流动的“矛”与“盾”。
4.1域外追责及反制威慑 -- 跨境数据安全之“矛”
如前文所述,《数安法》在总则第2条中依据保护管辖原则,规定数据活动无论在境内还是境外,只要损害我国国家安全、他人合法权益的,就要依法追究法律责任。该规定赋予了《数安法》域外适用效力,与欧盟的《通用数据保护条例》(“GDPR”)有异曲同工之处。依据国际法的对等原则,《数安法》第24条就国外采取与数据投资、贸易相关的歧视性措施时,赋予我国采取反制措施的权利。可以说是在数据安全“守”势的基础上保留了反击的主动权。
4.2规范数据跨境流动 -- 跨境数据安全之“盾”
《数安法》第10条表明我国对数据跨境流动的基本态度,即在确保数据安全的前提下,促进跨境自由流动,同时积极开展该领域的国际交流与合作、参与国际规则和标准的制定。在数据出境方面,无论是《网络安全法》还是去年6月13日国家网信办《个人信息出境安全评估办法(征求意见稿)》都采用安全评估制度作为“安全阀”。而在数据入境方面,很多国家为了争夺数据资源也已经开展了积极的多边或双边谈判,谋求建立符合其利益的全球数据流动圈,例如欧盟GDPR项下的“充分性”认定名单、美国推动的《美墨加三国协议》(USMCA)、亚太经合作组织(APEC)的“跨境隐私规则”(CBPR)等。下一步如何打造好我国自己的数据跨境流动“朋友圈”是摆在我们面前的一个重要课题。
《数安法》第23条首次提出数据出口管制概念,即国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制。这实际上将去年12月28日《出口管制法(草案)》中的管制物项从“货物、技术、服务”扩大到“数据”,其目的类似美国的《2018年出口管制法》和《出口管制条例》(EAR)项下对科技数据的出境限制。
《数安法》第33条提出了境外执法机构调取数据的报告批准制度。该制度实际上是回应了近年来很多国家,包括美国《澄清境外数据合法使用法案》(the Cloud Act)在内,不断扩大跨境数据调取权利的立法趋势,为我国数据安全提供了一定保障。需要注意本条款虽然在字面上均可归入数据出境范围,但是与上文中《网络安全法》和《个人信息出境安全评估办法(征求意见稿)》中的数据出境活动不同。因为本法第33条涉及的境外数据接收者是境外执法机构,而其活动涉及中国国家主权,理应适用更为严格的出境限制。
五、 结语
当前国际形势复杂多变,特别是新冠疫情给世界主要经济体造成巨大冲击,全球面临经济大衰退。然而,数字经济以其高融合、高技术、高增长等特性,将成为我国经济发展的新引擎。数字经济的要素是数据,数据也是国家基础性战略资源,没有数据安全就没有国家安全。为了应对数据这一非传统领域的国家安全风险与挑战,《数安法》应运而生,旨在通过立法提升国家数据安全保障能力,维护国家主权、安全和发展利益。
综上,《数安法》项下的数据安全不仅担当了数字经济压舱石这一重任,还赋予了国家安全一个全新的监管维度。