数据安全法草案与网络安全法部分条款的对比评析

■ 赛迪智库网络安全研究所 张猛

7月2日，全国人大常委会第二十次会议审议了数据安全法草案（以下简称“草案”）并公开征求意见，引起广泛关注。草案与已施行的网络安全法在部分概念和条款上既有区别又有补充，既有共性又有个性，既有继承又有发展，本文就相关重要条款进行对比评析。

1.草案对“数据”概念进行补充和延伸。

已生效的网络安全法并没有对“数据”进行定义，而采用了“网络数据”（通过网络收集、存储、传输、处理和产生的各种电子数据）和“个人信息”（以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息）两个概念，两个概念事实上已涵盖了公民参与网络活动中使用各类电子数据和涉及个人信息的部分线下数据。由于立法角度差异，草案直接简明扼要的将“数据”定义为“任何以电子或非电子形式对信息的记录”，其保护范围较网络安全法大大扩展，这一改变将电子化记录与其他方式记录的信息统一纳入数据范畴，既符合数字化时代的信息安全要求，又适应了数字经济时代整体信息保护和整体信息安全的新要求。

2.草案已具备一定“域外效力”，为反制国外相关法律的“长臂管辖”提供了法理依据。

与网络安全法“在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法”相比，草案更进一步，规定“中华人民共和国境外的组织、个人开展数据活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”当今，伴随着互联网的高度发展，数据的收集和存储早已突破了国界的限制，不论是欧盟的GDPR还是美国的CLOUD都极大的扩张了其域外数据安全管辖权范围。GDPR更注重效果原则，只要在客观效果上构成对本国或本地区自然人个人数据的处理，就受GDPR管辖；CLOUD则是抛开数据存储地问题，直接从数据控制者提供服务角度出发，对其执法机构下达调取数据命令的适用范围进行了域外扩展。草案引入“域外效力”对保护我国国家主权和公民个人权利意义十分重大。

3.两部法律均提到了“重要数据”这一概念，但受限于实践中掌握尺度问题，均未明确界定其范围。

网络安全法对重要数据的分类保护以及出境做了规定。该法第二十一条规定了网络运营者应“采取数据分类、重要数据备份和加密等措施”。草案第十九条规定了数据分级分类保护：“各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。”草案第二十五条对重要数据的处理者应当设立数据安全负责人和管理机构也做出了规定。虽然两部法律均未对重要数据范围进行界定，但可通过相关其他法律及规则定义进行识别和借鉴，比如，2019年5月28日，国家互联网信息办公室公布了《数据安全管理办法（征求意见稿）》。其对“重要数据”明确界定为：“重要数据，是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”

4.草案确立了全新的“数据安全评估制度”，评估范围更广。

在网络安全法及《个人信息和重要数据出境安全评估办法（征求意见稿）》、《数据安全管理办法（征求意见稿）》中，均规定了数据出境的安全评估制度，但上述制度仅限于数据或重要数据出境过程中的评估。如网络安全法第三十七条则规定：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。而草案所规定的数据安全评估，范围则更广，针对重要数据处理者的全部数据活动。草案第二十八条规定：“重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。”