□ 文 于晓洋 何 波
进入数字化时代,数据正在成为基础性战略资源和新的生产要素,并且在诸多生产要素中的重要性不断提升。与此同时,因为数据所具有的巨大潜力价值,随着数据海量增长和广泛应用,也带来了严峻的数据安全问题。
近年来,我国高度重视数据安全治理问题,党中央国务院多次作出重要指示,提出要切实保障国家数据安全,以数据安全保护为核心,正在加速推进数据治理相关工作。2021年6月10日,我国数据安全治理领域的基础性法律和首部专门立法《中华人民共和国数据安全法》(以下简称《数据安全法》)经第十三届全国人民代表大会常务委员会审议通过,自2021年9月1日起施行。《数据安全法》立足我国数据治理实践,围绕数据安全保护制度,界定了数据及数据安全的内涵,明确了数据安全治理重点制度规则,进一步补充和完善了我国数据安全治理基本制度框架,为我国数据安全治理工作明确了方向。
数据安全是国家安全特别是国家网络安全不可分割的一部分,习近平总书记多次强调“没有网络安全就没有国家安全”。我国是数字经济发展大国,也是全球最大的数据生产国。近年来,尤其是党的十八大以来,我国有关部门意识到,在将数据作为推进经济发展新引擎的同时,也应当把数据安全监管作为国家网络安全管理和国家综合治理体系的重要内容。按照党中央和国务院有关决策部署,贯彻落实总体国家安全观要求,我国立法机关和有关部门在整个网络安全保护的体系下不断强化数据安全监管工作,持续开展数据安全治理,取得积极进展。
随着《数据安全法》的出台,我国初步形成了以《数据安全法》为核心,以《网络安全法》为基础,以《国际刑事司法协助法》、《密码法》、《关键信息基础设施安全保护条例》、《汽车数据安全管理若干规定(试行)》等为补充,涵盖法律、行政法规、部门规章以及规范性文件的数据安全治理法律体系。2016年,我国《网络安全法》出台,首次明确界定了“网络数据”的概念,强化了网络数据安全管理要求。2018年,《国际刑事司法协助法》通过,明确了我国对境内相关数据的主权控制,要求非经主管机关同意,不得向外国提供证据材料。2019年审议通过的《密码法》根据不同信息等级和使用对象采用分类管理的方式对密码实行科学管理,有效保障了数据的安全性。2021年《数据安全法》的出台填补了我国数据安全治理领域一块至关重要的空白,不仅是我国数据安全的基础性法律,也是首部聚焦数据监管的专门立法,统筹发展、安全和治理,为我国数据安全治理工作提供了重要的法律依据,进一步从法律层面完善了我国数据安全治理的顶层设计。
数据安全治理以及相关制度规定需要具体监管部门来贯彻落实,因此,如何设置监管体制是数据安全治理中一项至关重要的工作。从国际社会来看,随着各国数据保护监管法律体系基本框架和制度要求逐渐明确,越来越多的国家和地区建立了数据保护专门机构,以加强对数据治理工作的统筹协调和监督管理。例如,欧盟层面设立了数据专门的监管机构欧盟数据保护委员会(EDPB),各成员国也根据欧盟《通用数据保护条例》的要求分别设立了国内个人数据保护专门机构,像德国的联邦数据保护委员会、法国国家信息与自由委员会,英国在脱欧前也设立了专门负责数据保护的信息专员办公室。
从我国来看,在互联网发展初期,数据安全治理工作主要是按照数据所涉及的行业领域来划分,互联网治理中的“九龙治水”管理体制也延伸到数据治理领域,由各行业主管部门负责本领域数据安全保护和监管工作,呈现出明显的分散化和部门区隔特征。随着经济社会数字化转型加速,数据安全治理不再是电信、互联网等某几个行业领域的问题,正在变成各行各业都亟需解决的命题,亟需更加协调统一的管理机制,加强统筹协调,在横向上打通行业主管壁垒,进一步提升治理效能和效果。2014年中央网络和信息安全领导小组成立,统筹协调包括数据安全在内的各领域网络安全和信息化重大问题。2016年通过的《网络安全法》规定“国家网信部门负责统筹协调网络安全工作和相关监督管理工作”,同时授权“国务院电信主管部门、公安部门和其他有关机关在各自职责范围内承担安全保护和监督管理职责”,基本构建了以国家网信部门统筹协调,行业主管部门各司其职的网络安全监管体制。2021年通过的《数据安全法》则进一步明确规定了中央国家安全领导机构对国家数据安全工作的领导地位,提出建立国家数据安全工作协调机制。与此同时,《数据安全法》也规定了相关行业主管部门承担各自行业、领域的数据安全监管职责,延续《网络安全法》的相关规定,明确网络数据安全和相关监管工作仍然由国家网信部门负责统筹协调。
从具体内容来看,《数据安全法》共计五十五条,立足当前我国数据安全治理面临的问题挑战,坚持继承与创新并重,在《国家安全法》、《密码法》、《网络安全法》等现有立法的基础上,针对社会各界广泛关注的数据安全领域重点问题建章立制,进一步建立健全了我国数据安全治理领域的重要制度和基本原则。
无论是在日常工作实践还是在理论研究中,明确概念都是人们认识研究对象和进行问题思考的重要前提,但长期以来,各方对于数据的概念没有形成统一的界定。虽然《网络安全法》中对“个人信息”和“网络数据”作了相关定义,但实践中如何理解数据的概念以及数据与信息之间的关系,都是亟待解决的重要命题。《数据安全法》首次从法律角度对“数据”的概念作出了明确界定,将其定义为“任何以电子或者其他方式对信息的记录”。在此基础上,《数据安全法》进一步明确了“数据处理”和“数据安全”的含义,前者包括“数据的收集、存储、使用、加工、传输、提供、公开等”;后者是指“通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”。通过明确数据及其相关概念,为后续开展数据安全治理工作提供了清晰的内涵和边界。
相比于《国家安全法》、《网络安全法》的相关规定,《数据安全法》进一步强化了数据安全治理中“坚持安全与发展并重”原则。近年来,我国数字经济持续快速发展,成为推动高质量发展的新动能新引擎,数字安全产业和技术能力也得到了显著提升,国家更加注重发展和安全的平衡兼顾。从《数据安全法》的立法目的来看,包含了规范数据处理活动,保障数据安全,促进数据开发利用等多个维度。尤其是《数据安全法》第二章,围绕“数据安全与发展”作了专章规定,提出“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”,并从数据基础设施建设、数据创新应用、利用数据提升公共服务、培育数据交易市场、培育、发展数据开发利用和数据安全产品、产业体系等多方面作出了具体规定。此外,《数据安全法》第十四条更是以法律形式明确“数字经济发展”的重要地位,确保在维护数据安全的前提下,数字经济能够得到应有的重视和发展,突出反映了《数据安全法》在维护数据安全与促进数字经济发展之间寻求平衡的努力。
分级分类是数据安全监管的一个重要手段,实践中,鉴于政府、企业等不同主体收集使用的数据在类型、数量、敏感程度、应用场景等方面差异较大,保护要求和保护手段存在较大的不同。我国高度关注数据分级分类问题,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》就曾提出“推动完善适用于大数据环境下的数据分类分级安全保护制度”。《数据安全法》首次在立法中明确了“国家建立数据分类分级保护制度……对数据实行分类分级保护”。与此同时,《数据安全法》提出了“重要数据”和“国家核心数据”的概念,对于“重要数据”,由国家有关部门统筹协调,通过制定重要数据目录的方式,对重要数据进行强化保护;对于“关系国家安全、国民经济命脉、重要民生、重大公共利益等的国家核心数据”,国家在相关重点保护的基础上进一步严格管理。
数据安全审查是我国国家安全审查和网络安全审查制度的重要内容。《国家安全法》第五十九条规定“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的……网络信息技术产品和服务,以及其他重大事项和活动,进行国家安全审查……”《网络安全法》也规定了关键信息基础设施运营者采购网络产品和服务应当通过网络安全审查的要求。贯彻国家总体安全观的要求,落实国家安全审查和网络安全审查相关规定,《数据安全法》规定了数据安全领域的安全审查制度,要求对“影响或者可能影响国家安全的数据处理活动进行国家安全审查”。值得注意的是,为强化数据安全管理在内的网络审查活动,在中央网络安全和信息化委员会的领导下,国家网信部门会同国家发改委、工信部等有关部门建立“国家网络安全审查工作机制”,并设立了网络安全审查办公室,组织网络安全审查。其中,数据安全问题是网络安全审查的重要内容。例如,2021年7月2日,网络安全审查办公室发布公告,为防范国家数据安全风险,维护国家安全,保障公共利益,对“滴滴出行”实施网络安全审查;7月5日,网络安全审查办公室再次发布关于对“运满满”、“货车帮”、“BOSS直聘”启动网络安全审查的公告。
强化数据治理,保障数据安全,关键是要落实开展数据处理及相关活动的主体责任。为此,《数据安全法》第四章对数据安全保护义务作了专章规定,主要包括五个方面的内容:其一,明确了数据安全保护总体要求,即“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据”;同时规定开展数据处理活动“应当建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全”。其二,规定了数据处理活动以及数据领域新技术新应用研发的要求,明确“应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理”。其三,要求建立安全预警和应急处置机制,落实《国家安全法》相关要求,《数据安全法》也规定开展数据活动应当加强数据安全风险监测,重要数据的处理者应当定期开展风险评估,并履行相应的报告义务。其四,首次在法律层面对数据交易中介服务和在线数据处理服务等作出规范,规定“应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录”。其五,配合数据执法义务,为进一步明确公安机关和国家安全机关在履行相关职责进行执法过程中调取数据的权限,《数据安全法》规定了有关组织和个人的配合义务。
数据跨境流动是数据安全治理尤其是数据安全保护面临的最主要难题之一。我国高度重视数据跨境流动问题,党的十八大尤其是十九大以来,从维护国家数据安全角度出发,围绕数据安全监管不断构建相关制度。2016年通过的《网络安全法》从关键信息基础设施运营者(CIIO)的角度明确了我国数据跨境流动的一般原则,即CIIO在我国境内运营中收集和产生的个人信息和重要数据,原则上应当在境内存储;与此同时,考虑到出于商业运营需要等目的,《网络安全法》也对确需向境外提供数据的情形做了安全评估的例外规定。《数据安全法》在《网络安全法》关于关键信息基础设施领域数据出境管理的基础上,针对重要数据的跨境流动管理进行了补充和完善,进一步规定其他重要数据的出境安全管理办法由国家网信部门会同有关部门制定。此外,《数据安全法》也在《出口管制法》的基础上对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制,并规定针对我国采取歧视性的禁止、限制或者其他类似措施的国家和地区,我国可对等采取措施。
《“十四五”规划纲要》明确提出“保障国家数字安全,建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范”。数据安全治理工作是数字经济时代各方主体共同面临的全新课题,《数据安全法》的出台,既是对各方关切的积极回应,也为未来的数据安全治理工作构建了总体框架,与《网络安全法》、《个人信息保护法》等法律法规中数据治理相关制度保持衔接,有效丰富和完善了我国数据安全治理体系。《数据安全法》的制定出台推动我国数据安全治理工作进入一个新的发展阶段。虽然目前我国数据安全治理顶层设计基本形成,但数据分类分级、重要数据目录管理、数据交易共享等具体制度的配套规定仍有待制定完善。
随着我国数字经济的持续发展和相关法律的生效施行,未来也将面临更多需要解决的新问题。下一步,数据安全治理工作需要坚持系统谋划,立足长远,按照国家有关安排部署和《数据安全法》等相关法律法规要求,有序推进数据安全治理工作,在确保安全的前提下,推动数据为经济高质量发展和高品质生活服务。