方婷 | 监测数据活动:数据安全立法的重点任务
The following article is from 苏州信息安全法学所 Author 方婷
《数据安全法(草案)》(以下简称“《草案》”)坚持以总体国家安全观为指导,在充分总结近年来数据安全治理经验的基础上,针对数据安全工作实践中存在的突出问题,将数据安全与国家安全、经济社会发展联系起来,确定了国家数据安全治理的总体思路。正所谓“法与时转则治,治与世宜则有功”。当前,大数据监管立法技术的控制和反控制能力已经成为国家间博弈和竞争的重要砝码。棱镜门事件、美国对我国《网络安全法》第37条的质疑和抵制、欧盟GDPR的严厉处罚措施、CLOUD法的单边和延伸管辖、Facebook事件的持续发酵等意味着数据资源国际争夺战的不断升级。基于此,《草案》将数据分级分类和重要数据重点保护制度、数据安全审查制度、数据出口管制制度、数据安全信息共享机制、数据贸易对等制裁机制、数据跨境执法制度等具有战略意义的数据安全保护管理各项基本制度引入立法,并与《网络安全法》、正在制定的《个人信息保护法》等做好衔接,作为我国数据安全领域的基础性法律,其制定出台具有重大的历史意义和时代特色。《草案》在构建中国特色的数据安全治理与保障体系,落实数据主权,保障数据安全方面,做出了非常有益的尝试,但仍应当明确和细化监测数据活动的重点任务。
一、《草案》的名称与立法依据
从《草案》的条款内容来看,本法的调整范围主要针对政府电子数据,但法律名称过于宽泛,大大影响“数据”术语今后的使用,建议对法律名称和规范内容加以限定,以提高本法规范的针对性和有效性。2017年12月8日,习近平总书记在中共中央政治局第二次集体学习时强调:“要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。”此处的“关键数据”即指“重要数据”。因此,《数据安全法》应聚焦于“重要数据”的风险预防和管控,以确保与国家顶层设计相契合。同时,《草案》并未明确本法的立法依据,其与《国家安全法》、《网络安全法》之间的关系亟待进一步在法条中予以澄清,建议在条文中规定《数据安全法》的立法依据,确定其法律位阶,明确《数据安全法》与其他法律之间的衔接协调关系,避免法律规定之间的不一致甚至冲突现象。
二、《草案》核心概念的界定
“数据”、“数据活动”、“数据安全”是《草案》的核心概念,但是上述三个概念的界定尚不明确,导致《草案》的规范性和可操作性大打折扣。第一,《草案》将“数据”界定为“任何以电子或者非电子形式对信息的记录。”这就表明,《草案》基本涵盖了所有数据类型,其所保护的数据并不限于网络数据,还包括了“非电子形式对信息的记录”以及线下的电子数据。可见,《草案》的保护对象较之《网络安全法》而言更为宽泛,其涉及数据处理的范围几乎涵盖全社会所有领域,包括纸质数据处理,这已大大超出主管部门数据安全保护的职责范围。建议将《数据安全法》的规制对象限定于电子介质中生成或存储的“电子数据”,以突显大数据时代“数据”容量大、类型多、存取速度快、应用价值高的本质特征。第二,《草案》第三条明确了本法的监管对象为“数据活动”,即数据的收集、存储、加工、使用、提供、交易、公开等行为。在此方面,《民法典》在人格权编规定“个人信息的处理”包括个人信息的收集、存储、使用、加工、传输、提供、公开等行为。可见,《草案》对于“数据活动”的定义与《民法典》规定的“处理”所覆盖的范围基本一致,均涉及对数据全生命周期的处理活动。为了确保立法语言体系的统一,便于行政执法、司法和企业履行合规义务,建议统一《草案》与《民法典》中有关数据活动的相关术语。第三,建议《草案》应当在总体国家安全观的指导下界定数据安全的概念,明确数据安全不仅涵盖数据的保密性、完整性、可用性的安全属性,还应当包括数据主权的安全内涵。
三、重要数据重点保护制度
《草案》第十九条将重要数据保护目录的制定权限下放至各地区,缺乏审慎性和明确性,容易导致重要数据的划分标准和识别认定不统一,且这样的权力配置缺乏科学性,容易导致重要数据的认定范围过于宽泛。建议《数据安全法》设专章围绕重要数据的认定主体、认定程序、认定标准等方面予以细化,并将重要数据的范围和识别认定标准列入中央事权,由各行业主管部门确定本行业、本部门的重要数据保护目录。
四、数据安全信息共享机制
我国《网络安全法》第三十九条第(三)款明确规定了关键信息基础设施保护领域的网络安全信息共享,其中要求国家网信部门统筹协调有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享。具体而言,信息共享制度语境下的网络安全概念主要涵盖网络与信息系统的运行安全、网络数据安全、支撑网络与信息系统运行的产品安全这三方面内容。可见,数据安全信息共享机制作为网络安全信息共享机制的重要组成部分应予规制。但是,在当前中美贸易摩擦不断升级,印度对中国企业封禁行动后果持续发酵的现实背景下,数据安全信息共享的提出可能是一个非常敏感的话题而引发国外质疑、为人所诟病。
在此提出两种修改建议或方案:一是将其纳入《网络安全法》以及即将制定出台的《关键信息基础设施安全保护条例》中的网络安全信息共享制度框架内予以规范,在《数据安全法》当中不再体现相关内容;二是在重要数据识别认定的基础上,针对重要数据/一般数据的处理者,建立数据安全信息的分类共享与激励规制模式,即重要数据的处理者及相关主体应当履行数据安全信息共享的法定义务;其他数据的处理者不负有上述法定义务。针对重要数据的处理者、为重要数据的处理者处理数据提供网络产品和服务的企业,以及经重要数据的处理者委托,对其处理的重要数据安全及可能存在的风险进行检测、认证、风险评估的数据安全检测评估、认证等专业机构设置“匿名强制共享”的规制模式;针对其他数据的处理者设置“自愿共享+经济激励”的规制模式。这是因为,一方面,重要数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,将严重危害国家安全、公共利益,基于重要数据的安全对国家安全、公共利益的至关重要性考虑,重要数据本身及存储、传输和处理重要数据的网络与信息系统通常很容易成为网络攻击的目标,这将导致重要数据的处理者始终处于高风险的环境中;另一方面,重要数据通常不包括企业生产经营和内部管理信息、个人信息等,其涉及的企业商业秘密、个人隐私等争议相对较小,因此,除重要数据的处理者自身之外,为重要数据的处理者处理数据提供网络产品和服务的企业,以及经重要数据的处理者委托,对其处理的重要数据安全及可能存在的风险进行检测、认证、风险评估的数据安全检测评估、认证等专业机构,其在提供相关产品和服务的过程中对与重要数据安全风险相关的信息均具有接触、掌握与知悉的条件和途径,因此,其也应当共享其掌握、知悉的与数据安全风险相关的信息。但履行强制共享义务的主体有权要求对信息来源及其身份信息进行匿名化处理。针对一般数据的处理者应当建立“自愿共享+经济激励”的共享规制模式,即其对处理一般数据时掌握、知悉的数据安全风险信息不负有法定共享义务,但国家可通过相应的税收减免优惠、财政补贴支持、政府优先采购安排等措施激励其共享已掌握、知悉的数据安全风险信息,促成国家安全大数据的生成,推动数据安全风险信息的获取、分析、研判、预警工作顺利开展。
《草案》第二十二条明确了国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。然而,实施数据安全审查的范围、具体部门、程序、规则透明度的问题并不明确,其与网络安全审查之间的关系也未作进一步澄清。相较而言,欧美等国有关数据安全审查并未建立单独的某项制度,但是在涉及国家数据安全时,都将其纳入出口管制、外商投资等法律规范领域予以规制。同时,《草案》规定,“依法作出的安全审查决定为最终决定”,这意味着排除了司法的审查监督权力,这将使当事人丧失诉讼救济的机会和权利。从降低制度行政运行成本和企业合规成本的角度考虑,建议根据《国家安全法》第59条的规定,国家对于影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务,涉及国家安全事项的建设项目等,进行国家安全审查时应同时审查相关数据活动的国家安全风险,在实施具体审查时,可一并考虑可能涉及的数据安全风险,并与现有网络安全审查制度规范内容相融合。同时,针对“依法作出的安全审查决定为最终决定”的条款设计进行审慎考量并予以修正。
数据泄露通知是数据安全保护制度的重要组成部分,是在发生数据泄露或具有数据泄露风险时,及时通知和采取补救措施的重要环节。数据泄露构成数据治理最大的威胁之一,在发生数据泄露事件之后及时采取补救措施十分必要。在此方面,欧美等国都已建立了数据泄露通知制度,保障数据被泄露主体的知情权,并确保主管部门和相关主体能够尽快采取补救措施防止数据泄露导致的损害扩大。数据泄露通知制度首创于美国,近年来被各国广泛采纳。2002年,首部数据泄露通知法——《加利福尼亚州数据安全泄露通知法案》(California Data Security Breach Notification Law)出台。在该法的影响下,欧盟、澳大利亚等国家和地区相继制定该项制度,欧盟在2011年修订《电子通信行业隐私保护指令》(2009/136/EC指令)时引入数据泄露通知制度,2013年欧盟委员会制定了《个人信息泄露通知条例》(第611/2013号条例),作为更加详细具体的执行规则。欧盟2016年通过的《个人数据保护通用条例》(GDPR)进一步将该项制度的适用范围扩展至所有数据控制者。2017年2月澳大利亚正式通过了《数据泄露通知法案》,其中明确了数据泄露通知制度的适用主体、评估流程、通知对象等内容。我国《网络安全法》第四十二条第二款也明确了数据泄露通知的相关规定,但仅限于个人信息泄露的特定场景,且缺乏必要的程序细则。
建议我国在《数据安全法》中建立数据泄露通知制度,明确和细化数据泄露通知的启动条件、程序、对象、内容、主管部门及违反通知义务的法律责任,保障数据应急工作的有效落实,同时能够与国际立法规定做好对接。例如,主体上,明确数据泄露通知的主体为数据控制者,数据泄露通知的对象包括网信部门和其他有关部门、数据主体等;启动条件上,数据泄露通知程序的启动即为发生危害数据安全的任何情形,包括但不限于数据遭到篡改、破坏、泄露或者非法获取、非法利用等;程序上,由于数据泄露关乎国家安全,要求数据泄露事件发生后,数据控制者应毫不迟延地首先向网信部门发送通知,通知内容应包括事件基本情况、可能造成的损害后果、可及时采取的补救措施、紧急联络方式等;如个人可能因数据泄露事件遭受损害,也应有权获得通知,在向相关个人发出通知的场景下,通知应在合理期限内做出。此外,按照《草案》第三条规定的保护管辖原则,在中国境外发生但对中国公民或企业造成实质性影响的数据泄露事件,数据控制者也应当履行数据泄露通知义务。
总体而言,《数据安全法》作为规范数据收集、存储、加工、使用、提供、交易等数据活动的基础性法律,其制度规范应贯穿于数据安全风险识别、预防、评估、监测和响应的各个环节,并以重要数据认定与重点保护、数据跨境传输、数据安全信息共享、数据安全审查、数据应急与数据泄露通知等制度的规范与细化作为重点任务,实现保障数据安全和国家安全的最终目标。
本文作者:方婷 西北大学法学院讲师如需转载,请联系:谢老师13771998064(微信同号)
3、朱莉欣 | 数据安全专业化管理和责任普及的平衡 ——比较中解读《数据安全法》草案