刘金瑞|完善《数据安全法(草案)》的若干建议
点击标题下「网络法前哨」可快速关注
前哨按语
《中华人民共和国数据安全法(草案)》于2020年6月28日提请第十三届全国人大常委会第二十次会议初次审议,并于7月3日在中国人大网公开征求意见。从法律规范的体系性和实践需求的迫切性来看,《数据安全法(草案)》仍有较大的完善空间。
聚焦维护国家安全定位
健全数据安全管理制度
——完善《数据安全法(草案)》的若干建议
刘金瑞
随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、社会治理、人民生活都产生了重大而深刻的影响,数据安全已成为事关国家安全与经济社会发展的重大问题。我国高度重视数据安全立法工作,2018年9月公布的“十三届全国人大常委会立法规划”首次将《数据安全法》列入,并且作为“第一类项目:条件比较成熟、任期内拟提请审议的法律草案”。2018年10月,全国人大常委会法工委会同有关方面成立工作专班,正式启动《数据安全法》草案的研究起草工作。2020年6月28日,《中华人民共和国数据安全法(草案)》(以下简称“《草案》”)提请第十三届全国人大常委会第二十次会议初次审议,并于7月3日公开征求意见。
《数据安全法(草案)》共七章五十一条,包括了总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则。主要亮点和制度创新包括:一是按照总体国家安全观的要求,确立数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度;二是坚持安全与发展并重,规定支持促进数据安全与发展的措施;三是明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护的主体责任;四是适应电子政务发展的需要,建立政务数据安全管理制度和开放利用规则。
作为我国“数据安全领域的基础性法律”,《数据安全法》出台后将成为国家安全法律体系的重要组成部分,也将与《网络安全法》、未来出台的《个人信息保护法》等一起构成中国数字经济发展与安全的制度保障。从这种制度规范的体系性要求以及着力解决数据安全领域突出问题的实践需求来看,目前《数据安全法(草案)》仍有较大的完善提升空间。对此,笔者提出以下完善建议:
一、立法定位和适用范围应进一步聚焦维护国家安全
《草案》第2条规定在我国境内开展的数据活动适用本法,第3条规定“数据”是指任何以电子或者非电子形式对信息的记录,“数据活动”是指数据的收集、,存储、加工、使用、提供、交易、公开等行为,“数据安全”是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。《草案》的适用范围落脚于“数据”和“数据活动”,涵盖数据的收集、存储、加工、使用、提供、交易、公开等行为。从文义上看,《草案》的适用范围过于宽泛。数据属于网络架构的物理层,一般认为是信息的载体,《草案》界定的“数据安全”仅强调“数据合法利用”和“持续处于安全状态”层面,便会不可避免地涉及不同领域不同层级的有关信息安全的立法,比如《网络安全法》、正在制定的《出口管制法》《个人信息保护法》,跨境协助执法方面的立法,甚至涉及《保守国家秘密法》《国家情报法》《反间谍法》等。
数据“持续处于安全状态”,一般认为就是确保数据的“完整性、保密性、可用性”,这也是美国等域外国家理解的“数据安全”。界定“数据安全”仅落脚于这一层面,实际无法和《网络安全法》等有关法律规定作出区分。《网络安全法》第76条明确将“网络安全”界定为“通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”,“网络安全”概念本身就包括了“网络数据的完整性、保密性、可用性”,《网络安全法》对此也作出了一系列专门规定。《草案》继续规定数据“完整性、保密性、可用性”层面的安全,就必然会造成与《网络安全法》相关制度的重复或交叉,例如《草案》第3章“数据安全制度”的第20条“风险监测预警机制”、第21条“应急处置机制”、第27条“缺陷、漏洞等风险补救和安全事件报告”等,就在一定程度上重复了《网络安全法》第51条、第55条、第22条等有关规定。
考虑到《数据安全法》应该解决其他法律尚未规定的现实突出问题,尽量避免重复性立法,建议进一步落实《国家安全法》第25条“重要领域信息系统及数据安全可控”的上位法要求,在立法定位和适用范围上更加聚焦维护国家安全。具体而言,一是修改《草案》第1条的规定,在立法目的中明确增加“维护国家安全”。二是将适用范围聚焦于国家安全层面的“重要数据”,以区别于《网络安全法》所规定的数据的“完整性、保密性、可用性”。借鉴国家互联网信息办公室2019年5月公布的《数据安全管理办法(征求意见稿)》第38条的规定,在《草案》第3条明确界定“重要数据”,其是指“金融、交通、能源、医疗健康、电子政务等领域一旦泄露可能严重危害国家安全、经济安全、社会稳定、公共健康和安全的数据”。此外,考虑到国内外理论和实践一般不认为非电子形式的信息记录属于“数据”,对于非电子形式的信息已经有《保守国家秘密法》等法律予以规定,建议本法的“数据”仅指“电子形式的信息记录”。
二、以“重要数据”为抓手构建国家数据安全保护制度
聚焦维护国家层面的数据安全,就需要在数据分级分类基础上重点保护关系国家安全的重要数据。《草案》第19条规定,国家对数据实行分级分类保护,“各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护”。《草案》第25条第2款规定“重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任”;第28条规定“重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告”。从关系国家安全来看,《草案》第22条的“数据安全审查制度”和第23条的“数据出口管制制度”也适用于重要数据。
《草案》虽然提出了“确定重要数据保护目录”、重要数据“重点保护”要求,对“重要数据”施以“风险评估”“安全审查”“出口管制”等管理措施,但也仅止于此,并没有明确和可操作的制度设计。这种过于原则的规定并不能切实保障“重要数据”安全;授权“各地区、各部门”都可以制定“本地区、本部门、本行业重要数据保护目录”,在未规定“重要数据”认定标准的情况下,有可能造成各地区、各部门各自为政,并不利于我国数据安全法治的统一。
基于此,建议《数据安全法》以“重要数据”保护为抓手切实构建维护国家安全的数据安全管理制度。具体而言:
一是明确重要数据的认定制度。虽然不可能在法律中列举出重要数据的具体范围,但可以规定重要数据认定的所涉领域、依据标准、职责部门和具体程序,构建国家数据安全管理的统一制度架构。首先,明确重要数据涉及的重要领域和认定标准:具体列举出重要数据所涉及的所有重要领域和行业,如金融、交通、能源、医疗健康、电子政务等;认定标准上应该明确为直接关系到国家安全和重大社会公共利益,可以表述为“一旦泄露可能严重危害国家安全、经济安全、社会稳定、公共健康和安全”,并注意与“重要数据”的定义保持一致。其次,明确重要数据认定的负责部门和相应程序。考虑到不同领域数据的特殊性以及不同地区相同领域数据差异性较小,为了维护法治统一,将重要数据认定的负责部门设定为各领域各行业的主管部门较为妥当,应该删去《草案》授权“不同地区”确定“重要数据保护目录”的规定。具体表述可以采用列举方式,逐一列明“不同重要领域重要数据认定所对应的不同主管部门”,例如规定“工业领域的重要数据保护目录由工业和信息化部负责认定”。考虑到纳入重要数据保护范围的经营者应当承担强制性监管义务和责任,在重要数据认定程序中应当规定相关运营者不认可主管部门行政认定时的复议等救济程序。
二是健全重要数据的重点保护制度。对于重要数据应该匹配何种保护要求和措施是确保切实维护国家安全的关键所在。目前《草案》的相关制度设计过于原则,有待进一步健全完善。以《草案》第28条规定的重要数据处理者定期开展“风险评估”制度为例,建议结合第20条“国家建立集中统一、高效权威的数据安全风险评估”机制,明确重要数据处理者每年评估的频次、评估主体、费用承担、评估结果的处理。如果此项工作由数据安全检测评估服务机构承担,鉴于重要数据事关国家安全,建议《草案》增加规定数据安全检测评估服务机构许可准入制度,规范这些服务机构的资质要求、测评流程、测评标准、保密义务、测评结果的运用等。为了减少相关企业负担,建议增加一条规定:“重要数据安全风险评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。”
三、细化数据分级分类保护,平衡安全与发展的关系
《草案》坚持安全与发展并重,第2章专章规定了支持促进数据安全与发展的措施,包括:实施大数据战略,制定数字经济发展规划;支持数据相关技术研发和商业创新;推进数据相关标准体系建设,促进数据安全检测评估、认证等服务的发展;培育数据交易市场;支持采取多种方式培养专业人才等。这些规定比较原则。笔者认为,促进数据开发利用和产业发展,并不是仅写成原则性法条就可以实现的,需要有一系列配套法律制度作为支撑。
对《数据安全法》而言,数据分级分类管理制度是平衡安全与发展关系的关键所在。因为一旦明确了重点管制和保护的数据范围,也就明确了数据开发利用的底线和红线,实际就划出了产业发展和市场竞争的合法空间。以《草案》第17条为例,仅从“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场”的条文本身,并不能明确何种数据可以交易,建立数据交易市场需要以数据分级分类为前提。
目前《草案》只是提出了数据分级分类的基本要求,并没有规定完善的数据分级分类制度。《草案》第19条第1款规定:“国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。”不过近些年来,《工业数据分类分级指南(试行)》《证券期货业数据分类分级指引》《金融数据安全 数据安全分级指南》等规范性文件和行业标准,对特定领域和行业的数据分级分类进行了一些有益探索。
建议在总结不同领域重要数据分级分类经验的基础上,细化《草案》数据分级分类管理制度,以真正平衡数据安全与发展的关系。具体而言:
一是健全数据分级分类制度。考虑到不同领域的数据有不同的鲜明特性,数据分类可以按照数据领域的划分为主,比如将数据区分为金融、交通、能源、医疗健康、电子政务等领域的数据。对于数据分级,要明确按照何种标准区分以及划分为哪几个层级。在分级标准上,可以考虑按照对国家安全和重大社会公共利益的危害程度进行划分。笔者建议将不同领域的数据划分为三个层次,按重要性大小分别是“重要数据”、“受控数据”和“一般数据”;“重要数据”是指直接关系国家安全的数据,如涉及国家安全的地理测绘数据;“受控数据”是指可能影响国家安全而应予限制传播的数据,如可能影响国家安全的政府内部工作数据;重要数据和受控数据应该是《数据安全法》规范和保护的重点。
二是对不同级别数据设置不同的监管要求。对于直接关系或可能影响国家安全的“重点数据”“受控数据”而言,《草案》的某些制度设计应该排除适用。比如《草案》第17条规定的“数据交易管理制度”,应该将事关国家安全的“重要数据”和“受控数据”排除在外,应该明确禁止这两类数据的交易。再比如《草案》第30条规范的“数据交易中介服务”,也应该明确禁止就“重要数据”或“受控数据”的交易提供中介服务。从数据分级分类管理角度来看,《草案》第5章“政务数据安全与开放”也需要在分级分类的基础上加以完善,政务数据应该区分为重要数据、受控数据和一般数据,在开放程度上应该分别对应禁止开放、受限开放和无条件开放,并施以不同的管理要求。
四、完善数据跨境管制规则,统筹国内国际两个大局
我国目前正在推进“一带一路”建设,我国很多企业都已走出国门,“出海”谋取全球化布局和更大发展。如果说工业时代“出海”是为了获取石油等资源,信息时代的“出海”就要考虑便利获取“数据”这种新资源。在确立数据跨境传输规则时,要同步考虑相关国家可能效仿采取类似措施或者采取相应的反制措施,这要求我国在制定数据跨境传输规则时要有全球视野和世界胸怀,统筹国内国际两个大局,尽量制定互利共惠、合作共赢的国际性规则。从这个角度看,《草案》关于数据跨境传输的规则,仍有较大的完善空间。
以《草案》第33条关于“境外执法机构调取境内数据”的规定为例。该条规定:“境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的,依照其规定。” 该规定借鉴了《国际刑事司法协助法》第4条,并被认为是回应美国《澄清域外合法使用数据法》(简称CLOUD法)的针对性规定。从文义来看,对于跨境执法调取数据,该规定坚持了《国际刑事司法协助法》的传统跨境司法协助模式。这种模式要求通过双方政府指定的国家机关来处理两国之间的司法协助工作,虽然能最大程度保障司法主权,但是复杂冗长的程序已经越来越不适应数字经济全球化发展和争议快速解决的需求。
坚持这种模式很大程度上是只考虑了“外国执法机构需要的数据存储在本国境内”的面向,如果统筹考虑“本国执法机构需要的数据存储在外国境内”的面向,是否仍要固守这种并非最有效率的模式?虽然我们应该警惕美国CLOUD法的域外效力,但也应该看到美国CLOUD法正是同时考虑这两个面向而作出的跨境取证制度创新。在美国CLOUD法中,规定美国执法部门可以要求受管辖的服务提供商提供存储在美国境外的数据,确保了美国国家利益;同时也规定对于符合特定标准的“适格”外国政府,允许其可以直接向美国境内的服务提供商调取数据,这有利于降低该外国政府在其国内实施数据本地化政策的可能,进而有利于减少美国服务提供商在该国的本地化运营成本,确保了美国在海外的产业利益。在数字经济全球化背景下,我国对于创新数据跨境管制规则,和美国有着类似的制度需求。虽然美国CLOUD法存在一定的不足和争议,也没有必要照抄该法的制度设计,但其统筹考虑数据出境和入境、兼顾国家利益和产业利益的做法值得我们认真学习和借鉴。
(原载《中国信息安全》2020年第7期,推送版略有修改,本文仅代表作者个人观点,不代表作者所在机构观点,未经授权请勿转载)
刘金瑞|欧盟《一般数据保护条例》的主要内容、域外影响和应对之策
刘金瑞|Facebook事件不应成为开放平台业态的“滑铁卢”
网络法前哨 ∣网络法前沿的侦察兵
感兴趣可长按关注前哨君