前哨按语
6月7日至10日即将举行的十三届全国人大常委会第二十九次会议将对数据安全法草案进行第三次审议,《中华人民共和国数据安全法》已经呼之欲出,这将是全球数据安全综合立法的首创性探索。立法往往就是在理想和现实之间达成平衡,这意味着法律不免会有留白和遗憾,也总会成为我们继续思考的起点。为迎接这部法律的诞生,前哨今日推送《数据安全范式革新及其立法展开》一文的文摘版,全文可以点击文末链接。
数据安全范式革新及其立法展开
(文摘版)
原刊于《环球法律评论》2021年第1期,约25000字数字经济时代的数据安全风险,对既有的安全范式和法律制度带来了极大挑战,维护数据安全亟须范式革新和立法保障。本文将信息自身安全称为“狭义的信息安全”,将信息自身安全与信息内容安全统称为“广义的信息安全”。狭义的信息安全即信息自身安全,就是指作为信息载体的数据的自身安全。对于网络安全风险而言,只关注信息自身安全的传统信息安全范式已经不足以应对,随之出现了以网络信息系统安全为中心的网络安全范式。网络安全就是要确保网络信息系统及其数据的安全。数字经济时代的数据安全包括数据自身安全与数据利用安全,前者的基本要素仍然是保密性、完整性和可用性,后者的基本要素是可控性和正当性。数据安全范式的新要素是可控性,可控性的关键是将数据大规模流动、聚合和分析纳入风险管控的过程之中。风险管控的思路其实一直蕴含在信息和通信技术风险的应对之中,只不过在信息安全和网络安全范式下,风险管控聚焦到信息和系统的静态的安全边界防护上,表现为信息自身安全三要素和网络系统安全的可靠性、坚韧性,而数字经济时代数据突破边界的动态流动,使数据成为安全焦点,数据风险的可控性要求更加凸显和必要。针对信息化3.0阶段的安全风险,本文提出了以数据风险管控为中心的数据安全范式。数据安全立法需要加强顶层设计和系统规划:1. 从国家安全高度进行数据安全立法体系化设计。从数据的特性来看,数据是信息的载体,在网络环境下表现为比特形式的数字符号,可以承载多种多样内涵的信息,数据安全与信息安全、网络安全必然存在交集。这也使得作为非传统安全的数据安全,无论是数据密集流动的自身安全还是数据聚合分析的利用安全,都与政治安全、经济安全、文化安全、社会安全、军事安全等领域问题交织在一起,和网络安全一样具有牵一发而动全身的全局效应。我国总体国家安全观辩证、全面、系统的理念,恰恰能为数据安全立法的布局和设计提供明确指引。数据安全立法的目标应该是在维护国家安全定位下形成专门性规定重点突出、各领域各层次规范相互配合的数据安全法制体系。这里的规范既包括法律、行政法规和规章,也包括国家标准。对于与信息安全、网络安全存在交集的数据自身安全而言,传统信息安全范式和网络安全范式的一系列相关立法,依然是控制数据安全风险的重要依据。以我国为例,这包括《网络安全法》《刑法》《密码法》等,涉及网络安全等级保护、关键信息基础设施保护等制度。数据安全立法并不是否认传统信息安全和网络安全范式立法,而是要补足之前既有范式下静态安全边界防护制度应对数据安全风险的短板。这就要求专门的数据安全综合立法,应该着重解决其他法律法规尚未规定的新型数据利用安全问题,尤其是事关国家安全、公共安全的突出问题,尽量避免对数据自身安全进行重复立法。建议专门的数据安全立法应该聚焦数据利用安全,就数据自身安全可以只规定与其他法律的衔接条款。对于数据利用安全,要按照可控性和正当性要求来设计风险应对和管控制度。2. 以风险管控为中心构建数据安全保护制度体系。数据安全范式的核心新要素是风险的可控性,管控数据安全风险立法的总体思考可以根据风险管控的策略展开。一般认为风险管控包括四种策略:接受风险、避免风险、控制或减少风险以及转移风险。鉴于绝对安全是不可能的,应该接受一定残留风险的存在,平衡安全与发展的关系。另外当避免某些风险的成本过高时,接受一定风险也是合理的策略。控制风险应该从风险的产生入手,数据安全风险主要来自于数据大规模流动、聚合和分析,既有数据自身安全风险,也有数据利用安全风险。对前者如前所述既有制度已有规定,立法重点是管控数据利用安全风险。从阻断风险产生来看,制度建构思路包括两点:一是在数据分类分级的基础上,对高风险数据的流动和聚合进行重点管控,避免这些数据被不当披露和聚合分析,符合可控性要求;二是对数据分析及分析结果的再利用进行规制,避免数据分析滥用带来的危害,符合正当性要求。3. 以重要数据安全为核心管控国家数据安全风险。由于数据分析只有依靠敏感的高风险数据即我国所称的“重要数据”才可能挖掘出危害安全的信息,如果能够实现这些数据的流转限于有权主体之间并处于一定的控制之下,避免这些数据被任意披露和整合,那么就能大大减少数据聚合分析带来的风险,因此上述制度建构思路的第二点在很大程度上要依靠第一点来实现。这说明数据安全立法的关键在于重要数据保护和管控制度。这种重要数据是介于国家秘密和公开信息之间的一类应该被管控风险的数据。对于管控这类数据的理由,可能会有国家安全、产业利益和个人权益等多重考虑。因在防范数据利用所致国家安全和公共安全风险上存在短板,从实践需求的紧迫性和制度规范的体系性出发,应该将专门性数据安全立法管控重要数据的理由设定为可能严重危害国家安全或公共安全。由此,参考我国相关的法律、立法草案和国家标准,本文将“重要数据”界定为“金融、交通、能源、医疗健康、电子政务等领域收集和产生的不涉及国家秘密,但一旦泄露或者聚合、分析后,可能严重危害国家安全、经济安全、社会稳定、公共健康和安全的数据”。总之,数据安全立法的核心就是确保重要数据安全可控。所谓重要数据的“重要”就是指事关国家安全、公共安全。如此,既可以突出立法重点,也可以避免对数据正常流动和利用造成不当干预,确保数字经济时代数据价值的充分释放。从国内外制度探索来看,数据流转管控主要是基于数据安全风险评估的安全审查和出境管制。由此,重要数据保护制度主要包括以下方面:1. 明确重要数据的识别认定制度。虽然立法不可能列举出重要数据的具体范围,但可以规定重要数据识别认定的所涉领域、标准依据、负责部门和相应程序,构建统一的重要数据管控制度架构。首先,以“抽象概括+具体列举”的方式规定重要数据所涉及的重要行业领域,抽象标准可以概括为数据一旦泄露或者聚合分析等,“可能严重危害国家安全、经济安全、社会稳定、公共健康和安全”;在这一标准下可以列举出所涉及的重要行业领域,如金融、交通、能源、医疗健康、电子政务等。其次,明确重要数据认定的负责部门和相应程序。考虑到不同领域数据存在特殊性,将重要数据认定的负责部门设定为各领域各行业的主管部门较为妥当。鉴于纳入重要数据保护范围的数据处理者会承担法律强制性义务和责任,在重要数据认定程序中应当规定处理者不认可主管部门行政认定时的复议等救济程序。2. 规定重要数据处理者的安全保护义务。对重要数据匹配特别的保护要求和措施,是切实维护国家数据安全的关键所在。首先,明确重要数据处理者范围以及重要数据安全保护原则。借鉴欧盟《一般数据保护条例》和我国《民法典》关于个人数据/信息处理的定义,建议将“重要数据的处理”界定为“包括重要数据的收集、存储、使用、加工、传输、提供、公开等”。这样就能将重要数据保护要求贯穿重要数据的整个生命周期。其次,制定与重要数据处理者安全保护义务相配套的、具有可操作性的国家标准。建议结合数据分类分级标准,根据安全风险的等级,制定贯穿数据生命周期不同阶段的具体安全措施,数据处理者可以根据自身情况作出相应选择。再次,规定重要数据处理者定期风险评估制度。风险评估是风险管控的基础和关键,是处理者安全保护义务的重要内容。应该明确处理者开展重要数据风险评估的年度颇次、实施主体、费用承担、结果处理。如果评估工作由安全测评服务机构承担,考虑到重要数据事关国家安全、公共安全,还应该规定测评服务机构许可准入制度,规范这些服务机构的资质条件、评估流程、评估标准、保密义务、评估结果运用等。为了减少相关企业负担,重要数据风险评估应该与相关评估制度相衔接,避免重复评测。3. 将重要数据安全审查纳入网络安全审查。对高风险数据利用活动进行国家安全审查和处置,是管控国家数据安全风险的必要手段。这种安全审查不是针对所有数据,而是针对关系国家安全、公共安全的高风险重要数据。从网络安全审查制度来看,其审查重点是信息技术产品和服务的安全性和可控性,而重要数据安全审查关注数字环境的安全性和数据利用的可控性,二者在价值定位和审查重点上有类似性,且前者以可验证性技术标准为基础也能满足后者的透明度要求,这说明前者对于后者具有较大的制度相容性。4. 建立重要数据出境管制制度。对于数据跨境流动管制方式,经济合作与发展组织(OECD)概括为四种基本类型:不设管制、事后问责、以安全保护为条件的流动、以专门授权为条件的流动。从重要数据事关国家安全、公共安全来看,此种数据一旦出境可能会大大增加国家安全风险,应当以上述第四种方式严格加以管控,原则上应该禁止重要数据出境,例外流出需要“专门授权”。建立重要数据出境管制制度,目前有两种思路:一是将重要数据纳入出口管制制度;二是建立重要数据出境安全评估批准制度,例如我国《网络安全法》第37条规定,关键信息基础设施在境内收集和产生的重要数据应当在境内存储,确需向境外提供的应当进行安全评估。但应该明确规定重要数据出境评估的启动方式、评估主体、评估范围、评估标准和结果处理等。重要数据认定及其出境评估应由行业主管部门负责。相关文章链接
刘金瑞|数据安全范式革新及其立法展开
近期热点文章
特斯拉称已在中国建立数据中心,将向车主开放车辆信息查询平台
网信办|《汽车数据安全管理若干规定(征求意见稿)》全文
周小川最新演讲澄清数字货币三大误解-附演讲全文
《个人信息保护法》一审稿和二审稿对照表-Word版
《数据安全法》一审稿和二审稿对照表-Word版
突发!中国移动、电信、联通宣布:纽交所维持退市决定!
工信部《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》全文及起草说明
国家四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》
全国人大常委会2021年度立法工作计划
《网络直播营销管理办法(试行)》全文及官方解读
广东高院首次发布互联网领域反不正当竞争和反垄断十大案例
交通运输部印发《交通运输政务数据共享管理办法》
三部门联合召开互联网平台企业行政指导会
182.28亿元!阿里巴巴实施“二选一”垄断行为被罚-附处罚决定书全文
刘金瑞|解析《平台经济反垄断指南》的问题导向
杭州魔蝎公司非法爬取数据侵犯公民个人信息罪一审刑事判决书
增判删除指纹识别信息!国内人脸识别第一案终审宣判
最高检披露2020年网络犯罪基本态势
北京国际大数据交易所成立!附交易所设立工作实施方案
拜登反垄断团队猛将Lina Khan的破圈论文:亚马逊的反垄断悖论
习近平|推动平台经济规范健康持续发展
《国务院反垄断委员会关于平台经济领域的反垄断指南》全文及官方解读
摄像头非法采集人脸信息 名创优品被立案调查
市场监管总局《网络交易监督管理办法》全文及官方解读
腾讯、百度、滴滴等被罚50万!互联网领域反垄断在加强
全国人大常委会将加强重点领域、新兴领域、涉外领域立法
微信好友关系不属于隐私?深圳南山法院判决书全文
全国人大常委会|关于检查《反不正当竞争法》实施情况的报告-全文
公众号推送规则变了,点击“在看”或者把本号设置为置顶星标,以便及时收到推送。