FinTech Insights · 政策解读 | 《数据安全法》:我国首部数据法律 安全与发展并重
深度观察
FinTech Insights
“深度观察·FinTech Insights”聚焦金融科技相关主题,通过深入剖析行业发展动态与趋势,呈现更全面、立体的金融科技行业面貌,旨在为读者提供多元的思考和解读。
导言
Preface
2021年6月10日,《数据安全法》经十三届全国人大常委会第二十九次会议通过,并将于2021年9月1日起施行。本法是数据领域的基础性法律,也是国家安全领域的一部重要法律。作为一部统筹数字经济时代“安全与发展”并重的法律,《数据安全法》标志了个人数据野蛮掘金时代的结束,也将为下一阶段数字经济的发展提供更多保证。
#01
《数据安全法》出台背景
随着经济数字化和社会数字化的转型发展,数据已经成为我国政府和企业最核心的资产。
与此同时,数据泄露也成为一大隐患。据公开报道,2020年全球数据泄露的平均损失成本为1145万美元,2019年数据泄露事件达到7098起,涉及151亿条数据记录,比2018年增幅284%。
数据安全成为全球各个国家的共识。世界各国政府也相继出台数据保护法律法规。
欧盟于2016年审议通过《通用数据保护条例》(General Data Protection Regulation,GDPR),并于2018年正式实施的数据安全法律。以「属人」「属地」「保护性管辖」和「国际公法」等多个管辖原则相结合,被认为是最严格的数据保护法令。GDPR法案要求不论数据控制者、处理者及其处理行为在欧盟境内还是境外,只要处理的是欧盟境内居民的数据,均适用此法案,对数据实施长臂管理。
2018年3月23日,时任美国总统特朗普正式签署了《澄清域外合法使用数据法》,法案要求对危害美国国家安全的犯罪、严重刑事犯罪等重大案件,无论服务提供者的通信、记录或其他信息是否存储在美国境内,要求服务商根据该法案进行调取并提供相关证据。
目前全球已有近100个国家和地区制定了数据安全保护的法律,数据安全保护专项立法已成为国际惯例。
在我国,《数据安全法》正式出台之前,已发布多个相关政策规定:2015年发布《促进大数据发展行动纲要》,2016年审议通过《中华人民共和国网络安全法》并于次年6月正式施行,2018年发布《科学数据管理办法》,2020年发布《关于构建更加完善的要素市场化配置体制机制的意见》。这充分体现了数据安全政策导向明确,国家数据战略清晰。
杭州安恒信息技术股份有限公司董事长范渊表示,数据泄漏事件影响大、损失重。数据掌控、利用以及保护能力,既是确保广大人民群众在数字化发展中获得更多幸福感、安全感,也是提升国家竞争力的核心要素。《数据安全法》作为我国首部与数据安全相关的法律,自2020年6月28日以来经历了三次审议与修改,该法的出台标志着我国将数据安全保护的政策要求,通过法律文本的形式进行了明确和强化。
#02
《数据安全法》亮点
《数据安全法》总则第一条开宗明义,明确了该法是“为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益”的目的。
《数据安全法》共七章五十五条,主要内容包括数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等。
国家工业信息安全发展研究中心副总工程师兼信息政策所所长黄鹏认为,《数据安全法》体现了国家对数据安全领域的高度关注,其主要亮点包括以下几个方面:
一是追求维护数据安全与引导数字经济发展之间实现动态化平衡。该法聚焦数据安全领域的突出问题,提出数据安全制度、数据安全保护义务、政务数据安全与开放等,确保数据活动符合安全要求。
与此同时,该法纳入发展数字经济理念,推动政务数据开放利用,利用数据提升公共服务的智能化水平,培育数据交易市场。因此,该法总体上体现了国家统筹发展和安全的基本理念。
二是更加重视数据安全制度的建设。该法将数据安全制度单独作为一章进行规定,明确提出数据分类分级保护制度,确定重要数据具体目录,并提出了核心数据的新概念。通过明确数据安全风险评估、报告、信息共享、监测预警机制、应急处置机制、安全审查制度、出口管制制度等,强化内控制度建设,防控数据安全风险。
三是加强对国家数据安全工作的统筹,确定行业安全责任、监管与统筹协调的主体。该法重新明确了监管职责,确定各地区、各部门的主体责任,由网信部门发挥统筹协调职能,工业、电信、交通、金融等主管部门承担相关行业和领域的监管职责,公安机关和国家安全机关等承担相关职责范围的监管职责。通过明确国家层面的统筹协调职能,确保后续国家数据安全战略和重大方针政策的有效落地和执行。
四是增加对数据泄露活动危及国家安全的处罚力度。该法增加了对违反国家核心数据管理制度的处罚力度,对危害国家主权、安全和发展利益的,非法向境外提供重要数据的,处以最高1000万元罚款。因此,该法对数据安全风险设置了基本“红线”,一旦数据泄露事件危及国家安全,将面临巨额罚款。
#03
《数据安全法》对行业的影响
中国工程院院士沈昌祥表示,《数据安全法》的出台,将有助于提升我国的数据安全保障能力,加强我国应对因数据引发的国家安全风险与挑战,有助于全面维护国家主权、安全和发展利益。
大数据和人工智能产业的快速发展,促使数据产业持续野蛮生长,然而由于市场发展速度快于法律。一直以来,数据采集、存储、管理、加工、应用和流通等环节都处在无法可依的无序发展状态。
《数据安全法》的推出,为国内的数据应用行业和整个市场提供了新的行为准则,也设立了行业的准入门槛,从法律角度促进了数据应用和交易规范化,也加强了全社会对数据安全防护的重视。
数据应用规范化。《数据安全法》为数据产业、数字经济划定了数据应用的边界。在数据收集、管理、应用方面,做到合规、合法将成为企业运营数据业务的新门槛。
规范数据应用,既约束了数据的非法采集和滥用,又保护了数据提供方和普通民众的信息,让数据真正成为数字经济发展的血液。以数据开放、数据保护、数据流动等为基础的数据规则或将构建并逐步完善,不断促进数字经济发展。
数据交易规范化。数据资产化是近年来行业中的热点话题,随着数据的应用水平逐步提高,数据市场化交易、流通需求迅速扩大。然而,数据市场在交易过程缺乏相关的法律法规管理,交易机制不完善,中介服务商不规范,直接导致了市场中存在大量损害消费者及企业利益的违规、违法交易。同时,现存于市场中的数据中介服务机构在实际运营中也存在很大的法律风险。
目前,国内存在各种地方数据交易中心,例如贵阳数据交易中心、上海大数据交易中心等数据交易平台,在各地之间的数据交易呈现地域化特点。《数据安全法》将数据中介服务商纳入规范范畴,提出规范数据交易,并制定了中介服务商的问责制度,解决了长期以来,我国数据交易市场缺乏具体的管理制度的局面。
安全防护常态化。数字经济加速各行各业发展的同时,也带来了相应的数据安全问题。在过去的十年中,针对数据的安全事件不胜枚举,造成的损失小到工程停产、设备损坏,大到核设施停摆、国家能源运输瘫痪。《数据安全法》的出台,使数据安全保护有法可依,对威胁数据安全的不法分子起到了约束作用。
与此同时,《数据安全法》明确了企业在保护数据安全方面的责任,对企业的数据安全建设提出了要求。企业数据安全防护将逐步常态化,企业在整个企业的数字化安全防护方面的投入也将有所扩大,这也从一定程度上加速了国内数字化安全防护产业的整体发展。
附:
《数据安全法》要点解读和提炼
《数据安全法》的出台标志着我国将数据安全保护的政策要求,通过法律文本的形式进行了明确和强化。
本法一共七章五十五条,其中“总则”、“法律责任”及“附则”三章属于常规章节,另外四个章节围绕“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”提出要求。
一、总则的要点
1) 适用范围:在中国境内开展数据活动的组织和个人。
2) 定义:数据是指任何以电子或者非电子形式对信息的记录。
3) 保护要求:釆取必要措施,对数据进行有效保护和合法利用,并持续保持其安全能力。
4) 责任任务:工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主要行业会落地数据保护行业规范,并且落地本部门的数据安全规范。公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。网信部门负责统筹协调和监管。
5) 特别的对行业组织提出了制定安全行为规范,加强行业自律,指导会员加强数据安全保护的要求。这项法规有效地消灭了灰色地带,对各行业都形成了法律约束,杜绝了数据的随意共享和流转。
二、数据安全与发展要点
6) 发展原则:国家统筹发展和安全,坚持保障数据安全与促进数据开发利用并重。
7) 战略要求:省级以上人民政府应制定数字经济发展规划。进一步细化了国家数据战略的执行主体。
8) 标准体系:国家主管部门负责相关标准和体系的制定。
9) 评估认证:国家促进数据安全检测评估、认证等服务的发展,支持专业机构依法开展服务。
10) 人才培养:要釆取多种方式培养数据开发利用技术和数据安全专业人才。
11) 特别地,加强了公共服务的要求,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
三、数据安全制度要点
12) 分类分级:国家建立数据分类分级保护制度,对数据实行分类分级保护,并确定重要数据目录,加强对重要数据的保护。
13) 风险评估:要建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。
14) 应急处置:要建立数据安全应急处置机制。
15) 安全审查:要建立数据安全审查制度。
16) 出口管制:对属于管制物项的数据依法实施出口管制,可以根据实际情况对该国家或者地区对等采取措施。这项法规进一步明确了国家对中国数据的主权,即我国数据是否在境内,依然受到中国法律的保护。
四、数据安全保护义务要点
17) 管理制度:在网络安全等级保护制度的基础上,建立健全全流程数据安全管理制度,组织开展教育培训。
重要数据的处理者应当明确数据安全负责人和管理机构,进一步落实数据安全保护责任主体。
18) 风险监测:对出现缺陷、漏洞等风险,要釆取补救措施;发生数据安全事件,应当立即采取处置措施,并按规定上报。
19) 风险评估:定期开展风险评估并上报风评报告。
20) 数据收集:任何组织、个人收集数据必须釆取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
21) 数据交易:数据服务商或交易机构,要提供并说明数据来源证据,要审核相关人员身份并留存记录。
22) 经营备案:数据服务经营者应当取得行政许可的,服务提供者应当依法取得许可。
23) 配合调查:要求依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据,未经批准,不得提供。
24) 特别的,对关键信息基础设施的运营在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
五、政务数据安全与开放要点
25) 管理制度:建立健全全流程数据安全管理制度,落实数据安全保护责任。
26) 存储加工:委托他人存储、加工或提供政务数据,应当经过严格审批,并做好监督。受托方不得擅自留存、使用、泄露或向他人提供政务数据。
27) 数据开放:构建统一政务数据开放平台,发布数据开放目录,推动政务数据开放利用。
28) 适用主体:法律、法规授权的具有管理公共事务职能的组织。
六、法律责任要点
29) 不履行规定保护义务:责令改正和警告,给予单位5万至50万元罚款,给予负责人1万至10万元罚款;拒不改正或造成大量数据泄漏等严重后果的,给予单位50万至200万元罚款,最高责令吊销相关业务许可证或者吊销营业执照,给予负责人5万至20万元罚款。
30) 危害国家安全和损害合法权益的:给予200万至1000万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,构成犯罪的,追究刑事责任。
31) 向境外提供重要数据的:由有关主管部门责令改正,给予警告,可以并处10万至100万元罚款,对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。情节严重的,给予100万至1000万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,对负责人给予10万至100万元罚款。
32) 交易来源不明的数据:没收违法所得,对违法所得一至十倍罚款。没有违法所得或违法所得不足10万元的给予10万至100万元罚款,最高责令吊销营业执照;对主管和直接责任人给予1万至10万元罚款。
33) 拒不配合数据调取的:由有关主管部门责令改正,给予警告,可以并处5万元至50万元罚款,对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。
34) 国家机关不履行安全保护义务:对负责人和直接责任人员依法处分。
35) 未经审批向境外提供组织数据的:由有关主管部门给予警告,可以并处10万至100万元罚款,对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。造成严重后果的,给予100万至500万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,对负责人给予5万至500万元罚款。
36) 国家工作人员违法:因玩忽职守、滥用职权、徇私舞弊,依法给予处分。
37) 窃取或非法获取数据的:依照有关法律、行政法规的规定处罚。
38)给他人造成损害:依法承担民事责任,构成犯罪的,依法追究刑事责任。
七、附则要点
39) 涉及国家秘密的数据:依据《中华人民共和国保守国家秘密法》以及相关法律法规执行。
40) 涉及军事秘密的数据:由中央军事委员会依据本法另行制定。
文章观点引自澎湃新闻、中国经济周刊、安恒信息
-END-
推荐阅读
ZAIF
资政兴业 经世致用
潮起钱塘 引领全球