數(shù)據(jù)安全法草案與網(wǎng)絡(luò)安全法部分條款的對(duì)比評(píng)析

■ 賽迪智庫(kù)網(wǎng)絡(luò)安全研究所 張猛

7月2日，全國(guó)人大常委會(huì)第二十次會(huì)議審議了數(shù)據(jù)安全法草案（以下簡(jiǎn)稱“草案”）并公開征求意見，引起廣泛關(guān)注。草案與已施行的網(wǎng)絡(luò)安全法在部分概念和條款上既有區(qū)別又有補(bǔ)充，既有共性又有個(gè)性，既有繼承又有發(fā)展，本文就相關(guān)重要條款進(jìn)行對(duì)比評(píng)析。

1.草案對(duì)“數(shù)據(jù)”概念進(jìn)行補(bǔ)充和延伸。

已生效的網(wǎng)絡(luò)安全法并沒有對(duì)“數(shù)據(jù)”進(jìn)行定義，而采用了“網(wǎng)絡(luò)數(shù)據(jù)”（通過網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)）和“個(gè)人信息”（以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息）兩個(gè)概念，兩個(gè)概念事實(shí)上已涵蓋了公民參與網(wǎng)絡(luò)活動(dòng)中使用各類電子數(shù)據(jù)和涉及個(gè)人信息的部分線下數(shù)據(jù)。由于立法角度差異，草案直接簡(jiǎn)明扼要的將“數(shù)據(jù)”定義為“任何以電子或非電子形式對(duì)信息的記錄”，其保護(hù)范圍較網(wǎng)絡(luò)安全法大大擴(kuò)展，這一改變將電子化記錄與其他方式記錄的信息統(tǒng)一納入數(shù)據(jù)范疇，既符合數(shù)字化時(shí)代的信息安全要求，又適應(yīng)了數(shù)字經(jīng)濟(jì)時(shí)代整體信息保護(hù)和整體信息安全的新要求。

2.草案已具備一定“域外效力”，為反制國(guó)外相關(guān)法律的“長(zhǎng)臂管轄”提供了法理依據(jù)。

與網(wǎng)絡(luò)安全法“在中華人民共和國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)和使用網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理，適用本法”相比，草案更進(jìn)一步，規(guī)定“中華人民共和國(guó)境外的組織、個(gè)人開展數(shù)據(jù)活動(dòng)，損害中華人民共和國(guó)國(guó)家安全、公共利益或者公民、組織合法權(quán)益的，依法追究法律責(zé)任。”當(dāng)今，伴隨著互聯(lián)網(wǎng)的高度發(fā)展，數(shù)據(jù)的收集和存儲(chǔ)早已突破了國(guó)界的限制，不論是歐盟的GDPR還是美國(guó)的CLOUD都極大的擴(kuò)張了其域外數(shù)據(jù)安全管轄權(quán)范圍。GDPR更注重效果原則，只要在客觀效果上構(gòu)成對(duì)本國(guó)或本地區(qū)自然人個(gè)人數(shù)據(jù)的處理，就受GDPR管轄；CLOUD則是拋開數(shù)據(jù)存儲(chǔ)地問題，直接從數(shù)據(jù)控制者提供服務(wù)角度出發(fā)，對(duì)其執(zhí)法機(jī)構(gòu)下達(dá)調(diào)取數(shù)據(jù)命令的適用范圍進(jìn)行了域外擴(kuò)展。草案引入“域外效力”對(duì)保護(hù)我國(guó)國(guó)家主權(quán)和公民個(gè)人權(quán)利意義十分重大。

3.兩部法律均提到了“重要數(shù)據(jù)”這一概念，但受限于實(shí)踐中掌握尺度問題，均未明確界定其范圍。

網(wǎng)絡(luò)安全法對(duì)重要數(shù)據(jù)的分類保護(hù)以及出境做了規(guī)定。該法第二十一條規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)“采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施”。草案第十九條規(guī)定了數(shù)據(jù)分級(jí)分類保護(hù)：“各地區(qū)、各部門應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定,確定本地區(qū)、本部門、本行業(yè)重要數(shù)據(jù)保護(hù)目錄,對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。”草案第二十五條對(duì)重要數(shù)據(jù)的處理者應(yīng)當(dāng)設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)也做出了規(guī)定。雖然兩部法律均未對(duì)重要數(shù)據(jù)范圍進(jìn)行界定，但可通過相關(guān)其他法律及規(guī)則定義進(jìn)行識(shí)別和借鑒，比如，2019年5月28日，國(guó)家互聯(lián)網(wǎng)信息辦公室公布了《數(shù)據(jù)安全管理辦法（征求意見稿）》。其對(duì)“重要數(shù)據(jù)”明確界定為：“重要數(shù)據(jù)，是指一旦泄露可能直接影響國(guó)家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定、公共健康和安全的數(shù)據(jù)，如未公開的政府信息，大面積人口、基因健康、地理、礦產(chǎn)資源等。重要數(shù)據(jù)一般不包括企業(yè)生產(chǎn)經(jīng)營(yíng)和內(nèi)部管理信息、個(gè)人信息等?！?/p>

4.草案確立了全新的“數(shù)據(jù)安全評(píng)估制度”，評(píng)估范圍更廣。

在網(wǎng)絡(luò)安全法及《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》、《數(shù)據(jù)安全管理辦法（征求意見稿）》中，均規(guī)定了數(shù)據(jù)出境的安全評(píng)估制度，但上述制度僅限于數(shù)據(jù)或重要數(shù)據(jù)出境過程中的評(píng)估。如網(wǎng)絡(luò)安全法第三十七條則規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估。而草案所規(guī)定的數(shù)據(jù)安全評(píng)估，范圍則更廣，針對(duì)重要數(shù)據(jù)處理者的全部數(shù)據(jù)活動(dòng)。草案第二十八條規(guī)定：“重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)活動(dòng)定期開展風(fēng)險(xiǎn)評(píng)估,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括本組織掌握的重要數(shù)據(jù)的種類、數(shù)量,收集、存儲(chǔ)、加工、使用數(shù)據(jù)的情況,面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等?！?/p>