《數(shù)據(jù)安全法》對數(shù)據(jù)安全風險設(shè)置“紅線”

張莉

數(shù)據(jù)已成為新興的生產(chǎn)要素，是國家基礎(chǔ)性和戰(zhàn)略性資源，數(shù)據(jù)安全需求也越發(fā)凸顯。加強對數(shù)據(jù)安全的保護不僅關(guān)乎每個人、每個組織的利益，而且與經(jīng)濟社會發(fā)展和國家安全密切相關(guān)，必須全方位保護其安全。

6月10日，第十三屆全國人民代表大會常務委員會第二十九次會議表決通過《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》），將于2021年9月1日起施行。該法明確建立數(shù)據(jù)分類分級保護制度，建立健全數(shù)據(jù)交易管理制度、安全審查制度，對違法行為的處罰力度加大。最終通過的法案加大了違法行為處罰力度，尤其是對于核心數(shù)據(jù)，違反國家核心數(shù)據(jù)管理制度，危害國家主權(quán)、安全和發(fā)展利益的，最高可罰1000萬元，并可追究刑責。這也意味著對企業(yè)的合規(guī)監(jiān)管、數(shù)據(jù)交易的安全性提出了更高的要求。

填補安全領(lǐng)域的法律空白

《數(shù)據(jù)安全法》作為我國首部與數(shù)據(jù)安全相關(guān)的法律，自2020年6月28日以來經(jīng)歷了3次審議與修改，在此期間持續(xù)引發(fā)了社會各界的廣泛關(guān)注。該法的出臺標志著我國在數(shù)據(jù)安全領(lǐng)域的法律空白得以有效填補，我國各行業(yè)的數(shù)據(jù)安全建設(shè)工作及監(jiān)管工作將進入有法可循、有法可依的新時代。

上海交通大學網(wǎng)絡(luò)安全技術(shù)研究院院長李建華表示，《數(shù)據(jù)安全法》不但對數(shù)據(jù)安全主管機構(gòu)的監(jiān)管職責進行了明確，而且對數(shù)據(jù)安全協(xié)同治理體系的建立與健全起到了積極的促進作用。對于數(shù)據(jù)在開發(fā)、利用、出境以及自由流動等環(huán)節(jié)中的安全性得到明顯加強，從而切實提高數(shù)據(jù)利用的價值，同時其也必將為數(shù)字經(jīng)濟的發(fā)展與創(chuàng)新注入新的源動力。

《數(shù)據(jù)安全法》將有力推動實現(xiàn)維護國家主權(quán)、國家安全、國家利益以及維護全體公民和組織數(shù)據(jù)合法權(quán)益的任務目標，也將成為我國數(shù)字化經(jīng)濟成功轉(zhuǎn)型與健康、安全發(fā)展的強大保障力量。

中國工程院院士沈昌祥認為，《數(shù)據(jù)安全法》的出臺，將有助于進一步提升國家數(shù)據(jù)安全保障能力，有助于加強我國應對因數(shù)據(jù)引發(fā)的國家安全風險與挑戰(zhàn)。加強數(shù)據(jù)安全防護，要堅持積極防范，構(gòu)建基于等級保護的數(shù)據(jù)縱深防御防護體系架構(gòu)，加強可信免疫、主動防護以確保數(shù)據(jù)可信、可控、可管。

國家工業(yè)信息安全發(fā)展研究中心副總工程師兼信息政策所所長黃鵬指出，《數(shù)據(jù)安全法》體現(xiàn)了國家對數(shù)據(jù)安全領(lǐng)域的高度關(guān)注，其主要亮點包括以下幾個方面。

一是追求維護數(shù)據(jù)安全與引導數(shù)字經(jīng)濟發(fā)展之間實現(xiàn)動態(tài)化平衡。該法聚焦數(shù)據(jù)安全領(lǐng)域的突出問題，提出數(shù)據(jù)安全制度、數(shù)據(jù)安全保護義務、政務數(shù)據(jù)安全與開放等，確保數(shù)據(jù)活動符合安全要求。與此同時，該法納入發(fā)展數(shù)字經(jīng)濟理念，推動政務數(shù)據(jù)開放，利用數(shù)據(jù)提升公共服務的智能化水平，培育數(shù)據(jù)交易市場。

二是更加重視數(shù)據(jù)安全制度的建設(shè)。該法將數(shù)據(jù)安全制度單獨作為一章進行規(guī)定，明確提出數(shù)據(jù)分類分級保護制度，確定重要數(shù)據(jù)具體目錄，并提出了核心數(shù)據(jù)的新概念。通過明確數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制、應急處置機制、安全審查制度、出口管制制度等，強化內(nèi)控制度建設(shè)，防控數(shù)據(jù)安全風險。

三是加強對國家數(shù)據(jù)安全工作的統(tǒng)籌，確定行業(yè)安全責任、監(jiān)管與統(tǒng)籌協(xié)調(diào)的主體。由網(wǎng)信部門發(fā)揮統(tǒng)籌協(xié)調(diào)職能，工業(yè)、電信、交通、金融等主管部門承擔相關(guān)行業(yè)和領(lǐng)域的監(jiān)管職責，公安機關(guān)和國家安全機關(guān)等承擔相關(guān)職責范圍的監(jiān)管職責。通過明確國家層面的統(tǒng)籌協(xié)調(diào)職能，確保后續(xù)國家數(shù)據(jù)安全戰(zhàn)略和重大方針政策的有效落地和執(zhí)行。

四是增加對數(shù)據(jù)泄露活動危及國家安全的處罰力度。該法增加了對違反國家核心數(shù)據(jù)管理制度的處罰力度，對危害國家主權(quán)、安全和發(fā)展利益的，非法向境外提供重要數(shù)據(jù)的，處以最高1000萬元罰款。因此，該法對數(shù)據(jù)安全風險設(shè)置了基本“紅線”，一旦數(shù)據(jù)泄露事件危及國家安全，將面臨巨額罰款。

強調(diào)對數(shù)據(jù)的出口管制

據(jù)不完全統(tǒng)計，全球已有超過135個國家（地區(qū)）出臺數(shù)據(jù)保護的法律法規(guī)，其中大多數(shù)涉及到數(shù)據(jù)跨境流動的法律或政策。各國數(shù)據(jù)跨境流動法律法規(guī)的主旨是在本國利益最大化的前提下合法推進數(shù)據(jù)跨境流動。

數(shù)據(jù)出境安全一直是我國數(shù)據(jù)保護領(lǐng)域中立法與執(zhí)法工作的重點。《網(wǎng)絡(luò)安全法》《個人信息保護法》（二審稿）都分別規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運營者、網(wǎng)絡(luò)運營者重要數(shù)據(jù)及個人信息的數(shù)據(jù)出境安全評估要求，但相關(guān)具體細則尚未明確。此次《數(shù)據(jù)安全法》明確了我國對于促進數(shù)據(jù)跨境安全、自由流動的態(tài)度，同時也給出了關(guān)于數(shù)據(jù)跨境流動的明確規(guī)定。從整體上看，我國正在積極開展并促進數(shù)據(jù)領(lǐng)域的國際交流與合作，且按照數(shù)據(jù)分類對于不同數(shù)據(jù)采取相應的出境管理政策。

中國傳媒大學媒體融合與傳媒國家重點實驗室大數(shù)據(jù)中心首席科學家沈浩表示，《數(shù)據(jù)安全法》也是應對全球數(shù)字化和一體化經(jīng)濟發(fā)展的重要舉措，將明確規(guī)范跨境數(shù)據(jù)流動和流轉(zhuǎn)的法律要件，明確數(shù)據(jù)跨境流動的出口管制、報批制度和反制措施，即明晰了國內(nèi)存儲數(shù)據(jù)的跨境和境外司法監(jiān)管的保護機制，有助于開展跨境國際數(shù)據(jù)交流合作，促進數(shù)據(jù)跨境安全自由流動，履行數(shù)據(jù)相關(guān)主體的責任義務和報批流程，實施國家利益的數(shù)據(jù)出口管制，應對境外數(shù)據(jù)活動的歧視性政策和反制措施，使得我國境內(nèi)數(shù)據(jù)安全保護有了國家尚方寶劍。

《數(shù)據(jù)安全法》中還設(shè)置了一項針對數(shù)據(jù)歧視的比較特別的規(guī)定，即“任何國家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術(shù)等有關(guān)的投資、貿(mào)易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據(jù)實際情況對該國家或者地區(qū)對等采取措施?！?/p>

北京大成律師事務所高級合伙人蔡開明指出，“對等措施”的設(shè)置多存在于貿(mào)易法與投資法領(lǐng)域，例如《外商投資法》《出口管制法》等。在作為數(shù)據(jù)安全領(lǐng)域重要法律基礎(chǔ)的《數(shù)據(jù)安全法》中加入對等措施，反映出立法機關(guān)將數(shù)據(jù)安全、數(shù)據(jù)技術(shù)認定為中國企業(yè)壯大發(fā)展的關(guān)鍵要素，也反映出中國立法機關(guān)在復雜國際背景下未雨綢繆的努力。

企業(yè)未來應該加強數(shù)據(jù)安全的自監(jiān)管

加強對數(shù)據(jù)安全的保護已經(jīng)不僅關(guān)乎每個人、每個組織的利益，更與經(jīng)濟社會發(fā)展和國家安全密切相關(guān)。未來的數(shù)字經(jīng)濟中，企業(yè)應該積極按照《數(shù)據(jù)安全法》打造合規(guī)體系，達成“可信承諾”，來確保數(shù)據(jù)的全方位安全。

為進一步落實《數(shù)據(jù)安全法》，中國科學院信息工程研究所二級研究員李鳳華認為，企業(yè)未來應該加強數(shù)據(jù)安全的自監(jiān)管，國家行政主管部門的執(zhí)法監(jiān)管要與企業(yè)自監(jiān)管有機結(jié)合，以促進數(shù)據(jù)有序使用。要強化數(shù)據(jù)安全標準體系建設(shè)，廣泛吸收國家行政主管部門、企業(yè)、科研機構(gòu)、個人的意見，平衡各利益攸關(guān)方的關(guān)切點，提高執(zhí)法有效性，促進企業(yè)對數(shù)據(jù)的合法、合規(guī)使用，減少企業(yè)防護成本，確保個人權(quán)益保障有效可查，充分調(diào)動全社會各利益攸關(guān)方的積極性，真正推動《數(shù)據(jù)安全法》有效落地。

沈浩表示，《數(shù)據(jù)安全法》是我國從數(shù)據(jù)安全立法建立的基本法律制度框架，從事數(shù)據(jù)活動的相關(guān)主體需要結(jié)合自身企業(yè)、行業(yè)和各級政府主管部門需要不斷學習，細化主體責任和落實相關(guān)執(zhí)行細則。加強自身數(shù)據(jù)安全、數(shù)據(jù)隱私保護的技術(shù)能力和監(jiān)管實踐，有效評估數(shù)據(jù)安全風險和處罰力度。數(shù)據(jù)活動主體需要探索數(shù)據(jù)要素與其他生產(chǎn)要素融合產(chǎn)生新的數(shù)據(jù)安全領(lǐng)域的機遇與挑戰(zhàn)，勇于開拓大數(shù)據(jù)與人工智能在數(shù)據(jù)要素的隱私保護技術(shù)。

蔡開明表示，企業(yè)應當開始評估自身業(yè)務活動是否收集、處理重要數(shù)據(jù)與國家核心數(shù)據(jù)，并特別關(guān)注國家有關(guān)部門后續(xù)將發(fā)布的重要數(shù)據(jù)目錄、非關(guān)鍵信息基礎(chǔ)設(shè)施的運營者出境重要數(shù)據(jù)的具體辦法，以及國家核心數(shù)據(jù)相關(guān)規(guī)定的內(nèi)容與要求，以確保在《數(shù)據(jù)安全法》正式實施之前，建立起較為完善的重要數(shù)據(jù)與國家核心數(shù)據(jù)的管理措施。此外，對于業(yè)務活動涉及出口管制范圍內(nèi)數(shù)據(jù)出口、涉及個人信息收集與處理、涉及統(tǒng)計與檔案工作中的數(shù)據(jù)處理活動等的企業(yè)而言，還應當關(guān)注自身操作符合其他相關(guān)法律法規(guī)的要求。