數(shù)據(jù)安全國家治理開啟新篇章

黃道麗

近年來，隨著網(wǎng)絡(luò)安全法和配套制度的相繼實施，以及打擊危害公民個人信息和數(shù)據(jù)安全違法犯罪各項措施相繼推進，個人、組織數(shù)據(jù)安全意識明顯提升，數(shù)據(jù)安全整體保障能力在一定程度上有所加強。

與此同時也應(yīng)看到，當下國家整體數(shù)據(jù)安全形勢依然嚴峻。中國對外開放不斷打開新局面，作為當前全球第一數(shù)據(jù)資源大國和全球第二大數(shù)字經(jīng)濟體，海量數(shù)據(jù)聚集，涉及政治、經(jīng)濟、文化、軍事、生物、醫(yī)療、基因、人口、地理等各個領(lǐng)域，以及人民群眾日常衣、食、住、行、銷、樂等各個方面，區(qū)塊鏈、人工智能、5G等新技術(shù)新應(yīng)用場景越來越豐富。同時要看到，各類數(shù)據(jù)擁有主體多樣，處理活動愈加復雜，給數(shù)據(jù)安全、社會安全、國家安全、海外利益等帶來的風險也不斷發(fā)展與演變。

2021年，數(shù)據(jù)安全法、個人信息保護法和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例等法律法規(guī)相繼施行，承繼、銜接已實施多年的國家安全法、網(wǎng)絡(luò)安全法、密碼法、刑法等，新時代數(shù)據(jù)安全法治保障整體合力已經(jīng)形成，數(shù)據(jù)安全國家治理開啟新篇章。

各有側(cè)重又密切關(guān)聯(lián)的法律關(guān)系

國家安全法、網(wǎng)絡(luò)安全法、個人信息保護法與數(shù)據(jù)安全法等是國家數(shù)據(jù)安全法律體系的重要組成部分，共同構(gòu)筑了中國數(shù)據(jù)安全整體框架和制度，形成了保障數(shù)據(jù)安全的整體合力。

基于定位的不同，以上法律在規(guī)范內(nèi)容方面各有側(cè)重。

2015年，立足于總體國家安全觀，重新制定的新國家安全法頒布實施，第25條明確，國家建設(shè)網(wǎng)絡(luò)與信息安全保障體系，提升網(wǎng)絡(luò)與信息安全保護能力。

2017年實施的網(wǎng)絡(luò)安全法是中國網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)性、綜合性法律，在數(shù)據(jù)安全之外還關(guān)注運行安全、信息安全，確立了包括網(wǎng)絡(luò)安全等級保護制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護制度在內(nèi)的一系列運行安全制度，強調(diào)網(wǎng)絡(luò)空間總體安全。

2021年9月1日開始實施的數(shù)據(jù)安全法，則是中國數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性、專門性法律。其基礎(chǔ)性體現(xiàn)在將數(shù)據(jù)安全最高監(jiān)管機構(gòu)提升至中央國家安全領(lǐng)導機構(gòu)，并明確建立國家數(shù)據(jù)安全工作協(xié)調(diào)機制，加強對數(shù)據(jù)安全工作的統(tǒng)籌，推進國家安全法在數(shù)據(jù)安全領(lǐng)域的落地。其專門性體現(xiàn)在區(qū)別于網(wǎng)絡(luò)安全法等綜合性立法，聚焦數(shù)據(jù)安全領(lǐng)域突出問題，在網(wǎng)絡(luò)安全法外明確諸多創(chuàng)設(shè)性、細化性一系列基本制度及數(shù)據(jù)處理規(guī)則原則，包括數(shù)據(jù)安全審查、數(shù)據(jù)交易安全、數(shù)據(jù)出口管制、數(shù)據(jù)對等措施、重要數(shù)據(jù)出境管理、執(zhí)法數(shù)據(jù)調(diào)取配合、境外數(shù)據(jù)調(diào)取阻斷、政務(wù)數(shù)據(jù)安全、數(shù)據(jù)安全應(yīng)急處置等。

網(wǎng)絡(luò)安全法從網(wǎng)絡(luò)運行安全、網(wǎng)絡(luò)信息安全角度提出了數(shù)據(jù)管理要求，管理對象側(cè)重個人信息和關(guān)鍵信息基礎(chǔ)設(shè)施收集產(chǎn)生的重要數(shù)據(jù)，管理范圍側(cè)重數(shù)據(jù)采集、使用等特定環(huán)節(jié)。

數(shù)據(jù)安全法將任何以電子或其他方式記錄的信息全口徑納入數(shù)據(jù)范疇予以保護，并對數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等全流程予以監(jiān)管，確保數(shù)據(jù)的“有效保護”和“合法利用”兩種狀態(tài)。

與數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法在關(guān)注個體權(quán)益保障的同時，更加關(guān)注國計民生、國家安全等宏觀安全和公共利益不同，個人信息保護法則是一部權(quán)益保護法，旨在維護人民群眾在網(wǎng)絡(luò)空間的合法權(quán)益，以民法典所確立的個人信息民事權(quán)益為基礎(chǔ)，確立了以個人“知情同意”為核心的數(shù)據(jù)處理規(guī)則，以及包括決定權(quán)、查閱復制權(quán)、可攜帶權(quán)、更正權(quán)、刪除權(quán)等在內(nèi)的一系列權(quán)利。

同時，法律之間又密切關(guān)聯(lián)。網(wǎng)絡(luò)安全與數(shù)據(jù)安全是“一體兩面”的關(guān)系，維護網(wǎng)絡(luò)安全的目的是保護數(shù)據(jù)和個人信息安全，保護數(shù)據(jù)和個人信息安全有賴于維護網(wǎng)絡(luò)安全。

數(shù)據(jù)安全法將網(wǎng)絡(luò)安全法確立的網(wǎng)絡(luò)安全等級保護制度、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度延伸至數(shù)據(jù)領(lǐng)域，強化數(shù)據(jù)安全與網(wǎng)絡(luò)安全的銜接。網(wǎng)絡(luò)安全等級保護制度作為網(wǎng)絡(luò)安全法確定的基礎(chǔ)制度，在保護數(shù)據(jù)和個人信息安全方面發(fā)揮了重要作用。數(shù)據(jù)安全法將網(wǎng)絡(luò)安全等級保護制度作為數(shù)據(jù)安全保護的基礎(chǔ)制度，規(guī)定“利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動，應(yīng)當在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護義務(wù)”。

同時，將重要數(shù)據(jù)出境安全管理制度與網(wǎng)絡(luò)安全法中規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)出境安全評估制度相銜接，將數(shù)據(jù)安全與網(wǎng)絡(luò)安全保護制度統(tǒng)籌設(shè)計、有效銜接。

作為網(wǎng)絡(luò)安全法重要配套行政法規(guī)的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例將維護數(shù)據(jù)的完整性、保密性和可用性作為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的核心目標之一，并在第15條運營者職責中明確納入“履行個人信息和數(shù)據(jù)安全保護責任，建立健全個人信息和數(shù)據(jù)安全保護制度”。

個人信息作為數(shù)據(jù)類型的一種，個人信息保護法第9條明確規(guī)定，個人信息處理者應(yīng)當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息安全，并在第五章“個人信息處理者的義務(wù)”中對義務(wù)作出了具體規(guī)定，包括制定內(nèi)部管理制度和操作規(guī)程、對個人信息實行分類管理、采取相應(yīng)的加密、去標識化等安全技術(shù)措施、合規(guī)審計、個人信息保護影響評估等等。

個人信息除受個人信息保護法規(guī)范外，其安全管理也同樣需要遵守數(shù)據(jù)安全法的規(guī)定。

同樣的，數(shù)據(jù)安全法第32條規(guī)定了數(shù)據(jù)合法正當收集的原則，不得竊取或者其他非法方法獲取數(shù)據(jù)，同時也規(guī)定，法律、行政法規(guī)對收集、使用數(shù)據(jù)目的、范圍有規(guī)定的，應(yīng)該在此范圍內(nèi)收集、使用。

值得一提的是，以上基本法律都無一例外有類似“違反本法規(guī)定，構(gòu)成犯罪的，依法追究刑事責任”的專門規(guī)定。區(qū)別于網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個人信息保護法三法主要通過行政監(jiān)管的方式強化安全保護，刑法和兩高的司法解釋是通過刑事手段保障數(shù)據(jù)安全和公民個人信息合法權(quán)益。

網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個人信息保護法中諸多規(guī)定與刑法已實現(xiàn)對接，違反其中規(guī)定，構(gòu)成犯罪的將追究刑事責任。與數(shù)據(jù)安全相關(guān)的刑法罪名主要體現(xiàn)在第二百五十三條之一“侵犯公民個人信息罪”、第二百八十五條“非法獲取計算機信息系統(tǒng)數(shù)據(jù)”、第二百八十六條“破壞計算機信息系統(tǒng)罪”、第二百八十六條之一“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”等。

各類數(shù)據(jù)擁有主體多樣，處理活動愈加復雜，給數(shù)據(jù)安全、社會安全、國家安全、海外利益等帶來的風險也不斷發(fā)展與演變

司法解釋方面則涉及2011年6月最高人民法院、最高人民檢察院《關(guān)于辦理危害計算機信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》、2017年3月最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》、2019年6月最高人民法院、最高人民檢察院《關(guān)于辦理非法利用信息網(wǎng)絡(luò)、幫助信息網(wǎng)絡(luò)犯罪活動等刑事案件適用法律若干問題的解釋》等，為數(shù)據(jù)安全和公民個人信息犯罪明確了定罪量刑標準。

法律的生命力在于實施

目前，中國正式迎來國家安全法、數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法、個人信息保護法、刑法等法律并行的數(shù)據(jù)安全國家治理新階段，規(guī)則細化等各方面的工作已在加速開啟中。

2021年5月27日，數(shù)據(jù)安全管理條例納入國務(wù)院2021年度立法工作計劃;2021年7月10日，以落實數(shù)據(jù)安全法第24條數(shù)據(jù)安全審查制度為目的的《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》向社會公開征求意見;2021年10月29日，同時以網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個人信息保護法三法為上位制定依據(jù)，多年來備受各界關(guān)注的《數(shù)據(jù)出境安全評估辦法（征求意見稿）》向社會公開征求意見。

值得注意的是，在穿透網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法的網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度上，數(shù)據(jù)安全法將實施近20年的網(wǎng)絡(luò)安全等級保護制度中的數(shù)據(jù)安全保障基因特征進一步凸顯，明確了其在數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)支撐定位。

在此背景下，網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度必然也會順應(yīng)數(shù)據(jù)安全領(lǐng)域新形勢需求，與時俱進，切實落實數(shù)據(jù)安全法賦予的使命和要求。包括但不限于推進規(guī)則指引，強化數(shù)據(jù)安全技術(shù)支撐;在網(wǎng)絡(luò)安全等級保護、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護框架下推進數(shù)據(jù)安全保護技術(shù)標準制定出臺，明確技術(shù)措施和必要的其他措施要求。

法律的生命力在于實施，法律的權(quán)威也在于實施?？梢灶A見，不僅是規(guī)則細化完善，協(xié)同監(jiān)管執(zhí)法、法律競合適用、執(zhí)法規(guī)范建設(shè)、安全責任落實、主動合規(guī)遵循、違法犯罪打擊、立法影響評估等都將成為考量數(shù)據(jù)安全法治實施效能的重要內(nèi)容。

編輯：朱弢