一、草案出台背景
近年来,随着数字经济的兴起和飞速发展,数据在社会发展、民众生活中扮演起了越来越重要的角色。2020年4月9日,中共中央、国务院印发的《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》更是明确将数据列为土地、劳动力、资本、技术之后的第五大生产要素并强调要加快数据要素市场的培育。在此背景下,在经历将近两年时间的立法筹备、研究之后[1],2020年6月28日,《中华人民共和国数据安全法(草案)》(以下简称“《数据安全法(草案)》”)正式在第十三届全国人大常委会第二十次会议上接受审议。2020年7月3日,《数据安全法(草案)》全文正式在中国人大网公布并向社会公开征求意见。
《数据安全法(草案)》全文分为七章(共五十一条),依次为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则。实际上,在《数据安全法(草案)》公布之前,2019年5月28日,国家互联网信息办公室曾发布了《数据安全管理办法(征求意见稿)》,对于数据安全管理作出了较为详细的规定。而本次《数据安全法(草案)》则是作为数据安全的上位法,对于数据的安全与发展、数据保护等作出了更为概括和方向性的规定。以下,我们将对《数据安全法(草案)》中的重点法条和立法亮点进行简要评析。
二、重点法条简析
(一)明确适用范围及重要定义
《数据安全法(草案)》第一个亮点在于明确了适用范围,包含了域外管辖的规定。《数据安全法(草案)》第二条明确规定了“属地”与“保护性管辖”相结合的适用范围,即《数据安全法(草案)》适用于“中华人民共和国境内开展的数据活动”以及“中华人民共和国境外的组织、个人开展的损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的数据活动”。近年来,随着信息技术的不断发展,加之数据具有“跨地域”、“跨国界”的特点,数据活动往往已经突破了地域和国界的限制。因此《数据安全法(草案)》需要拥有一定的域外效力以规制来自域外的有可能危害到国家、公共、公民利益的数据活动。这一点,与2017年生效的《网络安全法》采取了同样的“保护性管辖”原则[2],对来自域外的网络安全活动进行规制。不仅如此,随着各国之间数据资源竞争的加剧,对于数据主权的争夺成为了各国的关注重点[3],各国扩大数据安全域外管辖权已经成为了国际趋势。例如,2016年欧盟出台《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”),其中第三条明确规定了“属人”、“属地”、“保护性管辖”、“国际公法”等多个管辖原则相结合的管辖原则,扩大了GDPR的域外适用范围。因此,可以说《数据安全法(草案)》规定的“属地”加“保护性管辖”的适用范围符合数字时代数据发展的客观情况,与《网络安全法》等相关法律的保持了一致性,顺应了国际数据安全相关立法的发展趋势。
但值得一提的是,我们也注意到《数据安全法(草案)》第二条并未对“损害中华人民共和国国家安全、公共利益或者公民、组织合法权益”这一域外管辖的情形作进一步的解释。我们理解,这虽然在一定程度上保持了法律适用时的灵活性,给执法机关留有较大的理解和解释的空间,但同时,由于该条规定并未明确损害是否需要达到一定标准才落入适用范围或者仅仅是具有损害的可能性既可以适用《数据安全法(草案)》,因此在实际适用中可能会出现难以找到适当的适用标准的问题。加之,域外效力主要规制的是来自域外的组织、企业以及个人,域外效力的不明确很可能导致《数据安全法(草案)》在实际适用时产生不必要的国际争议,有损中国在国际社会上的形象。因此,对于《数据安全法(草案)》第二条域外效力的进一步明确就显得尤为重要。相比之下,GDPR针对域外效力的规定则相对更加具体、清晰。GDPR第三条第2款明确规定,“即便数据处理者、控制者以及数据处理行为均不发生在欧盟境内,但为了保护欧盟及欧盟境内居住的数据主体的合法权益,只要向欧盟数据主体提供产品或服务或监控其行为的个人数据处理行为,均受到GDPR的约束[4]。”从这一角度而言,我们期待《数据安全法(草案)》能够一定程度借鉴GDPR的立法经验,对域外效力的规定进一步完善,使其更加具体、清晰并且便于适用。
《数据安全法(草案)》另一个重点在于明确了数据、数据活动以及数据安全的定义。实际上,2019年公布的《数据安全管理办法(征求意见稿)》也曾经试图对相关概念进行定义,但两者定义的范围实则有所不同。相比之下,《数据安全法(草案)》通过对数据、数据活动等定义进行概念上的拓宽,赋予了数据、数据活动范围更广的内涵。为便于对比,我们分别将《数据安全法(草案)》和《数据安全管理办法(征求意见稿)》对数据和数据活动的定义整理如下:
从上表可见,《数据安全管理办法(征求意见稿)》第三十八条定义了“网络数据”的概念,该定义中重点强调了数据的来源途径是“网络”且存在形式是“电子”数据。而相比之下,《数据安全法(草案)》第三条定义的数据是“任何以电子或者非电子形式对信息的记录”,显然,《数据安全法(草案)》所定义的数据涵盖但是又超出了《数据安全管理办法(征求意见稿)》定义的网络数据的范围。此外,就数据与个人信息的关系,《数据安全法(草案)》与《数据安全管理办法(征求意见稿)》的处理也略有不同。根据《数据安全管理办法(征求意见稿)》第一条的规定,个人信息和重要数据似乎为平行关系[5],可以理解为个人数据属于“重要数据”之外的其他数据。而从《数据安全法(草案)》对于数据的定义可以明确看出,作为“任何以电子或者非电子形式对信息的记录”的数据应该包括了个人信息,因此个人信息应属于数据的下层概念,两者之间具有从属性。《数据安全法(草案)》对数据活动的概念也进行了一定程度上的拓宽。根据《数据安全管理办法(征求意见稿)》,数据活动是指“数据的收集、存储、传输、处理、使用等活动”。相比之下,《数据安全法(草案)》则将数据活动拓宽为“数据的收集、存储、加工、使用、提供、交易、公开等行为”,增加了数据的加工、提供、交易、公开等活动,但未提及“传输”和“处理”。我们理解,虽然传输和处理的数据活动也可以理解为包含在数据的“提供”和“加工”过程中,但并不是完全相同的数据活动,既然是以列举的方式进行规定,建议将《数据安全管理办法(征求意见稿)》列举的“传输”和“处理”等数据活动也包含在《数据安全法(草案)》对于数据活动的定义当中。
虽然《数据安全法(草案)》对多个重要概念进行了定义,但我们也注意到,对于《数据安全法(草案)》中重复出现的“重要数据”、“重要数据处理者”、“数据交易中介机构”等概念均并未明确定义。而像“重要数据”这一概念在《数据安全管理办法(征求意见稿)》和2017年8月30日公布的《信息安全技术数据出境安全评估指南》(征求意见稿)[6]已有明确的定义。因此,我们也期待《数据安全法(草案)》也能明确包括“重要数据”在内的多个概念的定义。
(二)明确国家作为数据分级分类工作的主体
在《数据安全法(草案)》公布之前,由部门、行业主管机构开展数据分级和分类工作已经在多个行业及领域开始逐步推行。例如,我国证券监督管理委员会曾在2018年9月公布了《证券期货业数据分类分级指引》,为证券期货业数据的分级和分类工作提供指引;今年2月,我国工业和信息化部印发了《工业数据分类分级指南(试行)》,对工业数据进行了分类和分级。而根据《数据安全法(草案)》第十九条规定,国家将按照“数据在经济社会发展中的重要程度以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度”对数据实行分级分类保护。由此,《数据安全法(草案)》明确了国家作为开展数据分级和分类工作主体的基调。相比于由各部门、行业主管机构开展数据分级和分类工作,国家作为数据分级和分类工作的主体有利于各类数据在一个较为统一的标准下进行分级和分类,可以避免部门、行业主管机构适用不同的分类和分级标准的情况,有助于国家开展统一的数据安全监管活动。不仅如此,在涉及国家安全的重要数据上,部门、行业主管机构的划分标准可能并不能从宏观层面上满足国家对于这类重要数据进行划分从而进行统一的安全监管的要求,这便凸显了国家作为数据分级和分类主体的重要性。
《数据安全法(草案)》在第十九条[7]还赋予了各地区、各部门确定本地区、本部门重要数据的权利,有利于各地区、各部门根据自身客观情况灵活确定需纳入保护目录的重要数据。但是值得注意的是,各地区、各部门在根据自身不同情况确定保护目录时,应适用统一数据分级和分类标准以避免出现不同部门、不同地区之间的“数据安全洼地”现象[8]。这也从侧面表明了《数据安全法(草案)》将国家作为数据分级和分类主体的必然性与优越性。
(三)构建数据安全监管框架
《数据安全法(草案)》第六、第七条[9]明确了中央、地方及各部门、行业主管部门的数据安全监管职责,构建了多层级的数据安全监管基本框架。概括来说,中央国家安全领导机构负责数据安全工作的决策及统筹协调;地方及各部门承担本地方及本部门数据安全职责;各行业主管部门承担本行业数据安全职责。除此之外,公安机关、国家安全机关在各自职能范围内承担数据安全职责,国家网信部门则主要承担网络数据安全相应的职责。由此可见,《数据安全法(草案)》构建的多层级数据安全监管框架明确了各级数据安全监管机构的职责,有助于各级数据安全监管机构在中央国家安全领导机构的统一决策以及领导下开展数据安全监管活动,提高数据安全监管工作的效率。
与此同时,值得注意的是《数据安全法(草案)》提供的数据安全监管框架在一定程度上可能导致部分“极端情况”的出现。鉴于数据具有跨地域性、跨部门性、跨行业性等交叉、复杂的特点,因此地方各部门、各行业主管部门在实际进行数据安全监管时,很可能出现“谁都想管或谁都不管”的窘境,容易造成不同监管机构之间相互扯皮,阻碍数据安全监管工作的及时有效进行。
针对这一问题,GDPR创设的一站式监管机制或许能够给我们带来一些启发。在解决在多个欧盟成员国均有业务或经营场所的企业和组织的数据安全监管问题时,GDPR创设了一站式监管机制,即指定在几个相关成员国的数据保护监管机构中一个主要机构作为监管的牵头机构(例如主要营业地的数据保护监管机构作为主导监管机关),监管对象则只需对该指定的数据监管机构履行相应义务[10]。同理,在一些领域存在部门和行业主管机构交叉或部分重叠的数据监管情况下,可以指定一个主要机构作为监管的牵头机构,受监管对象对其履行相应义务。
因此,针对《数据安全法(草案)》创设的多层级数据安全监管框架,我们期待在广泛征求公众意见之后,《数据安全法(草案)》的现有监管框架能得到进一步的补充,明确各级机构的监管职责,扫清潜在的数据安全监管盲区,从而形成统一、强有力的数据安全监管体系,持续维护我国的数据安全。
(四)构建数据安全审查制度
《数据安全法(草案)》第二十二条[11]提出了构建数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。数据作为基本生产要素,是推动经济社会创新发展的关键因素。但是随着信息技术的不断发展,数据对于国家安全的影响也日趋明显。正是针对这一客观现状,《数据安全法(草案)》明确提出了建立数据安全审查制度这一重要举措。但是较为遗憾的是,根据公布的《数据安全法(草案)》全文内容来看,第二十二条仅是从宏观决策层面上提出要建立相关的数据安全审查制度,但并未详细规定数据安全审查制度的内涵。例如,数据安全审查的机构、范围、程序等具体内容,虽然第二十二条最后提到的“依法作出的安全审查决定为最终决定”,但到底如何开展该等数据安全审查以及由谁、如何做出决定还需要有更详细的配套规定加以明确。与此同时,上文提到的数据安全监管体系在一定程度上与数据安全审查制度存在部分重叠,因为两者都涉及对数据安全的监管以及审查。因此如何厘清两者的关系以及适用范围还需要立法机构进行进一步的明确。
(五)明确法律责任
《数据安全法(草案)》的另一重点则是在第六章规定了违反数据安全保护相关规定的法律责任。总体来说,开展数据活动的组织如未履行相应义务,将面临一至十万,最高可达一百万元的罚款,直接责任人员将面临五千到五万,最高十万的罚款;数据交易中介机构如未履行相应义务导致非法来源数据交易的或者未取得许可、备案的,最高将面临违法所得十倍或一百万元的罚款,并可以由有关主管部门吊销相关业务许可证或者吊销营业执照。
《数据安全法(草案)》虽然明确了单位和相关责任人的的法律责任,但相关条款的规定并不清晰,在实践中可能出现执行困难的问题。举例而言,《数据安全法(草案)》第四十一条至第四十四条均提到了“有关主管部门”可以对于违反数据安全保护规定的组织和个人进行处罚,然而回顾《数据安全法(草案)》全文,“有关主管部门”具体包括哪些具有执法权的部门、机构并不是十分明确。同样,第四十二条提到“拒不改正或者造成大量数据泄露等严重后果的,处十万元以上一百万元以下罚款”,但是《数据安全法(草案)》并未对“大量数据泄露”的标准以及“严重后果”的具体情形进一步的解释和说明,很可能会导致执法机构在执法时留有过大的自由裁量空间而导致执法标准不统一的情形。不仅如此,目前的《数据安全法(草案)》也并未细化执法机构在决定行政处罚时所需考虑的具体因素。
相比之下,GDPR在这方面为《数据安全法(草案)》提供了一定的参考。GDPR第八十二条第2款规定了多项执法机构在决定行政罚款时需考虑的因素,例如违法行为的性质、严重程度、持续时间、违法者采取的补救措施、与执法机构的配合情况等诸多因素[12]。因此,《数据安全法(草案)》如果可以在现有法条的基础上进一步细化法条的具体内容,则将大大提高其可操作性。
与此同时,我们注意到《数据安全法(草案)》设置的处罚标准可能并不能有效地遏制潜在的数据安全违法行为。目前来看,《数据安全法(草案)》规定的处罚上限仅为一百万元或者违法所得的十倍罚款(以较高者为准),整体上属于较低的违法成本,这也可能从客观上导致企业缺乏合规的内在动力。相比之下,GDPR规定了2000万欧元(约合人民币1.6亿元)或上一财年全球营业额4%的罚款上限[13](以较高者为准)。例如,2019年谷歌就因未履行GDPR规定的义务而遭受到了法国数据保护机构作出的5000万欧元(约合人民币4亿元)的巨额罚款[14]。在潜在的巨额罚款压力之下,数据处理者和数据交易机构往往会建立企业级的数据合规体系以避免被处罚的风险。GDPR的相关实践实际上为我国《数据安全法(草案)》提供了良好的经验。因此,我们认为可以考虑适时提高违法成本,督促企业建立、健全内部数据合规体系。同时,考虑到数据合规体系对于我国数据处理者、中间交易者、个人乃至政府相应职能部门来说仍属于较为新兴和陌生的领域,我们建议相关立法机构在构建《数据安全法(草案)》法律责任时,设计和解机制[15]或者缓冲期,以促进企业进行内部数据合规体系的建设及完善。
三、小结
《数据安全法(草案)》由于是数据安全方面的基本法律,因此整体而言,其规定较为概括和原则。虽然第二十五条对企业在开展数据活动时提出了健全全流程数据安全管理制度,组织开展数据安全教育培训等要求;第二十七条规定了重要数据处理者应该加强数据风险监测;第二十八条要求重要数据的处理者应当按照规定对其数据活动定期开展风险评估等,这些都是对企业在开展数据活动中的具体合规要求。然而,整体而言,由于《数据安全法(草案)》中仍有较多概念并未明确,且相关规定仍在讨论过程中,我们也期待未来正式出台的《数据安全法》能为企业合规提供更多更具有操作性的指引。
同时,我们也期待随着《数据安全法(草案)》的出台,有关数据安全的主管部门的职能和分工能更为明确,更多配套的数据安全规范性文件能够发布并实施,以便为企业的数据安全保护及合规工作提供更为明确的指引。
注释
[1] 2018年9月第十三届全国人大常委会公布的立法规划中明确将《数据安全法》列为“条件比较成熟、任期内拟提请审议的法律草案”,网址:http://www.npc.gov.cn/npc/c30834/201809/f9bff485a57f498e8d5e22e0b56740f6.shtml,访问时间:2020年7月15日
[2] 《网络安全法》第七十五条:境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。
[3] 《数据安全法草案:明确区分数据和信息,各地可建重要数据保护目录》,网址:https://mp.weixin.qq.com/s/Izbeod_SAHajt9My4A9G7w,访问时间:2020年7月15日
[4] 中国信息通信研究院等,《欧盟GDPR合规指引》,2019年5月,第2页,网址:http://www.caict.ac.cn/kxyj/qwfb/ztbg/201905/P020190528556912534746.pdf,访问时间:2020年7月16日
[5] 《数据安全管理办法(征求意见稿)》第一条:为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规,制定本办法。
[6] 《信息安全技术数据出境安全评估指南》(征求意见稿)第3.5条 相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)
[7] 《数据安全法(草案)》在第十九条 国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。
各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。
[8]《数据安全法草案:明确区分数据和信息,各地可建重要数据保护目录》,网址:https://mp.weixin.qq.com/s/Izbeod_SAHajt9My4A9G7w,访问时间:2020年7月15日
[9] 《数据安全法(草案)》第六条 中央国家安全领导机构负责数据安全工作的决策和统筹协调,研究制定、指导实施国家数据安全战略和有关重大方针政策。
第七条 各地区、各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任。工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
[10] 《通用数据保护条例》第56条,网址:https://gdpr-info.eu/art-56-gdpr/,访问时间:2020年7月16日
[11] 《数据安全法(草案)》第二十二条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。依法作出的安全审查决定为最终决定。
[12] 《通用数据保护条例》第83条,网址:https://gdpr-info.eu/art-83-gdpr/,访问时间:2020年7月16日
[13] 《通用数据保护条例》第83条,网址:https://gdpr-info.eu/art-83-gdpr/,访问时间:2020年7月16日
[14] 欧盟数据保护委员会,The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC,网址:https://edpb.europa.eu/news/national-news/2019/cnils-restricted-committee-imposes-financial-penalty-50-million-euros_en,访问时间:2020年7月15日
专业领域
