安全資訊

2021年6月10日《數據安全法》正式通過(guò)，并將于同年9月1日正式施行。我國數據安全法治框架的帷幕即將拉開(kāi)，數據安全法治進(jìn)程正式掛擋上路。可以預期，在《數據安全法》的大框架下，更多規范與法規等配套實(shí)施細則將陸續頒布。

《數據安全法》的立法是總體國家安全觀(guān)的重要組成部分，旨在保護數據這一新型生產(chǎn)要素的安全。

《數據安全法》與《網(wǎng)絡(luò )安全法》關(guān)系尤其密切，二者相輔相成，分別從數據與安全的角度為機構設定了大量的合規要求。

值得關(guān)注的是，對個(gè)人信息這一特殊類(lèi)型數據的保護，不僅是安全的需要，也與人格權保護的角度息息相關(guān)，即機構需要考慮用戶(hù)個(gè)人行使訪(fǎng)問(wèn)、修改、刪除等權利時(shí)，如何進(jìn)行協(xié)助。

下面將《網(wǎng)絡(luò )安全法》與《數據安全法》兩部法律的合規框架進(jìn)行了簡(jiǎn)單梳理，幫助機構更全面地理解自己的合規義務(wù)：

除了與《網(wǎng)絡(luò )安全法》關(guān)系密切，《數據安全法》還預留了大量接口與其他法律相銜接，如《刑法》、《保守國家秘密法》、《出口管制法》、《檔案法》等，都會(huì )在不同情況下予以交叉。

在《數據安全法》中，管轄覆蓋了境內與境外兩個(gè)層面：

相較于《網(wǎng)絡(luò )安全法》，《數據安全法》在境外管轄上實(shí)現了突破。

《數據安全法》不會(huì )僅在中國境內具有效力，部分境外的數據處理行為同樣可以依據《數據安全法》進(jìn)行規制。

比如境內組織或個(gè)人開(kāi)展跨境電信詐騙、網(wǎng)絡(luò )賭博活動(dòng)中在境外生成的數據，就可能會(huì )依據《數據安全法》第35條要求有關(guān)機構配合調取境外的數據。

但這可能會(huì )需要《數據安全法》承擔美國CLOUD法案（《澄清境外合法使用數據法》）的相關(guān)職責，未來(lái)少不了在國際間的運用。

在《網(wǎng)絡(luò )安全法》的未來(lái)修訂中，管轄問(wèn)題也可能仿照《數據安全法》，將危害中國國家安全、公共利益或者公民、組織合法權益的境外網(wǎng)絡(luò )活動(dòng)列入管轄范圍。

《數據安全法》中的“數據”，不僅包括電子形式，也包括以其他方式記錄的信息。即無(wú)論是電子形式，或是紙質(zhì)形式的數據都需要受到《數據安全法》的管轄，范圍相當寬泛。

此外，“重要數據”自《網(wǎng)絡(luò )安全法》以來(lái)備受關(guān)注，關(guān)于重要數據定義、范圍、目錄的討論從未間斷。此次《數據安全法》仍未明確重要數據的概念，僅明確重要數據的目錄將由國家數據安全工作協(xié)調機制統籌協(xié)調，并由各地區、各部門(mén)應當按照數據分類(lèi)分級保護制度，確定本地區、本部門(mén)以及相關(guān)行業(yè)、領(lǐng)域的重要數據具體目錄。

預期，隨著(zhù)《數據安全法》的實(shí)施，各部門(mén)、各地區的重要數據目錄也會(huì )加速制定。

“核心數據”是《數據安全法》三審中新增的內容，在此前的兩次審議中均未出現?！稊祿踩ā穼ⅰ瓣P(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數據”列為國家核心數據。

目前尚不清楚核心數據與重要數據會(huì )是何種關(guān)系，是核心數據是重要數據中的特殊類(lèi)別，或是重要數據是除核心數據以外、需要重點(diǎn)保護的數據?？赡茉诤罄m法規中會(huì )逐漸予以明確。

在2020年4月中共中央與國務(wù)院發(fā)布的《關(guān)于構建更加完善的要素市場(chǎng)化配置體制機制的意見(jiàn)》中，明確提出通過(guò)推進(jìn)政府數據開(kāi)放共享、提升社會(huì )數據資源價(jià)值、加強數據資源整合和安全保護加快培育數據要素市場(chǎng)，并引導培育大數據交易市場(chǎng)，依法合規開(kāi)展數據交易，建立健全數據產(chǎn)權交易和行業(yè)自律機制。

在2021年生效的《民法典》中，未對數據權益的保護有更多關(guān)注，僅規定“法律對數據、網(wǎng)絡(luò )虛擬財產(chǎn)的保護有規定的，依照其規定?！保ǖ?27條）這樣的規定連原則性的保護都算不上，只是提供了未來(lái)立法銜接開(kāi)放性的接口。

《數據安全法》首次以法律的形式明確了對數據權益的保護，第7條規定：“國家保護個(gè)人、組織與數據有關(guān)的權益，鼓勵數據依法合理有效利用，保障數據依法有序自由流動(dòng)，促進(jìn)以數據為關(guān)鍵要素的數字經(jīng)濟發(fā)展?！?nbsp;

《數據安全法》在第33條中關(guān)于數據交易的要求，對數據權益的規則進(jìn)行細化：“從事數據交易中介服務(wù)的機構提供服務(wù)，應當要求數據提供方說(shuō)明數據來(lái)源，審核交易雙方的身份，并留存審核、交易記錄?！?/span>

《數據安全法》主要關(guān)注的是安全問(wèn)題，而非權益問(wèn)題，但仍然會(huì )成為未來(lái)數據權益保護的重要法律依據。

數據權益保護的基本規則目前仍然主要通過(guò)司法案例進(jìn)行提煉，判斷數據權益的邊界。大量關(guān)于網(wǎng)絡(luò )爬蟲(chóng)、API、賬號共享的司法案例將會(huì )逐漸“凝固”為確定的規則，并在未來(lái)立法工作中予以體現。而這也是法律工作中會(huì )越來(lái)越多介入數據安全工作的原因之一。

從法律的角度，沒(méi)有救濟就沒(méi)有權利，沒(méi)有責任就沒(méi)有義務(wù)。因此《數據安全法》第六章法律責任中配備有罰則的義務(wù)也可以被看作合規的重點(diǎn)，主要涉及：

除了設定具體罰則的合規項目，有關(guān)部門(mén)如果發(fā)現數據處理活動(dòng)存在較大安全風(fēng)險的，還可以按照規定的權限和程序對有關(guān)組織、個(gè)人進(jìn)行約談，并要求有關(guān)組織、個(gè)人采取措施進(jìn)行整改，消除隱患。這意味著(zhù)像《數據安全法》第28條這樣要求數據新技術(shù)符合社會(huì )公德與倫理這樣的原則性要求，也可能成為監管部門(mén)關(guān)注的對象，尤其是涉及人臉識別、算法推薦這樣可能會(huì )對人群造成影響的新技術(shù)。

關(guān)于禁止向境外提供數據的規定，雖然在此前《國際刑事司法協(xié)助法》等法律中也有規定，但缺少對法律責任的設定，這也就意味著(zhù)違反了也很難有什么直接的法律后果?！稊祿踩ā分性O定的最高500萬(wàn)元罰款讓該法律義務(wù)具有了“獠牙”，威懾力顯著(zhù)提升。

數據出境的相關(guān)規定主要是從數據類(lèi)型的角度對數據的跨境傳輸進(jìn)行了限制。不得向境外執法機構提供數據主要是從用途的角度對數據跨境進(jìn)行了限制?！胺墙?jīng)中華人民共和國主管機關(guān)批準，境內的組織、個(gè)人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據?！?/span>

從該法條的表述來(lái)看，僅關(guān)注境內的組織、個(gè)人，以及存儲于境內的數據，如果是存儲于境外的數據或境外的組織和個(gè)人，則不在管轄范圍之內。

換言之，如果境內機構自收集伊始就將數據存儲在中國境外，或是境外機構所控制的境內數據，向境外提供也無(wú)妨?！稊祿踩ā返?6條無(wú)疑會(huì )推動(dòng)部分跨國企業(yè)將沒(méi)有本地化留存義務(wù)的數據直接存儲在中國境外，以規避第36條的義務(wù)。

該法條的另一個(gè)問(wèn)題是如何界定境外執法機構，司法機構相對清晰，就是各國的法院，而執法機構每個(gè)地區都千差萬(wàn)別。比如當地的稅務(wù)部門(mén)是否算是執法機構、因為仲裁能否向海外仲裁機構提供數據，此類(lèi)問(wèn)題現階段可能都沒(méi)有答案，有賴(lài)于與主管機關(guān)的溝通與交流。

《數據安全法》的條文很多是原則性的規定，但仍通過(guò)提綱挈領(lǐng)的方式，描繪了未來(lái)一段時(shí)間數據安全領(lǐng)域細化規則與執法重點(diǎn)的路線(xiàn)圖：從核心數據的提出，到境外執法的阻卻，從跨境責任到數據權益，均是會(huì )一一細化的內容。

在2021年5月的國家網(wǎng)信辦征求意見(jiàn)的《汽車(chē)數據安全管理若干規定（征求意見(jiàn)稿）》就是未來(lái)各行業(yè)與領(lǐng)域數據安全立法的一種可能的嘗試：細化重要數據目錄、明確報告內容、對跨境提出更為清晰的要求。

對于中外跨國企業(yè)來(lái)說(shuō)，數據安全已不再是關(guān)系自身信息安全的“小事”，而是會(huì )直接關(guān)系到國家安全與國家間的對抗。當各國執法部門(mén)給出相左的意見(jiàn)，網(wǎng)絡(luò )與數據庫的架構、對不同國家（地區）政府命令的遵從與挑戰都會(huì )造成深遠的影響，進(jìn)而塑造國際間的數據規則。