安全資訊

數據安全法專(zhuān)家解讀之一


構建數據安全制度框架
放眼全球，數據安全問(wèn)題已成為各國網(wǎng)絡(luò )空間治理的熱點(diǎn)和難點(diǎn)
數據安全問(wèn)題如何應對、國家數據安全制度如何布局不僅關(guān)涉到大數據時(shí)代個(gè)人安全、公共安全、國家安全，也關(guān)系到我國在全球新一輪的信息技術(shù)變革中如何實(shí)現從跟跑、并跑到領(lǐng)跑的轉變。
近年來(lái)我國數據安全項層制度設計加速推進(jìn)。2015年施行的《國家安全法》第25條明確提出“實(shí)現網(wǎng)絡(luò )和信息核心技術(shù)、關(guān)鍵基礎設施和重要領(lǐng)域信息系統及數據的安全可控”。作為網(wǎng)絡(luò )安全綜合性立法。2017年施行的《網(wǎng)絡(luò )安全法將數據安全納入網(wǎng)絡(luò )安全范疇，網(wǎng)絡(luò )安全等級保護制度、關(guān)鍵信息基礎設施保護制度、個(gè)人信息保護制度等為保障數據安全提供重要制度支撐。
針對數據這一非傳統領(lǐng)域的國家安全風(fēng)險與挑戰?！稊祿踩ā啡尕瀼芈鋵?shí)總體國家安全觀(guān)，確立國家數據安全工作體制機制、構建數據安全協(xié)同治理體系，明確預防、控制和消除數據安全風(fēng)險的一系列制度、措施。提升國家整體數據安全保障能力
適用范圍方面，《數據安全法》在屬地管轄之外引入保護性管轄原則，賦子該法域外效力。
治理機制方面，《數據安全法》構建起政府、行業(yè)組織、科研機構、企業(yè)、個(gè)人多元共治的數據安全治理體系。一方面?！稊祿踩ā返?條將數據安全最高監管機構提升至中央國家安全領(lǐng)導機構這樣前所未有的高度，并明確建立國家數據安全工作協(xié)調機制，加強對數據安全工作的統籌，推進(jìn)《國家安全法》在數據安全領(lǐng)域的落地。第6條明確各地區、各部門(mén)對本地區、本部門(mén)工作中收集和產(chǎn)生的數據及數據安全負責，行業(yè)主管部門(mén)承擔本行業(yè)、本領(lǐng)域數據安全監管職責，公安機關(guān)、國家安全機關(guān)在各自職責范圍內承擔數據安全監管職責，國家網(wǎng)信部門(mén)統籌協(xié)調網(wǎng)絡(luò )數據安全和相關(guān)監管工作。另一方面，明確推動(dòng)行業(yè)組織、科研機構、企業(yè)、個(gè)人等共同參與數據安全保護工作，并專(zhuān)設第10條“行業(yè)自律”條款。
制度設計方面，《數據安全法》統籌數據靜態(tài)安全與動(dòng)態(tài)利用安全，一般數據與重要數據、國家核心數據安全，內向安全與外向安全，圍繞數據處理全流程建構數據安全保障的基本框架，涵蓋數據分類(lèi)分級、重要數據保護目錄、國家核心數據管理，數據安全風(fēng)險評估、報告、信息共享、監測預警，數據安全應急處置，數據安全審查、出口管制、數據領(lǐng)域的對等措施、重要數據出境管理、數據交易、數據處理服務(wù)許可、執法數據調取配合、境外數據調取阻斷、政務(wù)數據安全與開(kāi)發(fā)等制度，同時(shí)加大對相關(guān)違法行為的處罰力度。
可以預見(jiàn)，《數據安全法》的一系列數據安全風(fēng)險防范制度設計將通過(guò)下位配套和實(shí)施細則等予以落實(shí)。2021年4月27日，作為《網(wǎng)絡(luò )安全法》重要配套之一的《關(guān)鍵信息基礎設施安全保護條例》經(jīng)國務(wù)院常務(wù)會(huì )議通過(guò)，自9月1日施
行。2021年5月27日?！稊祿踩芾項l例》納入國務(wù)院2021年度立法工作計劃，2021年7月10日，以落實(shí)《數據安全法》第24條數據安全審查制度為目的的《網(wǎng)絡(luò )安全審查辦法(修訂草案征求意見(jiàn))》向社會(huì )公開(kāi)征求意見(jiàn)
發(fā)揮部門(mén)職能優(yōu)勢
承繼公安數據安全監管職能
作為保障社會(huì )公共安全與國家安全的主力軍，公安機關(guān)是(人民警察法》《計算機信息系統安全保護條例》明確的負責主管計算機信息系統(含網(wǎng)絡(luò ))安全保護部門(mén)，歷來(lái)高度重視社會(huì )關(guān)注的數據安全問(wèn)題。
數據是影響網(wǎng)絡(luò )安全等級保護制度中定級、關(guān)鍵信息基礎設施認定的重要因素。包含個(gè)人信息數據在內的數據安全保護已成為網(wǎng)絡(luò )安全等級保護20制度、關(guān)鍵信息基礎設施保護制度的重要內容。
2020年公安部發(fā)布的《貫徹落實(shí)網(wǎng)絡(luò )安全等級保護制度和關(guān)鍵信息基礎設施安全保護制度的指導意見(jiàn)》多處強調數據安全、重要數據和個(gè)人信息保護。正在制定中的《網(wǎng)絡(luò )安全等級保護條例》體現出對數據安全問(wèn)題的集中考量。將與《數據安全法》同日施行的《關(guān)鍵信息基礎設施安全保護條例》明確”國務(wù)院公安部門(mén)負責指導監督關(guān)鍵信息基礎設施安全保護工作”，強化數據安全保護責任明確運營(yíng)者個(gè)人信息和數據安全保護職責，確立重要數據泄露等特別重大網(wǎng)絡(luò )安全事件發(fā)生后運營(yíng)者向保護工作部門(mén)、國家網(wǎng)信部門(mén)和國務(wù)院公安部門(mén)的三層報告機制。
實(shí)踐層面，公安機關(guān)積極組織大數據安全、APP違法違規專(zhuān)項整治，與中央網(wǎng)信辦共同建立打擊危害公民個(gè)人信息和數據安全違法犯罪長(cháng)效機制，依法嚴厲打擊數據安全違法犯罪，各地公安機關(guān)常態(tài)化實(shí)施監督、檢查和指導，督促相關(guān)組織強化安全保護，從行動(dòng)上切實(shí)保障國家關(guān)鍵信息基礎設施、重要網(wǎng)絡(luò )和數據安全、個(gè)人信息安全。
《數據安全法》充分考慮部門(mén)職能優(yōu)勢和實(shí)踐效果，在總則中明確公安機關(guān)的數據安全監管職責。
制度設計上，《數據安全法》第27條要求全流程的數據安全管理制度應當在網(wǎng)絡(luò )安全等級保護制度的基礎上開(kāi)展，即“開(kāi)展數據處理活動(dòng)應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開(kāi)展數據安全教育培訓，采取相應的技術(shù)措施和其他必要措施，保障數據安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò )開(kāi)展數據處理活動(dòng)，應當在網(wǎng)絡(luò )安全等級保護制度的基礎上，履行上述數據安全保護義務(wù)。重要數據的處理者應當明確數據安全負責人和管理機構，落實(shí)數據安全保護責任。"
開(kāi)展數據處理活動(dòng)的組織、個(gè)人不履行第27條安全保護義務(wù)的，第45條明確了相較《網(wǎng)絡(luò )安全法》第59條更嚴格的法律責任，“由有關(guān)主管部門(mén)責令改正給予警告，可以并處五萬(wàn)元以上五十萬(wàn)元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬(wàn)元以上十萬(wàn)元以下罰款拒不改正或者造成大量數據泄露等嚴重后果的，處五十萬(wàn)元以上二百萬(wàn)元以下罰款，并可以責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照。對直接負責的主管人員和其他直接責任人員處五萬(wàn)元以上二十萬(wàn)元以下罰款。違反國家核心數據管理制度，危害國家主權、安全和發(fā)展利益的，由有關(guān)主管部門(mén)處二百萬(wàn)元以上一千萬(wàn)元以下罰款，并根據情況責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照:構成犯罪的，依法追究刑事責任。"
《數據安全法》第21條確立國家數據分類(lèi)分級制度，這是本法整個(gè)數據安全保障的基礎，在此基礎上提出重要數據的強化保護和國家核心數據的特別保護要求，并明確重要數據目錄從國家到地區、自上而下的落實(shí)機制
國家總體安全保障工作中，重要數據與關(guān)鍵信息基礎設施與密不可分，2015年《國家安全法》強調“關(guān)鍵基礎設施和重要領(lǐng)域信息系統及數據的安全可控”《網(wǎng)絡(luò )安全法》第37條創(chuàng )設性規定關(guān)鍵信息基礎設施運營(yíng)者重要數據境內存儲與出境評估制度，2016年《國家網(wǎng)絡(luò )空間安全戰略》將“保護關(guān)鍵信息基礎設施”作為9大戰略任務(wù)之一，明確要求采取一切必要措施保護關(guān)鍵信息基礎設施及其重要數據不受攻擊破壞”。
如何保持不同法律同一概念內涵和外延的一致性、重要制度實(shí)施事實(shí)上的關(guān)聯(lián)性，需在接下來(lái)《數據安全法》配套的重要數據概念界定、認定機制、保護方式等工作中一并考慮。
主動(dòng)應對挑戰，依法履行職責
《數據安全法》實(shí)施在即，公安機關(guān)需主動(dòng)應對挑戰，依法履行職責，服務(wù)發(fā)展大局，夯實(shí)社會(huì )數字化轉型升級這一重大變革時(shí)代的工作內容。
首先。完善數據合規標尺。公安機關(guān)應充分落實(shí)《數據安全法》《網(wǎng)絡(luò )安全法》《個(gè)人信息保護法》《關(guān)鍵信息基礎設施安全保護條例》等法律法規要求，整合數據安全制度體系，包括不限于制定數據安全行政執法裁量基準細化網(wǎng)絡(luò )安全等級保護數據安全要求，強化關(guān)鍵信息基礎設施及其承載的重要數據和個(gè)人信息的安全保護，形成從一般數據到重要數據、靜態(tài)數據到動(dòng)態(tài)數據、從個(gè)人信息數據到非個(gè)人信息數據、從結構化到非結構化數據、從數據資產(chǎn)到數據資源的自洽體系，為開(kāi)展數據處理活動(dòng)的組織、個(gè)人提供規范指引。
其次，凝聚數據監管合力。公安機關(guān)應切實(shí)履行監督管理職責，依法定期組織重點(diǎn)行業(yè)、領(lǐng)域主管監管部門(mén)開(kāi)展專(zhuān)項監督檢查，推動(dòng)重點(diǎn)單位、各類(lèi)組織落實(shí)在數據采集、存儲、傳輸、處理、使用、加工、交換、提供、共享、跨境、公開(kāi)等環(huán)節的安全保護措施，提升相關(guān)單位和行業(yè)的個(gè)人信息和數據安全保護能力，促進(jìn)數據安全有序流動(dòng)。

最后，加大執法打擊力度。公安機關(guān)應做好行刑銜接。針對侵害公民個(gè)人信息與數據安全的各類(lèi)違法犯罪，加強線(xiàn)索分析，追查數據源頭，打掉危害數據安全的黑色產(chǎn)業(yè)鏈條，堅決維護國家安全、公共利益和公民、組織合法權益。