學(xué)習(xí)《數(shù)據(jù)安全法》七大亮點(diǎn)解讀完整

學(xué)習(xí)《數(shù)據(jù)安全法》七大亮點(diǎn)解讀前言2021年6月10日，第十三屆全國人民代表大會常務(wù)委員會第二十九次會議正式通過并公布《中華人民共和國數(shù)據(jù)安全法》（“《數(shù)據(jù)安全法》”），將于2021年9月1日起施行。作為數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律和國家安全領(lǐng)域的一部重要法律，《數(shù)據(jù)安全法》集中、全面地體現(xiàn)了我國當(dāng)前的數(shù)據(jù)安全監(jiān)管思路。目錄明確數(shù)據(jù)安全監(jiān)管的工作協(xié)調(diào)與統(tǒng)籌機(jī)制1建立“數(shù)據(jù)分類分級保護(hù)制度”，明確“國家核心數(shù)據(jù)”管理制度2網(wǎng)絡(luò)安全等級保護(hù)制度與數(shù)據(jù)安全保護(hù)制度的銜接3明確重要數(shù)據(jù)出境安全管理制度4嚴(yán)格規(guī)制面向境外司法或者執(zhí)法機(jī)構(gòu)的數(shù)據(jù)出境活動5對政務(wù)數(shù)據(jù)的相關(guān)規(guī)定6明確數(shù)據(jù)處理活動不應(yīng)排除、限制競爭7明確數(shù)據(jù)安全監(jiān)管的工作協(xié)調(diào)與統(tǒng)籌機(jī)制01明確數(shù)據(jù)安全監(jiān)管的工作協(xié)調(diào)與統(tǒng)籌機(jī)制《數(shù)據(jù)安全法》正式稿相比二審稿新增了由中央國家安全領(lǐng)導(dǎo)機(jī)構(gòu)“統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項(xiàng)和重要工作，建立國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制”的表述，明確由中央國家安全領(lǐng)導(dǎo)機(jī)構(gòu)負(fù)責(zé)數(shù)據(jù)安全工作的決策和協(xié)調(diào)、國家網(wǎng)信部門統(tǒng)籌網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)管工作，由工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔(dān)本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全監(jiān)管職責(zé)，由公安機(jī)關(guān)、國家安全機(jī)關(guān)等在各自職責(zé)范圍內(nèi)承擔(dān)數(shù)據(jù)安全監(jiān)管職責(zé)。明確數(shù)據(jù)安全監(jiān)管的工作協(xié)調(diào)與統(tǒng)籌機(jī)制目前，我國數(shù)據(jù)領(lǐng)域監(jiān)管工作由中央網(wǎng)絡(luò)安全和信息化委員會與國家互聯(lián)網(wǎng)信息辦公室進(jìn)行全面的統(tǒng)籌協(xié)調(diào)，中央和地方市場監(jiān)管部門、工信部門和公安部門，以及相應(yīng)的行業(yè)主管部門分管不同領(lǐng)域的數(shù)據(jù)安全。例如，市場監(jiān)管部門從市場綜合監(jiān)督管理視角進(jìn)行執(zhí)法，對個人信息保護(hù)和網(wǎng)絡(luò)產(chǎn)品與服務(wù)等領(lǐng)域進(jìn)行監(jiān)管；工信部門從工業(yè)和通信業(yè)行業(yè)管理視角進(jìn)行執(zhí)法，對于信息的應(yīng)急響應(yīng)制度、個人信息保護(hù)、網(wǎng)絡(luò)產(chǎn)品與服務(wù)等領(lǐng)域進(jìn)行監(jiān)管；公安部門從公共安全的視角，對個人信息保護(hù)、網(wǎng)絡(luò)產(chǎn)品與服務(wù)、網(wǎng)絡(luò)安全等級保護(hù)等領(lǐng)域進(jìn)行監(jiān)管；各行業(yè)主管部門則從行業(yè)視角，對數(shù)據(jù)全領(lǐng)域進(jìn)行監(jiān)管，包括數(shù)據(jù)跨境、關(guān)鍵信息基礎(chǔ)設(shè)施、密碼產(chǎn)品等?？傮w而言，《數(shù)據(jù)安全法》的數(shù)據(jù)安全監(jiān)管思路基本延續(xù)了我國此前數(shù)據(jù)監(jiān)管和執(zhí)法實(shí)踐中的工作思路。建立“數(shù)據(jù)分類分級保護(hù)制度”，明確“國家核心數(shù)據(jù)”管理制度02建立“數(shù)據(jù)分類分級保護(hù)制度”，明確“國家核心數(shù)據(jù)”管理制度《數(shù)據(jù)安全法》第二十一條規(guī)定，“國家建立數(shù)據(jù)分類分級保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實(shí)行分類分級保護(hù)”，“國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強(qiáng)對重要數(shù)據(jù)的保護(hù)”。不同于此前《網(wǎng)絡(luò)安全法》規(guī)定由網(wǎng)絡(luò)運(yùn)營者按照網(wǎng)絡(luò)安全等級保護(hù)制度要求自行采取數(shù)據(jù)分類的措施[2]，《數(shù)據(jù)安全法》明確了由國家建立數(shù)據(jù)分類分級制度、由主管部門制定重要數(shù)據(jù)目錄并加強(qiáng)保護(hù)，從而與《網(wǎng)絡(luò)安全法》建立的網(wǎng)絡(luò)安全等級保護(hù)制度一樣，成為網(wǎng)絡(luò)安全保護(hù)領(lǐng)域的重要制度。建立“數(shù)據(jù)分類分級保護(hù)制度”，明確“國家核心數(shù)據(jù)”管理制度此外，《數(shù)據(jù)安全法》第二十一條相較二審稿還新增了“關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度”的條款，這一修改凸顯了《數(shù)據(jù)安全法》以維護(hù)國家安全和網(wǎng)絡(luò)空間主權(quán)為根本的基調(diào)?！皣液诵臄?shù)據(jù)”的內(nèi)涵與外延還有待數(shù)據(jù)安全監(jiān)管實(shí)踐的進(jìn)一步探索，結(jié)合此前對《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》中對“關(guān)鍵信息基礎(chǔ)設(shè)施”的定義[3]，可知“國家安全、國計(jì)民生、公共利益”同樣會是判定“國家核心數(shù)據(jù)”的重要因素。網(wǎng)絡(luò)安全等級保護(hù)制度與數(shù)據(jù)安全保護(hù)制度的銜接03網(wǎng)絡(luò)安全等級保護(hù)制度與數(shù)據(jù)安全保護(hù)制度的銜接《數(shù)據(jù)安全法》第二十七條相較二審稿新增了“利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護(hù)義務(wù)”的規(guī)定。這一條款要求數(shù)據(jù)處理者“在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上”開展數(shù)據(jù)安全保護(hù)工作，一方面強(qiáng)化了網(wǎng)絡(luò)安全等保制度在數(shù)據(jù)安全保護(hù)要求中的基礎(chǔ)作用，另一方面也體現(xiàn)了數(shù)據(jù)安全保護(hù)制度與《網(wǎng)絡(luò)安全法》的銜接。網(wǎng)絡(luò)安全等級保護(hù)制度與數(shù)據(jù)安全保護(hù)制度的銜接網(wǎng)絡(luò)安全等級保護(hù)制度的要求見于《網(wǎng)絡(luò)安全法》第二十一條，明確規(guī)定國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度，并對網(wǎng)絡(luò)運(yùn)營者提出了履行安全保護(hù)義務(wù)的具體要求，包括“采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施”以“保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”。此外，《網(wǎng)絡(luò)安全法》第五十九條[4]明確了違反網(wǎng)絡(luò)安全等級保護(hù)制度要求的法律責(zé)任，包括責(zé)令改正、警告、罰款等。此次《數(shù)據(jù)安全法》的規(guī)定再次體現(xiàn)了等保制度是網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)性制度之一，并與數(shù)據(jù)安全保護(hù)制度相互銜接。因此，相關(guān)企業(yè)應(yīng)按照《網(wǎng)絡(luò)安全法》及“等保2.0”系列標(biāo)準(zhǔn)[5]要求，積極落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度，盡快進(jìn)行等級保護(hù)測評、整改和備案工作。明確重要數(shù)據(jù)出境安全管理制度04明確重要數(shù)據(jù)出境安全管理制度《數(shù)據(jù)安全法》第三十一條規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定；其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定?！泵鞔_重要數(shù)據(jù)出境安全管理制度一方面，這一條款明確了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理應(yīng)適用《網(wǎng)絡(luò)安全法》第三十七條提出的“一般情形+例外規(guī)定”，即關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者因業(yè)務(wù)需要，確需向境外提供重要數(shù)據(jù)的，一般情況下應(yīng)由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估，法律、行政法規(guī)另有規(guī)定的則從其規(guī)定。另一方面，對于其他數(shù)據(jù)處理者在境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)，目前可參考的相關(guān)規(guī)定是國家網(wǎng)信辦于2017年發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》，其中第九條規(guī)定了六類重要數(shù)據(jù)出境時網(wǎng)絡(luò)運(yùn)營者應(yīng)提交行業(yè)主管部門或監(jiān)管部門進(jìn)行安全評估的場景。明確重要數(shù)據(jù)出境安全管理制度由于該辦法并未正式出臺和生效，且征求意見稿的發(fā)布時間也較為久遠(yuǎn)，對于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者以外的其他數(shù)據(jù)處理者，數(shù)據(jù)出境安全管理的相關(guān)規(guī)則仍不明確，需等待正式的管理辦法出臺；但在此之前，企業(yè)同樣需要密切關(guān)注重要數(shù)據(jù)出境的合規(guī)義務(wù)。嚴(yán)格規(guī)制面向境外司法或者執(zhí)法機(jī)構(gòu)的數(shù)據(jù)出境活動05嚴(yán)格規(guī)制面向境外司法或者執(zhí)法機(jī)構(gòu)的數(shù)據(jù)出境活動《數(shù)據(jù)安全法》第三十六條規(guī)定，“非經(jīng)中華人民共和國主管機(jī)關(guān)批準(zhǔn)，境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)?！边@一條款制定的背景是近年來數(shù)據(jù)管轄權(quán)沖突日益激烈的國際環(huán)境。2018年3月，在微軟愛爾蘭數(shù)據(jù)案[7]后，美國國會通過《澄清海外合法使用數(shù)據(jù)法》（ClarifyingLawfulOverseasUseofDataAct（CLOUD），簡稱“云法案”），其中第103(a)(1)條規(guī)定“電子通信服務(wù)提供商和遠(yuǎn)程計(jì)算服務(wù)提供商應(yīng)當(dāng)依據(jù)本章規(guī)定，保存、備份或披露其擁有、監(jiān)管或控制的用戶通訊數(shù)據(jù)、記錄及其他信息，無論該等通訊數(shù)據(jù)、記錄及其他信息儲存于美國境內(nèi)或境外”[8]，從而為數(shù)據(jù)領(lǐng)域的“長臂管轄”規(guī)則提供了基礎(chǔ)。該規(guī)則與歐盟《通用數(shù)據(jù)保護(hù)條例》（GeneralDataProtectionRegulation，簡稱“GDPR”）的相關(guān)規(guī)定存在沖突。隨后，歐盟于2019年7月發(fā)布了《美國云法案對于歐盟個人信息保護(hù)法律框架以及歐盟—美國關(guān)于跨境電子取證協(xié)議談判影響的初步法律評估》，明確指出，根據(jù)GDPR規(guī)定，云法案不能成為向美國傳輸歐盟境內(nèi)的個人數(shù)據(jù)的合法基礎(chǔ)。嚴(yán)格規(guī)制面向境外司法或者執(zhí)法機(jī)構(gòu)的數(shù)據(jù)出境活動在這一背景下，《數(shù)據(jù)安全法》的規(guī)定再度明確了我國對境內(nèi)數(shù)據(jù)的管轄權(quán)，充分體現(xiàn)了我國維護(hù)數(shù)據(jù)主權(quán)和國家安全的決心。值得一提的是，《數(shù)據(jù)安全法》還特別明確了未經(jīng)主管機(jī)關(guān)批準(zhǔn)向境外的司法或者執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)的法律責(zé)任，包括對企業(yè)和直接負(fù)責(zé)的主管人員的罰款、以及責(zé)令企業(yè)暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照等。[9]這一明確的法律責(zé)任形式，不僅意味著第三十六條的規(guī)定是企業(yè)應(yīng)嚴(yán)格履行的一項(xiàng)數(shù)據(jù)合規(guī)義務(wù)，也使得企業(yè)在對抗境外執(zhí)法或司法機(jī)構(gòu)可能的數(shù)據(jù)調(diào)取要求時，擁有了可援引的有力的法律規(guī)則。對政務(wù)數(shù)據(jù)的相關(guān)規(guī)定06對政務(wù)數(shù)據(jù)的相關(guān)規(guī)定《數(shù)據(jù)安全法》設(shè)立專章“政務(wù)數(shù)據(jù)安全與開放”，首次對政務(wù)數(shù)據(jù)的安全監(jiān)管思路做出了總體規(guī)定。其中，第三十七條對政務(wù)數(shù)據(jù)質(zhì)量提出科學(xué)性、準(zhǔn)確性和時效性要求；第三十八條對政務(wù)數(shù)據(jù)的采集和使用作出合規(guī)性規(guī)定；第三十九條對建立政務(wù)數(shù)據(jù)安全管理制度作出強(qiáng)調(diào)；第四十條提出對政務(wù)數(shù)據(jù)加工、存儲等外包服務(wù)要制定嚴(yán)格的審批流程；第四十一條和第四十二條提出政務(wù)數(shù)據(jù)開放的規(guī)范性要求。對政務(wù)數(shù)據(jù)的相關(guān)規(guī)定但是，《數(shù)據(jù)安全法》對于“政務(wù)數(shù)據(jù)”的內(nèi)涵與外延并未做出明確的規(guī)定，只是在相關(guān)條文表述上將“國家機(jī)關(guān)”作為義務(wù)主體，并且在第四十三條中規(guī)定了“法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織為履行法定職責(zé)開展數(shù)據(jù)處理活動，適用本章規(guī)定?！币罁?jù)北京、上海、浙江等地公共數(shù)據(jù)管理相關(guān)政策的規(guī)定，公共數(shù)據(jù)通常是指是指各級行政機(jī)關(guān)以及具有公共管理和服務(wù)職能的事業(yè)單位在依法履行公共管理和服務(wù)職責(zé)過程中，產(chǎn)生、處理的各類數(shù)據(jù)。[10]實(shí)踐中，各類與政府進(jìn)行合作開展數(shù)據(jù)平臺建設(shè)并對相關(guān)數(shù)據(jù)進(jìn)行商業(yè)化開發(fā)的企業(yè)，在經(jīng)營過程中很可能涉及政務(wù)數(shù)據(jù)或公共數(shù)據(jù)的處理活動，應(yīng)當(dāng)特別關(guān)注《數(shù)據(jù)安全法》明確提出的對于政務(wù)數(shù)據(jù)的合規(guī)要求。明確數(shù)據(jù)處理活動不應(yīng)排除、限制競爭07明確數(shù)據(jù)處理活動不應(yīng)排除、限制競爭《數(shù)據(jù)安全法》第五十一條規(guī)定，“竊取或者以其他非法方式獲取數(shù)據(jù)，開展數(shù)據(jù)處理活動排除、限制競爭，或者損害個人、組織合法權(quán)益的，依照有關(guān)法律、行政法規(guī)的規(guī)定處罰?！边@一規(guī)定將數(shù)據(jù)處理活動與《反不正當(dāng)競爭法》、《反壟斷法》等法律法規(guī)的規(guī)定相結(jié)合，體現(xiàn)了我國對數(shù)據(jù)安全的綜合監(jiān)管思路。明確數(shù)據(jù)處理活動不應(yīng)排除、限制競爭例如，《反壟斷法》明確禁止經(jīng)營者在其經(jīng)營活動中排除、限制市場競爭。國務(wù)院反壟斷委員會此前發(fā)布的《關(guān)于平臺經(jīng)濟(jì)領(lǐng)域的反壟斷指南》（“《指南》”）中，明確提及了經(jīng)營者利用數(shù)據(jù)或算法排除、限制競爭的多種行為模式。例如：經(jīng)營者通過數(shù)據(jù)、算法、平臺規(guī)則或者其他方式實(shí)質(zhì)上達(dá)成協(xié)調(diào)一致的行為（即壟斷協(xié)議）；經(jīng)營者通過平臺規(guī)則、數(shù)據(jù)、算法、技術(shù)等方面的實(shí)際設(shè)置限制或者障礙的方式限定交易（即濫用市場支配地位限定交易）；基于大數(shù)據(jù)和算法，根據(jù)交易相對人的支付能力、消費(fèi)偏好、使用習(xí)慣等，實(shí)行差異性交易價格或者其他交易條件（即濫用市場支配地位實(shí)施差別待遇）；此外，平臺經(jīng)營者掌握的數(shù)據(jù)情況對于認(rèn)定經(jīng)營者市場支配地位具有重要意義，《指南》明確提及，判斷相關(guān)平臺是否構(gòu)成其他經(jīng)營者進(jìn)入相關(guān)市場的“必需設(shè)施”時，需要綜合考慮該平臺占有數(shù)據(jù)的情況和其他情況。明確數(shù)據(jù)處理活動不應(yīng)排除、限制競爭從這一條款的規(guī)定也