6月11日,經過十三屆全國人大常委會第二十九次會議通過的《數據安全法》對外公佈,將於2021年9月1日起施行。這是我國第一部有關數據安全的專門法律。
生效之後,《數據安全法》將與《網絡安全法》及正在立法進程中的《個人信息保護法》一起,全面構築中國信息及數據安全領域的法律框架。
自2020年6月28日以來,《數據安全法》已經歷三次審議與修改。正式稿又有哪些亮點?據悉,本次《數據安全法》相比此前草案,強調了建立工作協調機制,加強對數據安全工作的統籌;明確對關係國家安全、國民經濟命脈、重要民生、重大公共利益等數據實行更嚴格的管理制度;同時,新法案進一步完善保障政務數據安全方面的規定;並加大對違法行為的處罰力度。
長期關注網絡安全的環球律師事務所合夥人孟潔對紅星新聞記者表示,《數據安全法》首次將數據安全全局決策統籌工作升格至中央國家安全領導機構,與《國家安全法》保持一致,從側面鞏固了數據安全在國家安全體系中的重要地位。
首次升至國家安全最高監管和行動決策的層級
《數據安全法》第五、六條明確了數據安全領域內治理體系的頂層設計,即中央國家安全領導機構負責國家數據安全工作的決策和議事協調,研究和制定重大方針政策,統籌協調國家數據安全的重大事項和重要工作,建立國家數據安全工作協調機制;工業、電信、自然資源、衞生健康、教育、國防科技工業、金融業等行業主管部門承擔本行業、本領域數據安全監管職責;並且,由公安機關和國家安全機關承擔其範圍內的監管職責;最後由國家網信部門統籌協調網絡數據安全的監督管理工作。
“從上述表述可以看出,相較於《數據安全管理辦法》和《網絡安全法》所涉及的監管部門權屬劃分,《數據安全法》既有保留也有突破。”
孟潔指出,在網絡監管方面,《數據安全法》沿襲了“網信部門+公安部門+國務院其他下屬機構聯動”的監管體系,但值得注意的是,《數據安全法》首次將數據安全全局決策統籌工作升格至中央國家安全領導機構,與《國家安全法》保持一致,從側面鞏固了數據安全在國家安全體系中的重要地位,以基本法成文化的方式將數據安全工作上升至國家安全最高監管和行動決策的層級。
“總體來説,國家從戰略和規劃層面上重視數據的保護與應用,也意味着企業需要更加謹慎地處理數據。”
明確關係國家安全、國民經濟命脈等重要數據的重要性,這一點也在罰則部分有所體現。《數據安全法》最終稿新增的第四十五條第二款明確,違反國家核心數據管理制度,危害國家主權、安全和發展利益的,由有關主管部門處二百萬元以上一千萬元以下的罰款,並根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。
處罰不再“一刀切”
罰款金額可高達一千萬元
相較於數據安全法二審稿,出台的《數據安全法》在法律責任章節中,新增了違反國家核心數據管理制度及違法向境外提供重要數據的處罰。
孟潔指出,去年公開的《數據安全管理辦法》對於違反法律義務的罰則是,“依違規情節,給予網絡運營者公開曝光、沒收違法所得、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照等處罰;構成犯罪的,依法追究刑事責任。”
而本次《數據安全法》的規定,針對不同違法行為設置了不同的罰則,與《網絡安全法》體例保持基本一致,規定了各主體違反法律規定可能承擔的不同責任。
例如,開展數據活動的組織、個人未履行數據安全保護義務或未採取必要措施的,可能遭到警告和罰款,直接負責的主管人員個人也可能被處以罰款;如果違法行為性質惡劣或造成嚴重後果,罰款金額可高達一千萬元人民幣,並可能被責令暫停相關業務、停業整頓、吊銷相關業務許可證或者營業執照,與《網絡安全法》第六章規定同步。
孟潔指出,這一數字與《歐盟通用數據保護條例》(以下簡稱“GDPR”)規定的最高兩千萬歐元罰款尚有一定的距離,對於掌握千萬用户數據的產業龍頭企業或採買億萬字段信息的大數據巨頭而言,威懾力度雖然也較為有限,“但至少也是一個良好示範的起步。”
另外,為避免非法來源數據交易的亂象,《數據安全法》第四十七條還規定了針對數據交易中介機構的處罰規則,即相關機構可能被沒收違法所得、罰款、吊銷營業執照,直接責任人也會被處以罰款,重拳出擊規制數據交易行為,應引起相關機構的特別關注。
明確維護我國企業利益
將根據實際情況採取“對等措施”
隨着我國科技企業的興起和5G等尖端技術的開發,一些國家針對我國企業出台限制性措施。《數據安全法》第二十六條強化了應對態度,將根據實際情況採取“對等措施”。該條款明確了我國維護中國企業利益的決心,無疑給中國企業打了一枚強心劑。
孟潔認為,全球圍繞數據的爭奪日益深化,《數據安全法》的制定不僅需要解決國內數據安全管理的問題,還要為數據出境、跨境合作設計等相關規則制定策略。
孟潔指出,針對歧視的“對等措施”在國際私法、貿易等領域已有先例,此次在涉及數據安全、國家安全的基本法中重申這一原則,既表明我國擁護數據自由流動、跨境安全的堅定立場,又對他國如有不正當的歧視待遇行為做出了有力的回應。
此外,《數據安全法》第三十六條對處理外國司法或者執法機構關於提供數據的請求做出了規定——非經中華人民共和國主管機關批准,境內的組織、個人不得向外國司法或者執法機構提供存儲於中華人民共和國境內的數據。即企業在面臨境外監管機構的直接執法時,不能直接提供境外監管機構要求的數據,而是需要先行上報給我國主管機關,獲得批准後方才可提供。
孟潔認為,這無疑顯示出對部分國家域外長臂管轄執法進行有禮有節的回應態度。但日後也需要相關部門規章或者國家標準進一步細化具體報批的機關以及相關流程。
紅星新聞記者 王田
編輯 陳怡西