6月11日,經過十三屆全國人大常委會第二十九次會議透過的《資料安全法》對外公佈,將於2021年9月1日起施行。這是我國第一部有關資料安全的專門法律。
生效之後,《資料安全法》將與《網路安全法》及正在立法程序中的《個人資訊保護法》一起,全面構築中國資訊及資料安全領域的法律框架。
自2020年6月28日以來,《資料安全法》已經歷三次審議與修改。正式稿又有哪些亮點?據悉,本次《資料安全法》相比此前草案,強調了建立工作協調機制,加強對資料安全工作的統籌;明確對關係國家安全、國民經濟命脈、重要民生、重大公共利益等資料實行更嚴格的管理制度;同時,新法案進一步完善保障政務資料安全方面的規定;並加大對違法行為的處罰力度。
長期關注網路安全的環球律師事務所合夥人孟潔對紅星新聞記者表示,《資料安全法》首次將資料安全全域性決策統籌工作升格至中央國家安全領導機構,與《國家安全法》保持一致,從側面鞏固了資料安全在國家安全體系中的重要地位。
首次升至國家安全最高監管和行動決策的層級
《資料安全法》第五、六條明確了資料安全領域內治理體系的頂層設計,即中央國家安全領導機構負責國家資料安全工作的決策和議事協調,研究和制定重大方針政策,統籌協調國家資料安全的重大事項和重要工作,建立國家資料安全工作協調機制;工業、電信、自然資源、衛生健康、教育、國防科技工業、金融業等行業主管部門承擔本行業、本領域資料安全監管職責;並且,由公安機關和國家安全機關承擔其範圍內的監管職責;最後由國家網信部門統籌協調網路資料安全的監督管理工作。
“從上述表述可以看出,相較於《資料安全管理辦法》和《網路安全法》所涉及的監管部門權屬劃分,《資料安全法》既有保留也有突破。”
孟潔指出,在網路監管方面,《資料安全法》沿襲了“網信部門+公安部門+國務院其他下屬機構聯動”的監管體系,但值得注意的是,《資料安全法》首次將資料安全全域性決策統籌工作升格至中央國家安全領導機構,與《國家安全法》保持一致,從側面鞏固了資料安全在國家安全體系中的重要地位,以基本法成文化的方式將資料安全工作上升至國家安全最高監管和行動決策的層級。
“總體來說,國家從戰略和規劃層面上重視資料的保護與應用,也意味著企業需要更加謹慎地處理資料。”
明確關係國家安全、國民經濟命脈等重要資料的重要性,這一點也在罰則部分有所體現。《資料安全法》最終稿新增的第四十五條第二款明確,違反國家核心資料管理制度,危害國家主權、安全和發展利益的,由有關主管部門處二百萬元以上一千萬元以下的罰款,並根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。
處罰不再“一刀切”
罰款金額可高達一千萬元
相較於資料安全法二審稿,出臺的《資料安全法》在法律責任章節中,新增了違反國家核心資料管理制度及違法向境外提供重要資料的處罰。
孟潔指出,去年公開的《資料安全管理辦法》對於違反法律義務的罰則是,“依違規情節,給予網路運營者公開曝光、沒收違法所得、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照等處罰;構成犯罪的,依法追究刑事責任。”
而本次《資料安全法》的規定,針對不同違法行為設定了不同的罰則,與《網路安全法》體例保持基本一致,規定了各主體違反法律規定可能承擔的不同責任。
例如,開展資料活動的組織、個人未履行資料安全保護義務或未採取必要措施的,可能遭到警告和罰款,直接負責的主管人員個人也可能被處以罰款;如果違法行為性質惡劣或造成嚴重後果,罰款金額可高達一千萬元人民幣,並可能被責令暫停相關業務、停業整頓、吊銷相關業務許可證或者營業執照,與《網路安全法》第六章規定同步。
孟潔指出,這一數字與《歐盟通用資料保護條例》(以下簡稱“GDPR”)規定的最高兩千萬歐元罰款尚有一定的距離,對於掌握千萬使用者資料的產業龍頭企業或採買億萬欄位資訊的大資料巨頭而言,威懾力度雖然也較為有限,“但至少也是一個良好示範的起步。”
另外,為避免非法來源資料交易的亂象,《資料安全法》第四十七條還規定了針對資料交易中介機構的處罰規則,即相關機構可能被沒收違法所得、罰款、吊銷營業執照,直接責任人也會被處以罰款,重拳出擊規制資料交易行為,應引起相關機構的特別關注。
明確維護我國企業利益
將根據實際情況採取“對等措施”
隨著我國科技企業的興起和5G等尖端技術的開發,一些國家針對我國企業出臺限制性措施。《資料安全法》第二十六條強化了應對態度,將根據實際情況採取“對等措施”。該條款明確了我國維護中國企業利益的決心,無疑給中國企業打了一枚強心劑。
孟潔認為,全球圍繞資料的爭奪日益深化,《資料安全法》的制定不僅需要解決國內資料安全管理的問題,還要為資料出境、跨境合作設計等相關規則制定策略。
孟潔指出,針對歧視的“對等措施”在國際私法、貿易等領域已有先例,此次在涉及資料安全、國家安全的基本法中重申這一原則,既表明我國擁護資料自由流動、跨境安全的堅定立場,又對他國如有不正當的歧視待遇行為做出了有力的回應。
此外,《資料安全法》第三十六條對處理外國司法或者執法機構關於提供資料的請求做出了規定——非經中華人民共和國主管機關批准,境內的組織、個人不得向外國司法或者執法機構提供儲存於中華人民共和國境內的資料。即企業在面臨境外監管機構的直接執法時,不能直接提供境外監管機構要求的資料,而是需要先行上報給我國主管機關,獲得批准後方才可提供。
孟潔認為,這無疑顯示出對部分國家域外長臂管轄執法進行有禮有節的回應態度。但日後也需要相關部門規章或者國家標準進一步細化具體報批的機關以及相關流程。
紅星新聞記者 王田
編輯 陳怡西