数据安全法(草案)公布 划定数据法律红线 为全球数据安全立法贡献中国方案
数据安全法(草案)公布 划定数据法律红线 为全球数据安全立法贡献中国方案
2020-07-20 来源:法制日报——法制网 作者:陈磊□ 法制日报全媒体记者 陈磊
突如其来的新冠肺炎疫情,成为全球各国制度优势和国家治理能力的极限考验。其中,信息技术和网络数据的广泛运用,既是疫情防控的重要助力,也引发人们关于个人信息和数据安全的诸多担忧。
但无论如何,数据已经成为每个国家的基础性战略资源和生产要素,被称为21世纪的“钻石矿”。今年6月28日,《中华人民共和国数据安全法(草案)》在十三届全国人大常委会第二十次会议上初次提请审议。7月初,数据安全法(草案)面向社会公众征求意见,征求意见截止日期为今年8月16日。
怎么理解信息时代的“数据”?数据安全立法如何实现数据安全及监管?如何平衡数据开发利用和公民、法人合法权益保护?围绕这些问题,《法制日报》记者与权威专家进行了对话。
□ 对话
对话人
中国社科院法学研究所研究员、《网络法治蓝皮书》主编 支振锋
《法制日报》记者 陈磊
专门立法大势所趋
全面保护数据安全
记者:在全世界范围内,互联网技术已经发展半个多世纪,我国全功能接入国际互联网也已经有26个年头。我国最高立法机关今年初次审议数据安全法(草案),进行专门的数据安全立法一定有其深意。
支振锋:数据是人类社会的产物,是人类对自然万物、社会生活进行记载或记录的结果。在互联网出现之前,人类无时无刻不在产生数据,但只有在互联网出现之后,我们才能利用信息技术搜集、记录数据。可以说,信息技术与经济社会深度交融,既促进了数据的产生,也增强了人类搜集、记载数据的能力。
目前,全球数据已经呈现爆发式增长、海量集聚的特点,对经济发展、社会治理、国家管理、人民生活都产生了重大影响。因此,为了维护数据安全、保障国家安全而进行数据安全立法,是大势所趋。
记者:提到数据安全,社会公众首先想到的可能是数据泄露问题。但实际上,这只是数据安全的冰山一角。
支振锋:由于互联网的特性,当前除了数据泄露外,网络诈骗、网络黑产、网络攻击等网络犯罪,涉及个人信息保护和国家经济安全的互联网巨头数据跨境流动以及执法机构调取境外数据等,都是当前各国数据安全面临的紧迫问题。
为了保护数据安全,全球多个国家已经出台专门立法,一些国家之间甚至已经通过协议形成了促进数据互通的某些规则性成果。
记者:从国内外立法来看,有的表述用“数据”,有的表述用“信息”,比如数据安全法(草案)和正在制定过程中的个人信息保护法。怎么从法律上理解“数据”和“信息”的区别与联系?
支振锋:目前,多数国家在立法上对“数据”和“信息”未加区分,也因此引发诸多争议。实际上,两者应该说是一个事物的两面,“数据”是“信息”的形式和载体,“信息”则是“数据”可以表达的内容。就特定场景而言,两者很难分离。
数据安全法(草案)把数据定义为“任何以电子或者非电子形式的信息的记录”。这个界定非常宽泛。从立法宗旨来看,非电子形式的数据由于涉及物理形态,很难进行“跨境自由流动”,传统上通过档案法、保密法或国际执法司法协助机制,相关问题大体上能得到解决,不属于数据安全立法所规制的对象。
因此,网络安全法对数据的界定可能更为合适,即“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据”。但电子形式的数据类型多样,大体上说,电子形式的国家秘密、商业机密、个人信息、密码等,都是网络数据。
从广义上说,所有这些类别的数据都在数据安全立法的规制范围内。与现行保密法、密码法、网络安全法以及全国人大常委会正在制定的个人信息保护法等法律不同,专门的数据安全立法主要规范重要数据和一般数据。而且,数据安全立法更基础,国家秘密、个人信息等其他数据或信息的立法保护,都建立在数据安全法之上。
数据安全易出大事
监管责任落到实处
记者:虽然数据安全非常重要,但实践证明,作为普通的互联网用户,大众对数据安全并无太多直观认识。
支振锋:数据安全不出事则已,一出就是大事。例如,近年来,华住集团5亿条个人信息被泄露、470万条12306网站数据被不法人员公开贩卖等数据安全事故频发,“大数据杀熟”、刷单等,与每一个人关系密切。
记者:由此看来,进行数据安全立法,一定要把数据安全监管责任落到实处。
支振锋:数据安全立法规范的是数据搜集、存储、加工、使用、提供、交易、公开等全部数据活动,这中间涉及许多环节,也牵涉到不同主体。
数据安全立法不仅要保障数据本身处于完整、可信、不被篡改的安全状态,还要保障数据处理活动不妨碍国家社会安全以及其他公民、组织的合法权益。数据安全立法还需要明确各相关部门、各地区应承担的监管职责,特别是网信部门承担的统筹协调及数据安全相关监管工作。在这个过程中,政府、行业组织、企业、个人都是利益攸关者,所以要建立健全数据安全综合治理体系。
记者:数据中有财富,数据中有隐私,数据中有商业秘密,数据中也有国家和社会安全。数据安全立法的制度设计是否会特别复杂?
支振锋:作为国家基础战略性资源和新型生产要素,数据已经渗透到国家经济社会生活的方方面面。数据安全立法必须兼顾全方位的利益平衡、监管全周期的数据活动,进行全链条的制度设计。
没有信息安全就没有国家安全,没有数据安全同样没有国家安全。我们的数据安全观,是国家总体安全观下的新型安全观,超越了传统安全的范畴。
进行数据安全立法制度设计,一方面,国家要鼓励数据开发和安全保障的技术研发及标准制定,促进数据安全检测评估、认证等服务,健全数据交易制度;另一方面,也要针对数据的全生命周期和全产业链条,设计数据分级分类保护,安全风险评估、报告、监测预警和信息共享,应急处置机制,国家安全审查,数据出口管控和数据国际交往等数据安全基本制度;同时,须规定企业开展数据活动中的数据安全管理措施、教育培训、保障措施,数据安全事故报告,重要数据处理者的风险评估,配合执法机构依法进行数据调取等数据安全保障义务。
划出数据活动红线
保障数据开发利用
记者:法律实际上体现的是一国的监管政策框架。当前经济全球化和信息化深入发展,跨国公司极其活跃,对其涉及的数据安全问题必须予以重视。
支振锋:这里面最典型的是数据跨境流动问题。跨国公司尤其是互联网巨头汇集了海量的数据,不仅是企业发展的重要资源,也是影响国家安全的重要因素。对于这些规模巨大的跨国公司,它们所汇聚的海量数据是否允许跨境自由流动,就成为一个很麻烦的问题。不允许自由流动,则企业经营困难;允许自由流动,则面临个人信息甚至国家安全的危险。
在全球化时代,西方一些国家已经形成了数据跨境流动的规则。我国如何在维护自身安全的前提下融入国际数据市场,争夺标准、规则的制定权甚至主导权,必须在数据安全立法中予以考虑。
记者:作为正在迈向网络强国的网络大国,我国的数据安全立法能为全球带来什么?
支振锋:网络强国战略目标必须得到数据安全立法的制度化保障。没有国家和社会安全,没有公民、组织合法权益的保障,很难有良好的数据开发利用。因此,我国的数据安全立法必须划出数据活动的“红线”和“高压线”。
我国有世界上最大的网民群体、最大规模的网络市场、最活跃的信息技术应用,以市值、估值和营收为维度,中国企业规模仅次于美国,远远领先于其他国家;我们需要把自身在网信技术研发、产品创新以及标准规则等方面的成果推向世界,将中国最大规模市场优势、最活跃互联网应用优势转化为国际网络空间治理中的话语权和影响力。特别是在美国奉行“脱钩断供”、单边主义和逆全球化的形势下,我国更应该积极践行“一带一路”倡议,积极发展与世界上其他国家的合作。
因此,保障安全前提下的数据跨境流动和数据开发利用,非常有必要。我国在进行数据安全立法时,既要认识到自己的短板,也要对自身的力量和责任充满自信,从而为全球数据立法提供审慎包容、促进交流、鼓励合作的中国方案,贡献网络空间命运共同体建设的中国智慧。