當今時代�,隨著信息技術與人類經濟社會活動廣泛深入地交匯融合�����,數字化發展突飛猛進�����,各類數據爆炸增漲�����、海量匯集���、深度處理��、普遍利用���,使人類社會發生前所未有之深刻而巨大的變化��。與此同時���,數據安全面臨嚴峻挑戰��,已經成為事關國家總體安全�����、經濟社會發展�、信息主體權益的重大問題���。
2021年6月10日��,第十三屆全國人民代表大會常務委員會第二十九次會議通過并公布《中華人民共和國數據安全法》�,自2021年9月1日起施行�,標志著我國從國家法律層面對規范數據處理活動��,保障數據安全�,促進數據開發利用����,保護個人��、組織的合法權益�����,維護國家主權�、安全和發展利益作出明確規定��,為我國社會數據安全治理提供了基本遵循���,具有重要意義�����。在學習領會《數據安全法》重要意義及其內涵的同時����,亟需思考��、研究相應的落實舉措�����,依法開展并完善信用數據治理����。
一����、《數據安全法》頒布實施具有十分重要的意義
?���。ㄒ唬┲贫〝祿踩ㄓ欣谇袑嵕S護國家安全
“數據”作為現今時代和未來時期經濟和社會發展的一項戰略資源要素和關鍵生產要素�����,必將重構社會生產力和社會生產關系���,對于科學技術創新�����、經濟社會發展���、學習工作生活����、國家社會治理�、國家競爭實力�、國家國際地位�、國防軍事建設�����、國家總體安全等都具備極高價值并發揮關鍵作用����。沒有數據安全就沒有國家安全����。因此�����,數據安全問題業已成為當今世界各個國家都十分關注和高度重視的問題�����?!稊祿踩ā坟瀼芈鋵嵖傮w國家安全觀����,聚焦數據安全領域的突出問題和風險隱患���,加強國家數據安全工作的統籌協調����,確立了數據分類分級管理���,數據安全審查�����,數據安全風險評估��、監測預警和應急處置等基本制度�����,并明確了相關主體的數據安全保護義務�����。通過建立健全各項制度機制���,提升國家數據安全保障能力����,有效應對來自數據的非傳統領域的國家安全風險與嚴峻挑戰����,切實維護國家主權��、安全和發展利益��。
?����。ǘ┲贫〝祿踩ㄓ欣诰S護社會主體合法權益
信息時代���,數字化為自然人�����、法人和非法人組織從事經濟和社會活動提供了諸多便利�����。數字經濟條件下���,“數據”作為戰略資源要素和關鍵生產要素蘊含巨大的經濟價值���。一些企業�、機構���、個人非法獲取數據�,非法交易數據�����,違規濫用數據�����,或者忽視數據安全保護造成數據泄露�����,侵害自然人�、法人和非法人組織合法權益的問題十分突出�����,社會反映強烈���?��!稊祿踩ā返某雠_能進一步推動我國健全數據處理制度體系����,形成統一的數據處理規則�����?��!稊祿踩ā访鞔_了相關主體依法依規開展數據活動�,建立健全數據安全管理制度����,加強風險監測防控和及時處置數據安全事件等方面的責任和義務�����,通過嚴格規范數據處理活動����,堅決打擊遏制數據處理違法行為��,切實有效保護數據安全�����,維護社會主體的合法權益����,增強社會主體的安全感����。
?�。ㄈ┲贫〝祿踩ㄓ欣诖龠M數字經濟健康發展
數據作為最具時代特征的生產要素���,對于促進經濟和社會發展具有重要作用����。近年來��,國際社會圍繞數據的競爭已經成為國家以及地區之間競爭的重要領域��。按照黨中央���、國務院的戰略決策部署�����,我國持續推進網絡強國��、數字中國�����、智慧社會建設���,以數據為新興生產要素的數字經濟蓬勃發展�?�!稊祿踩ā穲猿职踩c發展并重�����,對保障數據安全與促進產業發展的措施作出相應規定���,在規范數據活動的同時�,推進政務數據開放利用等�����。通過促進數據資源依法合理充分有效利用賦能數字經濟���,支撐新技術���、新產業��、新產品���、新模式�����、新業態���,促進我國經濟社會高質量發展���。
?���。ㄋ模┲贫〝祿踩ㄓ欣诖龠M數據服務機構公平競爭
《數據安全法》能夠為合規誠信經營的數據服務機構創造更加公開��、公平的市場競爭環境���。以《數據安全法》的實施為標志�,數據市場“跑馬占荒”����、“野蠻擴張”�、“無序競爭”����、“忽視權益”的時代宣告結束����,數據市場從此將邁上法治化��、規范化��、國際化道路����。數據處理活動的底線是數據安全�?���!稊祿踩ā返膶嵤?����,將為數據處理活動構筑堅實的安全屏障�����,并對數據處理相關行業產生重大積極影響�。
?����。ㄎ澹┲贫〝祿踩閿祿戏ò踩灰讋撛旆森h境
《安全數據法》頒布實施��,對我國數據合法安全交易具有極其重要的意義�����,為數據確權和數據交易保護提供法律保障�����,加快國家建立健全數據交易管理制度����,規范數據交易行為����,培育數據交易市場的進程�,促進信息價值發現��,保障數據交易的合法性��,增強信息流動性���,提高獲取數據的便利性�����,推動數據行業健康發展�。
?����。┲贫〝祿踩閿祿审w系增添一塊重要拼圖
《數據安全法》的出臺��,與此前出臺的《中華人民共和國網絡安全法》和將要出臺的《個人信息保護法》前后呼應���,作為中國信息安全立法“三劍客”奠定了我國數據安全�����、網絡空間安全的基本框架��。
《數據安全法》是數據領域的基礎性法律����,也是國家安全領域的一部重要法律��,對中國的數據處理活動影響深遠����。作為數據領域的綱領性法律����,《數據安全法》為各地區�����、各部門���、各行業��、各領域后續制定相關配套制度措施�、標準規范提供了法律依據和方向指引��。
二�、《數據安全法》展現中國數據治理的基本特征
《數據安全法》的頒布實施�,使數據處理�、數據監管��、數據維權有法可依�?��!稊祿踩ā酚煽倓t��、數據安全與發展��、數據安全制度�����、數據安全保護義務���、政務數據安全與開放�����、法律責任����、附則等七章構成�,具有以下基本特征:
?。ㄒ唬┴熑瘟x務法定化
《數據安全法》的出臺�,是貫徹落實依法治國�、依法執政�、依法行政方略的重大舉措����,《數據安全法》充分體現了“全主體”�����、“全流程”數據安全理念��。“全主體”是指任何組織(包括國家機關��、數據機構�、數據項目承包商等)���、個人都應當依法承擔數據安全主體責任����、義務�。“全流程”是指數據處理的各個環節�����,包括數據的收集��、存儲�����、使用��、加工��、傳輸�����、提供���、公開等都應當依法履行數據安全責任���、義務����。
根據其立法精神和相關規定���,任何組織�����、個人開展數據處理活動��,都應當遵守法律����、法規��,履行數據安全保護義務���,承擔社會責任�����,不得危害國家安全��、公共利益����,不得損害個人��、組織的合法權益��。
收集數據�����,應當采取合法��、正當的方式���,不得竊取或者以其他非法方式獲取數據����;應當在法律����、行政法規規定的目的和范圍內收集�、使用數據�����。數據項目承包商也須要依照法律�����、法規的規定和合同約定履行數據安全保護義務����,不得擅自留存���、使用��、泄露或者向他人提供政務數據�。即便是公安機關�、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據��,也應當依法進行�。
開展數據處理活動應當依照法律��、法規的規定�,采取相應的技術措施和其他必要措施��,保障數據安全�����,不得泄露或者非法向他人提供個人隱私��、個人信息�����、商業秘密�����、保密商務信息等數據��。
對于違反《數據安全法》的行為�����,將按照該法有關法律責任的規定�,根據其違法性質��、情節����、危害�����、后果����,相應給予警告���、處分�、罰款�����、沒收違法所得��、責令暫停相關業務����、停業整頓����、吊銷相關業務許可證或者吊銷營業執照�;構成犯罪的�,依法追究刑事責任等處罰����。
?����。ǘ祿卫硪幏痘?/span>
數據安全治理離不開標準規范的技術支撐���。為建立健全數據安全標準規范���,《數據安全法》明確:國務院標準化行政主管部門和國務院有關部門將根據各自的職責���,組織制定并適時修訂有關數據開發利用技術�����、產品和數據安全相關標準����。同時�����,國家還要制定政務數據開放目錄����,構建統一規范��。此外�,相關行業組織也要按照章程��,依法制定數據安全行為規范和團體標準���。
?�。ㄈ祿卫碇贫然?/span>
數據安全治理離不開制度機制保障����。立法精神�����、法律條款需要通過建立相關制度機制去細化落實�����。為完善數據安全治理體系�����,國家將建立數據分類分級保護制度�;制定重要數據目錄�����;建立集中統一�����、高效權威的數據安全風險評估�、報告��、信息共享�、監測預警機制����;建立數據安全應急處置機制��;建立數據安全審查制度�。
?�。ㄋ模祿卫眢w系化
數據安全治理是一個巨大����、復雜的系統工程���。數據安全不會孤立存在���,而是與其他事物的安全相互關聯�,特別是與國家安全密切相關����?�!稊祿踩ā分赋?�,維護數據安全�,應當堅持總體國家安全觀�����,建立健全數據安全治理體系�����,提高數據安全保障能力�����。
要想有效提高數據安全保障能力��,首先必須建立數據安全組織保障體系��。對此�,《數據安全法》明確規定�,中央國家安全領導機構負責國家數據安全工作的決策和議事協調�����,研究制定���、指導實施國家數據安全戰略和有關重大方針政策�����,統籌協調國家數據安全的重大事項和重要工作��,建立國家數據安全工作協調機制�����;各地區�、各部門對本地區����、本部門工作中收集和產生的數據及數據安全負責����。工業����、電信�、交通��、金融�、自然資源�����、衛生健康����、教育��、科技等主管部門承擔本行業���、本領域數據安全監管職責����。公安機關��、國家安全機關等依法在各自職責范圍內承擔數據安全監管職責���。國家網信部門依法負責統籌協調網絡數據安全和相關監管工作��。
數據安全治理涉及到自然人��、法人和非法人組織���,必須建立全社會共同治理的格局才可能達到預期目的���。為此�,《數據安全法》提出���,國家推動有關部門�����、行業組織��、科研機構���、企業����、個人等共同參與數據安全保護工作�,形成全社會共同維護數據安全和促進發展的良好環境���。
?。ㄎ澹祿鲃邮袌龌?/span>
數據市場化以及數據合法交易是數字經濟發展的基礎條件���。為保障數據合法交易流通��,國家建立健全數據交易管理制度����,規范數據交易行為�,培育數據交易市場�。國家在保護個人����、組織與數據有關的權益的同時����,鼓勵數據依法合理有效利用���,保障數據依法有序自由流動����,促進以數據為關鍵要素的數字經濟發展�。
為保證數據交易合法����,交易情況可以追溯�����,從事數據交易中介服務的機構提供服務���,應當要求數據提供方說明數據來源���,審核交易雙方的身份�����,并留存審核��、交易記錄�。
數字政府��、電子政務建設�,“互聯網+監管”���,政務服務“一網通辦”���、“掌上辦”���,使政府在履行行政管理�����、市場監管�����、公共服務職能過程中生成�、獲取�、擁有海量政務信息����。依法公開政務數據����,可以向社會釋放海量數據資源����,有利于促進數據處理行業發展�,培育數據服務市場���,提升運用數據服務經濟社會發展的能力��。為此�,國家建立政務數據公開制度�,遵循公正�����、公平���、便民的原則��,按照規定及時����、準確地公開政務數據��;依法不予公開的除外�。
?��。祿卫韲H化
在經濟全球化���,“一帶一路”建設���,國際交流合作�、全球社會治理背景下����,數據跨境流動以及來自境外的數據安全威脅已經呈現常態化趨勢���。數據安全治理必須適應新的形勢���、新的任務���、新的要求���。為此�����,國家立法機關賦予《數據安全法》鮮明的國際化特征���,以此展現當代中國立法的全球視野���,參與數據全球治理的積極意愿��,展示開展國際交流合作的大國風范����,宣示維護國家數據主權的堅定意志���。有的人士將該法的國際化特征形象地稱之為“長臂管轄”����。
例如����,即使在中華人民共和國境外開展數據處理活動��,損害中華人民共和國國家安全�����、公共利益或者公民�、組織合法權益的����,也要依法追究法律責任�。
我國對數據安全治理持開放態度��,即國家積極開展數據安全治理�、數據開發利用等領域的國際交流與合作�����,參與數據安全相關國際規則和標準的制定�����,促進數據跨境安全��、自由流動�。
但是�,國家對與維護國家安全和利益�����、履行國際義務相關的屬于管制物項的數據依法實施出口管制��。例如��,非經中華人民共和國主管機關批準���,境內的組織���、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據���。
中國堅持同任何國家或者地區在與數據和數據開發利用技術等有關的投資����、貿易等方面對等采取措施�。
三���、依據《數據安全法》重塑信用數據治理體系
?��。ㄒ唬┘訌娦庞脭祿卫斫M織保障
信用服務機構應當加強信用數據安全治理組織保障�����。其中�,在公共信用數據安全治理組織保障方面����,將信用數據安全納入全國信用信息共享平臺體系和“信用中國”網站集群的信用數據治理總體框架當中�����,可由各部門�、各地區公共信用數據服務機構聯合成立公共信用數據治理機構�,并建立相應的統籌協作機制���、議事決策規則�����、數據安全制度��、監督檢查機制等�����,負責推動公共信用數據安全有關的工作�,實現信用數據安全協同治理���、聯防聯控���,提高應對信用數據安全風險的能力�����。有條件的公共信用信息服務機構應當設立信用數據安全管理組織機構���,配備專業管理人員���。
?����。ǘ┘涌煨庞脭祿卫碇贫冉ㄔO
《數據安全法》的頒布�����,為建立健全數據安全治理體系�����,提高數據安全保障能力提供了專門的法律依據�����。同時���,對信用服務機構的信用數據治理也提出了新的挑戰�����,信用數據安全�����、信用數據管理將成為越來越重要的合規議題�����。
《數據安全法》頒布后��,各地區����、各部門需以其作為依據�����,并結合自身特點和實際需要出臺相應的配套法規����、規章����、規范性文件�����。
完善信用數據治理相關合規制度�����,加強信用數據全生命周期����、全處理流程的管理��。建立健全信用數據安全管理制度���,依法制定數據安全行為規范��,統一信用數據安全標準���,制定信用數據分類分級規則���,確立信用數據分類分級總體框架���,加強信用數據合規管理�。建立信用數據安全責任確認機制���,落實信用數據保護主體責任���,切實保障信用數據安全�。依據《數據安全法》制訂信用數據治理戰略和工作規劃�,并將安全合規作為最重要的內容之一���。
?�。ㄈ┙L險監測和評估機制
探索開展信用數據處理活動風險監測����,發現數據安全缺陷��、漏洞等風險時���,立即采取補救措施�;發生數據安全事件時�,立即采取處置措施��,按照規定及時告知用戶并向有關主管部門報告���。
處理重要數據時���,應當明確數據安全負責人和管理機構���,落實數據安全保護責任��,按照規定對其數據處理活動定期開展風險評估���,并向有關主管部門報送風險評估報告�。
風險評估報告應當包括處理的重要數據的種類�、數量��,開展數據處理活動的情況��,面臨的數據安全風險及其應對措施等�。
?����。ㄋ模┏雠_信用數據治理改革措施
信用數據合法交易是信用服務行業發展的客觀要求�,也是社會信用體系建設的必然趨勢����。依法開展信用數據交易�����,保障信用服務機構擁有合法數據來源和變現渠道����,有利于在信用數據領域建立安全和發展雙輪驅動��、統籌協調����、平衡穩定的格局����。
探索建立“信用數據資源交易服務平臺”����。信用數據資源交易服務平臺是集信用數據合規審核���、信用數據確權出版(認定)��、信用數據資源交易�、信用數據流通登記(對信用數據處理主體��、信用數據流通過程��、購買信用數據用途進行審核及登記認證)等服務為一體的公平���、公正�����、可信����、可靠��、安全���、高效的綜合性信用數據資源交易平臺����。
建立統一的信用數據賦權標準����、信用數據類目管理�、信用數據交易規則����、信用數據加密規范���、信用數據交易安全體系����,并利用區塊鏈等信息技術����,實現合法信用數據流通和非法信用數據流通的精準辨識��。通過信用數據合法交易�����,實現各類信用數據處理機構所擁有的信用數據的安全流通與融合應用����,助力聯通信用數據孤島���、破除信用數據壁壘���,有效實現信用信息資源共享�����。
?�。ㄎ澹﹪栏裥庞脭祿幚砗弦帉彶?/span>
信用服務機構須要關注信用數據來源的合規性����、合法性�����,規范信用數據流程和商業變現行為����,保證信用數據合規應用��。
確保個人隱私�、個人信息�����、商業秘密�����、保密商務信息等數據安全����。對此�,在信用數據處理流程中���,須要依法加強網站���、App�、小程序���、公眾號�����、SDK等多渠道相關數據收集���、公開�、使用等的合規檢查��。
規范信用數據共享平臺運行�����,嚴格限定信用數據共享出口��,依法管控信用數據共享或向第三方提供信用數據��、對外披露信用數據等行為�����,在滿足業務需求的同時�,有效實施信用數據安全管理�����,防范信用數據被竊取����、泄漏等安全風險�。
近些年來����,信用數據應用場景進一步普及和豐富�,合規指引需要進一步細化����。
?���。娀庞脭祿卫肀O督檢查
《數據安全法》的出臺��,標志著信用數據治理工作將邁入體系化�、機制化����、常態化階段����。政府有關部門將加大對信用服務機構數據安全的監督管理�。信用服務機構應當嚴格對照監管部門要求強化內部控制管理�,明晰人員責任分工�,保護信息主體權益�����,從源頭上防范杜絕可能存在的安全風險��。在信用數據安全治理總體框架內����,組織開展信用數據安全統一檢查�����、相互檢查����、交叉檢查���。信用數據安全的社會監督���、輿論監督也將逐步加強���。
?��。ㄗ髡咄粲?,系國家公共信用信息中心副主任�����,高級工程師�,全國社會信用標準化技術委員會委員)
