必读!专家怎么看《数据安全法(草案)》?


2020-7-8 15:10

在全球信息化进入全面渗透、跨界融合、加速创新、引领发展的大背景下,全球进入大数据时代,数据呈现爆发增长。而对数据掌控能力日益成为衡量国家竞争力的关键因素。然而,数据的爆发增长,也带来了前所未有的风险与安全挑战,亟须出台一部统筹数字经济时代“安全与发展”并重的《数据安全法》。

2020年6月28日,第十三届全国人大常委会第二十次会议初次审议了《中华人民共和国数据安全法(草案)》(以下简称《数据安全法(草案)》)。7月3日,《数据安全法(草案)》在中国人大网公布,面向社会征求意见,“草案”共分七章,依次为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则。

为了确保《数据安全法(草案)》能系统地反应数字经济时代国家整体的数据安全与发展观,7月5日,中国通信学会网络空间安全战略与法律委员会联合中国数字经济安全与发展50人论坛、中国行为法学会基础理论研究会、国家社科基金重大专项“建立健全我国网络综合治理体系研究”课题组、浙江大学网络空间国际治理研究基地、浙江大学当代中国话语研究中心通过远程会议系统联合举办了《数据安全法(草案)》在线专家研讨会。

会议由中国通信学会网络空间安全战略与法律委员会副主任委员、中国数字经济安全与发展50人论坛秘书长、浙江大学当代中国话语研究中心名誉主任、国家社科基金重大专项“建立健全我国网络综合治理体系研究”课题组首席顾问王春晖教授主持,来自全国各地学界、实务界和企业界共300多名专家学者参与了本次研讨会,以下是参会专家发表的核心观点。

中国通信学会网络空间安全战略与法律委员会主任委员、中国政法大学副校长时建中教授指出,《数据安全法》是数字安全领域一部基础性的法律。征求意见稿确立了多元的立法目标,既要保护数据安全,又要促进数据的开发利用,体现了“安全与发展并重”的正确理念。时建中教授认为,《数据安全法》的逻辑起点和主体内容应该是数据安全,通过构建科学合理的数据安全制度体系,为数据的开发利用提供应然的法治环境。促进数据开发利用的产业法治内容,不是本法的重点和主体内容。更何况安全制度属于强制性规则,需要具体和明确,不能含混不清,否则不利于数据的开发和利用。

就具体内容而言,时教授认为,目前征求意见稿的具体条款并没有很好地体现出多元的立法目标,征求意见稿对“数据”“数据安全”“数据活动”等本法核心概念的定义均需要完善。他认为,域外效力制度是征求意见稿的亮点之一,但是需要进一步明细,体现主权平等、工具对等的原则。征求意见稿在数据安全义务与法律责任方面不甚匹配,存在有义务无责任的情况。同时,在法律责任方面,责任形式不够,违法成本明显过低。此外,征求意见稿对于重要的安全制度只是粗线条描述。他强调,数据安全标准体系、数据交易管理制度、重要数据保护目录制度、数据安全监测预警机制、国家数据安全应急处置机制、国家数据安全审查制度、国家数据出口管制制度、企业数据安全管理制度等,这些制度应该是数据安全法的重点内容。此外,数据安全与已经实施的国家安全法、网络安全法、保密法以及正在制定的个人信息保护法的关系,需要认真处理。

中国通信学会网络空间战略与法律委员会副主任委员、中国东方航空集团总法律顾问、首席数据安全保护官郭俊秀博士介绍了东方航空集团数据合规方面的经验。他指出,每年东航要处理海量的个人数据,在保护客户个人数据方面,东方航空做了很多的努力,目前已经初步形成了“六个一”的数据保护体系:一项制度、一个机构、一支队伍、一套流程、一份手册和一期培训班。

针对《草案》的内容,他提出了四点建议:一是进一步明确数据安全的含义和范围,对“数据”、“数据安全”等概念进行准确辨析;二是建议赋予民航局承担民航业数据安全监管的职责,民航业是国家重要的战略产业,上下游企业具有明显的行业特征,航空公司在日常经营中处理海量的旅客数据,对个人数据的保护需求较为突出;三是对数据的合理使用,应当制定明确的标准和范围,数据的意义在于使用,建议一方面应明确如何依法合规利用数据,另一方面应明确提供数据处理服务供应商的法定义务,严格限制其处理范围;四是建议明确第二十五条中“数据安全负责人”的职责范围,推动数据安全保护工作队伍水平的提升。

国务院发展研究中心李广乾研究员认为,《数据安全法(草案)》涉及数据保护的方方面面,但仍有不足。首先,数据和信息的概念上有所差别,在草案中应该进一步予以区分;其次,在行业数据的保护方面,每一类行业数据都有其特殊的性质,故其安全的要求也有很大的不同,在制定法律时应该充分予以考虑,且政务数据不应该设定为《草案》单独的一章;第三,《草案》应针对数据的采集方、控制方、处理方等不同的主体,制定数据流转机制的根本性规定;第四,在跨境数据流动方面,我国的跨境数据流动战略还有所不足,无法解决社会的根本性的需要。目前,我国已成为数据发展的强国,相应的数据流动政策也应与世界发达国家进行对接,从而最大程度地利用我国的数据生产要素,满足国家和人民的数据利益。

中国社科院法学所研究员支振锋从三个方面论述了他对于《数据安全法(草案)》的看法,首先,关于数据的概念,《草案》对于数据的定义有待完善,应当对电子数据应给出一个更加清晰的定义;其次,关于数据安全,需要对数据安全法的位阶性进行明确,在总体国家安全观的指引下制定数据安全的概念,既要包括数据自身的安全,又要包含数据主权的安全,将安全置于发展之中,在保护数据安全的同时促进数据产业的发展;第三,关于在当今时代背景下,我国应当如何进行数据安全立法,数据安全法应体现了一种开放的而非封闭的思路,发展而非停滞的思路,发展和安全要同步推进。中国应该有强者心态,开放心态,发展心态,中国的数据安全立法不仅仅规定我们自身数据的安全,也要在保护好关键领域和关键数据的前提下,积极与世界对接,扩大开放水平。同时在立法的过程中注重技巧性,增加操作性,积极为全球的数据安全立法提供中国智慧和中国样本。

浙江大学教授、博导,中国通信学会网络空间战略与法律委员会副主任委员、国家社科基金重大专项“建立健全我国网络综合治理体系研究”首席专家程乐认为,从总体结构而言,《草案》的立法名称与具体章节安排和协调统一程度有待完善不够。首先,尽管“安全”与“发展”作为基本的理念与原则在《草案》中有所提及,但是在具体章节的安排方面,“发展”的篇幅很少,从而未能很好地体现该如何积极利用数据这一生产要素促进发展;其次,在没有对数据按照一定的标准进行分类的前提下,“政务数据”作为单独的一章显得突兀,同时过分强调及突出“政务数据”的安全与“政务数据”开放趋势也不一致;第三,与国外以及国内相关立法相比较而言,《草案》的篇幅较短,体系不够健全,不能很好地反映作为国家数字安全立法的整体水平和形象。

程教授对《草案》部分条款提出了完善建议,比如第一条关于立法目的与立法依据的规定,他建议对立法目的更加明晰;同时明确立法依据,这样对正式出台的《数据安全法》在法律位阶方面的确定就可以厘定本法与其他法律之间的关系,也便于实际解决有可能产生的法律之间的不一致现象。《草案》第三条是本法的三个核心定义,即“数据、数据活动、数据安全”,但是这三个核心定义边界都不够清晰,也不具有可操作性,这就影响了整部法律的实操性。在总则之后的具体条款,总体来看操作性也不是很不强,不少条款可有可无,实际意义不大。他认为,《草案》还有很大的完善空间,应继续细化和强化法律责任,特别是应当加大数据违法的成本。

阿里巴巴集团法律研究中心副主任顾伟博士表示,根据总体国家安全观的要求和党中央的贯彻部署,制定数据安全领域基础性法律十分必要。他认为,数据安全法草案紧紧抓住了国家安全保障和数据要素流通两个关键问题,比较好地把握了安全与发展的平衡关系;《数据安全法(草案)》在《网络安全法》对网络数据安全保障的基础上,进一步覆盖了网络数据和非网络数据安全的管理,并在政府数据开放问题上实现了更大的突破。

顾伟博士认为,在中国企业全球化经营的背景下,我国的数据安全立法应当积极回应新的国际数据安全态势和国际竞争格局。他建议,《数据安全法(草案)》应当进一步考虑国际数据安全合作的机制设计,明确制度接口,以便更好地推动中国数据产业的国际合作与全球化发展。

西南政法大学教授、博导张建文对《草案》提出六个方面的修改建议:

关于法律名称,《草案》基本涵盖了所有数据类型和数据种类,而我们应把有限执法资源放在对重要数据的保护上,比如改为《重要数据安全法》;

关于立法范围,《草案》没有明确调整对象,把所有电子和非电子数据都纳入其保障范围,这超出了其所能承担的有效功能,浪费了立法资源;

关于立法目的,根据当前的文本,这更像是一部“数据安全促进法”,因为缺乏对国家主权和发展利益的保护;

关于数据分级保护和分类制度,目前,重要数据目录保护的确立权属于“本地区、本部门、本行业”,划分缺乏审慎性和明确性,导致重要数据的划分要么过于随意、要么过于狭窄;

关于数据安全审查和司法介入,对于“所有数据安全审查”和“数据的国家安全审查”的关系,建议赋予后者最终效力,并考虑司法救济和保护,为数据创新发展留下空间。

关于数据交易中介服务机构的义务,应严格区分个人信息、非个人信息和数据集合三种情况。对于个人信息和非个人信息交织在一起时的信息保护,相关条款应删除。

来自广东省通信管理局网络安全管理处处长张红霞博士,作为一名长期从事电信和互联网行业的执法工作者,她从数据安全监管的角度对《数据安全法(草案)》(草案)发表以下意见:

首先,法律的价值体现在通过对权利、义务和责任的创设,来规范相应的行为使之符合立法的目的,从而促进经济社会的发展。草案中更多的是倡导性、政策性规定,对权利、义务和责任的创设很少。建议立法机关组织人力和各方面资源对数据安全可能涉及的违法行为认真梳理,对最急迫需要解决的数据安全违法行为予以规范并在罚则中设定对应的处罚条款;

其次,法律的生命在于实施,草案的可操作性很差,可实施性不强。一共51条中真正有针对性地被设定了罚则的条款只有6条,这6条也很难落到实处。罚则看起来有8条,但除了42、43、44条这3条之外,其余5条(41、45到48)流于空泛,形式大于内容;

第三,法律的使命是规范和引导,目前的草案在调动各相关主体做好数据安全保护的内生动力方面还非常欠缺。建议罚则加大处罚力度,丰富处罚种类,对有数据泄露等情形发生的主体在申领相关许可证照、违法个人的从业禁止等方面应当有限制性规范。同时通过引入信用管理,让违法者付出更多的违法成本;

第四,数据的分类分级是数据安全管理的基础,直接决定着对数据的采集、传输、存储、使用、开放共享、销毁全生命周期管理过程中的人员配备、制度保障,以及一年应当搞几次风险评估,数据安全事件应当有什么级别的应急响应,权限应当如何管理、审计等等,建议草案对分类分级制度专章规定,而不是仅仅一个条款一句话就是一个制度。

上海交通大学数据法律研究中心执行主任何渊从立法体系角度提出了以下意见:首先,草案有些面面俱到,重点不突出,所要解决的问题不聚焦;其次,存在逻辑混乱,政务数据一章比较突兀,金融数据、健康医疗数据等其他重要数据类型没有做出具体安排;第三,数据安全法应突出重要数据,限缩国家安全审查和执法数据调取,增强制度可操作性,比如启动程序、救济路径等等。

从法律执行来看,草案较多条款是宣示性的,宣示性的条款在国际对接上可能存在较大问题,建议详细规定数据泄露通知制度,明确数据泄露通知的主体、条件、标准、程序、内容等等。

从法律责任来看,现有罚则过轻,企业缺乏自我规制动力。实践中轻易动用刑法,存在“要么坐牢、要么没事”的现象,导致很多企业、个人铤而走险。何教授建议,对照前期制度安排,提高违法罚则,促进企业建立良好的内部合规体系。应借鉴行政执法的和解协议制度,把企业建立数据合规机制作为适用和解程序的条件,在协议当中引入完整的企业合规条款,及时向全社会公布,规定一定的考验期,允许企业自我完善。

工信部信息通信经济专家委员会委员、中国通信学会网络空间安全战略与法律委员会副主任委员、中国数字经济安全与发展50人论坛秘书长、中国法学会网络与信息法学研究会常务理事王春晖教授对各位专家的精彩发言做了评述,并提出自己的意见。王春晖教授认为,《数据安全法(草案)》与《国家安全法》和《网络安全法》这三部安全法在法律位阶上应当属于同位阶法,但三者存在一定的交叉关系,应当平衡三者之间的关系,不应当出现《数据安全法》夹在中间的“尴尬”地位。

王教授认为,数据安全法应当整体突出“总体国家全观”和“数据主权原则”,在“安全与发展”并重原则的指导下,围绕构建国家数据安全生态治理体系进行整体布局。尽管《数据安全法(草案)》第四条提到了维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力,但是草案文本没有体现国家数据主权原则,也没有充分体现构建国家数据安全治理体系的整体布局和路径。

王教授建议,应当明确规定数据安全法的域外效力,如果我国的数据安全法只适用于“在中华人民共和国境内开展数据活动”的地域空间以及“国境外组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或公民、组织合法全的,依法追究法律责任。”,这显然是不够的,也是有缺陷的。他建议,《数据安全法(草案)》可以参考GDPR第三条“地域适用范围”的规定做出明确的域外效力规定。

《数据安全法(草案)》第三条将“数据”定义为:“任何以电子或非电子性质对信息的记录。”,王教授认为,上述数据的定义不准确,特别是“非电子性质对信息的记录”涉及范围和边界太宽泛,没有体现大数据时代“数据”的特征与本质。大数据时代的“数据”主要指网络(电子)数据,其主要特征是容量大、类型多、存取速度快、应用价值高的网络数据集合。

关于数据要素和数据交易,王教授认为,把数据作为生产要素按贡献参与分配,这是党的十九届四中全会提出的一项重大新型产权制度。数据安全法应当明确数据的权属和交易规则,明确经过脱敏脱密,可交易数据的种类。

他认为,既然草案第二条明确了在中国境内开展数据活动,均适用《数据安全法》,草案所仅把“政务数据安全与开放”列为一章显然与立法宗旨不符。他建议,进入5G时代以及后5G时代,80%的数据将是工业网络数据,这是经济社会运行的神经中枢,是数据安全的重中之重,《数据安全法(草案)》应当给予重点关注。

王教授对草案中法律责任设置的处罚力度不足表示了担忧,他认为,草案中的法律责任就像一只没有牙齿的老虎,难以震慑数据违法行为,必须加大数据活动的违法成本。他建议,应当为数据处理者设定了四项强制性规范并加大大惩罚力度,一是任何数据处理者不得泄露或者篡改其收集、存储的数据;二是未经数据主体同意,不得向他人非法提供或交易其数据,但是经过加工无法识别特定个人或组织且不能复原的数据除外;三是数据处理者应当采取技术措施和其他必要措施,确保其收集、存储的各类数据安全,防止数据泄露、篡改、丢失;四是发生或者可能发生数据泄露、篡改、丢失的,应当立即启动数据安全应急响应机制,及时采取补救措施,并按照规定告知数据主体并向有关主管部门报告。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。
评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2022 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号
深圳市宇通互联信息技术有限公司    地址:深圳市宝安区新安街道28区宝安新一代信息技术产业园C座606