十三届全国人大常委会第二十次会议6月28日在北京举行,数据安全法草案(下称“草案”)首次提请审议。
据新华社报道,草案规定了支持促进数据安全与发展的措施,建立健全国家数据安全管理制度,落实开展数据活动的组织、个人的主体责任等。
草案的主要内容之一,是坚持安全与发展并重,规定支持、促进数据安全与发展的措施,提升数据安全治理和数据开发利用水平,促进以数据为关键要素的数字经济发展。
对外经济贸易大学数字经济与法律创新研究中心执行主任许可认为,“数据安全”本身就是“国家安全”不可分割的一部分,数据已成为内部安全和外部安全的关键领域。
值得注意的是,大数据、云计算等产业已在我国蓬勃兴起,落实开展数据活动的组织、个人的主体责任,是否会妨碍数据产业的发展?
“对于大数据公司来说,草案的出台是一个好事情,因为它明晰了数据在利用过程中的原则和界限,可以让这些企业完善内部的合规工作。”浙江垦丁律师事务所联合创始人吴旭华说。
提升国家数据安全保障能力
早在2018年9月公布的“十三届全国人大常委会立法规划”中,数据安全法被列为“条件比较成熟、任期内拟提请审议的法律草案”。
6月24日,全国人大常委会法工委发言人、研究室主任臧铁伟指出,随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。
许可认为,数据安全法和《中华人民共和国网络安全法》(简称《网络安全法》均是《中华人民共和国国家安全法》(简称《国家安全法》)的下位法,平等地统合在“国家安全”麾下。
按照《网络安全法》规定,网络安全包括“保障网络数据的完整性、保密性、可用性的能力”。
许可认为,这说明《网络安全法》已规定了数据的自身安全,那么,数据安全法草案应将“数据自主可控”和“数据宏观安全”作为规制重心。
他对21世纪经济报道记者表示,数据自主可控,即国家对重要数据实际支配权力,避免被其他组织或国家非法操纵、监控、窃取和干扰;数据宏观安全,即管理和防控因数据处理、使用引致的国家主权、公共利益和群体安全的威胁。
据新华社报道,2018年3月,脸书(Facebook)被爆出与咨询公司剑桥分析公司违规分享8700万用户数据。随后,美联邦贸易委员会对此事展开调查,并对脸书开出50亿美元罚单以及实施新的数据限制条件。
数据安全法草案将按照总体国家安全观的要求,确立数据安全保护管理各项基本制度,提升国家数据安全保障能力,有效应对数据这一非传统领域的国家安全风险与挑战,切实维护国家主权、安全和发展利益。
数据安全和数据利用协调一致
我国数据安全还面临另外一个层面的威胁。
有学者对中国裁判文书网上公布的信息进行统计发现,我国近年来“非法获取计算机信息系统数据罪”的判决书有475份,判决“破坏计算机信息系统数据罪”的判决书有226份。
吴旭华介绍,作为数据安全保护领域的一部专门法,数据安全法将设定相应的法律责任。“以往数据安全的法律体系中缺少行政处罚,导致出现问题后,要么通过民事责任,比如不正当竞争诉讼解决,要么直接上升到刑事犯罪。”
有了行政处罚的手段,一些尚处于萌芽阶段或尚不构成犯罪的违法行为就可以通过整改等手段得到纠正。“法律有一个很重要的功能,就是可以起到预测的作用。没有这方面的规定,可能很多市场主体就不够重视。”他说。而只有明确“红线”,才能刺激企业合规发展。
2019年第三季度,国内多家大数据公司被查,暂停业务,而有些征信公司也牵扯其中,被警方带走配合调查。业内普遍认为,大数据行业这场突如其来的风波,或因“爬虫”技术滥用,深度涉足现金贷业务有关。
而在2017年,“精准营销”甚嚣尘上之时,也有多家大数据公司被查。
“有些大数据公司获取数据的来源比较复杂,在梳理数据的过程当中,没有特别注重区分敏感数据和非敏感数据,没有做好数据脱敏、去标签化的工作,这部法律通过之后,相关企业需要关注并增加这方面的投入。”吴旭华说。
被称为“史上最严数据保护法”的欧盟《通用数据保护条例》(简称GDPR)就以“可识别性”作为核心。上述信息法律专家介绍,GDPR对个人数据进行了不同层次的界定,从而为其设定了不同的保护程度,实现了数据保护义务与流通处理之间的平衡。
“个人信息的鲜明特征,是直接通过这些信息或者结合其他信息,能够关联到某一个特定的自然人。如果把个人信息的‘可识别性’去掉了,就变成了可商用的数据。但是商用数据也可能通过技术手段,恢复成为个人信息,这就需要采取足够的安全防范措施。”吴旭华说。
《网络安全法》第42条第1款规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
许可介绍,这一被称为“大数据条款”的规定,赋予了利用匿名化数据的自由,为企业创新打开了大门。
他认为,数据安全法亦应延续这一思路,充分认识到数据价值,将数据安全和数据利用看作一体之两翼、驱动之双轮,只要数据利用不会导致不合理危险,就应允许并积极推动其发展,通过激励相容的制度设计,最终令数据安全和数据利用协调一致。
附1:国脉“一网通办”核心支撑系统(GDBOS),助力数字政府建设
数字政府2.0操作系统、政务数据体系2.0基础标配、政务服务一体化升级方案。又名“政府数据业务操作系统”(GDBOS), 是基于国家有关政策要求、各地实践经验、数据体系理论、微服务技术架构,围绕“大数据、大系统、大平台”融合一体思路,为各地数字政府升级而量身打造的一套作业平台。运用数据体系、标准治理、业务再造、组织进化等工具和方式,可从结构、标准、模块架构上对当前政务服务平台体系进行优化、重组和升级。有效适配部委、省、市、县(区)不同层次需求,支撑数据整合共享、政务流程再造和服务模式升级,全面提升政务服务能力,夯实数字政府基础,为国家治理能力现代化提供重要支撑。
依托"产品+数据+标准"框架,构建"标准支撑、数据体系、业务再造、数据治理、管理赋能"五大体系,无缝衔接既有业务系统,有效驱动政务服务整体运作:①落脚在“办成”,把政务数据归集到一个功能性平台,企业和群众只进一扇门就能办成不同领域事项;②综合提升政府政务服务、数据整合与治理能力,并最终实现数字化转型升级与智慧组织进化。
附2:国脉政策通(又名“国脉一体化惠企政策服务平台”),是对标中央关于“各项惠企政策落实到位、易于知晓、一站办理”要求,打通政策服务、优化营商环境的帮手级产品。以“惠企政策精准送、补贴申报一次办”为核心,提供政策“发布、汇聚、查看、送达、办理、督查、评价”全套解决方案。基于市场主体、民生服务和营商环境优化,从最小颗粒化、数源标准化、数据共享化、组织协同化、业务融合化五个方面着手打造,实现群众与企业真正“知政策、懂政策、享政策”,依托政策红利更好发展。截至目前,该系统已于深圳市、杭州市、佛山市、浦东新区、南山区等地应用,获企业群众普遍好评。
