RM新时代平台足球

 

　　9月1日，《中華人民共和國數據安全法》（以下簡(jiǎn)稱(chēng)《數據安全法》）正式實(shí)施，《數據安全法》以貫徹總體國家安全觀(guān)的目的為出發(fā)點(diǎn)，以數據治理中最為重要的安全問(wèn)題作為切入點(diǎn)，抓住了數據安全的主要矛盾和平衡點(diǎn)，是我國數據安全領(lǐng)域的一部重要基礎性法律。
　　堅持總體國家安全觀(guān)，是習近平新時(shí)代中國特色社會(huì )主義思想的重要內容。黨的十九大明確把堅持總體國家安全觀(guān)列入新時(shí)代堅持和發(fā)展中國特色社會(huì )主義基本方略，作出了完善國家安全制度體系、加強國家安全能力建設的總體部署。面對新形勢新任務(wù)新挑戰，必須全面貫徹落實(shí)總體國家安全觀(guān)，保持清醒頭腦、增強憂(yōu)患意識、強化底線(xiàn)思維、做到居安思危，切實(shí)做好國家安全工作，堅決維護國家主權、安全、發(fā)展利益。網(wǎng)絡(luò )安全的核心是數據安全，在數據對各領(lǐng)域的重要性與日俱增的同時(shí)，數據風(fēng)險與數據安全問(wèn)題也愈發(fā)突出，給人類(lèi)和社會(huì )帶來(lái)了前所未有的挑戰。在此背景下，數據的保護與治理不僅關(guān)乎數據本身作為重要生產(chǎn)要素的開(kāi)發(fā)利用與安全問(wèn)題，而且與國家主權、國家安全、社會(huì )秩序、公共利益等休戚相關(guān)。因此，按照總體國家安全觀(guān)的要求，制定一部數據安全領(lǐng)域的基礎性法律十分必要。
　　《數據安全法》體現了總體國家安全觀(guān)的立法目標，聚焦數據安全領(lǐng)域的突出問(wèn)題，確立了數據分類(lèi)分級管理，建立了數據安全風(fēng)險評估、監測預警、應急處置和數據安全審查等基本制度，并明確了相關(guān)主體的數據安全保護義務(wù)，這是我國首部關(guān)于數據安全的專(zhuān)門(mén)法律。
明確數據安全保護域外法律效力
　　當前，全球經(jīng)貿交易、技術(shù)交流、資源分享等跨國合作日益頻繁，數據跨境流動(dòng)已經(jīng)是無(wú)法避免的事實(shí)。如果我國的數據安全法只適用于“在中華人民共和國境內開(kāi)展數據活動(dòng)”的地域空間，顯然是不現實(shí)的。為此，《數據安全法》第二條第二款明確規定：“在中華人民共和國境外開(kāi)展數據處理活動(dòng)，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。”
　　該款中的“境外開(kāi)展數據處理活動(dòng)”的主體既包括位于中國境外的數據處理者，也包括位于中國境內的數據處理者，但其數據處理行為在境外，這兩類(lèi)數據處理者的行為只要損害了我國國家安全、公共利益以及公民和組織的合法數據權益，均由我國法律管轄，并追究法律責任。
實(shí)行統籌協(xié)調下的行業(yè)監管機制
　　《數據安全法》第五條明確：“中央國家安全領(lǐng)導機構負責國家數據安全工作的決策和議事協(xié)調，研究制定、指導實(shí)施國家數據安全戰略和有關(guān)重大方針政策，統籌協(xié)調國家數據安全的重大事項和重要工作，建立國家數據安全工作協(xié)調機制。”這表明，《數據安全法》實(shí)行“中央國安委”統籌協(xié)調下的行業(yè)監管機制：第一，中央國家安全領(lǐng)導機構負責國家數據安全工作的決策和議事協(xié)調，研究制定、指導實(shí)施國家數據安全戰略和有關(guān)重大方針政策，統籌協(xié)調國家數據安全的重大事項和重要工作；第二，各地區、各部門(mén)對本地區、本部門(mén)工作中收集和產(chǎn)生的數據及數據安全負責；第三，工業(yè)、通信、交通、金融、自然資源、衛生健康、教育、科技等主管部門(mén)承擔本行業(yè)、本領(lǐng)域數據安全監管職責；第四，公安機關(guān)、國家安全機關(guān)等依照本法和有關(guān)法律、行政法規的規定，在各自職責范圍內承擔數據安全監管職責；第五，國家網(wǎng)信部門(mén)依照《數據安全法》和有關(guān)法律、行政法規的規定，負責統籌協(xié)調網(wǎng)絡(luò )數據安全和相關(guān)監管工作。
促進(jìn)以數據為關(guān)鍵要素的數字經(jīng)濟發(fā)展
　　《數據安全法》第七條規定：“國家保護個(gè)人、組織與數據有關(guān)的權益，鼓勵數據依法合理有效利用，保障數據依法有序自由流動(dòng)，促進(jìn)以數據為關(guān)鍵要素的數字經(jīng)濟發(fā)展。”數據作為生產(chǎn)要素由市場(chǎng)評價(jià)貢獻、按貢獻決定報酬，這是黨的十九屆四中全會(huì )首次提出的一項重大產(chǎn)權創(chuàng )新制度。目前，各類(lèi)網(wǎng)絡(luò )平臺，尤其是超級網(wǎng)絡(luò )平臺通過(guò)自身營(yíng)造的網(wǎng)絡(luò )生態(tài)系統，將網(wǎng)絡(luò )公共空間的數據當作一種私權，不利于數據要素市場(chǎng)的構建。因此，《數據安全法》明確提出“國家保護個(gè)人、組織與數據有關(guān)的權益”，這里的“權益”指公民和法人受法律保護的與數據有關(guān)的權利和利益，在個(gè)人和組織與數據有關(guān)的權益得到充分保護的基礎上，依法推動(dòng)數據合理有效利用和依法有序流動(dòng)。
建立數據分類(lèi)分級保護制度
　　《數據安全法》第二十一條規定：“國家建立數據分類(lèi)分級保護制度，根據數據在經(jīng)濟社會(huì )發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個(gè)人、組織合法權益造成的危害程度，對數據實(shí)行分類(lèi)分級保護。國家數據安全工作協(xié)調機制統籌協(xié)調有關(guān)部門(mén)制定重要數據目錄，加強對重要數據的保護。”
　　《數據安全法》中的“數據分類(lèi)分級”，采用了數據“重要程度﹢危害程度”的立法手段，對數據實(shí)行分類(lèi)分級保護，特別是將“關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數據”列為“國家核心數據”，實(shí)行更加嚴格的管理制度?！稊祿踩ā窂膰覍用嫣岢隽藬祿诸?lèi)分級，是確定數據保護和利用之間平衡點(diǎn)的一個(gè)重要依據，為政務(wù)數據、企業(yè)數據、工業(yè)數據和個(gè)人數據的保護奠定了法律基礎。
　　《數據安全法》沒(méi)有給出“重要數據”的定義，而是通過(guò)“制定重要數據目錄”的形式確定“重要數據”。實(shí)踐中，“重要數據”按照行業(yè)劃分很難體現其“重要性”，因此一般不采用按行業(yè)劃分的方式，而是從維護國家安全的高度，按照數據的重要程度進(jìn)行分級，并通過(guò)國家制定的“重要數據目錄”明確“重要數據”的名稱(chēng)和類(lèi)別，“重要數據目錄”應當適時(shí)進(jìn)行更新。
建立數據安全審查制度
　　“國家安全審查”是《國家安全法》最先確立的一項國家安全審查與監管制度。根據《國家安全法》第五十九條規定：“國家建立國家安全審查和監管的制度和機制，對影響或者可能影響國家安全的外商投資、特定物項和關(guān)鍵技術(shù)、網(wǎng)絡(luò )信息技術(shù)產(chǎn)品和服務(wù)、涉及國家安全事項的建設項目，以及其他重大事項和活動(dòng)，進(jìn)行國家安全審查，有效預防和化解國家安全風(fēng)險。”
　　數據安全審查制度與網(wǎng)絡(luò )安全審查是依法確立的國家安全審查制度中兩項重要的安全審查制度?！稊祿踩ā返诙臈l規定：“國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動(dòng)進(jìn)行國家安全審查。”《網(wǎng)絡(luò )安全法》第三十五條規定：“關(guān)鍵信息基礎設施的運營(yíng)者采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)，可能影響國家安全的，應當通過(guò)國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)組織的國家安全審查。”
　　《數據安全法》中的數據安全審查制度與《網(wǎng)絡(luò )安全法》中的網(wǎng)絡(luò )安全審查制度相輔相成，交叉適用，但兩者在審查的具體對象上側重點(diǎn)不同，前者的審查對象主要側重于影響或者可能影響國家安全的數據處理活動(dòng)，數據處理活動(dòng)包括：數據的收集、存儲、使用、加工、傳輸、提供、公開(kāi)等；后者的審查對象主要針對關(guān)鍵信息基礎設施運營(yíng)者采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)，影響或可能影響國家安全的情形，這里的“影響國家安全的情形”本身就涵蓋了數據安全的內容。
建立數據安全應急處置機制
　　《數據安全法》第二十三條明確了“國家建立數據安全應急處置機制”，并要求“發(fā)生數據安全事件，有關(guān)主管部門(mén)應當依法啟動(dòng)應急預案，采取相應的應急處置措施，防止危害擴大，消除安全隱患，并及時(shí)向社會(huì )發(fā)布與公眾有關(guān)的警示信息”。該條有四層意思：一是要在國家層面構建數據安全應急處置機制；二是有關(guān)單位在發(fā)生數據安全事件時(shí)，應當依法立即啟動(dòng)應急預案，該條中的“有關(guān)單位”應當按照“誰(shuí)主管誰(shuí)負責、誰(shuí)運行誰(shuí)負責”的原則確定；三是采取最有效的應急處置措施，防止危害擴大，要消除安全隱患，同時(shí)要組織研判，保存證據，并做好信息通報工作；四是及時(shí)向社會(huì )發(fā)布與公眾有關(guān)的警示信息，強調“發(fā)布與公眾有關(guān)的警示信息”，主要是為了讓公眾了解數據安全事件的真相，并及時(shí)采取自我保護措施，避免其數據遭到破壞或在遭到破壞后防止損失的擴大。數據安全事件應急預案應當按照緊急程度、發(fā)展態(tài)勢和可能造成的危害程度進(jìn)行等級分類(lèi)，一般分為四級：由高到低依次用紅色、橙色、黃色和藍色標示，分別對應可能發(fā)生的特別重大、重大、較大和一般網(wǎng)絡(luò )安全突發(fā)事件。
明確數據處理者的合規義務(wù)
　　數據合規，是指數據處理者及其工作人員的數據處理行為符合法律法規、監管規定、行業(yè)準則和數據安全管理規章制度以及國際條約、規則等要求?！稊祿踩ā返诙邨l到第三十條明確數據處理者應履行數據安全的四項重要合規義務(wù)。
　　一是開(kāi)展數據處理活動(dòng)應當依法合規。《數據安全法》第二十七條規定：“開(kāi)展數據處理活動(dòng)應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開(kāi)展數據安全教育培訓，采取相應的技術(shù)措施和其他必要措施，保障數據安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò )開(kāi)展數據處理活動(dòng)，應當在網(wǎng)絡(luò )安全等級保護制度的基礎上，履行上述數據安全保護義務(wù)。重要數據的處理者應當明確數據安全負責人和管理機構，落實(shí)數據安全保護責任。”該條規定了五項重要義務(wù)：一是開(kāi)展數據處理活動(dòng)應當依照法律、法規的規定；二是開(kāi)展數據處理活動(dòng)應當建立健全全流程數據安全管理制度，并組織開(kāi)展數據安全教育培訓；三是開(kāi)展數據處理活動(dòng)應當采取相應的技術(shù)措施和其他必要措施，保障數據安全；四是利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò )開(kāi)展數據處理活動(dòng)，應當在網(wǎng)絡(luò )安全等級保護制度的基礎上，履行上述數據安全保護義務(wù)；五是重要數據的處理者應當設立專(zhuān)門(mén)的管理機構，并明確數據安全負責人，這里的“數據安全負責人”類(lèi)似于GDPR的“數據安全保護官（DPO）”。
　　二是數據處理應當為民造福并符合社會(huì )倫理道德。當前，數據處理者在數據處理活動(dòng)中大量使用智能技術(shù)和算法技術(shù)，特別是數據處理者開(kāi)發(fā)的智能技術(shù)與算法的融合，其本質(zhì)是建立在大數據基礎上的自我學(xué)習、判斷和決策的算法。算法的核心是基于網(wǎng)絡(luò )的編程技術(shù)，目前基于智能技術(shù)的算法決策具有典型的“黑箱”特點(diǎn)，大量違背社會(huì )公德和倫理，最典型的就是大數據殺熟機制。針對數據處理者違反法律和違背社會(huì )公德濫用大數據新技術(shù)的情形，《數據安全法》第二十八條提出了開(kāi)展數據處理活動(dòng)以及研究開(kāi)發(fā)數據新技術(shù)的三項合規義務(wù)。一是數據處理者研究開(kāi)發(fā)數據技術(shù)，一定要利于促進(jìn)經(jīng)濟社會(huì )發(fā)展；二是數據處理者研究開(kāi)發(fā)數據新技術(shù)，要以增進(jìn)人民福祉為目的；三是數據處理者研究開(kāi)發(fā)數據新技術(shù)應當符合社會(huì )公德和倫理。國家應當強化數據處理者和數據新技術(shù)開(kāi)發(fā)者的科技倫理管理主體責任，特別是對從事生命科學(xué)、醫學(xué)健康、人工智能等涉及數據倫理敏感領(lǐng)域的數據處理者，應設立專(zhuān)門(mén)的數據安全倫理（審查）委員會(huì )，并為其獨立開(kāi)展工作提供必要的條件保障。
　　三是數據處理活動(dòng)應當加強風(fēng)險監測。《數據安全法》第二十九條規定：“開(kāi)展數據處理活動(dòng)應當加強風(fēng)險監測，發(fā)現數據安全缺陷、漏洞等風(fēng)險時(shí)，應當立即采取補救措施；發(fā)生數據安全事件時(shí)，應當立即采取處置措施，按照規定及時(shí)告知用戶(hù)并向有關(guān)主管部門(mén)報告。”數據安全風(fēng)險監測與評估是參照數據安全風(fēng)險評估標準和管理規范，對數據資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節、已采取的防護措施等進(jìn)行監測，分析和判斷數據安全事件發(fā)生的概率以及可能造成的損失，并采取有針對性的處置措施和提出數據安全風(fēng)險管控措施?！稊祿踩ā返诙艞l對數據安全的風(fēng)險監測與數據安全事件的處置作出兩項明確要求，一是開(kāi)展數據處理活動(dòng)應當加強風(fēng)險監測，發(fā)現數據安全缺陷、漏洞等風(fēng)險時(shí)，應當立即采取補救措施；二是發(fā)生數據安全事件時(shí)，應當立即采取處置措施，按照規定及時(shí)告知用戶(hù)并向有關(guān)主管部門(mén)報告。
　　四是重要數據處理者應當定期開(kāi)展數據風(fēng)險評估。《數據安全法》第三十條規定：“重要數據的處理者應當按照規定對其數據處理活動(dòng)定期開(kāi)展風(fēng)險評估，并向有關(guān)主管部門(mén)報送風(fēng)險評估報告。風(fēng)險評估報告應當包括處理的重要數據的種類(lèi)、數量，開(kāi)展數據處理活動(dòng)的情況，面臨的數據安全風(fēng)險及其應對措施等。”該條款有三項內容，一是重要數據的處理者應當按照規定對其數據處理活動(dòng)定期開(kāi)展風(fēng)險評估；二是數據風(fēng)險評估報告應當向有關(guān)主管部門(mén)報送；三是風(fēng)險評估報告應當包括處理的重要數據的種類(lèi)、數量，開(kāi)展數據處理活動(dòng)的情況，面臨的數據安全風(fēng)險及其應對措施等。

建立數據的出境安全管理制度
　　《數據安全法》第三十一條規定：“關(guān)鍵信息基礎設施的運營(yíng)者在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據的出境安全管理，適用《中華人民共和國網(wǎng)絡(luò )安全法》的規定；其他數據處理者在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據的出境安全管理辦法，由國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)制定。”本條規定了重要數據出境安全管理的規定，主要涉及兩方面內容，一是關(guān)鍵信息基礎設施的運營(yíng)者在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據的出境安全管理，適用《中華人民共和國網(wǎng)絡(luò )安全法》的規定；二是除關(guān)鍵信息基礎設施的運營(yíng)者處理的重要數據外，其他數據處理者在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據的出境安全管理辦法，由國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)制定。關(guān)于“重要數據”的范圍，主要指與國家安全、經(jīng)濟發(fā)展，以及社會(huì )公共利益密切相關(guān)的數據，具體范圍應參照國家“重要數據目錄”和國家重要數據識別的相關(guān)標準。
提供數據處理服務(wù)的行政許可準入制度
　　《數據安全法》第三十四條規定：“法律、行政法規規定提供數據處理相關(guān)服務(wù)應當取得行政許可的，服務(wù)提供者應當依法取得許可。”許可含有準許、允許或授權的意思，數據處理相關(guān)服務(wù)的行政許可，其基本性質(zhì)是行政機關(guān)對特定的數據處理服務(wù)活動(dòng)進(jìn)行事前控制的一種管理行為。
　　數據處理相關(guān)服務(wù)的行政許可一般應具有以下特征：一是從事數據處理相關(guān)服務(wù)的行政許可是一種由行政相對人申請的行政行為，沒(méi)有行政相對人的申請，行政機關(guān)不能主動(dòng)予以許可。二是數據處理服務(wù)行政許可的設定意味著(zhù)法律的一般禁止，行政許可的內容是國家一般禁止的活動(dòng)，為適應社會(huì )生活和生產(chǎn)的需要，對符合一定條件者解除禁止，允許其從事某項特定的活動(dòng)。數據處理服務(wù)本身涉及維護國家主權、安全和發(fā)展利益，應該是國家一般禁止的行為，但國家為了促進(jìn)數據開(kāi)發(fā)利用，在保障數據安全的前提下，對符合條件的組織和個(gè)人準許其實(shí)施數據處理服務(wù)行為。三是數據處理服務(wù)行政許可是一種授益性行政行為，即賦予相對人某種權利和資格的授益性行政行為，是準許相對人從事數據處理服務(wù)這項特定活動(dòng)的行為。
　?。ㄗ髡吆?jiǎn)介：王春暉，浙江大學(xué)教授、博士生導師，網(wǎng)絡(luò )空間治理與數字經(jīng)濟法治〈長(cháng)三角〉研究基地主任，南京郵電大學(xué)數字經(jīng)濟戰略與法治研究中心主任）