學(xué)習(xí)《數(shù)據(jù)安全法》七大亮點(diǎn)解讀完整

學(xué)習(xí)《數(shù)據(jù)安全法》七大亮點(diǎn)解讀前言2021年6月10日，第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十九次會(huì)議正式通過(guò)并公布《中華人民共和國(guó)數(shù)據(jù)安全法》（“《數(shù)據(jù)安全法》”），將于2021年9月1日起施行。作為數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律和國(guó)家安全領(lǐng)域的一部重要法律，《數(shù)據(jù)安全法》集中、全面地體現(xiàn)了我國(guó)當(dāng)前的數(shù)據(jù)安全監(jiān)管思路。目錄明確數(shù)據(jù)安全監(jiān)管的工作協(xié)調(diào)與統(tǒng)籌機(jī)制1建立“數(shù)據(jù)分類分級(jí)保護(hù)制度”，明確“國(guó)家核心數(shù)據(jù)”管理制度2網(wǎng)絡(luò)安全等級(jí)保護(hù)制度與數(shù)據(jù)安全保護(hù)制度的銜接3明確重要數(shù)據(jù)出境安全管理制度4嚴(yán)格規(guī)制面向境外司法或者執(zhí)法機(jī)構(gòu)的數(shù)據(jù)出境活動(dòng)5對(duì)政務(wù)數(shù)據(jù)的相關(guān)規(guī)定6明確數(shù)據(jù)處理活動(dòng)不應(yīng)排除、限制競(jìng)爭(zhēng)7明確數(shù)據(jù)安全監(jiān)管的工作協(xié)調(diào)與統(tǒng)籌機(jī)制01明確數(shù)據(jù)安全監(jiān)管的工作協(xié)調(diào)與統(tǒng)籌機(jī)制《數(shù)據(jù)安全法》正式稿相比二審稿新增了由中央國(guó)家安全領(lǐng)導(dǎo)機(jī)構(gòu)“統(tǒng)籌協(xié)調(diào)國(guó)家數(shù)據(jù)安全的重大事項(xiàng)和重要工作，建立國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制”的表述，明確由中央國(guó)家安全領(lǐng)導(dǎo)機(jī)構(gòu)負(fù)責(zé)數(shù)據(jù)安全工作的決策和協(xié)調(diào)、國(guó)家網(wǎng)信部門統(tǒng)籌網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)管工作，由工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔(dān)本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全監(jiān)管職責(zé)，由公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)等在各自職責(zé)范圍內(nèi)承擔(dān)數(shù)據(jù)安全監(jiān)管職責(zé)。明確數(shù)據(jù)安全監(jiān)管的工作協(xié)調(diào)與統(tǒng)籌機(jī)制目前，我國(guó)數(shù)據(jù)領(lǐng)域監(jiān)管工作由中央網(wǎng)絡(luò)安全和信息化委員會(huì)與國(guó)家互聯(lián)網(wǎng)信息辦公室進(jìn)行全面的統(tǒng)籌協(xié)調(diào)，中央和地方市場(chǎng)監(jiān)管部門、工信部門和公安部門，以及相應(yīng)的行業(yè)主管部門分管不同領(lǐng)域的數(shù)據(jù)安全。例如，市場(chǎng)監(jiān)管部門從市場(chǎng)綜合監(jiān)督管理視角進(jìn)行執(zhí)法，對(duì)個(gè)人信息保護(hù)和網(wǎng)絡(luò)產(chǎn)品與服務(wù)等領(lǐng)域進(jìn)行監(jiān)管；工信部門從工業(yè)和通信業(yè)行業(yè)管理視角進(jìn)行執(zhí)法，對(duì)于信息的應(yīng)急響應(yīng)制度、個(gè)人信息保護(hù)、網(wǎng)絡(luò)產(chǎn)品與服務(wù)等領(lǐng)域進(jìn)行監(jiān)管；公安部門從公共安全的視角，對(duì)個(gè)人信息保護(hù)、網(wǎng)絡(luò)產(chǎn)品與服務(wù)、網(wǎng)絡(luò)安全等級(jí)保護(hù)等領(lǐng)域進(jìn)行監(jiān)管；各行業(yè)主管部門則從行業(yè)視角，對(duì)數(shù)據(jù)全領(lǐng)域進(jìn)行監(jiān)管，包括數(shù)據(jù)跨境、關(guān)鍵信息基礎(chǔ)設(shè)施、密碼產(chǎn)品等?？傮w而言，《數(shù)據(jù)安全法》的數(shù)據(jù)安全監(jiān)管思路基本延續(xù)了我國(guó)此前數(shù)據(jù)監(jiān)管和執(zhí)法實(shí)踐中的工作思路。建立“數(shù)據(jù)分類分級(jí)保護(hù)制度”，明確“國(guó)家核心數(shù)據(jù)”管理制度02建立“數(shù)據(jù)分類分級(jí)保護(hù)制度”，明確“國(guó)家核心數(shù)據(jù)”管理制度《數(shù)據(jù)安全法》第二十一條規(guī)定，“國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)”，“國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)”。不同于此前《網(wǎng)絡(luò)安全法》規(guī)定由網(wǎng)絡(luò)運(yùn)營(yíng)者按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求自行采取數(shù)據(jù)分類的措施[2]，《數(shù)據(jù)安全法》明確了由國(guó)家建立數(shù)據(jù)分類分級(jí)制度、由主管部門制定重要數(shù)據(jù)目錄并加強(qiáng)保護(hù)，從而與《網(wǎng)絡(luò)安全法》建立的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度一樣，成為網(wǎng)絡(luò)安全保護(hù)領(lǐng)域的重要制度。建立“數(shù)據(jù)分類分級(jí)保護(hù)制度”，明確“國(guó)家核心數(shù)據(jù)”管理制度此外，《數(shù)據(jù)安全法》第二十一條相較二審稿還新增了“關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國(guó)家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度”的條款，這一修改凸顯了《數(shù)據(jù)安全法》以維護(hù)國(guó)家安全和網(wǎng)絡(luò)空間主權(quán)為根本的基調(diào)。“國(guó)家核心數(shù)據(jù)”的內(nèi)涵與外延還有待數(shù)據(jù)安全監(jiān)管實(shí)踐的進(jìn)一步探索，結(jié)合此前對(duì)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》中對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施”的定義[3]，可知“國(guó)家安全、國(guó)計(jì)民生、公共利益”同樣會(huì)是判定“國(guó)家核心數(shù)據(jù)”的重要因素。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度與數(shù)據(jù)安全保護(hù)制度的銜接03網(wǎng)絡(luò)安全等級(jí)保護(hù)制度與數(shù)據(jù)安全保護(hù)制度的銜接《數(shù)據(jù)安全法》第二十七條相較二審稿新增了“利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動(dòng)，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護(hù)義務(wù)”的規(guī)定。這一條款要求數(shù)據(jù)處理者“在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上”開展數(shù)據(jù)安全保護(hù)工作，一方面強(qiáng)化了網(wǎng)絡(luò)安全等保制度在數(shù)據(jù)安全保護(hù)要求中的基礎(chǔ)作用，另一方面也體現(xiàn)了數(shù)據(jù)安全保護(hù)制度與《網(wǎng)絡(luò)安全法》的銜接。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度與數(shù)據(jù)安全保護(hù)制度的銜接網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求見于《網(wǎng)絡(luò)安全法》第二十一條，明確規(guī)定國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，并對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出了履行安全保護(hù)義務(wù)的具體要求，包括“采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施”以“保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”。此外，《網(wǎng)絡(luò)安全法》第五十九條[4]明確了違反網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求的法律責(zé)任，包括責(zé)令改正、警告、罰款等。此次《數(shù)據(jù)安全法》的規(guī)定再次體現(xiàn)了等保制度是網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)性制度之一，并與數(shù)據(jù)安全保護(hù)制度相互銜接。因此，相關(guān)企業(yè)應(yīng)按照《網(wǎng)絡(luò)安全法》及“等保2.0”系列標(biāo)準(zhǔn)[5]要求，積極落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，盡快進(jìn)行等級(jí)保護(hù)測(cè)評(píng)、整改和備案工作。明確重要數(shù)據(jù)出境安全管理制度04明確重要數(shù)據(jù)出境安全管理制度《數(shù)據(jù)安全法》第三十一條規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定；其他數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定。”明確重要數(shù)據(jù)出境安全管理制度一方面，這一條款明確了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理應(yīng)適用《網(wǎng)絡(luò)安全法》第三十七條提出的“一般情形+例外規(guī)定”，即關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者因業(yè)務(wù)需要，確需向境外提供重要數(shù)據(jù)的，一般情況下應(yīng)由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估，法律、行政法規(guī)另有規(guī)定的則從其規(guī)定。另一方面，對(duì)于其他數(shù)據(jù)處理者在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)，目前可參考的相關(guān)規(guī)定是國(guó)家網(wǎng)信辦于2017年發(fā)布的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》，其中第九條規(guī)定了六類重要數(shù)據(jù)出境時(shí)網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)提交行業(yè)主管部門或監(jiān)管部門進(jìn)行安全評(píng)估的場(chǎng)景。明確重要數(shù)據(jù)出境安全管理制度由于該辦法并未正式出臺(tái)和生效，且征求意見稿的發(fā)布時(shí)間也較為久遠(yuǎn)，對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者以外的其他數(shù)據(jù)處理者，數(shù)據(jù)出境安全管理的相關(guān)規(guī)則仍不明確，需等待正式的管理辦法出臺(tái)；但在此之前，企業(yè)同樣需要密切關(guān)注重要數(shù)據(jù)出境的合規(guī)義務(wù)。嚴(yán)格規(guī)制面向境外司法或者執(zhí)法機(jī)構(gòu)的數(shù)據(jù)出境活動(dòng)05嚴(yán)格規(guī)制面向境外司法或者執(zhí)法機(jī)構(gòu)的數(shù)據(jù)出境活動(dòng)《數(shù)據(jù)安全法》第三十六條規(guī)定，“非經(jīng)中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn)，境內(nèi)的組織、個(gè)人不得向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的數(shù)據(jù)?！边@一條款制定的背景是近年來(lái)數(shù)據(jù)管轄權(quán)沖突日益激烈的國(guó)際環(huán)境。2018年3月，在微軟愛爾蘭數(shù)據(jù)案[7]后，美國(guó)國(guó)會(huì)通過(guò)《澄清海外合法使用數(shù)據(jù)法》（ClarifyingLawfulOverseasUseofDataAct（CLOUD），簡(jiǎn)稱“云法案”），其中第103(a)(1)條規(guī)定“電子通信服務(wù)提供商和遠(yuǎn)程計(jì)算服務(wù)提供商應(yīng)當(dāng)依據(jù)本章規(guī)定，保存、備份或披露其擁有、監(jiān)管或控制的用戶通訊數(shù)據(jù)、記錄及其他信息，無(wú)論該等通訊數(shù)據(jù)、記錄及其他信息儲(chǔ)存于美國(guó)境內(nèi)或境外”[8]，從而為數(shù)據(jù)領(lǐng)域的“長(zhǎng)臂管轄”規(guī)則提供了基礎(chǔ)。該規(guī)則與歐盟《通用數(shù)據(jù)保護(hù)條例》（GeneralDataProtectionRegulation，簡(jiǎn)稱“GDPR”）的相關(guān)規(guī)定存在沖突。隨后，歐盟于2019年7月發(fā)布了《美國(guó)云法案對(duì)于歐盟個(gè)人信息保護(hù)法律框架以及歐盟—美國(guó)關(guān)于跨境電子取證協(xié)議談判影響的初步法律評(píng)估》，明確指出，根據(jù)GDPR規(guī)定，云法案不能成為向美國(guó)傳輸歐盟境內(nèi)的個(gè)人數(shù)據(jù)的合法基礎(chǔ)。嚴(yán)格規(guī)制面向境外司法或者執(zhí)法機(jī)構(gòu)的數(shù)據(jù)出境活動(dòng)在這一背景下，《數(shù)據(jù)安全法》的規(guī)定再度明確了我國(guó)對(duì)境內(nèi)數(shù)據(jù)的管轄權(quán)，充分體現(xiàn)了我國(guó)維護(hù)數(shù)據(jù)主權(quán)和國(guó)家安全的決心。值得一提的是，《數(shù)據(jù)安全法》還特別明確了未經(jīng)主管機(jī)關(guān)批準(zhǔn)向境外的司法或者執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)的法律責(zé)任，包括對(duì)企業(yè)和直接負(fù)責(zé)的主管人員的罰款、以及責(zé)令企業(yè)暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照等。[9]這一明確的法律責(zé)任形式，不僅意味著第三十六條的規(guī)定是企業(yè)應(yīng)嚴(yán)格履行的一項(xiàng)數(shù)據(jù)合規(guī)義務(wù)，也使得企業(yè)在對(duì)抗境外執(zhí)法或司法機(jī)構(gòu)可能的數(shù)據(jù)調(diào)取要求時(shí)，擁有了可援引的有力的法律規(guī)則。對(duì)政務(wù)數(shù)據(jù)的相關(guān)規(guī)定06對(duì)政務(wù)數(shù)據(jù)的相關(guān)規(guī)定《數(shù)據(jù)安全法》設(shè)立專章“政務(wù)數(shù)據(jù)安全與開放”，首次對(duì)政務(wù)數(shù)據(jù)的安全監(jiān)管思路做出了總體規(guī)定。其中，第三十七條對(duì)政務(wù)數(shù)據(jù)質(zhì)量提出科學(xué)性、準(zhǔn)確性和時(shí)效性要求；第三十八條對(duì)政務(wù)數(shù)據(jù)的采集和使用作出合規(guī)性規(guī)定；第三十九條對(duì)建立政務(wù)數(shù)據(jù)安全管理制度作出強(qiáng)調(diào)；第四十條提出對(duì)政務(wù)數(shù)據(jù)加工、存儲(chǔ)等外包服務(wù)要制定嚴(yán)格的審批流程；第四十一條和第四十二條提出政務(wù)數(shù)據(jù)開放的規(guī)范性要求。對(duì)政務(wù)數(shù)據(jù)的相關(guān)規(guī)定但是，《數(shù)據(jù)安全法》對(duì)于“政務(wù)數(shù)據(jù)”的內(nèi)涵與外延并未做出明確的規(guī)定，只是在相關(guān)條文表述上將“國(guó)家機(jī)關(guān)”作為義務(wù)主體，并且在第四十三條中規(guī)定了“法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織為履行法定職責(zé)開展數(shù)據(jù)處理活動(dòng)，適用本章規(guī)定?！币罁?jù)北京、上海、浙江等地公共數(shù)據(jù)管理相關(guān)政策的規(guī)定，公共數(shù)據(jù)通常是指是指各級(jí)行政機(jī)關(guān)以及具有公共管理和服務(wù)職能的事業(yè)單位在依法履行公共管理和服務(wù)職責(zé)過(guò)程中，產(chǎn)生、處理的各類數(shù)據(jù)。[10]實(shí)踐中，各類與政府進(jìn)行合作開展數(shù)據(jù)平臺(tái)建設(shè)并對(duì)相關(guān)數(shù)據(jù)進(jìn)行商業(yè)化開發(fā)的企業(yè)，在經(jīng)營(yíng)過(guò)程中很可能涉及政務(wù)數(shù)據(jù)或公共數(shù)據(jù)的處理活動(dòng)，應(yīng)當(dāng)特別關(guān)注《數(shù)據(jù)安全法》明確提出的對(duì)于政務(wù)數(shù)據(jù)的合規(guī)要求。明確數(shù)據(jù)處理活動(dòng)不應(yīng)排除、限制競(jìng)爭(zhēng)07明確數(shù)據(jù)處理活動(dòng)不應(yīng)排除、限制競(jìng)爭(zhēng)《數(shù)據(jù)安全法》第五十一條規(guī)定，“竊取或者以其他非法方式獲取數(shù)據(jù)，開展數(shù)據(jù)處理活動(dòng)排除、限制競(jìng)爭(zhēng)，或者損害個(gè)人、組織合法權(quán)益的，依照有關(guān)法律、行政法規(guī)的規(guī)定處罰。”這一規(guī)定將數(shù)據(jù)處理活動(dòng)與《反不正當(dāng)競(jìng)爭(zhēng)法》、《反壟斷法》等法律法規(guī)的規(guī)定相結(jié)合，體現(xiàn)了我國(guó)對(duì)數(shù)據(jù)安全的綜合監(jiān)管思路。明確數(shù)據(jù)處理活動(dòng)不應(yīng)排除、限制競(jìng)爭(zhēng)例如，《反壟斷法》明確禁止經(jīng)營(yíng)者在其經(jīng)營(yíng)活動(dòng)中排除、限制市場(chǎng)競(jìng)爭(zhēng)。國(guó)務(wù)院反壟斷委員會(huì)此前發(fā)布的《關(guān)于平臺(tái)經(jīng)濟(jì)領(lǐng)域的反壟斷指南》（“《指南》”）中，明確提及了經(jīng)營(yíng)者利用數(shù)據(jù)或算法排除、限制競(jìng)爭(zhēng)的多種行為模式。例如：經(jīng)營(yíng)者通過(guò)數(shù)據(jù)、算法、平臺(tái)規(guī)則或者其他方式實(shí)質(zhì)上達(dá)成協(xié)調(diào)一致的行為（即壟斷協(xié)議）；經(jīng)營(yíng)者通過(guò)平臺(tái)規(guī)則、數(shù)據(jù)、算法、技術(shù)等方面的實(shí)際設(shè)置限制或者障礙的方式限定交易（即濫用市場(chǎng)支配地位限定交易）；基于大數(shù)據(jù)和算法，根據(jù)交易相對(duì)人的支付能力、消費(fèi)偏好、使用習(xí)慣等，實(shí)行差異性交易價(jià)格或者其他交易條件（即濫用市場(chǎng)支配地位實(shí)施差別待遇）；此外，平臺(tái)經(jīng)營(yíng)者掌握的數(shù)據(jù)情況對(duì)于認(rèn)定經(jīng)營(yíng)者市場(chǎng)支配地位具有重要意義，《指南》明確提及，判斷相關(guān)平臺(tái)是否構(gòu)成其他經(jīng)營(yíng)者進(jìn)入相關(guān)市場(chǎng)的“必需設(shè)施”時(shí)，需要綜合考慮該平臺(tái)占有數(shù)據(jù)的情況和其他情況。明確數(shù)據(jù)處理活動(dòng)不應(yīng)排除、限制競(jìng)爭(zhēng)從這一條款的規(guī)定也