《数据安全法》正式发布,数据安全工作首次升至国家安全最高监管层级 6月11日,经过十三届全国人大常委会第二十九次会议通过的《数据安全法》对外公布,将于2021年9月1日起施行。这是我国第一部有关数据安全的专门法律。 生效之后,《数据安全法》将与《网络安全法》及正在立法进程中的《个人信息保护法》一起,全面构筑中国信息及数据安全领域的法律框架。 自2020年6月28日以来,《数据安全法》已经历三次审议与修改。正式稿又有哪些亮点?据悉,本次《数据安全法》相比此前草案,强调了建立工作协调机制,加强对数据安全工作的统筹;明确对关系国家安全、国民经济命脉、重要民生、重大公共利益等数据实行更严格的管理制度;同时,新法案进一步完善保障政务数据安全方面的规定;并加大对违法行为的处罚力度。 长期关注网络安全的环球律师事务所合伙人孟洁对红星新闻记者表示,《数据安全法》首次将数据安全全局决策统筹工作升格至中央国家安全领导机构,与《国家安全法》保持一致,从侧面巩固了数据安全在国家安全体系中的重要地位。
首次升至国家安全最高监管和行动决策的层级 《数据安全法》第五、六条明确了数据安全领域内治理体系的顶层设计,即中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究和制定重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制;工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责;并且,由公安机关和国家安全机关承担其范围内的监管职责;最后由国家网信部门统筹协调网络数据安全的监督管理工作。 “从上述表述可以看出,相较于《数据安全管理办法》和《网络安全法》所涉及的监管部门权属划分,《数据安全法》既有保留也有突破。” 孟洁指出,在网络监管方面,《数据安全法》沿袭了“网信部门+公安部门+国务院其他下属机构联动”的监管体系,但值得注意的是,《数据安全法》首次将数据安全全局决策统筹工作升格至中央国家安全领导机构,与《国家安全法》保持一致,从侧面巩固了数据安全在国家安全体系中的重要地位,以基本法成文化的方式将数据安全工作上升至国家安全最高监管和行动决策的层级。 “总体来说,国家从战略和规划层面上重视数据的保护与应用,也意味着企业需要更加谨慎地处理数据。” 明确关系国家安全、国民经济命脉等重要数据的重要性,这一点也在罚则部分有所体现。《数据安全法》最终稿新增的第四十五条第二款明确,违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下的罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。 处罚不再“一刀切” 罚款金额可高达一千万元 相较于数据安全法二审稿,出台的《数据安全法》在法律责任章节中,新增了违反国家核心数据管理制度及违法向境外提供重要数据的处罚。 孟洁指出,去年公开的《数据安全管理办法》对于违反法律义务的罚则是,“依违规情节,给予网络运营者公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。” 而本次《数据安全法》的规定,针对不同违法行为设置了不同的罚则,与《网络安全法》体例保持基本一致,规定了各主体违反法律规定可能承担的不同责任。 例如,开展数据活动的组织、个人未履行数据安全保护义务或未采取必要措施的,可能遭到警告和罚款,直接负责的主管人员个人也可能被处以罚款;如果违法行为性质恶劣或造成严重后果,罚款金额可高达一千万元人民币,并可能被责令暂停相关业务、停业整顿、吊销相关业务许可证或者营业执照,与《网络安全法》第六章规定同步。 孟洁指出,这一数字与《欧盟通用数据保护条例》(以下简称“GDPR”)规定的最高两千万欧元罚款尚有一定的距离,对于掌握千万用户数据的产业龙头企业或采买亿万字段信息的大数据巨头而言,威慑力度虽然也较为有限,“但至少也是一个良好示范的起步。” 另外,为避免非法来源数据交易的乱象,《数据安全法》第四十七条还规定了针对数据交易中介机构的处罚规则,即相关机构可能被没收违法所得、罚款、吊销营业执照,直接责任人也会被处以罚款,重拳出击规制数据交易行为,应引起相关机构的特别关注。 明确维护我国企业利益 将根据实际情况采取“对等措施” 随着我国科技企业的兴起和5G等尖端技术的开发,一些国家针对我国企业出台限制性措施。《数据安全法》第二十六条强化了应对态度,将根据实际情况采取“对等措施”。该条款明确了我国维护中国企业利益的决心,无疑给中国企业打了一枚强心剂。 孟洁认为,全球围绕数据的争夺日益深化,《数据安全法》的制定不仅需要解决国内数据安全管理的问题,还要为数据出境、跨境合作设计等相关规则制定策略。 孟洁指出,针对歧视的“对等措施”在国际私法、贸易等领域已有先例,此次在涉及数据安全、国家安全的基本法中重申这一原则,既表明我国拥护数据自由流动、跨境安全的坚定立场,又对他国如有不正当的歧视待遇行为做出了有力的回应。 此外,《数据安全法》第三十六条对处理外国司法或者执法机构关于提供数据的请求做出了规定——非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。即企业在面临境外监管机构的直接执法时,不能直接提供境外监管机构要求的数据,而是需要先行上报给我国主管机关,获得批准后方才可提供。 孟洁认为,这无疑显示出对部分国家域外长臂管辖执法进行有礼有节的回应态度。但日后也需要相关部门规章或者国家标准进一步细化具体报批的机关以及相关流程。
|