数据安全法正式出台 确立数据分级分类管理等基本制度

2021-06-15 14:24:14    来源:中国商报    

数据安全保护终于有法可依。6月10日,十三届全国人大常委会第二十九次会议通过了《中华人民共和国数据安全法》(以下简称数据安全法)。这部法律是数据领域的基础性法律,也是国家安全领域的一部重要法律,将于9月1日起施行。数据安全法的实施有何特殊意义?将给行业发展带来怎样的变化?

确立数据分级分类管理等基本制度

数据安全法共分为七章,分别为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任、附则。

数据安全法确立了数据分级分类管理以及风险评估、检测预警和应急处置等数据安全管理各项基本制度;明确了开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;坚持安全与发展并重,锁定支持促进数据安全与发展的措施;建立保障政务数据安全和推动政务数据开放的制度措施。

总则中明确了数据安全法出台的背景、数据安全释义等。数据安全法明确,为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。

数据安全制度一章中提及,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。同时还提及,国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制、国家建立数据安全应急处置机制、国家建立数据安全审查制度、国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

近年来,随着互联网的高速发展及5G、人工智能等新兴技术的快速崛起,个人数据泄露事件时有发生,个人数据保护问题迫在眉睫。数据安全法指出,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。

开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

将给网络安全行业带来什么影响

数据安全法的出台引发了业界的强烈关注。

华东政法大学竞争法研究中心执行主任翟巍分析认为,数据安全法有四大亮点。第一,它明确强调在坚持总体国家安全观的前提下维护数据安全,并设立国家数据安全工作的决策和议事协调机制,基于此,该部法律将成为我国各类公权力机关统筹应对国家数据安全风险的法律根基与有效工具。第二,它厘定数字经济时代安全与发展之间的双向促进与辩证统一关系,具体来看,依据该部法律第十三条规定,“数据开发利用和产业发展”有利于促进“数据安全”,而“数据安全”又反过来有利于保障“数据开发利用和产业发展”。第三,它注重确保社会公众能够全面与有效获取数字经济发展红利,并防范弱势群体由于数字经济技术迭代发展而处于困境。依据该部法律第十五条规定,提供智能化公共服务应当充分考虑老年人、残疾人的需求。第四,它明确设定了国际贸易交往领域的对等反制原则。依据该部法律第二十六条规定,如果任何国家或地区在与数据和数据开发利用技术有关的投资、贸易等方面对我国采取歧视性措施,我国可以根据实际情况对等采取措施。

360集团创始人、董事长周鸿祎认为,从最近多起勒索攻击事件可见,数据安全直接影响业务安全,大数据时代所有的业务都是数据驱动高的,一旦敏感数据被锁定或泄露,会造成重大经济损失或生产瘫痪。数据安全法的出台非常必要且及时,将推动社会数据全生命周期的安全,比如采集、传输、存储、处理、交换、销毁等的安全。

奇安信集团总裁吴云坤认为,首先数据安全法的出台把数据安全上升到了国家安全层面,基于总体国家安全观,将数据要素的发展与安全统筹起来,为我国的数字化转型,构建数字经济、数字政府、数字社会提供法治保障。在他看来,数据安全法作为数据领域的“上位法”,确定了数据流转过程中组织、个人的安全责任和义务,明确了监管要求。同时,作为纲领性法规,为各部门、各行业、各领域在后续制定相关配套制度、措施、规范和标准过程中指明了方向。其次,数据安全法消除了数据活动的灰色地带,形成制约机制,遏制随意流转。第三,数据安全法规定的数据安全保护责任和业务涉及数据活动的全流程,数据伴随着业务和应用,在不同载体间流动和留存,贯穿信息化和业务系统的各层面、各环节,这对数据安全防护提出了更高的要求。

吴云坤表示,数据安全法的出台将成为继《中华人民共和国网络安全法》(以下简称网络安全法)实施后,网络安全行业的又一个里程碑,势必将驱动政府、机构和企业增加在数据安全领域的投资,用以完善安全防护体系,从而推动网络安全行业在数据安全领域的技术、产品加快创新和产业创新发展。

北京市伟博律师事务所主任李伟民表示,数据安全法作为我国数据安全领域的基础性法律,具有标志性意义和价值,但仍需从以下方面完善。第一,进一步明确界定“数据”“政务数据”“重要数据”等重要概念,为法律适用提供坚实基础。第二,数据安全法是一部纲领性数据安全规范,很多规定都是方向性或者开放性的,对于数据安全审查程序、重要数据风险评估的报送对象和审查流程等重要问题,需要制定大量配套规则,将其具体化。

数据信息领域法律体系不断完善

李伟民表示,近年来,随着互联网技术的发展和数字经济的兴起,我国不断推进网络强国、数字中国、智慧社会等建设,数据从单纯的信息记载形式逐渐发展为具有独立经济价值的利益形态,成为新的生产要素和国家基础性战略资源。甚至有人提出,“得数据者得天下”的时代已到来。数据对人们生产生活,乃至国家安全、经济发展都产生着重大影响。随之而来的,是国家、企业、个人围绕数据展开大量博弈,公司、企业、社会组织忽视数据安全、利用数据从事违法犯罪活动的现象频频出现。我国政府十分重视数据处理活动的有效规制,在发挥数据巨大经济价值的同时,让数据活动在法律框架范围内有序进行。

党的十九大报告明确提出推动互联网、大数据、人工智能和实体经济深度融合。数据作为一种新型生产要素,正以更深度的方式为经济社会发展赋能。按照党中央部署和贯彻落实总体国家安全观的要求,制定一部数据安全领域的基础性法律十分必要。

早在2018年9月7日,十三届全国人大常委会就公布了立法规划(共116件),《中华人民共和国数据安全法》位于第一类项目:条件比较成熟、任期内拟提请审议的法律草案;2020年《中华人民共和国数据安全法》(草案)在第十三届全国人大常委会第二十次会议审议,同年7月3日,《中华人民共和国数据安全法(草案)》在中国人大网公布,公开征求意见;今年4月29日,《中华人民共和国数据安全法(草案二次审议稿)》正式发布。

今年3月,在国新办发布会上,国家互联网信息办公室副主任杨小伟曾介绍,《个人信息保护法》正在加紧制定出台。他表示,在当前大数据快速发展环境下,数据安全和个人隐私保护工作一直在加强。网络安全法在全国范围内深入实施,数据安全法、《个人信息保护法》在加紧制定出台,与此同时也在加紧制定相关法规标准,建立数据资源确权、开放、流通以及交易的相关制度,从而在运行机制上进一步完善数据产权保护制度,为数据安全和个人隐私、个人信息保护提供制度保障。

在网络安全法深入实施、数据安全法被正式通过的背景下,《个人信息保护法》也仍在制定出台。有观点认为,《个人信息保护法》出台之后,三部法律将共同组成数据信息领域的法律体系。

此外,国家各部门已经连续出台多条政策保护个人信息安全、优化网络环境。今年1月1日起实施的《中华人民共和国民法典》将人格权独立成编,以“隐私权和个人信息保护”专章方式,对隐私权和个人信息的定义、保护原则、法律责任、主体权利、信息处理等问题作出规定。

国家市场监管总局发布的《信息安全技术个人信息安全规范》明确规定,在收集个人生物识别信息前,需单独向用户告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则,并征得用户的明示同意;个人生物识别信息要与个人身份信息分开存储,原则上不应存储原始个人生物识别信息。(记者 祖爽)

[责任编辑:h001]

相关新闻

联系邮箱:99 25 83 5@qq.com

备案号:豫ICP备2020035338号-4 营业执照公示信息

产经时报 版权所有