對比:《數據安全法》&&《網絡安全法》
2017年6月1日已執行將近4年多的《網絡安全法》,對網絡數據安全提出了相關的要求,主要從“數據安全”、“個人信息保護”、“國家層面的數據保護”三個維度展開。這與2021年9月1日即將執行的《數據安全法》在數據安全方面有哪些異同呢,下面我們從條款內容和執法案例兩個角度來分析一下。
從條款內容分析
1、《數據安全法》對“數據”概念進行補充和延伸。
已生效的《網絡安全法》并沒有對“數據”進行定義,而采用“網絡數據”(通過網絡收集、存儲、傳輸、處理和產生的各種電子數據)和“個人信息”(以電子或其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息)兩個概念,兩個概念事實上已涵蓋了公民參與網絡活動中使用各類電子數據和涉及個人信息的部分線下數據。
由于立法角度差異,《數據安全法》直接簡明扼要地將“數據”定義為“任何以電子或非電子形式對信息的記錄”,其保護范圍較《網絡安全法》大大擴展,這一改變將電子化記錄與其他方式記錄的信息統一納入數據范疇,既符合數字化時代的信息安全要求,又適應了數字經濟時代整體信息保護和整體信息安全的新要求。
2、《數據安全法》已具備一定“域外效力”,為反制國外相關法律的“長臂管轄”提供了法理依據。
與《網絡安全法》“在中華人民共和國境內建設、運營、維護和使用網絡,以及網絡安全的監督管理,適用本法”相比,《數據安全法》更進一步,規定“中華人民共和國境外的組織、個人開展數據活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。”當今,伴隨著互聯網的高速發展,數據的收集和存儲早已突破了國界的限制,如歐盟的GDPR已極大擴展了其域外數據安全管轄權范圍。GDPR更注重效果原則,只要在客觀效果上構成對本國或本地區自然人個人數據的處理,就受GDPR管轄。《數據安全法》引入“域外效力”對保護我國國家主權和公民個人權利意義十分重大。
3、兩部法律均提到了“重要數據”這一概念,但受限于實踐中掌握尺度問題,均未明確界定其范圍。
《網絡安全法》對重要數據的分類保護以及出境做了規定。該法第二十一條規定了網絡運營者應“采取數據分類、重要數據備份和加密等措施”。《數據安全法》第二十五條對重要數據的處理者應當設立數據安全負責人和管理機構也做出了規定。雖然兩部法律均未對重要數據范圍進行界定,但可通過相關其他法律及規則定義進行識別和借鑒,比如:2019年5月28日,國家互聯網信息化辦公室公布了《數據安全管理辦法(征求意見稿)》。其對“重要數據”明確界定為:“重要數據,是指一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據,如未公開的政府信息,大面積人口、基因健康、地理、礦產資源等。重要數據一般不包括企業生產經營和內部管理信息、個人信息等”。
4、《數據安全法》確立了全新的“數據安全評估制度”,評估范圍更廣。
在《網絡安全法》及《個人信息和重要數據出境安全評估辦法(征求意見稿)》、《數據安全管理辦法(征求意見稿)》中,均規定了數據出境的安全評估制度,但上述制度僅限于數據或重要數據出境過程中的評估。如《網絡安全法》第三十七條規定:關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。而《數據安全法》所規定的數據安全評估,范圍更廣,針對重要數據處理者的全部數據活動。《數據安全法》第二十八條規定:“重要數據的處理者應當按照規定對其數據活動定期開展風險評估,并向有關主管部門報送風險評估報告。風險評估報告應當包括本組織掌握的重要數據的種類、數量,收集、存儲、加工、使用數據的情況,面臨的數據安全風險及其應對措施等”。
從執法案例分析
縱觀《網絡安全法》2018年1年的執法案例,機關、事業單位、企業的合規風險主要集中在網絡安全等級保護、個人信息保護、網絡信息內容審核、網絡產品和服務等五個方面。由于《數據安全法》尚未正式執行,我們也可以參考網絡安全法執法重點和處罰措施,對于企業合規具有借鑒意義,對于網絡安全從業者,有助于避開企業網絡、信息安全雷區,完善企業自身網絡安全防御體系。
1、《網絡安全法》主要責任主體為網絡運營者。
對于企業而言,根據《網絡安全法》第76條第3款的規定,網絡運營者是指網絡的所有者、管理者和網絡服務提供者。結合執法案例具體而言,責任主體主要集中在以下三類:具有信息發布功能的網站及平臺(比如新浪微博、微信公眾平臺、百度、今日頭條)的運營者;網絡科技/技術公司;學校、學院及其他事業單位。
《數據安全法》的主要責任主體是重要數據的處理者。在“第四章 數據安全保護義務,第二十七條 重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。”有說明。
2、《網絡安全法》主要執法機構:國家網信辦,工信部,公安部。
盡管目前尚未有明確的規定或指引告知各個執法部門的主要執法范圍,但根據2018網絡執法案例來看,各部門大致執法點如下圖所示。
《數據安全法》第一章 總則 第六條 規定了主管部門和行業監管,工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔數據安全監管職責;公安機關、國家安全機關承擔數據安全監管職責;國家網信部門負責統籌協調網絡數據安全和相關監管工作,具體各部門的執法關注點要等一年后的執法案例分析。
3、《網絡安全法》與《刑法》及相關司法解釋形成了明確的內容對應。
具體內容對應如下:
4、主要執法依據,如:第21條 網絡安全等級保護制度,第59條,網絡安全保護義務,約談制度,個人信息保護等。
通過對2018年的執法案例分析,《網絡安全法》主要執法依據如下:
《數據安全法》在第六章法律責任中有處罰規定,第四十四條 有關主管部門在履行數據安全監管職責中,發現數據處理活動存在較大安全風險的,可以按照規定的權限和程序對有關組織、個人進行約談。對組織和個人的處罰,繼承了《網絡安全法》的雙罰機制,個人是指直接負責的主管人員和其他直接負責人員。
總結
從《網絡安全法》和《數據安全法》條款內容角度和《網絡安全法》執法案例角度分析了兩部法律在數據安全方面的異同,隨著《數據安全法》的正式執行,相關判例可以指導我們更深一步了解法律內涵。
