法網密織,數據安全國家治理現新局
本文2021年,《數據安全法》《個人信息保護法》和《關鍵信息基礎設施安全保護條例》等法律法規相繼施行,承繼、銜接已實施多年的《國家安全法》《網絡安全法》《密碼法》《刑法》等法律,新時代數據安全法治保障整體合力已經形成。
近年來,隨著《網絡安全法》和配套制度的相繼實施,以及打擊危害公民個人信息和數據安全違法犯罪各項措施相繼推進,個人、組織數據安全意識明顯提升,數據安全整體保障能力在一定程度上有所加強。
與此同時也應看到,當下國家整體數據安全形勢依然嚴峻。中國對外開放不斷打開新局面,作為當前全球第一數據資源大國和全球第二大數字經濟體,海量數據聚集,涉及政治、經濟、文化、軍事、生物、醫療、基因、人口、地理等各個領域,以及人民群眾日常衣、食、住、行、銷、樂等各個方面,區塊鏈、人工智能、5G等新技術新應用場景越來越豐富。同時要看到,各類數據擁有主體多樣,處理活動愈加復雜,給數據安全、社會安全、國家安全、海外利益等帶來的風險也不斷發展與演變。
2021年,《數據安全法》《個人信息保護法》和《關鍵信息基礎設施安全保護條例》等法律法規相繼施行,承繼、銜接已實施多年的《國家安全法》《網絡安全法》《密碼法》《刑法》等,新時代數據安全法治保障整體合力形成,數據安全國家治理開啟新篇章。
01 各有側重又密切關聯的法律關系
《國家安全法》《網絡安全法》《個人信息保護法》與《數據安全法》等是國家數據安全法律體系的重要組成部分,共同構筑了中國數據安全整體框架和制度,形成保障數據安全保障的整體合力。
基于定位的不同,以上法律在規范內容方面各有側重。
2015年立足總體國家安全觀重新制定的新《國家安全法》頒布實施,第25條明確,國家建設網絡與信息安全保障體系,提升網絡與信息安全保護能力。
2017年實施的《網絡安全法》是中國網絡安全領域的基礎性、綜合性法律,在數據安全之外還關注運行安全、信息安全,確立了包括網絡安全等級保護制度、關鍵信息基礎設施保護制度在內的一系列運行安全制度,強調網絡空間總體安全。
2021年9月1日剛開始實施的《數據安全法》,則是中國數據安全領域的基礎性、專門性法律。其基礎性體現在將數據安全最高監管機構提升至中央國家安全領導機構,并明確建立國家數據安全工作協調機制,加強對數據安全工作的統籌,推進《國家安全法》在數據安全領域的落地。其專門性體現在區別于《網絡安全法》等綜合性立法,聚焦數據安全領域突出問題,在《網絡安全法》外明確諸多創設性、細化性一系列基本制度及數據處理規則原則,包括數據安全審查、數據交易安全、數據出口管制、數據對等措施、重要數據出境管理、執法數據調取配合、境外數據調取阻斷、政務數據安全、數據安全應急處置等。《網絡安全法》從網絡運行安全、網絡信息安全角度提出了數據管理要求,管理對象側重個人信息和關鍵信息基礎設施收集產生的重要數據,管理范圍側重數據采集、使用等特定環節。《數據安全法》將任何以電子或其他方式記錄的信息全口徑納入數據范疇予以保護,并對數據的收集、存儲、使用、加工、傳輸、提供、公開等全流程予以監管,確保數據的“有效保護”和“合法利用”兩種狀態。
與《數據安全法》《網絡安全法》在關注個體權益保障的同時,更加關注國計民生、國家安全等宏觀安全和公共利益不同,《個人信息保護法》則是一部權益保護法,旨在維護人民群眾在網絡空間的合法權益,以《民法典》所確立的個人信息民事權益為基礎,確立了以個人“知情同意”為核心的數據處理規則,以及包括決定權、查閱復制權、可攜帶權、更正權、刪除權等在內的一系列權利。
同時,法律之間又密切關聯。網絡安全與數據安全是“一體兩面”的關系,維護網絡安全的目的是保護數據和個人信息安全,保護數據和個人信息安全有賴于維護網絡安全。
《數據安全法》將《網絡安全法》確立的網絡安全等級保護制度、關鍵信息基礎設施安全保護制度延伸至數據領域,強化數據安全與網絡安全的銜接。網絡安全等級保護制度作為《網絡安全法》確定的基礎制度,在保護數據和個人信息安全方面發揮了重要作用。《數據安全法》將網絡安全等級保護制度作為數據安全保護的基礎制度,規定“利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務”。
同時,將重要數據出境安全管理制度與《網絡安全法》中規定的關鍵信息基礎設施數據出境安全評估制度相銜接,將數據安全與網絡安全保護制度統籌設計、有效銜接。作為《網絡安全法》重要配套行政法規的《關鍵信息基礎設施安全保護條例》將維護數據的完整性、保密性和可用性作為關鍵信息基礎設施安全保護的核心目標之一,并在第15條運營者職責中明確納入“履行個人信息和數據安全保護責任,建立健全個人信息和數據安全保護制度”。
個人信息作為數據類型的一種,《個人信息保護法》第9條明確規定,個人信息處理者應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息安全,并在第五章“個人信息處理者的義務”中對義務作出了具體規定,包括制定內部管理制度和操作規程、對個人信息實行分類管理、采取相應的加密、去標識化等安全技術措施、合規審計、個人信息保護影響評估等等。
個人信息除受《個人信息保護法》規范外,其安全管理也同樣需要遵守《數據安全法》的規定。同樣的,《數據安全法》第32條規定了數據合法正當收集的原則,不得竊取或者其他非法方法獲取數據,同時也規定,法律、行政法規對收集、使用數據目的、范圍有規定的,應該在此范圍內收集、使用。
值得一提的是,以上基本法律都無一例外有類似“違反本法規定,構成犯罪的,依法追究刑事責任”的專門規定。區別于《網絡安全法》《數據安全法》《個人信息保護法》三部法律主要通過行政監管的方式強化安全保護,《刑法》和兩高的司法解釋是通過刑事手段保障數據安全和公民個人信息合法權益。
《網絡安全法》《數據安全法》《個人信息保護法》中諸多規定與《刑法》已實現對接,違反其中規定,構成犯罪的將追究刑事責任。與數據安全相關的刑法罪名主要體現在第二百五十三條之一“侵犯公民個人信息罪”、第二百八十五條“非法獲取計算機信息系統數據”、第二百八十六條“破壞計算機信息系統罪”、第二百八十六條之一“拒不履行信息網絡安全管理義務罪”等。
司法解釋方面則涉及2011年6月最高人民法院、最高人民檢察院《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》、2017年3月最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》、2019年6月最高人民法院、最高人民檢察院《關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》等,為數據安全和公民個人信息犯罪明確了定罪量刑標準。
02 法律的生命力在于實施
目前,中國正式迎來《國家安全法》《數據安全法》《網絡安全法》《個人信息保護法》《刑法》等法律并行的數據安全國家治理新階段,規則細化等各方面的工作已在加速開啟中。
2021年5月27日,《數據安全管理條例》納入國務院2021年度立法工作計劃;2021年7月10日,以落實《數據安全法》第24條數據安全審查制度為目的的《網絡安全審查辦法(修訂草案征求意見)》向社會公開征求意見;2021年10月29日,同時以《網絡安全法》《數據安全法》《個人信息保護法》三法為上位制定依據,多年來備受各界關注的《數據出境安全評估辦法(征求意見稿)》向社會公開征求意見。
值得注意的是,在穿透《網絡安全法》《數據安全法》的網絡安全等級保護制度和關鍵信息基礎設施安全保護制度上,《數據安全法》將實施近20年的網絡安全等級保護制度中的數據安全保障基因特征進一步凸顯,明確了其在數據安全領域的基礎支撐定位。在此背景下,網絡安全等級保護制度和關鍵信息基礎設施安全保護制度必然也會順應數據安全領域新形勢需求,與時俱進,切實落實《數據安全法》賦予的使命和要求。包括但不限于推進規則指引,強化數據安全技術支撐;在網絡安全等級保護、關鍵信息基礎設施安全保護框架下推進數據安全保護技術標準制定出臺,明確技術措施和必要的其他措施要求。
法律的生命力在于實施,法律的權威也在于實施。可以預見,不僅是規則細化完善,協同監管執法、法律競合適用、執法規范建設、安全責任落實、主動合規遵循、違法犯罪打擊、立法影響評估等都將成為考量數據安全法治實施效能的重要內容。
