2020年6月28日,第十三屆全國人大常委會第二十次會議對《數據安全法(草案)》進行了初次審議。2021年4月29日,中國人大網公布了《數據安全法(草案)》的二審稿。二審稿的主要亮點在於將數據分類分級制度作為數據安全的基本核心制度,強化了等保的基礎作用,提出明確數據安全負責人和管理機構的要求,明確關鍵信息基礎設施的運營者在重要數據的出境方面的義務和責任,調整數據處理服務的資質要求,加強向涉外司法機構提供數據的監管,大幅加重不履行數據安全保護義務的法律責任及拒不配合數據調取的法律責任等。
在近日通過的最終三審稿中,與二審稿相比,主要的亮點和變化體現在明確國家機關在數據安全管理的職責和配合機制,強調對重要數據重點保護,強調智能化公***服務對老年人等的適用性,完善政務數據安全保障,並進壹步加大對違法行為的處罰力度。
《數據安全法》重點條款解讀第壹章 第五條 中央國家安全領導機構負責國家數據安全工作的決策和議事協調,研究制定、指導實施國家數據安全戰略和有關重大方針政策,統籌協調國家數據安全的重大事項和重要工作,建立國家數據安全工作協調機制。
第壹章 第六條 各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。
公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責範圍內承擔數據安全監管職責。
國家網信部門依照本法和有關法律、行政法規的規定,負責統籌協調網絡數據安全和相關監管工作。
《數據安全法》作為數據安全領域最高位階的專門法,與2017年6月1日起施行的《網絡安全法》壹起補充了《國家安全法》框架下的安全治理法律體系,更全面地保障了國家安全在各行業、各領域保障的有法可依。
就監管機構而言,國家安全機構、公安機關、網信部門、以及工業、電信、交通、金融等主管部門均有權在各自的職權範圍內對數據安全進行監督和管理。因此,《數據安全法》延續了《網絡安全法》生效以來的“壹軸兩翼多級”的監管體系。“壹軸”指國家安全機關,兩翼指公安機關和網信部門,多級在行業橫向範圍主要體現在工業、電信、交通、金融等行業主管部門的***同參與,在行政架構方面主要體現在各地區、各部門對工作中收集和產生的數據進行安全管理上。
第壹章 第十條 相關行業組織按照章程,依法制定數據安全行為規範和團體標準,加強行業自律,指導會員加強數據安全保護,提高數據安全保護水平,促進行業健康發展。
第二章 第十六條?國家促進數據安全檢測評估、認證等服務的發展,支持數據安全檢測評估、認證等專業機構依法開展服務活動。
第二章 第十七條 國家推進數據開發利用技術和數據安全標準體系建設。國務院標準化行政主管部門和國務院有關部門根據各自的職責,組織制定並適時修訂有關數據開發利用技術、產品和數據安全相關標準。國家支持企業、社會團體和教育、科研機構等參與標準制定。
在數據安全技術發展日新月異的背景下,立法的要求無法完全與科技發展保持同步,行業協會、評估認證專業機構和標準化機構等組織在推動技術發展、完善合規建設和實現行業自律方面的作用得到了法律的充分認可。
為了能夠及時與行業的最新發展同步、參與引領行業發展的方向,建議市場參與者積極加入有關行業協會或組織,踴躍參與行業標準的討論,積極分享企業在安全合規建設中探索出的實踐經驗,並以行業最佳實踐為基線實時推進企業內部的合規建設。行業協會也可作為傳達行業普遍面臨的難題和最新技術進展的重要媒介,積極與監管形成有益、互信的良好互動。
在評估、認證方面,專業機構可基於對行業的深度認知、在咨詢過程中積累的豐富行業經驗,幫助行業的新進者識別合規義務和錨定風險隱患,有針對性地提出合規改進方案和措施,幫助相關企業降低合規風險。
第二章 第十五條 國家支持開發利用數據提升公***服務的智能化水平。提供智能化公***服務,應當充分考慮老年人、殘疾人的需求,避免對老年人、殘疾人的日常生活造成障礙。
疫情期間基於大數據的公***服務應用得到迅速的推廣,與個人生活的參與深度也得到前所未有的提升。但高齡、視障等群體由於不會使用智能手機進行付款、預約等操作而舉步維艱。在防疫智能應用迅速根據疫情需要進行適老化調整後,大量其他與生活息息相關的應用仍可能將部分人群排除在智能化、數字化的生活之外。《數據安全法》將智能化公***服務滿足老年人、殘疾人的需求列入國家重點支持的範圍之內,充分體現了國家對弱勢群體需求的關註。
第三章 第二十壹條 國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及壹旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公***利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。
關系國家安全、國民經濟命脈、重要民生、重大公***利益等數據屬於國家核心數據,實行更加嚴格的管理制度。
各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。
《網絡安全法》第21條首次提出了數據分類分級保護制度,《數據安全法》進壹步明確了相關部門在分類分級保護和重要數據保護中的職能。《數據安全法》原則性規定了數據分類分級的依據為在經濟社會發展中的重要程度和遭到篡改、泄露等情形時的危害程度。由於不同行業、不同地區數據分類分級的具體規則和考慮因素差異巨大,《數據安全法》將重要數據具體目錄和具體分類分級保護制度的制定權限下放到行業主管部門和各地區國家機關,充分平衡了法律規定的普適性和靈活性。對於市場參與者而言,我們建議首先關註《工業數據分級分類指南(試行)》、《基礎電信企業數據分類分級方法》(YD/T 3813-2020)、《個人金融信息保護技術規範》(JR/T0171-2020)等行業數據分級分類的國家標準,另外也需要密切關註地方行業主管部門發布的數據分類分級目錄等要求。