在全球信息化进入全面渗透、跨界融合、加速创新、引领发展的大背景下,全球进入大数据时代,数据呈现爆发增长。而对数据掌控能力日益成为衡量国家竞争力的关键因素。然而,数据的爆发增长,也带来了前所未有的风险与安全挑战,亟须出台一部统筹数字经济时代“安全与发展”并重的《数据安全法》。
2020年6月28日,第十三届全国人大常委会第二十次会议初次审议了《中华人民共和国数据安全法(草案)》(以下简称《数据安全法(草案)》)。7月3日,《数据安全法(草案)》在中国人大网公布,面向社会征求意见,“草案”共分七章,依次为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则。
为了确保《数据安全法(草案)》能系统地反应数字经济时代国家整体的数据安全与发展观,7月5日,中国通信学会网络空间安全战略与法律委员会联合中国数字经济安全与发展50人论坛、中国行为法学会基础理论研究会、国家社科基金重大专项“建立健全我国网络综合治理体系研究”课题组、浙江大学网络空间国际治理研究基地、浙江大学当代中国话语研究中心通过远程会议系统联合举办了《数据安全法(草案)》在线专家研讨会。
会议由中国通信学会网络空间安全战略与法律委员会副主任委员、中国数字经济安全与发展50人论坛秘书长、浙江大学当代中国话语研究中心名誉主任、国家社科基金重大专项“建立健全我国网络综合治理体系研究”课题组首席顾问王春晖教授主持,来自全国各地学界、实务界和企业界共300多名专家学者参与了本次研讨会,以下是参会专家发表的核心观点。
中国通信学会网络空间安全战略与法律委员会主任委员、中国政法大学副校长时建中教授指出,《数据安全法》是数字安全领域一部基础性的法律。征求意见稿确立了多元的立法目标,既要保护数据安全,又要促进数据的开发利用,体现了“安全与发展并重”的正确理念。时建中教授认为,《数据安全法》的逻辑起点和主体内容应该是数据安全,通过构建科学合理的数据安全制度体系,为数据的开发利用提供应然的法治环境。促进数据开发利用的产业法治内容,不是本法的重点和主体内容。更何况安全制度属于强制性规则,需要具体和明确,不能含混不清,否则不利于数据的开发和利用。
就具体内容而言,时教授认为,目前征求意见稿的具体条款并没有很好地体现出多元的立法目标,征求意见稿对“数据”“数据安全”“数据活动”等本法核心概念的定义均需要完善。他认为,域外效力制度是征求意见稿的亮点之一,但是需要进一步明细,体现主权平等、工具对等的原则。征求意见稿在数据安全义务与法律责任方面不甚匹配,存在有义务无责任的情况。同时,在法律责任方面,责任形式不够,违法成本明显过低。此外,征求意见稿对于重要的安全制度只是粗线条描述。他强调,数据安全标准体系、数据交易管理制度、重要数据保护目录制度、数据安全监测预警机制、国家数据安全应急处置机制、国家数据安全审查制度、国家数据出口管制制度、企业数据安全管理制度等,这些制度应该是数据安全法的重点内容。此外,数据安全与已经实施的国家安全法、网络安全法、保密法以及正在制定的个人信息保护法的关系,需要认真处理。
中国通信学会网络空间战略与法律委员会副主任委员、中国东方航空集团总法律顾问、首席数据安全保护官郭俊秀博士介绍了东方航空集团数据合规方面的经验。他指出,每年东航要处理海量的个人数据,在保护客户个人数据方面,东方航空做了很多的努力,目前已经初步形成了“六个一”的数据保护体系:一项制度、一个机构、一支队伍、一套流程、一份手册和一期培训班。
针对《草案》的内容,他提出了四点建议:一是进一步明确数据安全的含义和范围,对“数据”、“数据安全”等概念进行准确辨析;二是建议赋予民航局承担民航业数据安全监管的职责,民航业是国家重要的战略产业,上下游企业具有明显的行业特征,航空公司在日常经营中处理海量的旅客数据,对个人数据的保护需求较为突出;三是对数据的合理使用,应当制定明确的标准和范围,数据的意义在于使用,建议一方面应明确如何依法合规利用数据,另一方面应明确提供数据处理服务供应商的法定义务,严格限制其处理范围;四是建议明确第二十五条中“数据安全负责人”的职责范围,推动数据安全保护工作队伍水平的提升。
国务院发展研究中心李广乾研究员认为,《数据安全法(草案)》涉及数据保护的方方面面,但仍有不足。首先,数据和信息的概念上有所差别,在草案中应该进一步予以区分;其次,在行业数据的保护方面,每一类行业数据都有其特殊的性质,故其安全的要求也有很大的不同,在制定法律时应该充分予以考虑,且政务数据不应该设定为《草案》单独的一章;第三,《草案》应针对数据的采集方、控制方、处理方等不同的主体,制定数据流转机制的根本性规定;第四,在跨境数据流动方面,我国的跨境数据流动战略还有所不足,无法解决社会的根本性的需要。目前,我国已成为数据发展的强国,相应的数据流动政策也应与世界发达国家进行对接,从而最大程度地利用我国的数据生产要素,满足国家和人民的数据利益。
中国社科院法学所研究员支振锋从三个方面论述了他对于《数据安全法(草案)》的看法,首先,关于数据的概念,《草案》对于数据的定义有待完善,应当对电子数据应给出一个更加清晰的定义;其次,关于数据安全,需要对数据安全法的位阶性进行明确,在总体国家安全观的指引下制定数据安全的概念,既要包括数据自身的安全,又要包含数据主权的安全,将安全置于发展之中,在保护数据安全的同时促进数据产业的发展;第三,关于在当今时代背景下,我国应当如何进行数据安全立法,数据安全法应体现了一种开放的而非封闭的思路,发展而非停滞的思路,发展和安全要同步推进。中国应该有强者心态,开放心态,发展心态,中国的数据安全立法不仅仅规定我们自身数据的安全,也要在保护好关键领域和关键数据的前提下,积极与世界对接,扩大开放水平。同时在立法的过程中注重技巧性,增加操作性,积极为全球的数据安全立法提供中国智慧和中国样本。
浙江大学教授、博导,中国通信学会网络空间战略与法律委员会副主任委员、国家社科基金重大专项“建立健全我国网络综合治理体系研究”首席专家程乐认为,从总体结构而言,《草案》的立法名称与具体章节安排和协调统一程度有待完善不够。首先,尽管“安全”与“发展”作为基本的理念与原则在《草案》中有所提及,但是在具体章节的安排方面,“发展”的篇幅很少,从而未能很好地体现该如何积极利用数据这一生产要素促进发展;其次,在没有对数据按照一定的标准进行分类的前提下,“政务数据”作为单独的一章显得突兀,同时过分强调及突出“政务数据”的安全与“政务数据”开放趋势也不一致;第三,与国外以及国内相关立法相比较而言,《草案》的篇幅较短,体系不够健全,不能很好地反映作为国家数字安全立法的整体水平和形象。
