2020年7月伊始,《数据安全法(草案)》在千呼万唤中得以亮相,成为总体国家安全观下新的拼图,与《国家安全法》《网络安全法》《核安全法》及未来的《生物安全法(草案)》并立。

《数据安全法(草案)》目前只是初次公开征求意见,条文距离最终文本还存在很大的不确定性,但更为重要的是揭示出的立法趋势。

一、界定概念

《数据安全法(草案)》对一些基础概念进行明确:

二、设立义务

对于大多数企业来说,更为关注的是《数据安全法(草案)》新设立了哪些义务,企业需要新采取哪些合规措施。在《数据安全法(草案)》中列明了以下项目:

其中处理重要数据需要报送风险评估报告需要包括以下内容:

如果违反,则可能面临以下行政处罚:

三、数据交易

在2020年4月,《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》提出“引导培育大数据交易市场,依法合规开展数据交易”,并将数据列为一种生产要素,要求:

(二十二)加强数据资源整合和安全保护。探索建立统一规范的数据管理制度,提高数据质量和规范性,丰富数据产品。研究根据数据性质完善产权性质。制定数据隐私保护制度和安全审查制度。推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。

在《数据安全法(草案)》对数据交易的中介机构专门要求,如果违反,最高也会面临100万元的罚款或吊销经营许可:

  • 提供方说明数据来源
  • 审核交易双方的身份
  • 并留存审核、交易记录

国家标准《信息安全技术 数据交易服务安全要求》(GB/T 37932-2019)会成为《数据安全法》适用所倚重的对象,对交易过程的技术措施与管理措施进行了框架性的规定。此外在该国家标准中设计了数据交易服务的参考框架:

四、立法与监管方向

相较于草案阶段的义务,未来立法与监管的方向同样值得留意。

《数据安全法(草案)》不仅在关注境内的数据获得,同样赋予了管辖境外数据活动的“长臂”,并且加入了“对等原则”,即如果境外国家(地区)在与数据和数据开发利用的投资、贸易方面对中国采取歧视性措施,中国也会采取对等措施。但具体如何判断歧视性措施,对等措施如何采取则有待未来立法进一步明确,这恐怕需要不短的时间。

除了设置自己的“长臂”,《数据安全法(草案)》对海外的“长臂”(如欧洲GDPR、美国“云法案”)同样进行了回应,针对海外执法机构在境内调取数据,同样进行了限制。要求向主管机关报告并获得批准或依据中国加入的国际条约,方可提供数据。

此外,未来围绕数据的立法与监管可能会在以下方向着力:

  • 管辖境外影响境内合法权益的数据活动
  • 向境外执法机构提供数据的流程
  • 数据分级分类,由各地区、部门制定重要数据保护目录
  • 统一的数据安全风险评估、报告、信息共享、监测预警机制
  • 数据安全应急处置机制
  • 数据安全审查制度,且审查是最终决定
  • 出口管制拓展至数据领域
  • ……

《网络安全法》从首次公开征求意见到最终生效历时接近两年,《数据安全法》也正在开始同样的进程:

最后修改日期:2020年7月4日

作者

留言

撰写回覆或留言

发布留言必须填写的电子邮件地址不会公开。