十三届全国人大常委会第二十次会议6月28日在北京举行,数据安全法草案(下称“草案”)首次提请审议。
据新华社报道,草案规定了支持促进数据安全与发展的措施,建立健全国家数据安全管理制度,落实开展数据活动的组织、个人的主体责任等。
草案的主要内容之一,是坚持安全与发展并重,规定支持、促进数据安全与发展的措施,提升数据安全治理和数据开发利用水平,促进以数据为关键要素的数字经济发展。
对外经济贸易大学数字经济与法律创新研究中心执行主任许可认为,“数据安全”本身就是“国家安全”不可分割的一部分,数据已成为内部安全和外部安全的关键领域。
值得注意的是,大数据、云计算等产业已在我国蓬勃兴起,落实开展数据活动的组织、个人的主体责任,是否会妨碍数据产业的发展?
“对于大数据公司来说,草案的出台是一个好事情,因为它明晰了数据在利用过程中的原则和界限,可以让这些企业完善内部的合规工作。”浙江垦丁律师事务所联合创始人吴旭华说。
提升国家数据安全保障能力
早在2018年9月公布的“十三届全国人大常委会立法规划”中,数据安全法被列为“条件比较成熟、任期内拟提请审议的法律草案”。
6月24日,全国人大常委会法工委发言人、研究室主任臧铁伟指出,随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。
许可认为,数据安全法和《中华人民共和国网络安全法》(简称《网络安全法》均是《中华人民共和国国家安全法》(简称《国家安全法》)的下位法,平等地统合在“国家安全”麾下。
按照《网络安全法》规定,网络安全包括“保障网络数据的完整性、保密性、可用性的能力”。
许可认为,这说明《网络安全法》已规定了数据的自身安全,那么,数据安全法草案应将“数据自主可控”和“数据宏观安全”作为规制重心。
他对21世纪经济报道记者表示,数据自主可控,即国家对重要数据实际支配权力,避免被其他组织或国家非法操纵、监控、窃取和干扰;数据宏观安全,即管理和防控因数据处理、使用引致的国家主权、公共利益和群体安全的威胁。
据新华社报道,2018年3月,脸书(facebook)被爆出与咨询公司剑桥分析公司违规分享8700万用户数据。随后,美联邦贸易委员会对此事展开调查,并对脸书开出50亿美元罚单以及实施新的数据限制条件。
数据安全法草案将按照总体国家安全观的要求,确立数据安全保护管理各项基本制度,提升国家数据安全保障能力,有效应对数据这一非传统领域的国家安全风险与挑战,切实维护国家主权、安全和发展利益。
数据安全和数据利用协调一致
我国数据安全还面临另外一个层面的威胁。
有学者对中国裁判文书网上公布的信息进行统计发现,我国近年来“非法获取计算机信息系统数据罪”的判决书有475份,判决“破坏计算机信息系统数据罪”的判决书有226份。
吴旭华介绍,作为数据安全保护领域的一部专门法,数据安全法将设定相应的法律责任。“以往数据安全的法律体系中缺少行政处罚,导致出现问题后,要么通过民事责任,比如不正当竞争诉讼解决,要么直接上升到刑事犯罪。”
有了行政处罚的手段,一些尚处于萌芽阶段或尚不构成犯罪的违法行为就可以通过整改等手段得到纠正。“法律有一个很重要的功能,就是可以起到预测的作用。没有这方面的规定,可能很多市场主体就不够重视。”他说。而只有明确“红线”,才能刺激企业合规发展。
2019年第三季度,国内多家大数据公司被查,暂停业务,而有些征信公司也牵扯其中,被警方带走配合调查。业内普遍认为,大数据行业这场突如其来的风波,或因“爬虫”技术滥用,深度涉足现金贷业务有关。
而在2017年,“精准营销”甚嚣尘上之时,也有多家大数据公司被查。
“有些大数据公司获取数据的来源比较复杂,在梳理数据的过程当中,没有特别注重区分敏感数据和非敏感数据,没有做好数据脱敏、去标签化的工作,这部法律通过之后,相关企业需要关注并增加这方面的投入。”吴旭华说。
被称为“史上最严数据保护法”的欧盟《通用数据保护条例》(简称gdpr)就以“可识别性”作为核心。上述信息法律专家介绍,gdpr对个人数据进行了不同层次的界定,从而为其设定了不同的保护程度,实现了数据保护义务与流通处理之间的平衡。
“个人信息的鲜明特征,是直接通过这些信息或者结合其他信息,能够关联到某一个特定的自然人。如果把个人信息的‘可识别性’去掉了,就变成了可商用的数据。但是商用数据也可能通过技术手段,恢复成为个人信息,这就需要采取足够的安全防范措施。”吴旭华说。
《网络安全法》第42条第1款规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
许可介绍,这一被称为“大数据条款”的规定,赋予了利用匿名化数据的自由,为企业创新打开了大门。
他认为,数据安全法亦应延续这一思路,充分认识到数据价值,将数据安全和数据利用看作一体之两翼、驱动之双轮,只要数据利用不会导致不合理危险,就应允许并积极推动其发展,通过激励相容的制度设计,最终令数据安全和数据利用协调一致。
(信息来源:21经济网)