数据安全法重要条文之介绍
《数据安全法》分为七章共五十五个条文,体系内容包括:总则(第一条至第十二条)、数据安全与发展(第十三条至第二十条)、数据安全制度(第二十一条至第二十六条)、数据安全保护义务(第二十七至第三十六条)、政务数据安全与开放(第三十七条至第四十三条)、法律责任(第四十四条至第五十二条)、附则(第五十三条至第五十五条)。以下将自各章节选出重要条文,进行简要说明。
(一)总则性规范
1.适用范围之扩张
根据本法第2条,在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
本条规定可以认为是“长臂管辖”(Long Arm Jurisdiction)之体现,有效彰显“数据主权”,无论是在境内进行数据活动、境外数据活动侵害国家社会公益与组织个人权益、境外司法或执法单位请求境内数据,均要依照《数据安全法》进行合规化处理。司法程序中如何实践本条,值得后续观察。
2. 数据及数据安全之定义
根据本法第3条,本法所称“数据”,是指任何以电子或者其他方式对信息的记录。“数据处理”,包括数据的收集、存储、使用、加工、传输、提供、公开等。“数据安全”,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
亦即,《数据安全法》的适用范围,包括了书面 、电磁、机械式等方式搜集的记录;而数据处理在全流程均受到《数据安全法》的规范;数据安全的重心在于持续不断、可供合法安全使用的状态,不仅仅是以往涉及的不正当竞争、篡改破坏等范畴。
3.国际规则及标准之接轨
根据本法第11条,国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
因此,美国加州消费者隐私法(CCPA)、欧盟通用数据保护条例(GDPR)、日本个人信息保护法(PIPA)、中国台湾地区所谓“个人资料保护法”、中国香港地区《个人资料(私隐)条例》、新加坡个人信息保密条款(PDPA)等当地法律法规,甚至是跨国互联网巨头苹果公司的《审核指南》及《开发者计划许可协议》、谷歌《隐私权和条款》、《开发者计划政策》、脸书《数据使用政策》、《开发者政策》等,皆极有可能与《数据安全法》产生交互作用。
举例而言,若一款软件同时于大陆及台湾地区的App Store上架,用户使用该款软件的过程中,若软件开发商、运营商需搜集用户个人信息,即需同时符合《数据安全法》、《个人信息保护法》,以及台湾地区所谓“个人资料保护法”的相关规范。本文后续也将针对《数据安全法》与他部法律,国外相关立法进行比较、探讨。
(二)数据安全与发展下的市场机遇
根据第13条规定,国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。观察本条,可知国家大力发展相关产业的决心。
参考本节相关条文,可能包含下列方向:数据基础设施建设(本法第14条)、提供充分考虑老年人及残疾人需求的智能化公共服务(本法第15条)、技术和数据安全标准体系建设(本法第16条)、数据安全检测评估及认证等专业机构的设立(本法第17条)、数据交易市场的建立(本法第19条)等,同时也侧重该领域专业人才的培育(本法第20条)。
(三)数据安全制度及配套机制的建立
根据本法第三章相关内容,国家机关为维护数据安全,应建立一系列的配套制度。相关制度包含如下:
1. 数据分类分级保护制度(本法第21条)
国家应根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹有关部门制定“重要数据目录”,加强对重要数据的保护。
倘若涉及国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
2. 数据安全预警机制(本法第22条)
国家应建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
3. 数据安全应急处置机制(本法第23条)
倘若发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
4. 数据安全审查制度(本法第24条)
配合本法第21条规定,有关部门应制定“重要数据目录”,其中影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。
三、小结
本文以上针对数据安全法的总则性规范、产业及相关市场的发展,以及数据安全制度及配套机制的建立进行了重点说明。碍于篇幅,关于本法于第四章以下规定的“安全保护义务”,也就是读者最关心的哪些行为将受到行政处罚?法律责任为何?将于本系列的第二篇文章讨论,同时结合实务中常见情形进行说明。
