《数据安全法》解读:我国信息安全体系构建背景下互联网企业的应对
2021-07-13
一、事件背景:首当其冲的企业
2021年7月4日,国家互联网信息办公室经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题,依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。
2021年7月5日,网络安全审查办公室发布公告显示,依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《网络安全审查办法》,对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“运满满”“货车帮”“BOSS直聘”停止新用户注册。
近日,“滴滴出行”因严重违法违规收集使用个人信息被下架一事引起热议。在个人信息保护与数据安全等重要话题炙手可热的当下,作为国内互联网出行龙头企业,滴滴对于个人信息安全保护的忽视无疑是对我国数据与信息安全体系的重大违反与背离。
事实上,滴滴并不是唯一因侵害用户信息权益被国家相关部门点名批评的企业。从2020年初起,工业和信息化部多次开展APP侵害用户权益专项整治工作,并对未按照要求进行整改的APP进行下架。如2021年4月23日,工信部向社会通报了93家存在侵害用户权益行为APP企业的名单。截至2021年5月13日,因尚有90款APP未完成整改或在APP不同版本中反复出现同类问题,工信部组织对天涯社区、大麦、途牛旅游、脉脉等90款APP进行下架1。而滴滴被下架事件之所以引起极大的关注,也与其存在将用户信息跨境传输的可能性有关。
二、法律依据:为何被审查?
网信办主要依据《国家安全法》与《网络安全法》对“滴滴出行”、“运满满”等APP实施网络安全审查。本文在下表中对上述两部法律中与此次事件相关的法条进行列举与解读,以期梳理《国家安全法》与《网络安全法》对于处理互联网APP违法使用个人信息的相关规定。
三、展望未来:从《数据安全法》角度出发
2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》(以下简称“《数据安全法》”),该法将于2021年9月1日起施行。
当前,我国网络信息安全领域的法律体系日趋完善,《国家安全法》从宏观角度确定了我国在网络领域的主权,《网络安全法》则更为详细地对网络运营者的数据安全保障责任进行规定,而将于今年9月实施的《数据安全法》在国家的网络数据保护责任、安全保护分级制度等方面与《网络安全法》衔接,两部法律相辅相成,共同构建我国网络信息数据安全法律体系。
《数据安全法》施行后,网络运营者对用户信息进行保护的义务将进一步被明确。为帮助企业应对更为严格的监管,本文对《数据安全法》相关重点法条进行详解。
(一)适用范围
《数据安全法》第二条规定,在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
第二条第一款对《数据安全法》在中国境内的适用效力作出规定,而第二款则明确了在中国境外开展的数据处理活动,若损害我国国家安全、公共利益或公民、组织的合法权益,也需要承担相关法律责任,此款规定首次明确了数据安全领域的长臂管辖原则。互联网的普遍发展将数据的流动范围扩展至全球领域,而数据的跨境流动极大影响了我国公民、组织以及国家的安全。因此,对数据的境外处理活动进行规制显得格外重要。
另外,近年来,数字经济在全球范围内快速发展,不少国家陆续发布并实施了数据安全与保护相关法律,例如欧盟通用数据保护条例(GDPR)、加州消费者隐私法(CCPA)、新加坡个人信息保密条款(PDPA)和日本个人信息保护法(PIPA)等等。在此背景下,若我国在数据安全领域缺失对境外数据活动的规制,将不利于我国跨境企业的数据交流与合作活动,更不利于我国数据主权的维护。
(二)数据及相关概念定义
《数据安全法》第三条规定,本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
第三条对“数据”、“数据处理”以及“数据安全”等概念作出明确定义。对于数据的定义,理论界一直存在争议。《数据安全法》将数据定义为“任何以电子或者其他方式对信息的记录”,也即,数据不仅包括网络信息数据,也包括以书面或其他形式记载的信息。
然而,不同数据种类在法律适用方面也存在区别。《数据安全法》在第七章附则的第五十三条以及五十四条对涉及国家秘密的数据、统计与档案中涉及的数据以及军事数据的法律适用做出了规定,如在统计、档案中涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。而在实务中,不同类别数据的具体法律适用如何应用于企业的业务实践,还需要进一步明确。
第三条第二款对数据处理的行为方式作出较为全面的列举,形成了对数据处理各个环节形态的覆盖。但对于各环节在实务中的具体理解还需要在后续解释中进一步明确。
第三条第三款将数据安全定义为确保数据出于有效保护和合法利用的状态,以及保持数据持续安全状态的能力。结合《数据安全法》全文框架理解,数据安全包括宏观的国家安全层面,亦包括个人与组织在日常生活与经营中的数据处理活动的微观安全层面。
(三)数据安全与发展并行
《数据安全法》第二章对数据安全与发展并行的原则作出明确。国家作为统筹数据安全与发展的主体(第十三条),通过推进数据基础设施建设(第十四条)、提升公共服务智能化水平(第十五条)、支持数据开发利用和数据安全技术研究(第十六条)、推进数据安全标准体系建设(第十七条)、促进数据安全检测评估与认证等服务的发展(第十八条)、建立健全数据交易管理制度(第十九条)、支持技术与数据安全相关培训教育(第二十条)等手段,保障数据安全与发展共行。
由此可见,《数据安全法》描述了国家主体的重点规划,希望通过发挥国家主体在重点数据制度的带头作用,完善保障数据安全以及数据开发利用与产业发展配套措施,以数据安全保障数据产业发展。
需要注意的是,《数据安全法》第十五条是相较于草案一审稿与二审稿的全新规定。第十五条表明,智能化公共服务水平的提升,也应当考虑老年人、残疾人等相对弱势群体的需要。疫情期间,健康码的出台和适用为疫情的公共管理提供了极大的便利,但是不熟悉智能产品的老年人、残疾人则在这场智能服务提升过程中显得寸步难行。2020年11月,国务院办公厅印发《关于切实解决老年人运用智能技术困难的实施方案》,推动解决老年人在运用智能技术方面遇到的困难。《数据安全法》对老年人和残疾人在数据发展过程中的关照显现出了法律的人道主义光辉。
(四)数据分类分级保护制度
《数据安全法》第二十一条规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
第二十一条第一款明确了数据分类分级保护制度。以数据在经济社会发展中的重要程度,以及一旦被非法获取与利用可能对国家及社会造成的危害程度为标准,对数据进行分类分级保护。然而,上述标准在实务操作中仍显得较为宽泛,该款并没有明确数据分级分类的具体标准。
第二款与第三款提出了两个重要概念:“重要数据”与“核心数据”。第二款没有具体规定“重要数据”的概念,对于该概念的理解,可以结合相关监管机构所制定的规则加以理解。第三款则规定,国家核心数据是指关系国家安全、国民经济命脉、重要民生以及重大公共利益等数据。对于这两种数据,显然要实施更为严格的保护制度。
(五)数据保护义务
《数据安全法》第四章对作为数据保护主体的个人以及组织的义务作出了详细规定。这些义务包括:
(1)第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
(2)第二十八条:开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。
(3)第二十九条:开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
(4)第三十条:重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
(5)第三十一条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
(6)第三十二条:任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
(7)第三十三条:从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
(8)第三十四条:法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
(9)第三十五条:公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
(10)第三十六条:中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
(六)政务数据公开与安全
《数据安全法》在第五章单独对政务数据的安全与开放作出规定。大数据时代电子政务的发展极大提高了行政效率,进一步降低了行政成本,是我国国家治理能力提升的体现。作为保障政务数据安全与公开的义务主体,国家机关需要履行《数据安全法》第五章所规定的义务,如依照法定程序收集和使用数据、建立数据安全管理制度、及时准确公开政务数据,进一步提升政务数据的科学性、准确性、时效性。
四、观察与理解
作为数据安全领域的首部综合性基础性立法,《数据安全法》的出台标志着我国的数据治理进入新常态。尽管目前《数据安全法》的相关规定大多为原则性规定,暂时缺乏实务中的可操作性,但该法仍对数据安全领域长臂管辖原则、数据及数据活动定义、数据安全与发展并行原则、数据分类分级保护制度、各主体的数据保护义务作出了规定,在法律层面明确数据安全与发展并行、以数据安全保障数据发展的基本方向。
《数据安全法》的实施将会对各行业、各领域都产生影响,而各地方也会依据该法出台一系列具体条例以落实数据安全保护。各企业在密切关注数据安全领域法律法规与实施条例的同时,也需要结合立法,评估自身在数据安全领域的合规问题,建立自身数据分级分类制度,完善数据风险防范机制,建立数据安全紧急事件处理机制,防范相关法律风险。
参考文献:
[1]详见:http://wap.miit.gov.cn/jgsj/xgj/gzdt/art/2021/art_c6b7320c81dd4640b8215b6ec11698b8.html
本文作者:
声明:
本文由k8凯发天生赢家·一触即发律师事务所律师原创,仅代表作者本人观点,不得视为k8凯发天生赢家·一触即发律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。