数安法两年来 立法领域更细分 多地数据条例设数据安全专章

2023-09-05 13:36

        2021年9月1日,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式施行,标志着我国数据安全进入有法可依、依法建设的新发展阶段。两年来,公众在数据安全领域感受到哪些变化?监管部门执法行动取得哪些成效?南都大数据研究院推出“《数据安全法》两周年成效观察”系列报道,从公众感知、执法案例、政策盘点、专家解读等方面回顾《数据安全法》施行以来取得的成果及社会期望。

  “数据安全是数字经济发展的底板工程”“数据安全政策越来越细化”“数据分类分级关键级别就是重要数据的保护”……2021年9月1日《中华人民共和国数据安全法》(以下简称《数据安全法》)开始施行以来,数据安全问题越来越受到高度关注,对数据安全监管更强化,一系列分行业分领域细化政策、法规相继出台,人脸识别、网上购物、网络支付、个人信息安全工程等领域数据安全国家标准构建全面深化,不断充实数据安全制度体系。

  数据安全由“或有”变成“刚需”

  作为新型生产要素,数据是国家基础性战略资源,但其面临被侵害的风险也与日俱增。数据安全机构报告显示,2021年度全球公开披露的数据泄露事件有4145起,导致227.7亿条数据泄露。《中国政企机构数据安全风险分析报告》也提到,2022年1月至10月全球数据泄露相关安全事件93起。而针对机构数据的外部威胁,57.4%是为窃取数据,数据破坏问题占全球数据安全事件的23.3%。

  2021年,《数据安全法》《个人信息保护法》相继施行,与《网络安全法》构建起数据保护领域的“三驾马车”,不仅完善我国网络安全的顶层设计与总体布局,而且对数据安全、个人信息安全保障提出明确的法律要求,以数据安全保障数据开发利用以及产业发展全面进入法治化轨道。对此,北京理工大学法学院教授洪延青在《我国数据安全法的体系逻辑与实施优化》中提到,《数据安全法》应运而生,系统性应对数据安全领域的内生性风险,同时应对愈演愈烈的国家间数据竞争,有着强烈的现实针对性、必要性。《数据安全法》是一部授权性法律,意在对标域外主要国家和地区对数据的立法和规制措施,赋予相关主管监管部门权限,以开展后续的数据安全管理和监督工作。

  《数据安全法》与《国家安全法》《网络安全法》《密码法》《个人信息保护法》《民法典》形成“五法一典”安全体系,紧密关联又各有侧重。炼石网络发布的《2022数据安全与个人信息保护技术白皮书》提到,我国数据安全立法监管加强,基于《信息安全技术网络数据处理安全要求》等相关标准规范开展数据安全管理认证工作,不断推进我国数据安全法制化建设,不断完善监管体系,数据安全由“或有”变成“刚需”。

  数据安全领域立法逐渐深入更细化

  南都大数据研究院梳理发现,《数据安全法》实施两年来,我国数据安全领域立法进程突飞猛进,逐渐深入且更加细化,行业性数据安全政策文件、法律法规等陆续出台,进一步强化了前期法规的纵深推进与落地实施,为安全领域的技术发展与应用深化提供了指导、参考,筑牢国家数据安全屏障。

  具体而言,2021年10月1日开始施行的《汽车数据安全管理若干规定(试行》,是我国首次针对汽车数据安全制定的专项法规,开启汽车数据合规使用新阶段;2023年1月1日起施行的《工业和信息化领域数据安全管理办法(试行)》,从监管者、处理者两个视角对工业和信息化领域数据安全管理分别给出明确指引等,为行业数据安全管理提供更为具体的指引。

  梳理发现,2022年至2023年期间,有多部与数据安全相关配套法律法规、部门规章、政策文件生效实施,例如《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《网络安全审查办法》《数据出境安全评估办法》《数据出境安全评估申报指南》《个人信息出境标准合同办法》等。其中,特别明确数据出境安全评估的申报标准、申报程序、申请材料模板等,以及个人信息出境三条路径的实施细则,开启数据出境监管新篇章。此外,还有细分领域的数据安全相关管理办法等正在征求意见中,例如《中国人民银行业务领域数据安全管理办法(征求意见稿)》,填补中国人民银行业务领域数据安全管理制度保障空白。

  在专家看来,《“十四五”数字经济发展规划》提出要建立健全数据安全治理体系,研究完善行业数据安全管理政策。在数据安全保护方面,进一步加强了对网络安全、数据安全和个人信息的保护力度,通过执法约谈、责令整改、通报批评、暂停业务、处理相关责任人等处罚方式,对危害国家网络安全、数据安全、侵害公民个人隐私信息等违法行为进行严厉打击。

  多地数据条例开设“数据安全”专章

  炼石网络创始人兼CEO白小勇表示,此前我国数据安全法规数量少、重视程度弱、建设规模小,随着相关法律法规出台,数据安全法制化建设已初具规模。

  各地在数据要素新赛道争相布局,在数据安全治理等方面积极探索。例如广东出台公共数据管理办法,规范公共数据采集、使用、管理,保障公共数据安全;贵州出台大数据风险管理、政务数据开放共享等相关政策文件,探索数据开放共享与数据安全保护之间的有效平衡方法,等等。作为较早研究数据领域立法的专家,北京大学法学院立法诊所主讲导师高绍林此前接受南都采访时建议,地方数据立法应聚焦本地特别急需解决的数据要素发展中的现实问题,采取小而精、专题式的立法体例,从不同角度、不同侧面为国家统一数据立法积累经验。

  南都大数据研究院梳理发现,《数据安全法》实施两年来一些地方性法规在落实国家上位法基础上,结合当地实际,有针对性地建立更具体的数据安全保护制度,例如《深圳经济特区数据条例》第五章就“数据安全”设置一般规定、数据安全管理、数据安全监督等三节内容;《上海数据条例》设置“数据安全”专章明确实行数据安全责任制,开展数据处理活动应当履行的义务,以及要求建立健全集中统一的数据安全风险评估、报告、信息共享、监测预警机制;《广州市数据条例(征求意见稿)》设置“数据安全”章节,要求坚持安全和发展并重,建立健全分类分级、风险防范、应急处置等数据安全管理机制,鼓励研发数据安全技术,保障数据全生命周期安全,等等。截至目前,至少有22个省市公布并实施数据相关条例,包括数据条例、大数据发展促进条例、大数据发展条例、大数据发展应用条例等,其中至少13个省市数据条例中设有“数据安全”或者“公共数据安全”“数据处理和安全”“数据安全与保护”专章,对加强数据安全管理、规范数据安全行为等作出体系化、实质性的制度设计。

  对此,中国政法大学副校长时建中接受媒体采访时认为,国家层面以及各地数据安全立法的逻辑起点和主体内容是数据安全,通过构建科学合理的数据安全制度体系,为数据的开发利用提供了良好的法治环境。

  数据安全国家标准化建设全面加速

  而数据安全国家标准,是开展数据安全监管,规范行业数据安全要求,指导网络运营者提升数据安全能力的重要抓手,也是推动行业企业加强数据安全防护体系建设的重要依据。

  在中央网信办等部门的指导与支持下,全国信息安全标准化技术委员会聚焦数据安全、个人信息保护领域开展了一系列标准化工作。2016年成立的大数据安全标准特别工作组,为数据安全标准修订与实施提供强有力的组织保障,组织制订个人信息安全规范、网络数据处理安全等35项数据安全和个人信息保护领域的急需标准。去年10月14日,全国信息安全标准化技术委员会归口的14项国家标准发布。其中,12项涉及数据安全与个人信息保护,包含步态识别、基因识别、声纹识别、人脸识别、智能汽车、即时通信、快递物流、网上购物、网络支付、网络音视频、网络预约汽车、个人信息安全工程等领域,对其数据安全要求作细致说明。目前,已发布数十项数据安全和个人信息保护国家标准,如数据安全能力成熟度、大数据安全、政务数据安全共享开放、个人信息安全等标准,覆盖基础共性、安全技术、安全管理、安全测评以及典型应用五大类。

  在数据安全产业标准方面,《数据安全产业标准体系建设指南》已经编制形成。此前中国软件评测中心主任助理、中国计算机行业协会数据安全专委会秘书长唐刚介绍,2023年数据安全产业标准工作组将研制数据安全产业标准20项以上,初步建立数据安全产业标准体系;到2025年研制数据安全产业标准50项以上,健全完善数据安全产业标准体系。

  今年以来,国家市场监督管理总局、国家标准化管理委员会公布12项网络安全国家标准,涉及数据安全领域标准包括《信息安全技术电信领域数据安全指南》,这意味着主体单位处理数据全生命周期过程中面临更细化的监管要求。全国信息安全标准化技术委员会还发布《网络安全标准实践指南——网络数据安全风险评估实施指引》,用于指导开展网络数据安全风险评估工作。

  其实,《国家标准化发展纲要》明确提出要强化信用信息采集与使用、数据安全和个人信息保护、网络安全保障体系和能力建设等领域标准的制定实施。有专家建议要强化数据安全技术自主创新,促进数据安全技术成果转化,坚持立足于开放环境推进数据安全标准化工作,推进数据安全中国标准与国外标准之间的转化运用,加速数据安全标准国际化进程。正如此前国家市场监督管理总局标准技术管理司信息技术与自动化标准处处长刘大山所言,《数据安全法》《个人信息保护法》相继出台对相关领域的标准化工作提出了更高、更明确的要求,要强化数据安全和个人信息保护的顶层规划,加快推动重点领域急需标准制定与实施应用,加强数字安全领域国际标准化合作交流。

图片