针对数据安全管理“九龙治水”情况,数据安全法明确了党对数据安全的领导体制
2020年,我国捕获的攻击国家关键数据和涉及国计民生重要数据的恶意程序样本数量,超过4200万个
建立数据分类分级保护制度,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度
文 | 陈智敏
数据,是数字经济的重要生产资料,是国家核心战略资源和社会重要财富。如今,新一轮科技革命和产业变革正在萌发,大数据、人工智能、5G、物联网、区块链、云计算等新技术、新产业、新业态层出不穷,这些均以数据的收集、使用为前提和基础。
当前,我国已正式进入数字经济红利大规模释放的时代。2020年,数字经济在我国GDP中占比38.6%,对我国发展模式和治理模式产生深刻影响。同时,数据安全问题日益突出,也已成为关乎国家安全、公共安全、个人隐私安全、数字经济健康有序可持续发展乃至人类社会公平正义的重大问题。
在以往实践中,对于数据安全和国家安全的关系、数据安全的领导管理体制和工作机制、数据跨境流动的安全审查制度、各行业各部门以及数据使用和处理者对数据的安全保护义务、公民维护数据安全的权利义务等问题,法律尚未予以明确,给各方维护数据安全带来不少困难挑战。
9月1日正式施行的《中华人民共和国数据安全法》(以下简称数据安全法),是大数据时代的一部具有里程碑意义的法律,为有效解决目前我国数据安全面临的十大突出问题奠定了法律基础。
一是,更好维护大数据时代的国家安全。
大数据时代,国家安全体系的任何一个领域都离不开数据支撑,都与信息安全、数据安全密切相关。涉及政治、经济、外交、科技、军事的敏感数据一旦泄露或被恶意利用,将对国家安全造成重大危害。特别是,如果形成数据垄断和数据霸权,将会带来政治、经济、社会等诸多领域一系列风险。同时,当前以涉及国家安全的关键数据和国计民生的重要数据为目标的跨境攻击越来越频繁,成为威胁国家安全的网络犯罪新形态。
没有数据安全,就没有国家安全。数据安全法明确,开展数据处理活动不得危害国家安全,在境外开展数据处理活动损害我国家安全也要依法追究法律责任;从维护国家主权、安全和发展利益的高度保障数据安全、促进数据开发利用。
这些规定在立法上是一个重大进步,对于更好维护国家安全具有重大法律意义。
二是,明确党对数据安全领导的体制。
党政军民学、东西南北中,党是领导一切的。只有加强党中央的集中统一领导,才能做好数据发展和安全的顶层设计、制定方针政策和法律法规、组织协调各方力量、统筹推进数据安全工作,才能有利于国家更好行使数据管理权、控制权、防护权、反制权、司法权以及开展网络战的权力。
针对数据安全管理“九龙治水”情况,数据安全法明确了党对数据安全的领导体制,规定了中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,并要求建立国家数据安全工作协调机制。
这些规定为做好数据安全工作提供了坚强的体制保证。
三是,明确各部门、地方政府、行业组织维护数据安全的管理职责。
在开展数据处理活动的过程中,各部门、地方政府、行业组织和社会管理者、运营者、经营者维护数据安全责任不明确,导致数据安全风险事件时有发生。
针对这一问题,数据安全法明确,各地区、各部门要对本地区、本部门工作中收集和产生的数据及数据安全负责。其中,工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责;公安机关、国家安全机关在职责范围内承担数据安全监管职责;国家网信部门负责统筹协调网络数据安全和相关监管工作。
同时,数据安全法还规定,相关行业组织要制定数据安全行为规范和团体标准,加强数据安全保护,提高数据安全保护水平;并要求科研机构、企业共同参与数据安全保护工作,在数据处理活动以及研究开发数据新技术过程中遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德。
明确各方管理职责,有利于推动形成全社会共同维护数据安全和促进发展的良好环境。
9月8日,参观者在2021中国国际数字经济博览会5G智慧展区参观 陈其保摄/本刊
四是,明确数据安全与发展的关系。
当前,由数据采集、数据清洗、数据标注、数据交易等核心数据要素环节构成的中国数据要素市场快速成长,规模从2016年的62亿元增长到2020年的545亿元。同时,数据要素市场快速发展也带来了影响包括经济安全、社会安全在内的国家安全等问题和隐患。
针对以往存在的“先发展、后安全”的问题,数据安全法明确,统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展;实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用,省级以上人民政府根据需要制定数字经济发展规划;支持数据安全技术研究,推动形成数据安全标准体系,促进数据安全检测评估、风险评估、认证等服务发展,加强数据安全教育培训、规范数据交易行业规则、培育数据交易市场,保障数据依法有序自由流动、推进数据基础设施建设和政务数据开放。
这些规定有利于充分发挥数据的基础资源作用和创新引擎作用,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展,为建设更高水平的平安中国提供法律保障。
五是,建立健全维护数据安全的工作机制。
2020年,我国捕获的攻击国家关键数据和涉及国计民生重要数据的恶意程序样本数量,超过4200万个。
针对遭网络攻击而停摆的安全风险,数据安全法聚焦数据安全领域的风险隐患,明确了国家要建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,还要建立数据安全风险应急处置机制。一旦发生数据安全事件,有关部门应及时采取处置措施,防止危害扩大,消除安全隐患。
通过建立健全对数据安全风险信息的获取、分析、研判、预警以及应急处置机制和举措,实现数据安全事前、事中和事后的全流程保障,提升国家数据安全保障能力,有效应对数据安全这一非传统领域的国家安全风险与挑战。
六是,建立分类分级的数据安全等级保护制度。
据调查,2019年中国产生了3.9Zbps的数据量,约占全球9.3%,居世界第二。日益剧增的海量数据给数据安全保护带来了重大挑战。同时,各类各领域数据对数据安全的重要程度不同,一旦遭到篡改、破坏、泄露或被非法获取、非法利用,对国家安全的危害也不一样,因此数据分类分级保护已成为数据安全治理的重要前提。
数据安全法明确,建立数据分类分级保护制度,提出国家核心数据概念,指出关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,要实行更加严格的管理制度;各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
这些规定有利于加强对重要数据特别是对国家核心数据的保护,完善数据安全治理。
七是,建立数据跨境流动的安全审查制度。
2019年,我国数据跨境流动量约为每秒1.11亿Mbps,占全球数据跨境流动量的23%。目前,数据跨境流动的安全缺乏法律保障,没有通行的国际规则,谁掌握了数据就掌握了战略主动。美国通过的澄清域外合法使用数据法案,试图通过长臂管辖实施数据霸权,使数据安全问题日益成为一个全球性问题。此外,掌握大量用户数据的国内大型企业在境外上市,也存在着严重的数据安全风险隐患。
对此,数据安全法明确,对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制,对影响或者可能影响国家安全的数据处理活动进行国家安全审查,强调非经国家主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于我国境内的数据,并对违法向境外提供重要数据的行为进行严厉处罚。同时明确,对我采取歧视性的禁止、限制或者其他类似措施的国家和地区对等采取措施,体现了国家为维护国家安全和发展利益的坚强意志。
这些规定契合了当前我国数据跨境流动的发展趋势,有利于应对愈演愈烈的数据跨境流动安全风险。
八是,规定数据使用和处理者对数据安全的保护义务。
截至2021年6月,中国网民规模达10.11亿,互联网普及率达71.6%。预计2025年中国数据总量全球占比有望达到27%以上。同时,我国违法犯罪活动日益从社会空间进入网络空间,呈现跨地区、跨领域、跨行业特征,电信网络诈骗等非接触性犯罪已成为影响社会治安乃至平安中国建设的突出问题,严重威胁人民群众生命财产安全。特别是,作为电信诈骗高发、多发的源头,不法分子非法获取、非法倒卖的各类数据已成为其用来策划、组织实施违法犯罪活动的重要工具。
数据安全法明确,任何组织、个人不得窃取或者以其他非法方式获取数据,并针对数据使用者、处理者不规范使用和处理数据造成的安全隐患,专门明确数据处理者要建立健全全流程数据安全管理制度,加强风险监测,组织开展教育培训,并采取相应的技术措施和其他必要措施保障数据安全;重要数据的处理者落实数据安全保护责任制,定期开展风险评估并向主管部门报送风险评估报告;公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
这些规定明确了数据使用和处理者的责任和义务,规范其数据处理活动,有利于促进数据依法合理有效利用和相关行业健康有序发展。
九是,明确公民维护数据安全的权利义务。
大数据时代,公民个人的数据权应当是公民的基本权利,数据权属的主体在民。
针对公民个人数据泄露危害个人隐私安全和经济权益,数据安全法明确,国家保护个人与数据有关的权益,对于窃取或者以其他非法方式获取数据、损害个人合法权益的行为,将依照有关法律、行政法规的规定处罚;要求国家机关对在履行职责中知悉的个人隐私、个人信息等数据应当依法予以保密;明确了公民维护数据安全的义务,要求公民个人应积极参与数据安全保护工作,提高数据安全保护意识和水平,举报违反数据安全法行为,履行配合公安机关和国家安全机关依法调取数据、未经批准不得向外国司法或者执法机构提供存储于我国境内的数据等数据安全保护义务;个人在有关主管部门发现数据处理活动存在较大安全风险并进行约谈后,应采取措施进行整改,消除数据安全隐患。
这些规定有利于公民更好参与维护数据安全。
十是,提出开展数据国际合作。
网络安全和数据安全是全球性问题。数据安全法明确,国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
这些规定为推动构建网络空间命运共同体奠定了法律基础。
(作者为全国政协社会和法制委员会副主任、公安部原副部长、国家网信办原副主任)■
评论 1
fm972321 2022-01-22
安全第一