安全資訊

數據安全法專家解讀之一


構建數據安全制度框架
放眼全球，數據安全問題已成為各國網絡空間治理的熱點和難點
數據安全問題如何應對、國家數據安全制度如何布局不僅關涉到大數據時代個人安全、公共安全、國家安全，也關系到我國在全球新一輪的信息技術變革中如何實現從跟跑、并跑到領跑的轉變。
近年來我國數據安全項層制度設計加速推進。2015年施行的《國家安全法》第25條明確提出“實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控”。作為網絡安全綜合性立法。2017年施行的《網絡安全法將數據安全納入網絡安全范疇，網絡安全等級保護制度、關鍵信息基礎設施保護制度、個人信息保護制度等為保障數據安全提供重要制度支撐。
針對數據這一非傳統領域的國家安全風險與挑戰?！稊祿踩ā啡尕瀼芈鋵嵖傮w國家安全觀，確立國家數據安全工作體制機制、構建數據安全協同治理體系，明確預防、控制和消除數據安全風險的一系列制度、措施。提升國家整體數據安全保障能力
適用范圍方面，《數據安全法》在屬地管轄之外引入保護性管轄原則，賦子該法域外效力。
治理機制方面，《數據安全法》構建起政府、行業組織、科研機構、企業、個人多元共治的數據安全治理體系。一方面?！稊祿踩ā返?條將數據安全最高監管機構提升至中央國家安全領導機構這樣前所未有的高度，并明確建立國家數據安全工作協調機制，加強對數據安全工作的統籌，推進《國家安全法》在數據安全領域的落地。第6條明確各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責，行業主管部門承擔本行業、本領域數據安全監管職責，公安機關、國家安全機關在各自職責范圍內承擔數據安全監管職責，國家網信部門統籌協調網絡數據安全和相關監管工作。另一方面，明確推動行業組織、科研機構、企業、個人等共同參與數據安全保護工作，并專設第10條“行業自律”條款。
制度設計方面，《數據安全法》統籌數據靜態安全與動態利用安全，一般數據與重要數據、國家核心數據安全，內向安全與外向安全，圍繞數據處理全流程建構數據安全保障的基本框架，涵蓋數據分類分級、重要數據保護目錄、國家核心數據管理，數據安全風險評估、報告、信息共享、監測預警，數據安全應急處置，數據安全審查、出口管制、數據領域的對等措施、重要數據出境管理、數據交易、數據處理服務許可、執法數據調取配合、境外數據調取阻斷、政務數據安全與開發等制度，同時加大對相關違法行為的處罰力度。
可以預見，《數據安全法》的一系列數據安全風險防范制度設計將通過下位配套和實施細則等予以落實。2021年4月27日，作為《網絡安全法》重要配套之一的《關鍵信息基礎設施安全保護條例》經國務院常務會議通過，自9月1日施
行。2021年5月27日?！稊祿踩芾項l例》納入國務院2021年度立法工作計劃，2021年7月10日，以落實《數據安全法》第24條數據安全審查制度為目的的《網絡安全審查辦法(修訂草案征求意見)》向社會公開征求意見
發揮部門職能優勢
承繼公安數據安全監管職能
作為保障社會公共安全與國家安全的主力軍，公安機關是(人民警察法》《計算機信息系統安全保護條例》明確的負責主管計算機信息系統(含網絡)安全保護部門，歷來高度重視社會關注的數據安全問題。
數據是影響網絡安全等級保護制度中定級、關鍵信息基礎設施認定的重要因素。包含個人信息數據在內的數據安全保護已成為網絡安全等級保護20制度、關鍵信息基礎設施保護制度的重要內容。
2020年公安部發布的《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》多處強調數據安全、重要數據和個人信息保護。正在制定中的《網絡安全等級保護條例》體現出對數據安全問題的集中考量。將與《數據安全法》同日施行的《關鍵信息基礎設施安全保護條例》明確”國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作”，強化數據安全保護責任明確運營者個人信息和數據安全保護職責，確立重要數據泄露等特別重大網絡安全事件發生后運營者向保護工作部門、國家網信部門和國務院公安部門的三層報告機制。
實踐層面，公安機關積極組織大數據安全、APP違法違規專項整治，與中央網信辦共同建立打擊危害公民個人信息和數據安全違法犯罪長效機制，依法嚴厲打擊數據安全違法犯罪，各地公安機關常態化實施監督、檢查和指導，督促相關組織強化安全保護，從行動上切實保障國家關鍵信息基礎設施、重要網絡和數據安全、個人信息安全。
《數據安全法》充分考慮部門職能優勢和實踐效果，在總則中明確公安機關的數據安全監管職責。
制度設計上，《數據安全法》第27條要求全流程的數據安全管理制度應當在網絡安全等級保護制度的基礎上開展，即“開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。"
開展數據處理活動的組織、個人不履行第27條安全保護義務的，第45條明確了相較《網絡安全法》第59條更嚴格的法律責任，“由有關主管部門責令改正給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款拒不改正或者造成大量數據泄露等嚴重后果的，處五十萬元以上二百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。違反國家核心數據管理制度，危害國家主權、安全和發展利益的，由有關主管部門處二百萬元以上一千萬元以下罰款，并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照:構成犯罪的，依法追究刑事責任。"
《數據安全法》第21條確立國家數據分類分級制度，這是本法整個數據安全保障的基礎，在此基礎上提出重要數據的強化保護和國家核心數據的特別保護要求，并明確重要數據目錄從國家到地區、自上而下的落實機制
國家總體安全保障工作中，重要數據與關鍵信息基礎設施與密不可分，2015年《國家安全法》強調“關鍵基礎設施和重要領域信息系統及數據的安全可控”《網絡安全法》第37條創設性規定關鍵信息基礎設施運營者重要數據境內存儲與出境評估制度，2016年《國家網絡空間安全戰略》將“保護關鍵信息基礎設施”作為9大戰略任務之一，明確要求采取一切必要措施保護關鍵信息基礎設施及其重要數據不受攻擊破壞”。
如何保持不同法律同一概念內涵和外延的一致性、重要制度實施事實上的關聯性，需在接下來《數據安全法》配套的重要數據概念界定、認定機制、保護方式等工作中一并考慮。
主動應對挑戰，依法履行職責
《數據安全法》實施在即，公安機關需主動應對挑戰，依法履行職責，服務發展大局，夯實社會數字化轉型升級這一重大變革時代的工作內容。
首先。完善數據合規標尺。公安機關應充分落實《數據安全法》《網絡安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規要求，整合數據安全制度體系，包括不限于制定數據安全行政執法裁量基準細化網絡安全等級保護數據安全要求，強化關鍵信息基礎設施及其承載的重要數據和個人信息的安全保護，形成從一般數據到重要數據、靜態數據到動態數據、從個人信息數據到非個人信息數據、從結構化到非結構化數據、從數據資產到數據資源的自洽體系，為開展數據處理活動的組織、個人提供規范指引。
其次，凝聚數據監管合力。公安機關應切實履行監督管理職責，依法定期組織重點行業、領域主管監管部門開展專項監督檢查，推動重點單位、各類組織落實在數據采集、存儲、傳輸、處理、使用、加工、交換、提供、共享、跨境、公開等環節的安全保護措施，提升相關單位和行業的個人信息和數據安全保護能力，促進數據安全有序流動。

最后，加大執法打擊力度。公安機關應做好行刑銜接。針對侵害公民個人信息與數據安全的各類違法犯罪，加強線索分析，追查數據源頭，打掉危害數據安全的黑色產業鏈條，堅決維護國家安全、公共利益和公民、組織合法權益。