十三屆全國人大常委會第二十次會議6月28日在北京舉行,數據安全法草案(下稱“草案”)首次提請審議。

  據新華社報道,草案規定了支持促進數據安全與發展的措施,建立健全國家數據安全管理制度,落實開展數據活動的組織、個人的主體責任等。

  草案的主要內容之一,是堅持安全與發展并重,規定支持、促進數據安全與發展的措施,提升數據安全治理和數據開發利用水平,促進以數據為關鍵要素的數字經濟發展。

  對外經濟貿易大學數字經濟與法律創新研究中心執行主任許可認為,“數據安全”本身就是“國家安全”不可分割的一部分,數據已成為內部安全和外部安全的關鍵領域。

  值得注意的是,大數據、云計算等產業已在我國蓬勃興起,落實開展數據活動的組織、個人的主體責任,是否會妨礙數據產業的發展?

  “對于大數據公司來說,草案的出臺是一個好事情,因為它明晰了數據在利用過程中的原則和界限,可以讓這些企業完善內部的合規工作?!闭憬瓑ǘ÷蓭熓聞账摵蟿撌既藚切袢A說。

  提升國家數據安全保障能力

  早在2018年9月公布的“十三屆全國人大常委會立法規劃”中,數據安全法被列為“條件比較成熟、任期內擬提請審議的法律草案”。

  6月24日,全國人大常委會法工委發言人、研究室主任臧鐵偉指出,隨著信息技術和人類生產生活交匯融合,各類數據迅猛增長、海量聚集,對經濟發展、社會治理、人民生活都產生了重大而深刻的影響。數據安全已成為事關國家安全與經濟社會發展的重大問題。

  許可認為,數據安全法和《中華人民共和國網絡安全法》(簡稱《網絡安全法》均是《中華人民共和國國家安全法》(簡稱《國家安全法》)的下位法,平等地統合在“國家安全”麾下。

  按照《網絡安全法》規定,網絡安全包括“保障網絡數據的完整性、保密性、可用性的能力”。

  許可認為,這說明《網絡安全法》已規定了數據的自身安全,那么,數據安全法草案應將“數據自主可控”和“數據宏觀安全”作為規制重心。

  他對21世紀經濟報道記者表示,數據自主可控,即國家對重要數據實際支配權力,避免被其他組織或國家非法操縱、監控、竊取和干擾;數據宏觀安全,即管理和防控因數據處理、使用引致的國家主權、公共利益和群體安全的威脅。

  據新華社報道,2018年3月,臉書(Facebook)被爆出與咨詢公司劍橋分析公司違規分享8700萬用戶數據。隨后,美聯邦貿易委員會對此事展開調查,并對臉書開出50億美元罰單以及實施新的數據限制條件。

  數據安全法草案將按照總體國家安全觀的要求,確立數據安全保護管理各項基本制度,提升國家數據安全保障能力,有效應對數據這一非傳統領域的國家安全風險與挑戰,切實維護國家主權、安全和發展利益。

  數據安全和數據利用協調一致

  我國數據安全還面臨另外一個層面的威脅。

  有學者對中國裁判文書網上公布的信息進行統計發現,我國近年來“非法獲取計算機信息系統數據罪”的判決書有475份,判決“破壞計算機信息系統數據罪”的判決書有226份。

  吳旭華介紹,作為數據安全保護領域的一部專門法,數據安全法將設定相應的法律責任?!耙酝鶖祿踩姆审w系中缺少行政處罰,導致出現問題后,要么通過民事責任,比如不正當競爭訴訟解決,要么直接上升到刑事犯罪?!?/p>

  有了行政處罰的手段,一些尚處于萌芽階段或尚不構成犯罪的違法行為就可以通過整改等手段得到糾正?!胺捎幸粋€很重要的功能,就是可以起到預測的作用。沒有這方面的規定,可能很多市場主體就不夠重視?!彼f。而只有明確“紅線”,才能刺激企業合規發展。

  2019年第三季度,國內多家大數據公司被查,暫停業務,而有些征信公司也牽扯其中,被警方帶走配合調查。業內普遍認為,大數據行業這場突如其來的風波,或因“爬蟲”技術濫用,深度涉足現金貸業務有關。

  而在2017年,“精準營銷”甚囂塵上之時,也有多家大數據公司被查。

  “有些大數據公司獲取數據的來源比較復雜,在梳理數據的過程當中,沒有特別注重區分敏感數據和非敏感數據,沒有做好數據脫敏、去標簽化的工作,這部法律通過之后,相關企業需要關注并增加這方面的投入?!眳切袢A說。

  被稱為“史上最嚴數據保護法”的歐盟《通用數據保護條例》(簡稱GDPR)就以“可識別性”作為核心。上述信息法律專家介紹,GDPR對個人數據進行了不同層次的界定,從而為其設定了不同的保護程度,實現了數據保護義務與流通處理之間的平衡。

  “個人信息的鮮明特征,是直接通過這些信息或者結合其他信息,能夠關聯到某一個特定的自然人。如果把個人信息的‘可識別性’去掉了,就變成了可商用的數據。但是商用數據也可能通過技術手段,恢復成為個人信息,這就需要采取足夠的安全防范措施?!眳切袢A說。

  《網絡安全法》第42條第1款規定,網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。

  許可介紹,這一被稱為“大數據條款”的規定,賦予了利用匿名化數據的自由,為企業創新打開了大門。

  他認為,數據安全法亦應延續這一思路,充分認識到數據價值,將數據安全和數據利用看作一體之兩翼、驅動之雙輪,只要數據利用不會導致不合理危險,就應允許并積極推動其發展,通過激勵相容的制度設計,最終令數據安全和數據利用協調一致。


       附1:國脈“一網通辦”核心支撐系統(GDBOS),助力數字政府建設

  數字政府2.0操作系統、政務數據體系2.0基礎標配、政務服務一體化升級方案。又名“政府數據業務操作系統”(GDBOS), 是基于國家有關政策要求、各地實踐經驗、數據體系理論、微服務技術架構,圍繞“大數據、大系統、大平臺”融合一體思路,為各地數字政府升級而量身打造的一套作業平臺。運用數據體系、標準治理、業務再造、組織進化等工具和方式,可從結構、標準、模塊架構上對當前政務服務平臺體系進行優化、重組和升級。有效適配部委、省、市、縣(區)不同層次需求,支撐數據整合共享、政務流程再造和服務模式升級,全面提升政務服務能力,夯實數字政府基礎,為國家治理能力現代化提供重要支撐。

  依托"產品+數據+標準"框架,構建"標準支撐、數據體系、業務再造、數據治理、管理賦能"五大體系,無縫銜接既有業務系統,有效驅動政務服務整體運作:①落腳在“辦成”,把政務數據歸集到一個功能性平臺,企業和群眾只進一扇門就能辦成不同領域事項;②綜合提升政府政務服務、數據整合與治理能力,并最終實現數字化轉型升級與智慧組織進化。

image.png

  附2:國脈政策通(又名“國脈一體化惠企政策服務平臺”),是對標中央關于“各項惠企政策落實到位、易于知曉、一站辦理”要求,打通政策服務、優化營商環境的幫手級產品。以“惠企政策精準送、補貼申報一次辦”為核心,提供政策“發布、匯聚、查看、送達、辦理、督查、評價”全套解決方案?;谑袌鲋黧w、民生服務和營商環境優化,從最小顆?;?、數源標準化、數據共享化、組織協同化、業務融合化五個方面著手打造,實現群眾與企業真正“知政策、懂政策、享政策”,依托政策紅利更好發展。截至目前,該系統已于深圳市、杭州市、佛山市、浦東新區、南山區等地應用,獲企業群眾普遍好評。

責任編輯:yangyang