立法专家:企业需要及时做好数据合规风险评估
中国人民大学法学院副教授、博导,未来法治研究院副院长丁晓东 受访者供图
6月10日,《中华人民共和国数据安全法》(下称《数据安全法》)正式通过并公布,将于2021年9月1日起施行。
工信部中国信通院的数据显示,2020年我国数字经济规模达到39.2万亿元(同比增加约一成),占当年GDP的近四成。数字经济增速达到GDP增速3倍以上,数字经济成为稳定经济增长的关键动力。与此同时,不管是国内还是国外,数据泄露事件时有发生。
那么,《数据安全法》的出台有何重要意义?将对哪些行业产生重要影响?企业又该如何做好数据使用的合规工作?新京智库为此采访了参与该法立法工作的中国人民大学法学院副教授、博导,未来法治研究院副院长丁晓东。
为数字经济提供制度安全保障
新京智库:请你简单介绍一下《数据安全法》出台的主要意义有哪些?
丁晓东:《数据安全法》出台最重要的一个意义是,为数字经济以及数据产业的发展提供了安全制度保障。《个人信息保护法》主要侧重于对个人信息进行保护,《数据安全法》其实是国家的总体安全观在数据领域的一个体现。虽然后者也有涉及一些个人信息保护的问题,但最主要的还是个人信息以外的数据安全保护问题,比如说人口基因数据、汽车数据等重要数据。
可以说,《数据安全法》和《个人信息保护法》构成了我国数据安全的基本体系,即数据和信息安全体系的“两翼”。
新京智库:《数据安全法》与此前的草案相比做了哪些修改,为什么做这样的修改?
丁晓东:《数据安全法》在四个方面做了一些修改。首先,对于数据安全的管理体制进行了更充分的梳理和清晰的职责划分。在《数据安全法》的一审和二审稿中,数据安全的治理机关,或者说负责机关,相对来说没有那么清晰,但是终审稿在这方面明确了国家安全机关作为通力协调的机关。其他如电信、网络等各方面也有相应的职责规定,负责各自领域的数据安全。这样就使得权责更加一致,使得数据安全的落地有了保障。
其次,对于一些行业数据,比如说关系到国家经济命脉、重要领域的数据有更严格的规定,包括加大处罚力度。传统的行政处罚常常按50万元或者100万元等相对较低的额度进行处罚,但是涉及数据信息,危害面非常广,尤其可能会对国家安全造成影响。《数据安全法》以及即将出台的《个人信息保护法》都有提高处罚力度。这应当说对于落实数据安全保护是有利的。
再次,《数据安全法》对老年人权益和弱势群体权益也有相应保护规定,回应了数字鸿沟问题。比如《数据安全法》第十五条规定,“提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。”
最后,对于政务数据的开放做了更详细的规定。政务数据的安全是所有数据安全的核心。同时,政务数据安全也关乎到数据要素市场的建设。那么,对政务数据进行规定有利于我国的数据安全保护,同时也充分把握或者说充分协调了数据的安全和发展之间的关系。诚然,把政务数据封闭起来是最安全的,但这样的安全是没有意义的。有意义的“安全”是让政务数据开放,只有在开放和发展中,政务数据才是有价值的,也只有在这种情况下的安全才是有意义的。
企业需做好数据合规使用风控机制
新京智库:你认为《数据安全法》的出台将对哪些行业产生深刻影响?有观点认为金融业将受到最大影响,为什么?
丁晓东:这是一个比较难回答的问题。我的理解是,有的行业数据安全合规工作已经做得很好,对这些行业及企业来说影响可能就不会很大,因为《数据安全法》的出台对其来说只不过是确认了一个事实而已。影响比较大的可能是一些之前数据安全合规工作做得不到位的、有疏忽的行业。《数据安全法》出台后,这些行业中的企业可能也没有特别注意数据安全问题。
这里涉及一个概念,重要数据。什么是重要数据?重要数据涉及两个方面,一方面可能是一些企业所使用数据的条数非常多,即数量非常大,另一方面这些企业所使用的数据可能关乎到国家的安全风险。
有些疏忽数据安全合规工作的企业,所使用的数据可能对国家安全也没有太大影响。但是因为《数据安全法》可能会导致一个现象,就是这些企业不敢用数据了,或者不敢让数据出境了。这类企业可能需要赶紧去倒查,建立起一个机制,以避免届时造成不必要的数据风险,或者不必要的数据使用障碍。
举个例子,商品标识码是我们日常都会用到的一种数据。商品的标识码出境其实一般不会对国家安全带来什么影响,如果不出境反而可能有安全问题。比如亚马逊上架一个中国的商品,如果查不到这个数据,即商品标识码的话,就会有安全问题,因为可能不允许该商品上架。因为这些数据(包括商品标识码)的数量比较多,很多企业以及行业协会都不敢把这些数据带出境,这样其实反而会带来很多问题。
新京智库:《数据安全法》的出台将让数据安全成为企业重要的法定义务。你认为境内、境外企业该怎么做才能使数据使用行为合规化?
丁晓东:相对来说,《数据安全法》的原则性规定多,这与《个人信息保护法》不同,前面也说了,前者是国家总体安全观在数据领域的一个体现,所以这是一部风险导向的法律。企业的数据使用是否合规一定要倒查。如果涉及重要数据的话,企业需要进行内部风险安全评估。如果还涉及数据出境,则需要建立一套风险评估制度,按照《数据安全法》的要求做风险评估尤为必要。
如果说企业评估工作不事先做好,也没有及时到相关部门报备,可能《数据安全法》一旦执行起来,对企业的冲击就会很大。比如某家企业是做国际贸易业务的,现在数据出不去了,这就会对公司发展带来很大冲击。所以,无论是境内还是境外企业,一定要把数据合规工作做好。
如果企业所使用的数据是完全公开的,比如学术性研究数据,这个风险不大。如果是一些半公开的数据,比如地理测绘数据,尤其是非常详细的,那么,使用这类数据的企业就一定要做好风险评估和沟通机制、备案。
所以,企业做好数据合规使用,除了企业自身内部的风控机制,外部的风险评估机制之外,还需要与所在地的监管机构及时进行沟通。
从这个意义上说,无论是《数据安全法》还是未来更细化的规定出台,企业都需要做好评估,其所使用的数据大概是处于一个什么样的风险等级,对于一些高风险等级的数据一定要做好预案,做好数据本地化工作,或者类似一些措施来降低风险。
《数据安全法》强调数据安全主权
新京智库:有观点认为,《数据安全法》强调了数据主权,但第四十六条对于“向境外提供重要数据的”的处罚力度并不高。为何做这样的安排?
丁晓东:我个人认为,《数据安全法》其实并不是强调数据主权,而是强调数据安全主权。这两个概念有什么区别呢?如果强调数据主权,就意味着要把数据隔绝起来,类似于传统的主权管理。如果强调数据安全主权,则是兼顾数据的跨境流通和数据安全。我觉得理解为《数据安全法》是强调数据安全主权更合理,或者说更符合数据的本质特征。不是说要把数据隔绝起来,把数据本身管起来,而是把风险管起来。
新京智库:有观点认为,《数据安全法》让我国也有了“长臂管辖”的法律依据。你认为我们该如何利用好《数据安全法》保护国内法人、自然人的合法权益?
丁晓东:我不认为《数据安全法》有“长臂管辖”功能,我们国家的法律都是防御性的。《数据安全法》关照的是数据安全,是对数据传输做出的法律规定,是为了维护一个国家的数据安全;同时,也关照到其他国家对于数据安全的需求。从这个意义来说,其实是一以贯之地贯彻了我们国家的“和平共处五项原则”。
新京智库:《数据安全法》第六条规定,各地区、各部门,行业各部门,公安机关、国安机关以及网信部门分别承担着相关的监管职责或工作。为何做这样的安排?这样做是否可能陷入多头管理而变成无人管理的尴尬?
丁晓东:之所以做这样的规定,最主要是因为数据的行业属性比较强。因此,安全部门扮演了一个统筹协调的“总负责人”角色。另外,对有些行业采取这种监管方法也符合数据的特征,如果所有行业都由国家安全部门监管的话,首先可能面临安全部门管不过来的尴尬;其次,也可能出现由于对这些行业不够了解而出现执法上的偏差,比如监管过严或过宽。所以,由不同的行业部门来监管不同行业的数据使用,反而比较合适。
新京智库:你对于做好我国数据安全保护工作还有什么建议或期待?
丁晓东:首先,需要做好与其他相关法律的衔接。比如,做好《数据安全法》与《网络安全法》的衔接,还需做好与即将出台的《个人信息保护法》的衔接。这三部法律,某种程度上构成了一个大的安全体系。做好整个国家的信息安全需要法律间的相互协调和配合。
其次,需要注意数据的发展和安全的并重,或者说用辩证的思维去看待数据安全。解决数据安全问题,一定需用一种发展理念下的安全观,而不是绝对的、僵化的安全观。这个是我觉得比较重要的一点建议。
文|新京智库访谈员 肖隆平 编辑 柯锐 校对 杨许丽