与此同时也应看到,当下国家整体数据安全形势依然严峻。中国对外开放不断打开新局面,作为当前全球第一数据资源大国和全球第二大数字经济体,海量数据聚集,涉及政治、经济、文化、军事、生物、医疗、基因、人口、地理等各个领域,以及人民群众日常衣、食、住、行、销、乐等各个方面,区块链、人工智能、5G等新技术新应用场景越来越丰富。同时要看到,各类数据拥有主体多样,处理活动愈加复杂,给数据安全、社会安全、国家安全、海外利益等带来的风险也不断发展与演变。
2021年,《数据安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》等法律法规相继施行,承继、衔接已实施多年的《国家安全法》《网络安全法》《密码法》《刑法》等,新时代数据安全法治保障整体合力形成,数据安全国家治理开启新篇章。
各有侧重又密切关联的法律关系
基于定位的不同,以上法律在规范内容方面各有侧重。
2015年立足总体国家安全观重新制定的新《国家安全法》颁布实施,第25条明确,国家建设网络与信息安全保障体系,提升网络与信息安全保护能力。
2017年实施的《网络安全法》是中国网络安全领域的基础性、综合性法律,在数据安全之外还关注运行安全、信息安全,确立了包括网络安全等级保护制度、关键信息基础设施保护制度在内的一系列运行安全制度,强调网络空间总体安全。
2021年9月1日刚开始实施的《数据安全法》,则是中国数据安全领域的基础性、专门性法律。其基础性体现在将数据安全最高监管机构提升至中央国家安全领导机构,并明确建立国家数据安全工作协调机制,加强对数据安全工作的统筹,推进《国家安全法》在数据安全领域的落地。其专门性体现在区别于《网络安全法》等综合性立法,聚焦数据安全领域突出问题,在《网络安全法》外明确诸多创设性、细化性一系列基本制度及数据处理规则原则,包括数据安全审查、数据交易安全、数据出口管制、数据对等措施、重要数据出境管理、执法数据调取配合、境外数据调取阻断、政务数据安全、数据安全应急处置等。《网络安全法》从网络运行安全、网络信息安全角度提出了数据管理要求,管理对象侧重个人信息和关键信息基础设施收集产生的重要数据,管理范围侧重数据采集、使用等特定环节。《数据安全法》将任何以电子或其他方式记录的信息全口径纳入数据范畴予以保护,并对数据的收集、存储、使用、加工、传输、提供、公开等全流程予以监管,确保数据的“有效保护”和“合法利用”两种状态。
与《数据安全法》《网络安全法》在关注个体权益保障的同时,更加关注国计民生、国家安全等宏观安全和公共利益不同,《个人信息保护法》则是一部权益保护法,旨在维护人民群众在网络空间的合法权益,以《民法典》所确立的个人信息民事权益为基础,确立了以个人“知情同意”为核心的数据处理规则,以及包括决定权、查阅复制权、可携带权、更正权、删除权等在内的一系列权利。
同时,法律之间又密切关联。网络安全与数据安全是“一体两面”的关系,维护网络安全的目的是保护数据和个人信息安全,保护数据和个人信息安全有赖于维护网络安全。
《数据安全法》将《网络安全法》确立的网络安全等级保护制度、关键信息基础设施安全保护制度延伸至数据领域,强化数据安全与网络安全的衔接。网络安全等级保护制度作为《网络安全法》确定的基础制度,在保护数据和个人信息安全方面发挥了重要作用。《数据安全法》将网络安全等级保护制度作为数据安全保护的基础制度,规定“利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务”。
同时,将重要数据出境安全管理制度与《网络安全法》中规定的关键信息基础设施数据出境安全评估制度相衔接,将数据安全与网络安全保护制度统筹设计、有效衔接。作为《网络安全法》重要配套行政法规的《关键信息基础设施安全保护条例》将维护数据的完整性、保密性和可用性作为关键信息基础设施安全保护的核心目标之一,并在第15条运营者职责中明确纳入“履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度”。
个人信息作为数据类型的一种,《个人信息保护法》第9条明确规定,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息安全,并在第五章“个人信息处理者的义务”中对义务作出了具体规定,包括制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密、去标识化等安全技术措施、合规审计、个人信息保护影响评估等等。
个人信息除受《个人信息保护法》规范外,其安全管理也同样需要遵守《数据安全法》的规定。同样的,《数据安全法》第32条规定了数据合法正当收集的原则,不得窃取或者其他非法方法获取数据,同时也规定,法律、行政法规对收集、使用数据目的、范围有规定的,应该在此范围内收集、使用。
值得一提的是,以上基本法律都无一例外有类似“违反本法规定,构成犯罪的,依法追究刑事责任”的专门规定。区别于《网络安全法》《数据安全法》《个人信息保护法》三部法律主要通过行政监管的方式强化安全保护,《刑法》和两高的司法解释是通过刑事手段保障数据安全和公民个人信息合法权益。
《网络安全法》《数据安全法》《个人信息保护法》中诸多规定与《刑法》已实现对接,违反其中规定,构成犯罪的将追究刑事责任。与数据安全相关的刑法罪名主要体现在第二百五十三条之一“侵犯公民个人信息罪”、第二百八十五条“非法获取计算机信息系统数据”、第二百八十六条“破坏计算机信息系统罪”、第二百八十六条之一“拒不履行信息网络安全管理义务罪”等。
司法解释方面则涉及2011年6月最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》、2017年3月最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、2019年6月最高人民法院、最高人民检察院《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》等,为数据安全和公民个人信息犯罪明确了定罪量刑标准。
法律的生命力在于实施
2021年5月27日,《数据安全管理条例》纳入国务院2021年度立法工作计划;2021年7月10日,以落实《数据安全法》第24条数据安全审查制度为目的的《网络安全审查办法(修订草案征求意见)》向社会公开征求意见;2021年10月29日,同时以《网络安全法》《数据安全法》《个人信息保护法》三法为上位制定依据,多年来备受各界关注的《数据出境安全评估办法(征求意见稿)》向社会公开征求意见。
值得注意的是,在穿透《网络安全法》《数据安全法》的网络安全等级保护制度和关键信息基础设施安全保护制度上,《数据安全法》将实施近20年的网络安全等级保护制度中的数据安全保障基因特征进一步凸显,明确了其在数据安全领域的基础支撑定位。在此背景下,网络安全等级保护制度和关键信息基础设施安全保护制度必然也会顺应数据安全领域新形势需求,与时俱进,切实落实《数据安全法》赋予的使命和要求。包括但不限于推进规则指引,强化数据安全技术支撑;在网络安全等级保护、关键信息基础设施安全保护框架下推进数据安全保护技术标准制定出台,明确技术措施和必要的其他措施要求。
法律的生命力在于实施,法律的权威也在于实施。可以预见,不仅是规则细化完善,协同监管执法、法律竞合适用、执法规范建设、安全责任落实、主动合规遵循、违法犯罪打击、立法影响评估等都将成为考量数据安全法治实施效能的重要内容。
(作者为公安部第三研究所研究员)
