热点:《数据安全法(草案)》专家研讨会综述网络法治频道
本篇文章5919字,读完约15分钟
在全球新闻化全面渗透、跨境融合、加快创新、引领快速发展的大背景下,全球进入大数据时代,数据急剧增加。 对数数据管理能力越来越成为衡量国家竞争力的重要因素。 但是,数据的爆炸性增加带来了前所未有的风险和安全挑战,必须尽快出台统一数字经济时代“安全与快速发展”的《数据安全法》。
年6月28日,第十三届全国人民代表大会常务委员会第二十次会议首次审议了《中华人民共和国数据安全法(草案)》(以下简称《数据安全法(草案)》)。 7月3日,《数据安全法(草案)》在中国人民代表大会网络上发表,向社会征求意见,《草案》共分为七章,总则、数据安全与快速发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任
为了使《数据安全法(草案)》能系统地反应数字经济时代国家整体的数据安全和快速发展观,7月5日,中国通信学会网络空间安全战术和法律委员会在中国数字经济安全与快速发展50人论坛,中国行为法学会基础 国家社会科学基金重大专业“建立中国互联网综合管理系统研究”课题组、浙江大学互联网空间国际管理研究基地、浙江大学现代中文研究中心通过远程会议系统召开“数据安全法(草案)”在线专家研讨会
会议由中国通信学会网络空间安全战术和法律委员会副主任委员、中国数字经济安全与快速发展50人论坛秘书长
中国通信学会网络空间安全战术和法律委员会主任委员、中国政法大学副校长时建中教授指出,《数据安全法》是数字安全行业的基础法律。 征求意见稿确立了多样的立法目标,既保护数据安全,又促进数据的开发利用,体现了“兼顾安全与快速发展”的正确理念。 时建中教授认为《数据安全法》的逻辑起点和主体拷贝应该是数据安全,通过构建科学合理的数据安全制度体系,提供与数据开发利用相对应的法治环境。 促进数据开发利用的产业法治文案不是本法的要点和主体文案。 而且,安全制度是强制性的规则,需要具体且确定,不容易混淆,否则不利于数据的开发和利用。
关于具体的复印件,时教授认为,现在的意见听取稿的具体条款没有很好地体现多样的立法目标,意见听取稿需要完全定义“数据”“数据安全”“数据活动”等本法的核心概念。 他认为域外效力制度是征求意见的原稿的亮点之一,但更详细地说,认为有必要体现主权平等、工具对等的大体。 征求意见稿在数据安全义务和法律责任方面不一致,有时有不负责任的义务。 另外,法律责任方面责任形式不足,违法价格明显过低。 另外,征求意见稿对重要的安全制度只是用粗线记述。 他认为数据安全标准系统、数据交易管理制度、重要数据保护目录制度、数据安全监视警报机构、国家数据安全应急处理机构、国家数据安全审查制度、国家数据出口管制制度、公司数据安全管理制度等这些制度是数据安全法的要点 此外,必须认真解决数据安全与已经实施的国家安全法、网络安全法、保密法和正在制定的个人新闻保护法之间的关系。
中国通信学会网络空间战术和法律委员会副主任委员、中国东方航空集团总法律顾问、最高数据安全保护官郭俊秀博士介绍了东方航空集团在数据合规方面的经验。 他指出每年东航必须解决大量的个体数据,在保护顾客的个体数据方面,东方航空做出了很多努力,目前初步形成了“六个一”的数据保护系统:制度、一个机构、一个团队、一个流程、。
比较《草案》的副本,他提出了四点建议:一是进一步确定数据安全的含义和范围,正确分析“数据”、“数据安全”等概念。 二是建议民航局承担民航业数据安全监督管理的职责,民航业是国家重要的战术产业,上下游公司具有明显的领域特征,航空企业在日常经营中解决大量旅客数据,对个人数据保护的诉讼 三、数据的合理采用,必须制定确定的标准和范围。 数据的意义是采用,提案一方面要依法决定利用数据的方法,另一方面要决定提供数据解决服务提供商的法定义务,严格限制其解决范围。 四、建议确定第二十五条中“数据安全负责人”的职责范围,推进数据安全保护工作队的水平提高。
国务院快速发展研究中心的李广干研究员认为,《数据安全法(草案)》涉及数据保护的各个方面,但还不够。 首先,数据和新闻的概念不同,在草案中应该进一步区分。 其次,在领域数据的保护方面,每个领域数据的种类都有其特殊的性质,因此其安全要求也大不相同,在制定法律时应该充分考虑,政务数据不应该设定在《草案》的单独章节中。 第三,《草案》应对不同于数据收集者、控制者、解决者等的主体,制定数据流机制的根本规定。 第四,在跨境数据流中,我国跨境数据流战术还不够,不能适应社会的根本需要。 现在中国已经成为数据迅速发展的强国,相应的数据流动政策也应该与世界发达国家对接,最大限度地利用中国的数据生产要素,满足国家和人民的数据利益。
中国社会科学院法学所研究员支振锋从三个方面论述了他对《数据安全法(草案)》的看法。 首先,关于数据的概念,《草案》必须对数据的定义完整,必须对电子数据给出更明确的定义。 其次,关于数据安全,需要确定数据安全法的阶段性,在整体的国家安全观的指导下制定数据安全的概念。 既包括数据本身的安全也包括数据主权的安全,把安全放在快速发展中,保护数据安全,促进数据产业的快速发展。 第三,在当今时代背景下,中国应该如何进行数据安全法,数据安全法要体现开放的构想而不是封闭,体现快速发展的构想而不是停滞,快速发展与安全要同步推进。 中国应该有强者心、开放心、快速发展心,中国的数据安全法不仅要规定我们自己的数据安全,而且要在保护重要行业和重要数据的前提下,积极与世界对接,扩大开放水平。 然后在立法过程中重视妙招性,增加操作性,积极为世界数据安全法提供中国的智慧和中国的样本。
浙江大学教授、博导、中国通信学会网络空间战术和法律委员会副主任委员、国家社科基金重大专家“建立健全中国网络综合管理系统的研究”首席专家程乐从整体结构上说,“草案”的立法 首先,“安全”和“快速发展”在基本理念和大致“草案”中被提及,但在具体章节的配置中“快速发展”的篇幅很少,不能很好地表现出积极利用数据这一生产要素促进快速发展的方法。 其次,以对数数据没有按一定标准分类为前提,“政务数据”作为单独的章节很明确,强调了“政务数据”的安全和“政务数据”的开放倾向也不一致,过于强调。 第三,与国外和国内相关立法相比,《草案》篇幅较短,体系不健全,不能很好地反映作为国家数字安全法的整体水平和形象。
程教授对《草案》的一些条款提出了完全的建议。 例如,第一条关于立法目的和立法依据的规定,他建议对立法目的更明确。 然后确定立法依据,这样正式发表的《数据安全法》在法律层面上的明确,可以分析本法与其他法律的关系,便于实际处理可能发生的法律之间的不一致现象。 《草案》第三条是本法的三个核心定义,即“数据、数据活动、数据安全”,但这三个核心定义的界限不明确,也没有可操作性,影响整个法律的实践性。 总则以后的具体条款,总体上操作性也不太强,可以有很多条款也可以没有,实际上没有什么意义。 他认为《草案》还有很大的完整空间,应该继续细化和加强法律责任,特别是提高数据的非法价格。
阿里巴巴集团法律研究中心副主任顾伟博士说,有必要根据整体国家安全观的要求和党中央的彻底部署,制定数据安全行业的基础法律。 他认为,数据安全法草案牢牢地拉动了国家安全保障和数据要素流通两个重要问题,比较好地把握了安全与快速发展的平衡关系。 《数据安全法(草案)》基于《网络安全法》对网络数据的安全保障,进一步涵盖了网络数据和非网络数据的安全管理,在政府数据开放问题上实现了更大的突破。
顾伟博士认为,在中国公司全球化经营的背景下,中国的数据安全法必须积极应对新的国际数据安全态势和国际竞争格局。 他建议《数据安全法(草案)》应进一步考虑国际数据安全合作的机制设计,确定制度界面,更好地推进中国数据产业的国际合作和全球化的迅速发展。
西南政法大学教授、博导张建文对《草案》提出了六个方面的撰改建议。
1 .关于法律的名称,《草案》基本上涵盖了所有的数据类型和数据种类,但我们应该把有限的执法资源放在重要数据的保护上。 例如,改为《重要数据安全法》。
2 .关于立法范围,《草案》没有确定调整对象,将所有电子和非电子数据纳入其保障范围,这超出了它所能负担的比较有效的功能,浪费了立法资源。
3 .关于立法目的,根据现在的副本,这是因为缺乏对国家主权和快速发展好处的保护,所以就像《数据安全促进法》。
4 .关于数据的等级保护和分类制度,目前重要的数据目录保护的确立权属于“本地区、本部门、本领域”,划分缺乏慎重性和确定性,导致重要数据的划分过于随意还是过于狭窄。
5 .关于数据安全审查和司法干预,关于“全数据安全审查”和“数据国家安全审查”的关系,建议后者给予最终效力,考虑司法救济和保护,为数据创新的迅速发展留出空间。
6 .关于数据交易中介服务机构的义务,必须严格区分个人新闻、非个人新闻、数据集合三种情况。 关于个人新闻和非个人新闻纠缠在一起时的新闻保护,必须删除相关条款。
作为长期从事电信和网络领域的执法人员,广东省通信管理局网络安全管理处长张红霞博士从数据安全管理的角度对《数据安全法(草案)》(草案)发表了以下意见。
首先,法律的价值体现在通过权利、义务和责任的创设,规范相应的行为以符合立法的目的,促进经济社会的迅速发展。 草案中越来越多的是提倡性、政策性规定,权利、义务、责任的创设很少。 立法机关建议组织人力和各方面资源认真整理可能涉及数据安全的违法行为,规范最迫切需要处理的数据安全违法行为,设定应对惩罚条款。
其次,法律的生命在于实施,草案的操作性差,实施性不强。 共计51条中,真正设定相对惩罚的条款只有6条,这6条也很容易实现。 惩罚看起来是第8条,但除了第42、43、44条之外,剩下的第5条( 41、45到48 )是空虚的,形式比文案大。
第三,法律的使命是规范和诱惑,现在的草案非常缺乏动员各相关主体进行数据安全保护的内生动力。 惩罚建议提高处罚力度,丰富处罚种类,对于发生数据泄露等情况的主体,在领取相关许可证、禁止违法个体工作等方面必须有限制性规范。 然后通过引入信用管理,让违法者支付越来越多的违法价格。
第四,数据的分类等级是数据安全管理的基础,数据的收集、传输、保存、采用、开放共享、处置全生命周期管理过程中的人员配置、制度保障,以及一年几次风险判断。 建议数据安全需要什么级别的紧急应对,权限应该如何管理、审计等。
上海交通大学数据法律研究中心执行主任何渝从立法体系的角度提出了以下意见:首先,草案有几个方面,要点不突出,需要处理的问题没有聚焦。 其次,有逻辑混乱,政务数据章节比较突兀,金融数据、健康医疗数据等其他重要数据类型没有具体安排。 第三,数据安全法必须强调重要数据,限制国家安全审查和执法数据的取出,加强制度的可操作性,如启动程序、救济途径等。
从法律执行来看,草案的很多条款是要宣传的,宣传的条款可能对国际对接有很大的问题,建议详细规定数据泄露通知制度,确定数据泄露通知的主体、条件、标准、程序、复印件等。
从法律责任来看,现有的惩罚太轻,公司缺乏自我限制的动力。 实践中简单使用刑法的话,就会有“坐牢还是没事”的现象,很多公司和个人都在冒险。 哪个教授建议对照前期制度的安排,提高违法处罚,促进公司建立良好的内部合规体系。 参考行政执法和解协议制度,以公司建立数据合规机制为适用和解程序的条件,在协议中引入完善的公司合规条款,立即向全社会公布,规定一定的考验期,以确保公司的自我完整性
工信部新闻通信经济专家委员会委员、中国通信学会网络空间安全战术和法律委员会副主任委员、中国数字经济安全与快速发展50人论坛秘书长、中国法学会网络和新闻法学研究会常务理事王春晖教授关于各专家的精彩发言 王春晖教授认为《数据安全法(草案)》、《国家安全法》和《网络安全法》三部安全法在法律阶段应该属于同位法,但三者有一定的交叉关系,必须平衡三者之间的关系,《数据安全法》
王教授认为,数据安全法整体强调“整体国家全观”和“数据主权大体”,在“安全与快速发展”并存和大体指导下,围绕国家数据安全生态管理体系的构建进行整体布局。 《数据安全法(草案)》第四条提到维护数据安全,应该再次整体化国家安全观,建立健全的数据安全管理体系,提高数据安全保障能力,但草案副本没有体现国家数据主权的大体,国家数据安全管理
王教授建议必须确定规定数据安全法的域外效力。 如果中国数据安全法在“中华人民共和国境内开展数据活动”的区域空间以及“国外组织、个人开展数据活动,中华人民共和国国家安全、公共利益或者公民、组织合法完善的,依法追究法律责任。 ”,这显然不够,有缺陷。 他建议《数据安全法(草案)》可以参考gdpr第3条《地区适用范围》的规定制定域外效力规定。
《数据安全法(草案)》第3条定义为“以电子或非电子性质记录新闻的”。 王教授认为这些数据的定义不正确,特别是“非电子性质的新闻记录”范围和边界太广,没有体现大数据时代“数据”的特征和本质。 大数据时代的“数据”是指互联网(电子)数据,其第一个特征是容量大、类型多、访问速度快、应用价值高的互联网数据集合。
关于数据要素和数据交易,王教授认为数据作为生产要素贡献和参与分配是党的十九届四中全会提出的重大新型产权制度。 数据安全法必须确定数据的权利和交易规则,脱敏脱密,确定可交易的数据种类。
他认为,既然草案第二条确定在中国境内开展数据活动,就适用《数据安全法》,草案所只以《政务数据安全与开放》为一章,显然与立法的宗旨不一致。 他建议,进入5g时代和后5g时代,80%的数据是工业互联网数据,这是经济社会运行的神经中枢,是数据安全的关键,《数据安全法(草案)》必须引起重要关注。
王教授对草案法律责任设定的处罚力度不足表示担忧,认为草案的法律责任就像无牙老虎,难以抑制数据的违法行为,需要提高数据活动的违法价格。 他建议数据解决者必须设定四个强制规范,加大处罚力度。 一是任何数据解决者不得泄露或篡改其收集、保存的数据。 二是未经数据主体同意,无法识别特定个体或组织,除了无法恢复的数据外,不得向他人非法提供或交易数据。 三是数据解决者必须采取技术措施和其他必要措施,确保其收集、保存的各类数据的安全,防止数据泄露、篡改和丢失。 四是发生或可能发生数据泄露、篡改、丢失时,必须立即启动数据安全紧急响应机制,立即采取纠正措施,按照规定通知数据主体,并报告相关主管部门。
通讯员裴佳敏先生
标题:热点:《数据安全法(草案)》专家研讨会综述网络法治频道 地址:http://www.shuiyihui.cn/gy/2021/0324/43094.html
