7月3日,数据安全法(草案)全文在中国人大网公开征求意见。草案内容共7章,提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等。

随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。

日前,数据安全法(草案)提请十三届全国人大常委会第二十次会议初次审议。

据全国人大常委会法工委发言人臧铁伟介绍称,数据安全法草案主要内容包括4方面:

“一是,确立数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度。二是,明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任。三是,坚持安全与发展并重,规定支持促进数据安全与发展的措施。四是,建立保障政务数据安全和推动政务数据开放的制度措施。”

上海交通大学数据法律研究中心执行主任何渊对澎湃新闻(www.thepaper.cn)记者表示,数据安全法的立法紧迫性很高,针对国内近年来频繁发生的大规模数据泄露事件,涉事企业的责任往往因为没有相关法律依据而较难追究。数据安全法实施后,对相关企业处罚时将有法可依。

何渊表示,在大数据人工智能时代,数据作为基础生产要素其重要性不言而喻。当前国际各国围绕数据的博弈正不断加强,数据也越来越成为国际贸易谈判的重点。同时也能看到,数据安全不仅仅事关个人隐私,更与国家安全息息相关。

“以Facebook向英国咨询机构‘剑桥分析’泄露用户数据事件为例,剑桥分析将8700万用户数据用于干预美国总统选举,这让我们看到数据安全不仅仅涉及个人隐私,其实更与国家安全息息相关。”何渊说。

何渊认为,从国家安全角度,非常有必要建立从数据安全的监测预警到应急处置的完整数据治理框架,把握数据的自主可控权,维护国家的“数据主权”。

此前,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,明确将“数据”纳入市场化配置改革的基础生产要素中。

今年全国两会期间,全国人大代表、广东移动党委书记、董事长、总经理魏明提出议案,建议加快制定《数据安全法》,通过法律规范切实保障国家、企业及个人数据及信息安全,特别是确立“数据主权”,明确数据安全法的管辖范围。

何渊表示,草案非常重要的一点是要对数据进行分级分类,根据数据的重要程度,以及一旦遭到泄露或被非法利用后对国家安全、国民权益所造成的危害程度将数据分类管理,采取不同的安全框架与审查机制。

数据安全法(草案)提出,国家将根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。

此外,国家还将建立数据安全风险评估、报告、信息共享、监测预警机制、数据安全应急处置机制以及数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。

数据安全法(草案)还明确提出,国家对与履行国际义务和维护国家安全相关的属于管制物项的数据将依法实施出口管制。

“分类的目的是对不同类别的数据实施不同级别的审查,对于人口数据、基因数据、地理信息、矿产资源等‘重要数据’,要进行严格的国家安全审查与保护;对其他一般数据,可能就采取纳入监测预警机制,发现风险后应急处置就可以了。”何渊说。

何渊表示,“让数据完全不流动是不可能,也不符合国家利益,对于一般性数据在风险评估基础之上应该允许其流动,安全等级‘一刀切’的话,将会影响我国数字经济发展,所以要坚持安全与发展并重。安全是底线,发展是目标。”

数据安全法(草案)也提出,国家坚持维护数据安全和促进数据开发利用并重,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。

值得注意的是,本次数据安全法(草案)明确了开展数据活动的组织与个人有数据安全保护的义务和责任。对此,何渊认为,这是弥补了我国当前这方面存在法律空白。

“当前刑法仅对买卖、交易个人信息做出处罚,并没有详细涉及数据泄露问题。面对诸如2018年华住酒店5亿条信息泄露这样的大范围数据泄露,我国目前法律框架不管是刑法还是网络安全法,都没有规定企业要承担什么责任。说白了,泄露也就泄露了。监管机构没有法律依据,就不能追究企业责任,这个问题亟需解决。”何渊说。

数据安全法(草案)提出,开展数据活动的组织、个人不履行数据安全保护义务或者未采取必要的安全措施的,由有关主管部门责令改正,给予警告,可以并处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处十万元以上一百万元以下罚款。

何渊称,数据安全法就是要在这方面填补空白,逼迫企业提升数据安全等级,否则一旦发生泄露就要面临相当严重的处罚。“Facebook-剑桥分析一案中,美国监管机构对Facebook实施了50亿美元的处罚,英国航空公司仅泄露几百万数据就被欧盟罚了两亿美元。相比这种力度,我国对企业数据泄露的处罚力度还有待加强。”