数据安全法——国际观察、中国方案与合规指引

2015年 《国家安全法》第二十五条明确提出,国家 “实现网络和 信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”, 直接将数据安全上升到国家安全的高度。2016年 《网络安全法》将数 据安全纳入网络安全,网络安全等级保护、关键信息基础设施安全保 护、个人信息保护等制度为数据安全的落实提供重要支撑。为规范公安 机关互联 网 安 全 监 督 检 查 工 作、维 护 网 络 安 全,2018 年 公 安 部 发 布 《公安机关互联网安全监督检查规定》,明确对互联网服务提供者和联网 使用单位履行法律、行政法规规定的网络安全义务情况进行监督检查的 内容和程序。2018年,全国人民代表大会常务委员会将 《数据安全法》 《个人信息保护法》纳入立法规划,2019年国家互联网信息办公室相继 发布 《数据安全管理办法 (征求意见稿)》 《个人信息出境安全评估办 法 (征求意见稿)》等多个 《网络安全法》配套文件。2020年,第十 三届全国人民代表大会第三次会议通过 《中华人民共和国民法典》 (以 下简称 《民法典》),从民事权益角度明确对 “个人信息” “数据” “虚 拟财产”的保护,为数据的民事保护提供基础法律依据。地方层面围绕 数据出境、数据安全保障、数据开放、数据权等问题先试先行,为国家 层面的数据安全立法积累前期经验,典型如 《天津市数据安全管理办法 (暂行)》《贵州省大数据安全保障条例》 《中国 (上海)自由贸易试验 区临港新片区总体方案的通知》 《海南自由贸易港建设总体方案》等。 行业层面也积极探索数据安全规范路径。例如针对金融消费者信息安全 问题,2020年中国人民银行发布 《金融消费者权益保护实施办法》。 这一时期,《网络安全法》以保护数据的静态安全为主,呈现 “重 收集、轻处理”的特点,构建的网络安全等级保护、关键信息基础设施 安全保护、数据本地化与出境安全管理、个人信息保护等制度成为当时 数据安全治理的重要依据。随着国内外数据安全形势的变化,数据安全 问题从安全保障走向战略博弈,既有法律规定在国际博弈方面应对乏 力,在立法主动性和成熟度两方面面临考验,也难以满足数据动态利 用、数据跨境、数据汇聚和融合等引发的安全保障需求。2.《数据安全法》时期 2020年7月,《数据安全法 (草案)》在中国人大网公开并征求公 众意见。此次草案的出台有着深刻的时代背景和现实背景,是我国对当 前数据安全内外部形势的回应。在我国数据安全形势严峻、数据安全立 法尚不健全的背景下, 《数据安全法》承载着解决我国数据安全内外部 风险、构建数据安全核心制度框架,进而保障个人、公共、国家在大数 据时代安全利益的重要使命和期待。全国人民代表大会在草案起草说明 中将 《数据安全法》定位为数据安全领域的基础性法律。 我国2021年政府工作报告指出,“加强网络安全、数据安全和个人 信息保护”,这是 “数据安全”“个人信息保护”首次被写入政府工作报 告。这一年是 “十四五”的开局之年,数据安全产业蓬勃发展, 《数据 安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律 法规相继出台并施行,强化数据安全的法制基础。