科技 新浪科技 數據安全法草案首次提請審議 大數據產業發展將有章可循

數據安全法草案首次提請審議 大數據產業發展將有章可循

新浪科技 2020-06-29 01:03

原標題:數據安全法草案首次提請審議 大數據產業發展將有章可循

十三屆全國人大常委會第二十次會議6月28日在北京舉行,數據安全法草案(下稱「草案」)首次提請審議。

據新華社報道,草案規定了支持促進數據安全與發展的措施,建立健全國家數據安全管理制度,落實開展數據活動的組織、個人的主體責任等。

草案的主要內容之一,是堅持安全與發展並重,規定支持、促進數據安全與發展的措施,提升數據安全治理和數據開發利用水平,促進以數據為關鍵要素的數字經濟發展。

對外經濟貿易大學數字經濟與法律創新研究中心執行主任許可認為,「數據安全」本身就是「國家安全」不可分割的一部分,數據已成為內部安全和外部安全的關鍵領域。

值得注意的是,大數據、雲計算等產業已在我國蓬勃興起,落實開展數據活動的組織、個人的主體責任,是否會妨礙數據產業的發展?

「對於大數據公司來說,草案的出台是一個好事情,因為它明晰了數據在利用過程中的原則和界限,可以讓這些企業完善內部的合規工作。」浙江墾丁律師事務所聯合創始人吳旭華說。

提升國家數據安全保障能力

早在2018年9月公布的「十三屆全國人大常委會立法規劃」中,數據安全法被列為「條件比較成熟、任期內擬提請審議的法律草案」。

6月24日,全國人大常委會法工委發言人、研究室主任臧鐵偉指出,隨著信息技術和人類生產生活交匯融合,各類數據迅猛增長、海量聚集,對經濟發展、社會治理、人民生活都產生了重大而深刻的影響。數據安全已成為事關國家安全與經濟社會發展的重大問題。

許可認為,數據安全法和《中華人民共和國網路安全法》(簡稱《網路安全法》均是《中華人民共和國國家安全法》(簡稱《國家安全法》)的下位法,平等地統合在「國家安全」麾下。

按照《網路安全法》規定,網路安全包括「保障網路數據的完整性、保密性、可用性的能力」。

許可認為,這說明《網路安全法》已規定了數據的自身安全,那麼,數據安全法草案應將「數據自主可控」和「數據宏觀安全」作為規制重心。

他對21世紀經濟報道記者表示,數據自主可控,即國家對重要數據實際支配權力,避免被其他組織或國家非法操縱、監控、竊取和干擾;數據宏觀安全,即管理和防控因數據處理、使用引致的國家主權、公共利益和群體安全的威脅。

據新華社報道,2018年3月,臉書(Facebook)被爆出與諮詢公司劍橋分析公司違規分享8700萬用戶數據。隨後,美聯邦貿易委員會對此事展開調查,並對臉書開出50億美元罰單以及實施新的數據限制條件。

數據安全法草案將按照總體國家安全觀的要求,確立數據安全保護管理各項基本制度,提升國家數據安全保障能力,有效應對數據這一非傳統領域的國家安全風險與挑戰,切實維護國家主權、安全和發展利益。

數據安全和數據利用協調一致

我國數據安全還面臨另外一個層面的威脅。

有學者對中國裁判文書網上公布的信息進行統計發現,我國近年來「非法獲取計算機信息系統數據罪」的判決書有475份,判決「破壞計算機信息系統數據罪」的判決書有226份。

吳旭華介紹,作為數據安全保護領域的一部專門法,數據安全法將設定相應的法律責任。「以往數據安全的法律體系中缺少行政處罰,導致出現問題后,要麼通過民事責任,比如不正當競爭訴訟解決,要麼直接上升到刑事犯罪。」

有了行政處罰的手段,一些尚處於萌芽階段或尚不構成犯罪的違法行為就可以通過整改等手段得到糾正。「法律有一個很重要的功能,就是可以起到預測的作用。沒有這方面的規定,可能很多市場主體就不夠重視。」他說。而只有明確「紅線」,才能刺激企業合規發展。

2019年第三季度,國內多家大數據公司被查,暫停業務,而有些徵信公司也牽扯其中,被警方帶走配合調查。業內普遍認為,大數據行業這場突如其來的風波,或因「爬蟲」技術濫用,深度涉足現金貸業務有關。

而在2017年,「精準營銷」甚囂塵上之時,也有多家大數據公司被查。

「有些大數據公司獲取數據的來源比較複雜,在梳理數據的過程當中,沒有特別注重區分敏感數據和非敏感數據,沒有做好數據脫敏、去標籤化的工作,這部法律通過之後,相關企業需要關注並增加這方面的投入。」吳旭華說。

被稱為「史上最嚴數據保護法」的歐盟《通用數據保護條例》(簡稱GDPR)就以「可識別性」作為核心。上述信息法律專家介紹,GDPR對個人數據進行了不同層次的界定,從而為其設定了不同的保護程度,實現了數據保護義務與流通處理之間的平衡。

「個人信息的鮮明特徵,是直接通過這些信息或者結合其他信息,能夠關聯到某一個特定的自然人。如果把個人信息的『可識別性』去掉了,就變成了可商用的數據。但是商用數據也可能通過技術手段,恢復成為個人信息,這就需要採取足夠的安全防範措施。」吳旭華說。

《網路安全法》第42條第1款規定,網路運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能複原的除外。

許可介紹,這一被稱為「大數據條款」的規定,賦予了利用匿名化數據的自由,為企業創新打開了大門。

他認為,數據安全法亦應延續這一思路,充分認識到數據價值,將數據安全和數據利用看作一體之兩翼、驅動之雙輪,只要數據利用不會導致不合理危險,就應允許並積極推動其發展,通過激勵相容的制度設計,最終令數據安全和數據利用協調一致。

(作者:王峰 編輯:包芳鳴)