數(shù)據(jù)安全法專家解讀之一


構(gòu)建數(shù)據(jù)安全制度框架
放眼全球，數(shù)據(jù)安全問題已成為各國網(wǎng)絡空間治理的熱點和難點
數(shù)據(jù)安全問題如何應對、國家數(shù)據(jù)安全制度如何布局不僅關(guān)涉到大數(shù)據(jù)時代個人安全、公共安全、國家安全，也關(guān)系到我國在全球新一輪的信息技術(shù)變革中如何實現(xiàn)從跟跑、并跑到領(lǐng)跑的轉(zhuǎn)變。
近年來我國數(shù)據(jù)安全項層制度設(shè)計加速推進。2015年施行的《國家安全法》第25條明確提出“實現(xiàn)網(wǎng)絡和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”。作為網(wǎng)絡安全綜合性立法。2017年施行的《網(wǎng)絡安全法將數(shù)據(jù)安全納入網(wǎng)絡安全范疇，網(wǎng)絡安全等級保護制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護制度、個人信息保護制度等為保障數(shù)據(jù)安全提供重要制度支撐。
針對數(shù)據(jù)這一非傳統(tǒng)領(lǐng)域的國家安全風險與挑戰(zhàn)?！稊?shù)據(jù)安全法》全面貫徹落實總體國家安全觀，確立國家數(shù)據(jù)安全工作體制機制、構(gòu)建數(shù)據(jù)安全協(xié)同治理體系，明確預防、控制和消除數(shù)據(jù)安全風險的一系列制度、措施。提升國家整體數(shù)據(jù)安全保障能力
適用范圍方面，《數(shù)據(jù)安全法》在屬地管轄之外引入保護性管轄原則，賦子該法域外效力。
治理機制方面，《數(shù)據(jù)安全法》構(gòu)建起政府、行業(yè)組織、科研機構(gòu)、企業(yè)、個人多元共治的數(shù)據(jù)安全治理體系。一方面?！稊?shù)據(jù)安全法》第5條將數(shù)據(jù)安全最高監(jiān)管機構(gòu)提升至中央國家安全領(lǐng)導機構(gòu)這樣前所未有的高度，并明確建立國家數(shù)據(jù)安全工作協(xié)調(diào)機制，加強對數(shù)據(jù)安全工作的統(tǒng)籌，推進《國家安全法》在數(shù)據(jù)安全領(lǐng)域的落地。第6條明確各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負責，行業(yè)主管部門承擔本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責，公安機關(guān)、國家安全機關(guān)在各自職責范圍內(nèi)承擔數(shù)據(jù)安全監(jiān)管職責，國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)網(wǎng)絡數(shù)據(jù)安全和相關(guān)監(jiān)管工作。另一方面，明確推動行業(yè)組織、科研機構(gòu)、企業(yè)、個人等共同參與數(shù)據(jù)安全保護工作，并專設(shè)第10條“行業(yè)自律”條款。
制度設(shè)計方面，《數(shù)據(jù)安全法》統(tǒng)籌數(shù)據(jù)靜態(tài)安全與動態(tài)利用安全，一般數(shù)據(jù)與重要數(shù)據(jù)、國家核心數(shù)據(jù)安全，內(nèi)向安全與外向安全，圍繞數(shù)據(jù)處理全流程建構(gòu)數(shù)據(jù)安全保障的基本框架，涵蓋數(shù)據(jù)分類分級、重要數(shù)據(jù)保護目錄、國家核心數(shù)據(jù)管理，數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警，數(shù)據(jù)安全應急處置，數(shù)據(jù)安全審查、出口管制、數(shù)據(jù)領(lǐng)域的對等措施、重要數(shù)據(jù)出境管理、數(shù)據(jù)交易、數(shù)據(jù)處理服務許可、執(zhí)法數(shù)據(jù)調(diào)取配合、境外數(shù)據(jù)調(diào)取阻斷、政務數(shù)據(jù)安全與開發(fā)等制度，同時加大對相關(guān)違法行為的處罰力度。
可以預見，《數(shù)據(jù)安全法》的一系列數(shù)據(jù)安全風險防范制度設(shè)計將通過下位配套和實施細則等予以落實。2021年4月27日，作為《網(wǎng)絡安全法》重要配套之一的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》經(jīng)國務院常務會議通過，自9月1日施
行。2021年5月27日?！稊?shù)據(jù)安全管理條例》納入國務院2021年度立法工作計劃，2021年7月10日，以落實《數(shù)據(jù)安全法》第24條數(shù)據(jù)安全審查制度為目的的《網(wǎng)絡安全審查辦法(修訂草案征求意見)》向社會公開征求意見
發(fā)揮部門職能優(yōu)勢
承繼公安數(shù)據(jù)安全監(jiān)管職能
作為保障社會公共安全與國家安全的主力軍，公安機關(guān)是(人民警察法》《計算機信息系統(tǒng)安全保護條例》明確的負責主管計算機信息系統(tǒng)(含網(wǎng)絡)安全保護部門，歷來高度重視社會關(guān)注的數(shù)據(jù)安全問題。
數(shù)據(jù)是影響網(wǎng)絡安全等級保護制度中定級、關(guān)鍵信息基礎(chǔ)設(shè)施認定的重要因素。包含個人信息數(shù)據(jù)在內(nèi)的數(shù)據(jù)安全保護已成為網(wǎng)絡安全等級保護20制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護制度的重要內(nèi)容。
2020年公安部發(fā)布的《貫徹落實網(wǎng)絡安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導意見》多處強調(diào)數(shù)據(jù)安全、重要數(shù)據(jù)和個人信息保護。正在制定中的《網(wǎng)絡安全等級保護條例》體現(xiàn)出對數(shù)據(jù)安全問題的集中考量。將與《數(shù)據(jù)安全法》同日施行的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》明確”國務院公安部門負責指導監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作”，強化數(shù)據(jù)安全保護責任明確運營者個人信息和數(shù)據(jù)安全保護職責，確立重要數(shù)據(jù)泄露等特別重大網(wǎng)絡安全事件發(fā)生后運營者向保護工作部門、國家網(wǎng)信部門和國務院公安部門的三層報告機制。
實踐層面，公安機關(guān)積極組織大數(shù)據(jù)安全、APP違法違規(guī)專項整治，與中央網(wǎng)信辦共同建立打擊危害公民個人信息和數(shù)據(jù)安全違法犯罪長效機制，依法嚴厲打擊數(shù)據(jù)安全違法犯罪，各地公安機關(guān)常態(tài)化實施監(jiān)督、檢查和指導，督促相關(guān)組織強化安全保護，從行動上切實保障國家關(guān)鍵信息基礎(chǔ)設(shè)施、重要網(wǎng)絡和數(shù)據(jù)安全、個人信息安全。
《數(shù)據(jù)安全法》充分考慮部門職能優(yōu)勢和實踐效果，在總則中明確公安機關(guān)的數(shù)據(jù)安全監(jiān)管職責。
制度設(shè)計上，《數(shù)據(jù)安全法》第27條要求全流程的數(shù)據(jù)安全管理制度應當在網(wǎng)絡安全等級保護制度的基礎(chǔ)上開展，即“開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓，采取相應的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展數(shù)據(jù)處理活動，應當在網(wǎng)絡安全等級保護制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護義務。重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人和管理機構(gòu)，落實數(shù)據(jù)安全保護責任。"
開展數(shù)據(jù)處理活動的組織、個人不履行第27條安全保護義務的，第45條明確了相較《網(wǎng)絡安全法》第59條更嚴格的法律責任，“由有關(guān)主管部門責令改正給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款拒不改正或者造成大量數(shù)據(jù)泄露等嚴重后果的，處五十萬元以上二百萬元以下罰款，并可以責令暫停相關(guān)業(yè)務、停業(yè)整頓、吊銷相關(guān)業(yè)務許可證或者吊銷營業(yè)執(zhí)照。對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。違反國家核心數(shù)據(jù)管理制度，危害國家主權(quán)、安全和發(fā)展利益的，由有關(guān)主管部門處二百萬元以上一千萬元以下罰款，并根據(jù)情況責令暫停相關(guān)業(yè)務、停業(yè)整頓、吊銷相關(guān)業(yè)務許可證或者吊銷營業(yè)執(zhí)照:構(gòu)成犯罪的，依法追究刑事責任。"
《數(shù)據(jù)安全法》第21條確立國家數(shù)據(jù)分類分級制度，這是本法整個數(shù)據(jù)安全保障的基礎(chǔ)，在此基礎(chǔ)上提出重要數(shù)據(jù)的強化保護和國家核心數(shù)據(jù)的特別保護要求，并明確重要數(shù)據(jù)目錄從國家到地區(qū)、自上而下的落實機制
國家總體安全保障工作中，重要數(shù)據(jù)與關(guān)鍵信息基礎(chǔ)設(shè)施與密不可分，2015年《國家安全法》強調(diào)“關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”《網(wǎng)絡安全法》第37條創(chuàng)設(shè)性規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運營者重要數(shù)據(jù)境內(nèi)存儲與出境評估制度，2016年《國家網(wǎng)絡空間安全戰(zhàn)略》將“保護關(guān)鍵信息基礎(chǔ)設(shè)施”作為9大戰(zhàn)略任務之一，明確要求采取一切必要措施保護關(guān)鍵信息基礎(chǔ)設(shè)施及其重要數(shù)據(jù)不受攻擊破壞”。
如何保持不同法律同一概念內(nèi)涵和外延的一致性、重要制度實施事實上的關(guān)聯(lián)性，需在接下來《數(shù)據(jù)安全法》配套的重要數(shù)據(jù)概念界定、認定機制、保護方式等工作中一并考慮。
主動應對挑戰(zhàn)，依法履行職責
《數(shù)據(jù)安全法》實施在即，公安機關(guān)需主動應對挑戰(zhàn)，依法履行職責，服務發(fā)展大局，夯實社會數(shù)字化轉(zhuǎn)型升級這一重大變革時代的工作內(nèi)容。
首先。完善數(shù)據(jù)合規(guī)標尺。公安機關(guān)應充分落實《數(shù)據(jù)安全法》《網(wǎng)絡安全法》《個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)要求，整合數(shù)據(jù)安全制度體系，包括不限于制定數(shù)據(jù)安全行政執(zhí)法裁量基準細化網(wǎng)絡安全等級保護數(shù)據(jù)安全要求，強化關(guān)鍵信息基礎(chǔ)設(shè)施及其承載的重要數(shù)據(jù)和個人信息的安全保護，形成從一般數(shù)據(jù)到重要數(shù)據(jù)、靜態(tài)數(shù)據(jù)到動態(tài)數(shù)據(jù)、從個人信息數(shù)據(jù)到非個人信息數(shù)據(jù)、從結(jié)構(gòu)化到非結(jié)構(gòu)化數(shù)據(jù)、從數(shù)據(jù)資產(chǎn)到數(shù)據(jù)資源的自洽體系，為開展數(shù)據(jù)處理活動的組織、個人提供規(guī)范指引。
其次，凝聚數(shù)據(jù)監(jiān)管合力。公安機關(guān)應切實履行監(jiān)督管理職責，依法定期組織重點行業(yè)、領(lǐng)域主管監(jiān)管部門開展專項監(jiān)督檢查，推動重點單位、各類組織落實在數(shù)據(jù)采集、存儲、傳輸、處理、使用、加工、交換、提供、共享、跨境、公開等環(huán)節(jié)的安全保護措施，提升相關(guān)單位和行業(yè)的個人信息和數(shù)據(jù)安全保護能力，促進數(shù)據(jù)安全有序流動。

最后，加大執(zhí)法打擊力度。公安機關(guān)應做好行刑銜接。針對侵害公民個人信息與數(shù)據(jù)安全的各類違法犯罪，加強線索分析，追查數(shù)據(jù)源頭，打掉危害數(shù)據(jù)安全的黑色產(chǎn)業(yè)鏈條，堅決維護國家安全、公共利益和公民、組織合法權(quán)益。