汪育明:基于数据安全法的信用数据治理构想

来源 :新华信用 浏览 : 发布 :2021-07-06

当今时代,随着信息技术与人类经济社会活动广泛深入地交汇融合,数字化发展突飞猛进,各类数据爆炸增涨、海量汇集、深度处理、普遍利用,使人类社会发生前所未有之深刻而巨大的变化。与此同时,数据安全面临严峻挑战,已经成为事关国家总体安全、经济社会发展、信息主体权益的重大问题。

2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过并公布《中华人民共和国数据安全法》,自2021年9月1日起施行,标志着我国从国家法律层面对规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益作出明确规定,为我国社会数据安全治理提供了基本遵循,具有重要意义。在学习领会《数据安全法》重要意义及其内涵的同时,亟需思考、研究相应的落实举措,依法开展并完善信用数据治理。

一、《数据安全法》颁布实施具有十分重要的意义

(一)制定数据安全法有利于切实维护国家安全

“数据”作为现今时代和未来时期经济和社会发展的一项战略资源要素和关键生产要素,必将重构社会生产力和社会生产关系,对于科学技术创新、经济社会发展、学习工作生活、国家社会治理、国家竞争实力、国家国际地位、国防军事建设、国家总体安全等都具备极高价值并发挥关键作用。没有数据安全就没有国家安全。因此,数据安全问题业已成为当今世界各个国家都十分关注和高度重视的问题。《数据安全法》贯彻落实总体国家安全观,聚焦数据安全领域的突出问题和风险隐患,加强国家数据安全工作的统筹协调,确立了数据分类分级管理,数据安全审查,数据安全风险评估、监测预警和应急处置等基本制度,并明确了相关主体的数据安全保护义务。通过建立健全各项制度机制,提升国家数据安全保障能力,有效应对来自数据的非传统领域的国家安全风险与严峻挑战,切实维护国家主权、安全和发展利益。

(二)制定数据安全法有利于维护社会主体合法权益

信息时代,数字化为自然人、法人和非法人组织从事经济和社会活动提供了诸多便利。数字经济条件下,“数据”作为战略资源要素和关键生产要素蕴含巨大的经济价值。一些企业、机构、个人非法获取数据,非法交易数据,违规滥用数据,或者忽视数据安全保护造成数据泄露,侵害自然人、法人和非法人组织合法权益的问题十分突出,社会反映强烈。《数据安全法》的出台能进一步推动我国健全数据处理制度体系,形成统一的数据处理规则。《数据安全法》明确了相关主体依法依规开展数据活动,建立健全数据安全管理制度,加强风险监测防控和及时处置数据安全事件等方面的责任和义务,通过严格规范数据处理活动,坚决打击遏制数据处理违法行为,切实有效保护数据安全,维护社会主体的合法权益,增强社会主体的安全感。

(三)制定数据安全法有利于促进数字经济健康发展

数据作为最具时代特征的生产要素,对于促进经济和社会发展具有重要作用。近年来,国际社会围绕数据的竞争已经成为国家以及地区之间竞争的重要领域。按照党中央、国务院的战略决策部署,我国持续推进网络强国、数字中国、智慧社会建设,以数据为新兴生产要素的数字经济蓬勃发展。《数据安全法》坚持安全与发展并重,对保障数据安全与促进产业发展的措施作出相应规定,在规范数据活动的同时,推进政务数据开放利用等。通过促进数据资源依法合理充分有效利用赋能数字经济,支撑新技术、新产业、新产品、新模式、新业态,促进我国经济社会高质量发展。

(四)制定数据安全法有利于促进数据服务机构公平竞争

《数据安全法》能够为合规诚信经营的数据服务机构创造更加公开、公平的市场竞争环境。以《数据安全法》的实施为标志,数据市场“跑马占荒”、“野蛮扩张”、“无序竞争”、“忽视权益”的时代宣告结束,数据市场从此将迈上法治化、规范化、国际化道路。数据处理活动的底线是数据安全。《数据安全法》的实施,将为数据处理活动构筑坚实的安全屏障,并对数据处理相关行业产生重大积极影响。

(五)制定数据安全法为数据合法安全交易创造法律环境

《安全数据法》颁布实施,对我国数据合法安全交易具有极其重要的意义,为数据确权和数据交易保护提供法律保障,加快国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场的进程,促进信息价值发现,保障数据交易的合法性,增强信息流动性,提高获取数据的便利性,推动数据行业健康发展。

(六)制定数据安全法为数据法律体系增添一块重要拼图

《数据安全法》的出台,与此前出台的《中华人民共和国网络安全法》和将要出台的《个人信息保护法》前后呼应,作为中国信息安全立法“三剑客”奠定了我国数据安全、网络空间安全的基本框架。

《数据安全法》是数据领域的基础性法律,也是国家安全领域的一部重要法律,对中国的数据处理活动影响深远。作为数据领域的纲领性法律,《数据安全法》为各地区、各部门、各行业、各领域后续制定相关配套制度措施、标准规范提供了法律依据和方向指引。

二、《数据安全法》展现中国数据治理的基本特征

《数据安全法》的颁布实施,使数据处理、数据监管、数据维权有法可依。《数据安全法》由总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任、附则等七章构成,具有以下基本特征:

(一)责任义务法定化

《数据安全法》的出台,是贯彻落实依法治国、依法执政、依法行政方略的重大举措,《数据安全法》充分体现了“全主体”、“全流程”数据安全理念。“全主体”是指任何组织(包括国家机关、数据机构、数据项目承包商等)、个人都应当依法承担数据安全主体责任、义务。“全流程”是指数据处理的各个环节,包括数据的收集、存储、使用、加工、传输、提供、公开等都应当依法履行数据安全责任、义务。

根据其立法精神和相关规定,任何组织、个人开展数据处理活动,都应当遵守法律、法规,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。

收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据;应当在法律、行政法规规定的目的和范围内收集、使用数据。数据项目承包商也须要依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。即便是公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,也应当依法进行。

开展数据处理活动应当依照法律、法规的规定,采取相应的技术措施和其他必要措施,保障数据安全,不得泄露或者非法向他人提供个人隐私、个人信息、商业秘密、保密商务信息等数据。

对于违反《数据安全法》的行为,将按照该法有关法律责任的规定,根据其违法性质、情节、危害、后果,相应给予警告、处分、罚款、没收违法所得、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任等处罚。

(二)数据治理规范化

数据安全治理离不开标准规范的技术支撑。为建立健全数据安全标准规范,《数据安全法》明确:国务院标准化行政主管部门和国务院有关部门将根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。同时,国家还要制定政务数据开放目录,构建统一规范。此外,相关行业组织也要按照章程,依法制定数据安全行为规范和团体标准。

(三)数据治理制度化

数据安全治理离不开制度机制保障。立法精神、法律条款需要通过建立相关制度机制去细化落实。为完善数据安全治理体系,国家将建立数据分类分级保护制度;制定重要数据目录;建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制;建立数据安全应急处置机制;建立数据安全审查制度。

(四)数据治理体系化

数据安全治理是一个巨大、复杂的系统工程。数据安全不会孤立存在,而是与其他事物的安全相互关联,特别是与国家安全密切相关。《数据安全法》指出,维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。

要想有效提高数据安全保障能力,首先必须建立数据安全组织保障体系。对此,《数据安全法》明确规定,中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制;各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依法在各自职责范围内承担数据安全监管职责。国家网信部门依法负责统筹协调网络数据安全和相关监管工作。

数据安全治理涉及到自然人、法人和非法人组织,必须建立全社会共同治理的格局才可能达到预期目的。为此,《数据安全法》提出,国家推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。

(五)数据流动市场化

数据市场化以及数据合法交易是数字经济发展的基础条件。为保障数据合法交易流通,国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。国家在保护个人、组织与数据有关的权益的同时,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。

为保证数据交易合法,交易情况可以追溯,从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。

数字政府、电子政务建设,“互联网+监管”,政务服务“一网通办”、“掌上办”,使政府在履行行政管理、市场监管、公共服务职能过程中生成、获取、拥有海量政务信息。依法公开政务数据,可以向社会释放海量数据资源,有利于促进数据处理行业发展,培育数据服务市场,提升运用数据服务经济社会发展的能力。为此,国家建立政务数据公开制度,遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据;依法不予公开的除外。

(六)数据治理国际化

在经济全球化,“一带一路”建设,国际交流合作、全球社会治理背景下,数据跨境流动以及来自境外的数据安全威胁已经呈现常态化趋势。数据安全治理必须适应新的形势、新的任务、新的要求。为此,国家立法机关赋予《数据安全法》鲜明的国际化特征,以此展现当代中国立法的全球视野,参与数据全球治理的积极意愿,展示开展国际交流合作的大国风范,宣示维护国家数据主权的坚定意志。有的人士将该法的国际化特征形象地称之为“长臂管辖”。

例如,即使在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,也要依法追究法律责任。

我国对数据安全治理持开放态度,即国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。

但是,国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。例如,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

中国坚持同任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对等采取措施。

三、依据《数据安全法》重塑信用数据治理体系

(一)加强信用数据治理组织保障

信用服务机构应当加强信用数据安全治理组织保障。其中,在公共信用数据安全治理组织保障方面,将信用数据安全纳入全国信用信息共享平台体系和“信用中国”网站集群的信用数据治理总体框架当中,可由各部门、各地区公共信用数据服务机构联合成立公共信用数据治理机构,并建立相应的统筹协作机制、议事决策规则、数据安全制度、监督检查机制等,负责推动公共信用数据安全有关的工作,实现信用数据安全协同治理、联防联控,提高应对信用数据安全风险的能力。有条件的公共信用信息服务机构应当设立信用数据安全管理组织机构,配备专业管理人员。

(二)加快信用数据治理制度建设

《数据安全法》的颁布,为建立健全数据安全治理体系,提高数据安全保障能力提供了专门的法律依据。同时,对信用服务机构的信用数据治理也提出了新的挑战,信用数据安全、信用数据管理将成为越来越重要的合规议题。

《数据安全法》颁布后,各地区、各部门需以其作为依据,并结合自身特点和实际需要出台相应的配套法规、规章、规范性文件。

完善信用数据治理相关合规制度,加强信用数据全生命周期、全处理流程的管理。建立健全信用数据安全管理制度,依法制定数据安全行为规范,统一信用数据安全标准,制定信用数据分类分级规则,确立信用数据分类分级总体框架,加强信用数据合规管理。建立信用数据安全责任确认机制,落实信用数据保护主体责任,切实保障信用数据安全。依据《数据安全法》制订信用数据治理战略和工作规划,并将安全合规作为最重要的内容之一。

(三)建立风险监测和评估机制

探索开展信用数据处理活动风险监测,发现数据安全缺陷、漏洞等风险时,立即采取补救措施;发生数据安全事件时,立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

处理重要数据时,应当明确数据安全负责人和管理机构,落实数据安全保护责任,按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。

风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。

(四)出台信用数据治理改革措施

信用数据合法交易是信用服务行业发展的客观要求,也是社会信用体系建设的必然趋势。依法开展信用数据交易,保障信用服务机构拥有合法数据来源和变现渠道,有利于在信用数据领域建立安全和发展双轮驱动、统筹协调、平衡稳定的格局。

探索建立“信用数据资源交易服务平台”。信用数据资源交易服务平台是集信用数据合规审核、信用数据确权出版(认定)、信用数据资源交易、信用数据流通登记(对信用数据处理主体、信用数据流通过程、购买信用数据用途进行审核及登记认证)等服务为一体的公平、公正、可信、可靠、安全、高效的综合性信用数据资源交易平台。

建立统一的信用数据赋权标准、信用数据类目管理、信用数据交易规则、信用数据加密规范、信用数据交易安全体系,并利用区块链等信息技术,实现合法信用数据流通和非法信用数据流通的精准辨识。通过信用数据合法交易,实现各类信用数据处理机构所拥有的信用数据的安全流通与融合应用,助力联通信用数据孤岛、破除信用数据壁垒,有效实现信用信息资源共享。

(五)严格信用数据处理合规审查

信用服务机构须要关注信用数据来源的合规性、合法性,规范信用数据流程和商业变现行为,保证信用数据合规应用。

确保个人隐私、个人信息、商业秘密、保密商务信息等数据安全。对此,在信用数据处理流程中,须要依法加强网站、App、小程序、公众号、SDK等多渠道相关数据收集、公开、使用等的合规检查。

规范信用数据共享平台运行,严格限定信用数据共享出口,依法管控信用数据共享或向第三方提供信用数据、对外披露信用数据等行为,在满足业务需求的同时,有效实施信用数据安全管理,防范信用数据被窃取、泄漏等安全风险。

近些年来,信用数据应用场景进一步普及和丰富,合规指引需要进一步细化。

(六)强化信用数据治理监督检查

《数据安全法》的出台,标志着信用数据治理工作将迈入体系化、机制化、常态化阶段。政府有关部门将加大对信用服务机构数据安全的监督管理。信用服务机构应当严格对照监管部门要求强化内部控制管理,明晰人员责任分工,保护信息主体权益,从源头上防范杜绝可能存在的安全风险。在信用数据安全治理总体框架内,组织开展信用数据安全统一检查、相互检查、交叉检查。信用数据安全的社会监督、舆论监督也将逐步加强。

(作者汪育明,系国家公共信用信息中心副主任,高级工程师,全国社会信用标准化技术委员会委员)