从《数据安全法》视角探讨重要数据保护
《中华人民共和国数据安全法》(以下简称《数据安全法》)于6月10日第十三届全国人大常委会第29次会议通过,并已于9月1日正式实施。
《数据安全法》是我国在数据安全领域的基础性法律,将在保障国家数据安全,维护公民、组织合法权益,保障数字经济发展,推进电子政务等方面发挥重要作用。
《数据安全法》的亮点之一就是明确了国家建立数据分类分级保护制度,而数据分类分级保护的核心就是加强对重要数据的保护。
谢永江
北京邮电大学互联网治理与法律研究中心执行主任
重要数据特别保护的重要意义
《数据安全法》之所以强调对重要数据进行重点保护,主要原因在于:
第一,数据保护有成本,需要集中力量保重要数据。
国家有必要根据数据重要性的不同分别采取相应的安全措施,抓大放小,针对重要数据进行重点保护。
第二,重要数据关系国家安全、社会公共利益,需要重点保护。
有些数据因本身性质关涉国家安全和公共利益而十分重要,如国防数据、人口数据、治安数据等;
有些数据则因其规模足够大,通过对其汇聚、整合、分析,能够挖掘涉及国家安全和公共利益的信息,因而成为重要数据,如大规模的用户数据、出行数据、购物数据等。
其中关系国家安全、国民经济命脉、重要民生、重大公共利益的数据,更是国家核心数据,需要更加严格的管理和保护。
第三,重要数据不宜都纳入国家秘密进行保护,需要构建对非密重要数据的保护制度。
我国已有《保守国家秘密法》,对于属于国家秘密范畴的数据,自然属于重要数据;但重要数据不都是国家秘密。
在当今数字时代,各类信息都数据化了。大型互联网企业掌握了海量的数据,从性质上来讲,这些数据都是商业领域数据,为了有利于数据的开发利用,不宜一概纳入国家秘密进行保护,但仍需要某种程度的保护,以防止滥用或未经授权的访问和发布;但是,如果这些非密重要数据仅仅由经营者按照商业秘密自行进行保护,则不足以保障数据的安全。
因此,有必要在国家秘密和商业秘密之间建立强制性的重要数据保护制度,确保国家安全、社会公共利益和个人、组织的重大合法利益。
重要数据安全保护立法概况
对于重要数据的保护,已经为世界各国所重视。例如,美国建立了受控非密信息(Controlled Unclassified Information,CUI)保护制度。
美国的所谓受控非密信息,是指法定保密信息以外的,由政府创建或拥有的,以及实体机构为政府创建、或者代表政府创建或拥有的,根据法律、法规和政策的规定需要保护或控制传播的信息。
受控非密信息一般是涉及隐私、安全、商业利益、执法调查的敏感信息,需要提供保护以防止未经授权的访问或发布。美国国家档案和记录管理局(NARA)授权信息安全监督办公室(ISOO)对受控非密信息进行管理。
2010年第13556号总统行政令《受控非密信息》和2015年美国信息安全监督办公室发布的“受控非机密信息规则”(《联邦行政法典》第32编第2002章),设计了一套严密制度,专门规范对受控非密信息的管理。
我国《网络安全法》最早在法律层面提出“重要数据”概念,要求对重要数据进行备份或容灾备份(第21、34条),要求关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据应当在境内存储(第37条)。
此外,一些行业或领域的主管部门也出台了有关地理数据、科学数据、交通数据、人口数据、健康数据、药品数据、金融数据、教育数据、气象数据、地震数据等重要数据的管理规定。
《数据安全法》则在法律层面进一步健全了重要数据的管理和安全保护。
重要数据安全保护制度
为了加强重要数据的保护,《数据安全法》在国家数据安全制度构建方面,除了规定建立数据分类分级保护制度,数据安全风险评估、报告、信息共享、监测预警机制,数据安全应急处置机制等基本制度外,还针对重要数据规定了重要数据目录制定、数据安全审查和数据出口管制等制度。
重要数据目录的制定
根据《数据安全法》第21条规定,应当根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
落实数据分类分级保护制度的关键抓手是制定重要数据目录,明确重要数据的保护范围。根据《数据安全法》的规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,各地区、各部门则负责确定本地区、本部门以及相关行业、领域的重要数据具体目录。
制定重要数据目录一般应当考虑以下因素:
第一,数据的类型。有关国家安全、国计民生、公共利益行业或领域的数据,因其关系重大,通常应作为重要数据进行保护。其中关系国家安全、国民经济命脉、重要民生、重大公共利益的数据,还应作为国家核心数据进行严格保护。
第二,数据的数量。数据数量往往会影响其所蕴含的社会、经济价值;数量越大,所蕴含的社会、经济信息价值越大,发生泄漏、披露或滥用时,危害国家安全和损害社会公共利益的风险越大。因此,大规模的数据应当纳入重要数据范畴。
第三,可能的危害后果。数据的重要性还可以从危害后果角度进行评估。假定数据遭到了篡改、破坏、泄露或者非法获取、非法利用,根据其对国家安全、公共利益或者个人、组织合法权益造成的危害程度,如经济损失、负面影响、持续时间等,通常可以分为三类:危害较小,危害较大,危害巨大。可能造成较大危害或巨大危害的数据,就可以纳入重要数据范围。
重要数据的安全审查制度
《数据安全法》第24条确立了数据安全审查制度,要求对影响或者可能影响国家安全的数据处理活动进行国家安全审查。这里所说的“影响或者可能影响国家安全的数据”,显然属于重要数据。
数据安全审查源于《国家安全法》上的国家安全审查制度。《国家安全法》规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
《网络安全法》也规定了网络安全审查制度。在数据处理领域,对于影响或可能影响国家安全的数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等,自然也应当进行数据安全审查。
2021年7月10日,国家互联网信息办公室公布了《网络安全审查办法》(修订草案征求意见稿),明确将数据处理者开展数据处理活动,影响或可能影响国家安全的情形,纳入网络安全审查范围。
重要数据的出口管制制度
根据《数据安全法》第25条规定,国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。上述有关管制物项的数据,通常也属于重要数据。
与维护国家安全和利益相关的管制物项数据自然属于重要数据范畴,而与履行国家义务相关的管制物项数据,因为对该项数据的不当泄露或出口,会直接影响我国对国际义务的履行,事关我国国家信誉和国际形象,直接或间接损害国家利益,故而也应纳入重要数据范畴。
根据我国《出口管制法》,国家对管制物项的出口实行许可制度,对于出口管制清单所列管制物项或者临时管制物项的数据,出口经营者应当向国家出口管制管理部门申请许可。
数据处理者的保护义务
在数据处理者的数据安全保护义务方面,《数据安全法》除了规定建立健全全流程数据安全管理制度、组织开展数据安全教育培训、采取相应的技术措施和其他必要措施、风险监测、采取补救措施、数据安全事件报告等一般数据安全保护义务外,还特别针对重要数据规定了设置数据安全负责人和管理机构、风险评估和报告、出境安全评估等义务。
数据安全负责人和管理机构的设置义务
《数据安全法》第27条特别要求重要数据处理者明确数据安全负责人和管理机构,落实数据安全保护责任。
这就要求将重要数据安全保护责任明确落实到具体的机构和负责人,同时也为可能的追责提供了前提。
《数据安全法》对违法者的制裁通常采取双罚制,即除了对数据处理者进行处罚外,还对直接负责的主管人员和其他直接责任人员进行处罚。
因此,负责重要数据安全的负责人和管理机构应当切实承担起责任,确保重要数据的处理合规。
风险评估和报告义务
根据《数据安全法》第30条的规定,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括所处理重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
这是对重要数据处理者特别课以定期风险评估和报告义务,同时表明,重要数据的保护重在风险预防,而不是等到危险来临后的处置,因为重要数据出现风险后,会危害国家安全或社会公共利益,损害有可能是难以弥补的。
通过定期的风险评估,可以及时发现风险,并提前采取相应的应对措施,减少发生数据安全事件的风险。
出境安全评估义务
根据《数据安全法》第31条的规定,重要数据的出境应当进行安全评估,具体可以分为两类:
一是,关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据,其出境安全管理适用《网络安全法》的规定,即因业务需要确需向境外提供的,应当按照国家网信部门汇通国务院有关部门制定的办法进行安全评估。
二是,其他数据处理者在中国境内运营中收集和产生的重要数据,通常来讲,出境前也是需要进行安全评估的。其出境安全管理办法,由国家网信部门会同国务院有关部门另行制定。《数据安全法》的这一规定弥补了《网络安全法》对重要数据安全保护的不足,堵住了重要数据保护的漏洞。
高校重要数据安全保护建议
当前,教育部门面向教育高质量发展需要,正在大力推进以信息化为主导的教育新型基础设施建设。
教育信息化的高速发展必然产生大量数据,涉及教学数据、科研数据、教育行业数据、师生个人数据等,其中不乏重要数据,这对高校数据安全提出了更高的要求。
对此,教育主管部门和各高校应当坚持总体国家安全观,建立健全相关数据安全治理体系。
为贯彻实施好《数据安全法》,建议重点做好以下几方面工作:
第一,抓紧出台教育领域的重要数据目录。
教育主管部门应当在国家数据安全工作协调机制统筹协调下,按照数据分类分级保护的要求,在现有的教育系统数据资源目录的基础上,确定教育领域的重要数据具体目录,各高校应确定本校的重要数据目录,为高校重要数据安全保护工作提供依据,明确数据保护范围。
第二,建立健全全流程数据安全管理制度,明确数据安全负责人和管理机构。
在开展高校信息化建设的同时,应当高度重视数据安全保护工作,将数据安全保护纳入网络安全与信息化重点工作范畴。
应建立健全数据收集、存储、使用、加工、传输、提供、公开等全流程数据安全管理制度,严格数据访问和使用权限,实现规范化、制度化管理;
应明确数据安全负责人和管理机构,落实数据安全岗位责任和考核机制,从管理、技术、运营多维度保障数据安全。
第三,定期开展风险检测评估,制作风险评估报告。
各高校应当对其数据处理活动定期开展风险检测、评估,并形成评估报告。在检测中发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施;对面临的数据安全风险采取应对措施。
第四,做好数据出境安全管理。
当前许多高校开展了中外合作办学,对外交流也越来越频繁。在对外办学和交流中,特别要注意重要数据出境安全管理问题。国家主管部门应当尽快出台《重要数据出境安全管理办法》。各高校应谨慎处理数据出境问题,重要数据原则上不出境。
第五,组织开展数据安全教育培训,提高数据安全意识。
数据安全为人民,数据安全靠人民,保障数据安全需要多方共同参与。高校应当积极开展数据安全教育和培训,提高广大师生的数据安全意识和维护数据安全的自觉性,共同维护数据安全。
作者:谢永江(北京邮电大学互联网治理与法律研究中心)