构筑数字经济发展的“防火墙”
伴随着互联网、大数据、人工智能、云计算等技术的飞速发展以及在经济社会各领域的广泛应用,数据安全成为关系国家安全、关系广大人民群众切身利益、关系数字经济健康发展的重大课题。2021年9月1日起施行的《中华人民共和国数据安全法》,是我国数据领域的基础性法律,也是国家安全法律体系的重要组成部分。制定实施《数据安全法》,是深入贯彻落实习近平总书记重要指示批示精神和党中央决策部署、维护国家安全和广大人民群众切身利益的需要,是全面提升国家数据保护工作法治化水平的需要,具有十分重要的意义。作为我国首部以“数据”和“数据安全”命名的法律,《数据安全法》主要特点及亮点体现在以下几个方面:
——完善我国网络与信息安全领域的法律体系。目前我国信息安全相关的法律法规是基于《国家安全法》及《网络安全法》建立的,并在网络安全等级保障制度、关键信息基础设施保护制度以及数据本地化和跨境流动制度中有所体现。《数据安全法》是数据安全领域的基础法律,与现行的《网络安全法》和《个人信息保护法》形成了网络空间治理和数据保护的三法并行局面,构成我国网络与信息安全领域的法律体系。《网络安全法》负责网络空间安全整体的治理,《数据安全法》负责数据处理活动的安全与开发利用,《个人信息保护法》负责个人信息的安全监管与治理。
——实现保障数据安全与发展数字经济之间的动态平衡。《数据安全法》聚焦数据安全领域的突出问题,明确数据安全制度、数据安全保护义务、政务数据安全与开放等规范,确保数据活动符合安全要求。与此同时,《数据安全法》引入数字经济理念,推动政务数据开放利用,利用数据提升公共服务的智能化水平,培育数据交易市场。由此可见,《数据安全法》总体上体现了国家统筹发展和保障安全的基本理念,努力实现保障数据安全与发展数字经济之间的动态平衡。
——明确构建一系列数据安全制度。《数据安全法》将数据安全制度单独作为一章进行规定,明确提出数据分类分级保护制度,确定重要数据具体目录,提出核心数据新概念,加强对重要数据保护。通过建立集中统一、高效权威的数据安全风险评估和报告、信息共享、监测预警、应急处置等机制,强化内控制度建设,防控数据安全风险。对属于管制物项的数据依法实施出口管制,可以根据实际情况对该国家或者地区对等采取措施。这明确了国家对中国数据的主权,即我国数据无论是否在境内,都将受到中国法律的保护。
——统筹落实各部门的主体责任和监管职责。在网络安全等级保护制度的基础上,建立健全全流程数据安全管理制度。重要数据的处理者应当明确数据安全负责人和管理机构,进一步落实数据安全保护责任主体。《数据安全法》明确监管职责的同时,确定各地区、各部门的主体责任,由网信部门发挥统筹协调功能,工业、电信、交通、金融等主管部门承担相关行业和领域的监管职责,公安机关和国家安全部门等承担相关职责范围的监管职责。通过明确国家层面的统筹协调职能,确保后续国家数据安全战略和重大方针政策的有效落地和执行。
——加大对危及国家安全的数据泄露活动的处罚力度。《数据安全法》对数据安全风险设置了基本“红线”,加大了对违反国家核心数据管理制度的处罚力度。一旦数据泄露事件危及国家主权、安全和发展利益的,或非法向境外提供重要数据的,可处以最高1000万元的罚款。《数据安全法》作为数据领域的基础性法律,为未来数据要素市场高质量发展和网络强国建设提供强力支撑。
进入数字化时代,数据安全已不仅关系到数字经济发展、数字政府建设,更关系到个人安全、企业安全,乃至国家安全。贯彻实施《数据安全法》,切实维护国家数据安全,要结合江苏实际,将该法确立的数据安全保护管理制度落到实处。
第一,促进以数据为关键要素的数字经济发展。近年来,江苏经济社会各领域数字化转型加速。数字经济正逐渐成为江苏高质量发展的新引擎、新动能和主阵地,是引领未来江苏发展的新经济形态,推动高质量发展的必由之路。《数据安全法》鼓励数据合理开发有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展,增进人民福祉,对整个信息安全产业带来积极影响。要坚持保障数据安全和促进数据开发利用并重,运用数据安全法律法规,为江苏数字经济的安全健康发展提供数据支撑和法治保障。
第二,加强数据安全管理制度建设。当前,政务、社会、城市数字化转型快速发展,要依据《数据安全法》建立健全数据安全管理制度,明确数据责任主体,从统一化、可落地性出发,结合现有数据业务建设需求和建设情况,遵从整体策略方针,全面优化管理体制。通过加强数据安全管理制度建设,落实数据安全保护责任,保障政务相关数据安全。明确政务数据开放与共享交换参与各方的职责,保障数据全生命周期安全,为构建智慧城市、数字政务、数字社会提供法律依据。
第三,优化数据安全监管及平台建设。《数据安全法》明确了数据管理者和运营者的数据保护责任,指明了数据保护的工作方向。各级政府应进一步优化数据共享交换平台,提高共享交换平台以及相关电子政务系统的“安全系数”,保障政务数据在存储、加工、传输等过程中的数据安全。委托第三方建设平台,需要经过严格的批准程序,并应当监督第三方履行相应的数据安全保护义务。要求第三方开展政务数据安全建设,不得擅自留存、使用、泄露或者向他人提供政务数据。有关单位和个人收集、存储、使用、加工、传输、提供、公开数据资源,都应当依法建立健全数据安全管理制度,采取相应技术措施保障数据安全。
第四,落实数据安全评估和防护职责。《数据安全法》特别指出应当加强对核心数据的安全监督与管理、评估与防护建设。各级政府为履行法定职责需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。履行对数据全生命周期各环节的安全保护义务,加强风险监测与身份核验,结合业务需求,从数据分级分类到风险评估、身份鉴权到访问控制、行为预测到追踪溯源、应急响应到事件处置,全面建设有效防护机制,保障数字产业健康发展。
第五,完善政务数据开放共享中的安全机制。《数据安全法》针对政务数据开发利用做出了明确规定,要求省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,加强数据开放共享的安全保障措施,建立统一规范、互联互通、安全可控的机制等。政府政务数据要做到安全与开放,一方面应推进电子政务建设,提升服务经济的能力,建立数据开放平台并推广应用;另一方面,明确对政务数据的安全责任,规定国家机关委托他人存储、加工或者向他人提供政务数据的审批要求和监督义务。政务数据的有效应用,对提升整个社会的治理水平有着重要意义,通过立法明确边界之后,后续的智慧城市、智慧政务、智慧民生等相关应用的内涵也将更加丰富。
原文刊载于《群众》2021年12月12日。