数据安全法草案征求意见结束:行业如何识别管理“重要数据”_顶尖财经网
  您的位置:首页 >> 财经频道 >> 投资互联网 >> 文章正文

数据安全法草案征求意见结束:行业如何识别管理“重要数据”

加入日期:2020-8-20 7:10:46

《中华人民共和国数据安全法(草案)》(下称草案)近日在中国人大网结束征集意见,数据显示,共有207人通过网站提交了651条意见。数据安全法是我国数据安全领域的基础性法律,草案也规定了多项重要的数据安全制度。

重要数据保护目录就是其中之一,草案第十九条第二款规定,各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。

但有业内专家认为,重要数据若交由各地自行决定,可能导致不当扩大或缩小重要数据范围,还可能导致数据跨地区流动和处理,引发法律规避。

数据已成为重要的生产要素,数据安全法对企业、行业数据安全义务的规定,也将对市场主体带来重大影响。但目前草案仅作出了概括性规定,专业人士认为,对于其中的新设行政许可或备案、违法后罚则的可操作性,均有待观察和完善。

谁来认定重要数据

数据安全法对数据安全采取分级分类保护的原则。对于重要数据,草案规定:各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。

但草案没有规定重要数据的定义和范围,也没有规定对“重要数据”施以“风险评估”“安全审查”“出口管制”等管理措施的明确和可操作的制度设计。

中国法学会法治研究所副研究员刘金瑞认为,草案授权“各地区、各部门”都可以制定“本地区、本部门、本行业重要数据保护目录”,在未规定“重要数据”认定标准的情况下,有可能造成各地区、各部门各自为政,并不利于我国数据安全法治的统一。

比如,对于行业的重要数据,制定目录或其他监管权限是由行业主管部门还是由网信管理部门行使?在今年7月举行的一次数据安全法(草案)在线专家研讨会上,中国东方航空(600115,股吧)集团总法律顾问、首席数据安全保护官郭俊秀就建议,赋予民航局承担民航业数据安全监管的职责。

郭俊秀认为,“民航业是国家重要的战略产业,上下游企业具有明显的行业特征,航空公司在日常经营中要处理海量的旅客数据,对个人数据的保护需求较为突出。”

对外经济贸易大学互联网法治研究中心执行主任许可认为,为了避免各地自行决定重要数据保护目录可能导致的不当扩大或缩小重要数据范围,不妨汲取《保守国家秘密法》和《保守国家秘密法实施办法》的经验教训,限制重要数据认定权授予、设置严格认定程序、强化认定结果监督。

为此,他建议由中央国家机关划定重要数据的类型,各地区在上述划定范围内有权确定本地区重要数据目录,在不同地区出现冲突的情况下,可上报中央网信部门决定。

“虽然不可能在法律中列举出重要数据的具体范围,但可以规定重要数据认定的所涉领域、依据标准、职责部门和具体程序,构建国家数据安全管理的统一制度架构。”刘金瑞说。

罚则过低不利企业合规

数据是信息经济的“石油”。数据安全法无疑将对企业、行业课以数据安全保障义务,如何在保护各方主体数据安全的同时,实行包容审慎监管,避免过度保护“拖累”企业备受关注。

一名企业信息安全管理人士介绍,数据安全法将给企业业务全流程的数据安全管理提出要求。未经用户授权,不能采集或过度采集用户信息。采集的用户信息应通过一定的技术处理后再交给业务部门使用,确保数据专时专用,过期数据及时销毁。

在业内专家看来,草案在这方面也存在规定较为概况的情况,相关制度设计亦有改善空间。

草案第三十一条规定,专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或者备案。具体办法由国务院电信主管部门会同有关部门制定。

许可对21世纪经济报道记者表示,他认为这项行政许可或备案仅针对大数据处理公司而设立,不会扩展至涉及泛数据处理业务的一般互联网公司。

刘金瑞则认为,现行的电信条例和电信业务分类目录里就规定了在线数据处理与交易处理业务。“草案该条款可能是把之前的规定纳入数据安全法,也可能涉及新的制度,具体如何理解有待后续观察。”

草案对数据安全主体设定了数据泄露后的报告制度。草案第二十七条规定,开展数据活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。

许可认为,将用户和政府机关作为同等顺位的被通知人,不但可能轻重失衡、贻误时机,而且还将给数据处理者带来通知重负,而用户也可能因频繁的通知,丧失对真正风险的警惕。他建议将网信部门作为安全事件报告的第一接收人,若用户可能因之受损,则有权在合理期限内获得通知。

草案还对违法行为设定了罚则,但有业内人士指出,草案目前设定的罚则较轻。草案设定了两种罚款标准:一种是违法所得的倍数,一种是固定标准。固定标准的最高值是100万元,最低是1万元。

有业内人士表示,现有罚则过轻,会导致企业缺乏自我规制动力。现实中,由于我国刑法对数据安全犯罪也设立了相关罪名,且该类型犯罪近年来成为重点打击对象,因此现实中存在“要么坐牢、要么没事”的现象,导致会有企业、个人铤而走险。

该人士建议,可以适当提高违法行为的罚则,以促进企业建立良好的内部合规体系。并在约谈、责令整改、罚款之外丰富处罚种类,可以考虑对违法主体在申领相关许可证照、从业禁止等方面设立限制性规定,同时引入信用惩戒机制。

(作者:王峰 编辑:包芳鸣)