2017年6月1日,《中华人民共和国网络安全法》正式实施;2020年1月1日,《中华人民共和国密码法》正式实施;2021年6月10日,《中华人民共和国数据安全法》(下称《数据安全法》)表决通过,并将于9月1日起施行;2021年4月26日,《中华人民共和国个人信息保护法(草案)》进行了第二次审议;密集的立法意味着数据时代已经来临,数据相关的各类问题频频爆出,比如今年3.15晚会爆发的人脸识别设备违规收集个人信息,特斯拉事件引发的数据权属之争与长臂管辖,以及各种个人信息泄漏事件。
政府、企业、社会相关管理者、运营者和经营者都应承担数据安全保护责任。从国家到地方,从组织到个人,从行业主管部门到行业组织都面临着数据合规的问题。《数据安全法》作为我国第一部对数据处理活动规制的重要法律,确立了数据安全及治理的基本框架,并且专章对“政务数据安全与开放”进行了规制,本文作者结合曾为相关政府部门梳理数据合规的经验,以及《数据安全法》中对政府部门收集、使用数据的相关条款,对政务数据的资源合规化开发、利用、管理的有关规定,进行归纳解读,供大家阅读参考。
一、确立了数据安全的监管体系以及监管人员玩忽职守、滥用职权、徇私舞弊的违法责任
《数据安全法》第六条明确规定:各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
第五十条明确规定:履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。
按照第六条规定,监管体系已明确,即网信部门负责统筹,国家安全机关和公安机关在纵向范围在各自职责范围内承担监管,在行业横向范围内,工业、电信、交通、金融等行业主管部门共同参与监管。同时行政架构方面主要体现在各地区、各部门对工作中收集和产生的数据安全负责。
我们建议监管方在履行监管职责时借助第三方的力量,比如对被监管方开展数据安全监控和审计,对数据生命周期各阶段可能存在的安全风险进行评估,定期开展抽查,发现问题及时整改。此外监管内容应按数据不同的分类和不同的安全等级进行,如对敏感数据的监管内容应不同于一般数据,敏感数据的判定、传输、存储、调用、脱敏、销毁等应合法合规,有制度层面以及技术层面对安全的双重保障。
二、各地区各部门按分类分级保护制度的要求确定本行业、领域的重要数据具体目录。
《数据安全法》第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
对数据的分类可以根据应用场景、数据来源、共享属性、开放属性等属性或特征的分类方法进行,对数据的分级可以根据数据的敏感程度和数据遭篡改、破坏、泄露或非法利用后对国家安全、社会秩序、公共利益和公民、法人、其它组织的合法权益(受侵害客体)的影响程度进行。本行业、本领域重要数据具体目录的制定有助于对行业内组织的数据合规指导以及监管的落地。
三、国家机关收集使用数据必须依法依规,且对涉及个人隐私,商业秘密等相关的数据应依法予以保密。
《数据安全法》第三十八条明确规定:国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
自新冠疫情暴发至今,为实现疫情管控,有关部门进行了大量公共服务数据采集,同时也催生了很多数据分析工具,提升了政务数据的体量和质量。由此可见,政务数据已成为促进政府科学决策、提高公共管理效能的重要资源,但政府在履职过程中收集、使用数据时更应重视数据保密、数据共享的安全合规问题。对有关部门在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
四、明确国家机关应建立和完善相应的数据安全管理制度,对不履行数据安全保护义务的主管人员和责任人可依法追责。
《数据安全法》第三十九条明确规定:国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。第四十九条明确规定:国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。
该条款的责任主体明确是“国家机关”,且并没有在前面加上定语写成“有关国家机关”或者在后面加上限定词写成“国家机关有关部门”,也即所有的国家机关都有可能涉及到数据安全,都是本条约束的对象,都应依法依规建立健全数据安全管理制度。
城市数字化转型是上海的重大战略,随着数字政务建设的持续推进,政府各级部门都掌握着大量的各类数据,如何对这些数据进行分层分级管理?如何从制度上确保数据的安全?
我们建议有关政府部门应尽可能在《数据安全法》生效之日前建立健全数据安全管理制度。该管理制度的建立应同时考虑到管理的流程规范以及具体技术措施的应用,即综合管理部门和技术IT部门、合规部门均应参与到制度的建设中来,确保做到“技术措施”和“管理制度”环环相扣、相互补足。
五、国家机关委托他人建设、维护电子政务系统,应经过严格审批且合同应有确保数据安全的相关条款。
《数据安全法》第四十条明确规定:国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
承担政务数据安全管理工作的相关单位包括数据提供方、数据使用方、数据管理方和服务第三方。服务第三方是指通过签订合同的方式,承担信息技术服务的商业机构。
按照该条的约定,政府部门与服务第三方之间的合同应明确界定各方的职责,安全责任边界,对服务第三方的数据访问和操作行为进行监管,同时要确保服务第三方所提供的产品和服务能持续满足安全能力要求。
需要特别指出,关于第四十条,与《数据安全法》此前的初稿和二读稿相比,本次正式通过的版本有两点变动值得重点关注:
第一,就报批和监督的范围,正式稿在初稿“委托他人存储、加工政务数据”的基础之上,增加了“委托他人建设、维护电子政务系统”。这表明,本条规定不再局限于“存储”、“加工”等直接取得政务数据的情形,“建设”、“维护”等可能间接接触的情形也将受到本条规定的规制,规范的覆盖面得到了大幅拓展。
第二,就数据安全保护的义务,正式稿在二读稿“应当监督受托方、数据接收方履行相应的数据安全保护义务”的笼统规定之上,进一步提出细化要求,即“受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据”。这表明,除法律、法规的明文规定外,合同约定也成为了数据安全保护义务的重要来源之一,为此,各级政府部门在委托他人建设、维护电子政务系统,或者存储、加工政务数据前,有必要结合项目实际情况与受托方签订专门的数据安全保护协议(或要求受托方出具相关书面承诺),对数据权利归属、访问使用权限、留痕信息报送、公民信息保护、安全事件响应等各方面作出详尽规定,并基于此对受托方义务的履行加以监督。
六、明确了政务数据以公开为原则、不公开为例外的基本理念。
《数据安全法》第四十一条明确规定:国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。
鉴于政务数据在互联互通方面普遍存在的 “不愿开放、不敢开放、不会开放”的数据孤岛现象,《数据安全法》明确了政务数据以公开为原则、不公开为例外的基本理念。因此,数据开放应由各级政府的统一部门进行统一开放,统一利用开放数据进行产业发展。由统一部门统一开放本级政府所有数据(依法不予公开的除外),实现数据开放的专业化管理,由主管统一开放部门统筹各级部门之间的开放内容,构建统一规范、安全可控的平台,可降低各部门之间数据的开放成本,更加集中管控开放的风险。
七、确立了对违反《数据安全法》行为可向主管部门投诉、举报的制度,明确对数据信息之“吹哨人”的相关信息进行保护。
《数据安全法》第十二条 任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。
有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。
举报是指任何组织和个人向有关单位申诉、控告或者检举违法行为的行为。举报是我国宪法和法律赋予公民的一项民主权利。《数据安全法》明确了个人和组织对违反《数据安全法》行为可向主管部门投诉、举报的制度。同时,也确立了数据信息“吹哨人”的保护制度,即有关主管部门保护投诉人、举报人的个人、组织信息。
除了以上几点,《数据安全法》明确要求在国家层面建立数据分类分级保护制度,数据安全风险评估、报告、信息共享、监测预警机制,数据安全应急处置机制,数据安全审查制度以及数据出口管制制度。此外,《数据安全法》是上位法,规定相对原则,接下来有关部门会陆续推出更具体的操作细则。
本文作者:夏海波 高级合伙人 律师