《数据安全法(二审稿)》专家研讨会意见综述
2021年5月7日下午14:00-17:00,清华大学法学院、清华大学智能法治研究院邀请学界及产业界的专家学者于线上举行“《数据安全法(二审稿)》立法研讨会”,围绕《数据安全法(二审稿)》中的要点学习与完善建议展开。清华大学法学院院长申卫星教授为本次讨论会致辞,来自高校、行业研究机构、互联网企业、律师事务所、大数据企业等20余名专家参与了研讨,会议由清华大学法学院助理研究员刘云主持,清华大学计算法学项目的硕士研究生旁听学习。
经过与会专家的研讨,大家普遍认为《数据安全法(二审稿)》比一审稿有了优化,回应了社会热点问题,核心概念更加专业、制度设计更加周延。为了进一步优化《数据安全法》的内容,与会者认为:应当进一步细化而增强可操作性,数据安全与数据发展的协调可以设立一个平衡机制,个人与平台共同控制的数据可以明确权益分配规则,数据确权和合法利用条件可以做出规定,政务数据开放可以提高可用性和对科学研究的服务能力,数据分类分级和数据开放目录应当加强国家统一布局。此外,数据要素市场发展中不应当只有“数据处理者”,还应当细化出“数据安全服务者”“数据经纪人”“数据流通平台”“数据要素开发商”“数据产品经营者”等多样化的市场主体,从而构建更加科学的数据相关方体系。
《数据安全法》全面反映了中国数据要素市场发展和数字化转型中的治理需求。《数据安全法》不仅仅调整个人数据,也调整企业数据和政务数据,是一部立法目的多元、调整范围广泛、本土特色更强的法律。从比较法来看,欧盟针对私人数据共享有《数据治理法》,针对大型数字平台有《数字市场法》,针对政务数据有《开放数据指令》,未来还会针对数据要素发展而制定《数据法》。我国数据领域只有《数据安全法》的立法计划,数据相关的大量问题都体现在这一部法律中。为了进一步完善数据法律体系,与会者建议《数据安全法》分别明确安全管理与数据要素发展的统筹部门,对数据权属等必须在法律层级作出规定的事项予以补充,并对配套的立法工作进行必要的规划和授权。
《数据安全法(二审稿)》在第一章“总则”之下确立数据安全的基础规则和基本原则。第2条确定的保护性管辖规则,可以在不过度管辖的同时保护本国公民、组织的利益。第3条将非电子形式的数据也纳入了调整范围,其具体的适用方式有待进一步讨论;数据安全的定义是一种狭义上的数据安全内涵,与第1条的立法目的存在一定差异。第4条是坚持了总体国家安全观,强调了数据治理和数据安全的重要性。第5条将个人数据、组织数据一并规定,强调了数据权益保护、自由流动和有效利用的共同目标。第6条提升了数据安全工作的统筹地位。第7条确立分工负责的数据安全工作体制。第8条确立了数据处理者的行为原则。第9条确定了全社会协同治理数据的原则。第10条规定了数据安全的行业自律制度。第11条规定了数据安全的国际合作制度,反映了外交部提出的全球数据安全倡议。第12条设立了数据安全的投诉举报制度,强调了数据安全的国家保护义务。
《数据安全法(二审稿)》在第二章“数据安全与发展”之下主要是确立了数据发展制度,反映了国家数据要素市场的全方位保障体系。第13条宏观上确定了安全与发展并重的基调,为下位法、地方性法规的制定提供了指南。第14-18条从不同的维度描述了数据要素市场发展所需要的保障,分别是国家战略、地方规划、技术和商业模式、技术标准、检测评估与认证、交易市场、教育培训与人才保障,共同构建了数据要素市场数字化转型、数据利用的制度。第14条把一审稿的省级改成了县级,有利于全面促进数字化转型,但是也有必要明确数据安全治理中的不同层级事权划分,从而避免形成碎片化的数据要素市场。第18条中“国家建立健全数据交易制度,规范交易行为”,有必要明确其主管部门以提高可操作性。为了提高数据交易市场的规范性,可以结合分类分级的规则构建多层次的数据交易市场。此外,为了避免数据产业投资过热,避免开发者抢夺公共数据,避免数字化设施烂尾工程,应当对地方政府投资从事数据产业发展进行必要的规范和引导。
《数据安全法(二审稿)》在第三章“数据安全制度”部分,设计了数据安全管理的制度框架。第20条由于各地区、各部门都可以确定重要数据目录,在实践中可能会造成标准不一,有专家建议加强重要数据目录制定统筹,最好出台国家统一标准,各行业标准由各部委牵头,各主管部门再依据国家统一标准制定本行业的细分标准。第22条规定的处置机制突出了国家政府部门的职责,有专家建议加上“企业应急处置的作用和义务”,明确企业按照国家应急处置有关部门的要求履行相关职责。第23条的数据安全审查只规定了消极管理制度,同时也应当对符合数据安全的产品设立白名单制度,从而体现安全与发展并重的原则。
《数据安全法(二审稿)》在第四章“数据安全保护义务”部分,对数据处理者的相关义务做了体系性的规定。第28条聚焦于数据安全的缺陷漏洞,规定需要及时告知用户,并且向主管部门报告。我国这块欠缺原因是报告延迟,有专家建议可以把“国家互联网应急中心”在本条明确点出。第32条创新的提出了数据交易中介服务,但是缺乏资质管理和主管部门的相关规定,数据来源的合法性也缺乏明确的判断标准。第34条规定了公安机关和国家安全机关的数据调取权力,应当考虑将检察机关、监察机关一并纳入其中。第35条规定了涉外司法协助的程序,不仅反映出司法主权独立的要求,同时也表明数据经过审核是可以出境的。
《数据安全法(二审稿)》在第五章“政务数据安全与开放”部分,规定了政务数据开放的基本工作思路。有专家建议第39条“电子政务系统”可以改成“电子系统”,扩大规制范围对象,电子政务主要涉及公权力机关,其他电子系统没有法定的职责,或者不是出于行使法定职权并不具备政务功能。第40条,有专家建议建议将“依法不予公开”改为“依法不应公开”;政务数据公开除了“及时和准确”的要求,还应当符合“可用”需求,从而为政务数据的可计算利用创造必要条件。第42条相较一审稿的修改较为显著,限定为履行法定职责。
《数据安全法(二审稿)》在第六章法律责任部分,保障了本法实施的强制性。第43条把约谈制度法定化。第44条,一审稿罚金对标的是《网络安全法》,二审稿罚金显著提高,可能形成《网络安全法》与《数据安全法》的适用冲突。对于这两部法律的实施,是由执法机关选择某部法律,还是有适用条件的专门限定和指向,这是需要考虑的问题。第45条的法律责任再次凸显了,如何审核数据来源合法,如何进行数据确权,是无法回避的问题。
总的而言,《数据安全法》构建了一个数据安全和发展并重的体系,但是面临着制度具体落地的问题,条文的概括性导致《数据安全法》规制的内容不够具体。例如,缺乏数据要素市场多元主体制度和确权制度,需要进一步补充相关制度。《数据安全法(二审稿)》中,很多问题都是中国特色的问题,缺乏直接借鉴的国外的成熟经验,需要立足于中国实际提出解决方案;这不仅是对立法者提出的挑战,也是对研究者提出的时代问题。
据报道,十三届全国人大常委会第二十九次会议将于2021年6月7日至10日举行;委员长会议建议,十三届全国人大常委会第二十九次会议审议数据安全法草案,《数据安全法》的出台也日益临近。我们相信,《数据安全法》的颁布必将为各行业、各地方的数据立法和实践提供充分的发展空间,《数据安全法》是数据治理工作的新起点,我们有必要进一步通过研究和地方实践来构建《数据安全法》的生命力。
本文仅仅概述相关专家意见。我院关于《数据安全法(二审稿)》的具体完善意见,已经按照征求意见渠道做了反馈。
撰稿人:梁雨思
审校:刘云