前言
2021年10月,習近平總書記在主持中央政治局第三十四次集體學習時強調,數字經濟發展速度之快、輻射范圍之廣、影響程度之深前所未有,正在成為重組全球要素資源、重塑全球經濟結構、改變全球競爭格局的關鍵力量。數據作為一種新型生產要素,對提高生產效率的乘數作用不斷凸顯,已經從互聯網行業的專屬資源轉變為推動社會各行業現代化轉型、引領經濟發展的最具時代特征的生產要素。但也必須看到,在培育數字經濟新產業、新業態和新模式的同時,數據收集、存儲、使用、加工、傳輸、提供、公開等數據處理活動中展現出諸多亂象,數據安全正面臨嚴峻風險。保障數據安全,完善數據數字經濟治理體系已成為時代命題。2021年12月,國務院印發的《“十四五”數字經濟發展規劃》中,有十余處提到數據處理面臨的風險和數字經濟應有序發展,并強調應牢牢守住安全底線。2022年12月,中共中央、國務院印發的《關于構建數據基礎制度更好發揮數據要素作用的意見》(以下簡稱“數據二十條”)更進一步,將保障安全發展作為工作原則,要求將安全貫穿數據供給、流通、使用全過程。
通過增加制度供給,推動數據安全合規,來平衡數字經濟發展與數據安全之間的矛盾已成為社會共識。2021年6月,第十三屆全國人民代表大會常務委員會第二十九次會議通過了《中華人民共和國數據安全法》(以下簡稱《數據安全法》),填補了我國數據安全立法的空白,統籌了數據發展與安全兩大需求,對實踐中顯現的數據安全新問題、新挑戰作出了回應,并為數據處理者開展數據合規指明了方向。但數據合規是一項系統性工程,離不開具有可操作性的數據安全治理體系的支撐。《數據安全法》雖然指明了合規的方向,但具體合規機制的設計仍需參考與數據安全相關的各層級規范性文件和國家標準等技術性文件,并根據實際業務的需要不斷調整。本書立足于數據安全合規的實務需求,以具體合規制度設計為線索,結合現已生效或正在制定的各類規范性文件和指南,詳細介紹數據安全的具體制度和操作,將《數據安全法》確立的抽象數據安全機制具象化。希望能夠降低實踐中的數據安全合規成本,提高數據安全合規效率,最終促進數字經濟的進一步發展。
本書第一章是對數據安全合規的整體介紹。本章系統梳理了我國數據安全立法體系、數據安全監管體系和數據安全合規的基本原則。數據安全合規并非空中樓閣,合理的、具有可操作性的數據安全合規方案的制訂必須以數據安全相關規范性文件與技術性文件為基石。近幾年是我國數據安全立法的“井噴期”,除了本書第一章所列文件外,還有大量的規范性文件或技術性文件正在制定或已經制定正在征求意見,因此必須了解數據安全監管機構的主要職能,牢牢把握數據安全合規的基本原則,以動態的視野看待數據合規工作,應時而變、及時調整,以保證工作的開展始終不脫離法律框架。
本書第二章是對數據安全合規基礎制度的介紹。《數據安全法》規定的數據安全基礎制度主要包括數據分類分級保護制度,國家數據安全風險評估、監測預警機制,國家數據安全應急處置機制,國家數據安全審查機制,數據出口管制制度,數據領域對等反歧視措施等。這些制度構成了數據安全監管的主要框架,雖然不能直接指導數據安全合規工作,但卻能夠提供最為明確的方向指引。宏觀層面的數據安全合規基礎制度與微觀層面的數據安全合規工作相輔相成,基礎制度為合規方案的制訂提供指引與保障,具體合規方案的制訂又能保障數據安全合規基礎制度的落實。
本書第三章圍繞數據安全負責人和數據安全管理機構展開,對數據安全組織機構及其職能進行了詳細介紹。數據處理者一般為法人,具體的數據安全合規工作需由其內設機構,即數據安全負責人和數據安全管理機構完成。從數據安全整體目標和發展規劃的制訂,到具體合規方案的制訂,再到合規方案的執行與監督,都離不開數據安全負責人與數據安全管理機構。本書面向的主要對象是數據安全負責人,因此以數據安全負責人和數據安全管理機構的設立、職能和運行為視角,能夠讓數據安全負責人對數據安全合規工作有更為深入和全面的了解。
本書第四章集中介紹了數據資產的管理。數據資產是由法人或非法人組織合法擁有或控制的,以電子或其他方式記錄的,可進行計量或交易,能直接或間接帶來經濟效益和社會效益的結構化或非結構化數據資源。數據處理活動合規本質上是數據資產利用活動的合規。加強對數據資產的管理和訪問控制,保障其安全性,不僅是法律法規的強制性要求,也符合數據處理者最根本的利益。以合規促發展應成為數字經濟發展中的共識。
本書第五章結合《數據安全法》的具體規定,全面介紹了數據處理者的數據安全義務。數據安全合規中最為核心的義務是數據安全風險評估與風險處置,除核心義務外,數據處理者還需履行執法協助義務,數據中介商還需承擔審核交易雙方身份、留存記錄等義務。這些義務在實踐中又可拆分為眾多的小義務,共同組成具有可操作性的數據安全合規體系。
本書第六章聚焦于數據出境與數據安全以及國家安全緊密相關的數據處理活動。全球化時代,數據的跨境流通不可避免,但數據出境可能對數據安全、國家安全造成的巨大威脅也不容忽視,因而數據出境的安全合規工作尤為重要。本章結合《數據出境安全評估辦法》從數據出境合規的主體、數據類型、出境行為與出境安全評估等多個方面對數據出境、數據出境面臨的風險及安全防范措施進行了系統闡述,并基于數據出境對數據主權問題進行了介紹,解釋了現階段我國堅持數據主權的重要性。
本書第七章是對數據安全法律責任的全面梳理。通過合規等方式保障數據的全流程安全是數據處理者應盡的義務,當數據處理者故意不履行或疏于履行數據安全保護義務時,便需承擔相應的法律責任。《數據安全法》規定的責任既包括行政責任,也包括刑事責任,并且這種責任是雙重的,既處罰數據處理者,也處罰數據安全負責人。從實用角度而言,進行數據安全合規的目的便是避免行政處罰與刑事處罰,因而在開展數據合規工作時,必須對數據安全法律責任有全面而深刻的認識,否則數據安全合規不但無法發揮其應有的效果,反而會因給企業施加過多負擔而阻礙數字經濟發展。
本書由中國政法大學網絡法學研究所所長李懷勝任主編,江蘇省高級人民法院法官助理朱軍彪任副主編,本書撰稿人還包括北京大學法學博士吳才毓,某知名互聯網公司法務總監劉笑岑博士,國家計算機網絡應急技術處理協調中心孫曉晨,中國政法大學數據法學博士研究生孫躍元,中國政法大學碩士研究生文思宇、易琴、華欽卿、陳釧。具體分工如下:
第一章:劉笑岑、朱軍彪、文思宇;
第二章:朱軍彪;
第三章:文思宇、孫躍元;
第四章:華欽卿;
第五章:易琴、陳釧、劉笑岑;
第六章:吳才毓、孫曉晨;
第七章:孫躍元、易琴。
本書是我主持的2022年國家社會科學基金一般項目“人工智能時代算法安全的刑法保障研究”(項目號:22BFX048)的階段性成果,同時受到中國政法大學青年教師學術創新團隊計劃支持。本書在寫作過程中,副主編朱軍彪協助我做了大量的文字編輯和稿件審讀工作,同時本書得以面世,離不開中國法制出版社胡藝、趙雅菲兩位老師的大力促成和辛勤勞作,在此一并深表感謝!
李懷勝
2023年5月31日