)先是对《中华人民共和国数据安全法》(草案)(以下简称“草案”)揭露寻求社会定见,但这一草案上线没多久就给撤掉了,所以此处有必要要阐明的是,这儿所说的了解,是对此前稍纵即逝的这一草案的了解,而非尔后全国人大修订后的草案。
草案算计7章,51条,从法条的精简程度而言,似以结构性规则为主,概括性比较强,这与我国从前在数据、网络空间方面、个人信息方面的立法较为相似,但不能因而就说草案是一部根据准则(principle-based)的立法,可以看到的是草案内部构建了数据办理的根本结构,中心围绕着数据安全(尤其是国家数据安全)、数据活动和数据监管,测验构建数据安全基础上的流通和工业产品系统、数据安全标准系统、数据买卖办理准则、数据安全训练和教育系统、重要数据维护目录准则、国家数据安全监测预警机制、国家数据安全应急处置机制、国家数据安全检查准则、国家数据出口控制准则、国家数据对等办法、企业数据安全办理准则、企业重要数据危险点评陈述准则、数据中介买卖检查准则、国家机关调取数据准则、合作境外法令机关的同意、政务数据安全与敞开准则。这些准则通过草案的寥寥数笔而勾勒了结构,后续实行就需求许多的配套立法作业,这也是未来在完成这一法令的规则时或许会遇到的问题,即规则中的办法与配套立法、法令的联接,有《中华人民共和国网络安全法》(“《网络安全法》”)的状况在先,不得不考虑这一问题,尤其是在法令实践过程中同仁们屡次遇到这一问题。但不得不说的是,这部法令的出台仍是在正面上活跃促进数据相关活动走向标准,尤其是在数据在实践上也在逐步成为重要的“出产要素”之一时。
回到这部草案自身,此前咱们许多搭档会把个人信息维护法的草案和数据安全法的草案放在一同说,是考虑二者之间或许会构成穿插和互补,可是从现在的草案来看,数据安全法的这一草案应当更多重视的是安全,这从草案的第一条中就能看出,首要仍是应与国家安全、网络安全和生物安全放在一同,顶层应当为国家安全立法,下面别离为网络安全、数据安全、生物安全等相关立法。
有观念以为数据安全应当在网络安全之下,即数据自身是网络空间内的产品。民法典的立法观念中从前呈现过观念,以为数据一般是指网络信息系统内传输的电磁记载,又或是记载信息内容的数字符号。【1】但事实上,草案中规则的数据并不满足于电磁记载或数字符号,其在第三条即规则了数据包含电子或非电子方式对信息的记载。这就会超出《网络安全法》中调整的网络方面的数据法令关系,而在事实上与《网络安全法》构成穿插和互补。
【1】《民法典立法布景与观念全集》,法令出版社2020年6月第一版,465页。
草案中清晰阐明晰这部法令是在境内外都适用的,在域外适用性上,中华人民共和国境外的组织、个人展开数据活动,危害中华人民共和国国家安全、公共利益或许公民、组织合法权益的,依法追究法令职责。这一规则自身是需求的,尤其是在实践中许多数据活动尽管不在国内进行,但方针是在国内,应当对此进行标准。
但不可避免的是,这在未来的法令活动上或许会存在必定难度,比方怎么界定境外的组织、个人,怎么界定危害国家安全、公共利益、公民、组织的合法权益等,以及在草案第6章中规则的法令职责中,将法令适用的部分规则为按照有关法令、行政法规的规则处分,在法令适用上也会存在一些难度,以及怎么实践法令,尤其是在境外组织或许连我国代表处都没有的状况下,这或许需求在进一步的实践中逐步处理。
作为在隐私和个人信息维护范畴内执业的律师,咱们或许更重视的是这几个概念。可是实践上草案在第7章第49条中即阐明晰个人信息的数据活动,应当恪守有关法令、行政法规。这儿的数据的规模究竟包不包含个人信息,我的了解是尽管有这一条的规则,可是回归这一草案对数据的界说,数据仍是要包含个人信息在内,至于第49条的规则,个人观念是可以清晰为除了恪守本法的规则外,“还”应当恪守个人信息相关的法令、行政法规等标准性文件,但详细是否为这样的观念,终究仍是要看立法者的表述和解说。
草案在第5条中即规则了鼓舞数据合法、合理有用的运用,并要保证促进数据的合法有序地自在活动,促进以数据为要害要素的数字经济发展,这契合中心关于数据作为出产要素的宏观方针的布置。
第12条中规则的数据开发和运用,第13条规则的数据基础设施建造和数据经济发展规划,第14条规则的数据开发运用技术研究、推行和立异,第17条规则的树立数据买卖办理准则,都在显现我国并没有制止数据的开发、运用、流通,甚至于买卖。
法令的生命并非逻辑,假如实践法令的话,从国家的视点,法令机关或许监管机关是这部法令需求处理的一个重要问题。从草案的第6条来看,中心国家安全领导组织担任决议计划和统筹和谐,第7条又规则了各区域、各部分分担作业中发生、汇总、加工的数据,并着重对这些数据和数据安全负有主体职责。
回到“监管”而言,监管组织仍是法令组织,草案中表述是以“监管”作为职责描绘的,这是值得必定的,监管组织不止于法令,还在于辅导、教育训练、和谐作业、提出建议等更多的活动,来促进标准。
草案现在关于各部分的监管规模做的更相似于概括性的规则,这意味着在详细的监管落地时,需求细化各自的监管规模,尤其是在穿插的范畴和职业上的监管职责执行和资源分配方面,但说得远了,其实这也需求在未来实践中逐步调整,而不是在立法中就能一次性圆满处理的问题。
草案规则了国家和企业都需求在数据安全上做自己的工作,别离体现在第3章和第4章:
草案在第3章中规则的数据安全准则,侧重于国家在数据安全方面树立的准则,首要包含数据分级分类准则、重要数据维护目录(部分/区域)、安全危险点评预警准则、安全应急处置机制、数据安全检查准则、出口控制准则、数据对等办法,这强化了国家在数据安全方面的监管功能,从约束、事前防备、事前检查点评、事中过后处置、约束办法等方面强化国家在数据方面的监管。但这又突出了另一个问题,即上面的监管主体和职责规模区分,以及关于重要数据的判别标准,或许需求进一步的攻略或许细则来辅导。
草案中,上述准则是国家拟定并施行的,而非企业。企业的数据安全维护职责规则在第4章中,首要分为树立企业数据安全办理准则、数据活动的意图正当性和合伦理性、危险监测准则、重要数据处理者的定时危险点评准则、数据买卖中介审阅职责、公安、国安调取数据的手续、境外法令合作同意准则。
关于第29条关于数据搜集的合法性、意图约束以及最小化的规则,因其归于准则性的规则,是否考虑将其放在更前的条文中?但或许考虑的是这是企业的职责而非国家的职责。
关于第31条关于在线数据处理服务的经营者应当取得恰当的事务答应或存案,这一规则好像不太像其他的条文,更像是刺进进来的一个条文,是否考虑将其复原到其在电信法令法规中应当存在的方位?
关于第32条,国家公安、国安机关调取数据的标准问题,原意上是好的,尤其是在规则了上述机关需求获取严厉的同意手续,可是后半句规则,有关组织和个人应当予以合作,此处或许需求进一步清晰,合作是否意味着上述机关需求哪些数据,组织和个人就有必要供给,假如不供给或许因各种原因而无法供给(例如为恪守法令的要求,电子商务平台的运营者删除了现已刊出的用户数据)即构成违法?仍是指合作可以指在自己才能范畴内供给帮忙或帮忙?这些好像需求清晰,而且需求从理论上讨论或解说这一合作职责是否应当是强制的。
第33条中,境外法令组织调取存储与我国境内的数据时,有关组织和个人应向主管机关陈述,取得同意时方可供给,但我国订立或参加的公约中还有规则的从其规则。关于这一条的规则,尤其是好像与此前《网络安全法》中第37条关于假如要害信息基础设施的运营者有事务需求向境外供给数据,需求进行安全点评的规则有必定的收支。此处或许需求清晰的是:其一,是否需求对一起适用两个条款的企业实行两个职责(点评+陈述)?其二,关于“事务需求”和“境外法令组织要求调取数据”的进一步解说。
草案在第5章中规则了政务数据的安全与敞开。可以看到,草案第35条规则,国家机关在搜集运用数据方面的约束,应当是为实行法定职责的需求,一起,需求在这一规模内按照相关法令法规的条件和程序,而不是无节制无意图的去搜集运用,既是准则性的阐明,例如意图约束、合法搜集运用等,也赋予了国家机关在搜集、运用数据方面的合法性,即为实行法定职责。
第36条规则了国家机关相同需求树立健全数据安全办理准则,而不是国家机关就可以在本单位规模内豁免树立数据安全办理准则,这关于国家全体的数据安全的视点而言,是重要的保证办法,换句话讲,不是企业把握的数据才需求保证安全,国家机关把握的数据更需求保证安全。
第37条的规则首要是指国家机关作为相似于数据控制者的存在,托付其他的处理者进行存储、加工的处理,或许向别的一个控制者/处理者供给数据,应当在本方做好同意程序,并监督数据接收方的是否有实行安全维护职责。此处个人有一个疑问,是否考虑在草案中清晰国家机关在托付存储、加工或供给数据时签定数据安全的相关协议或文件?这关于弄清、执行两边在数据安全方面的职责好像有所帮忙。
关于这部法令而言,这一草案并非是结尾,而仅是起点,所以未来还有必定的不确定性,可是全体结构而言,这部法令想要到达的方针和构建的准则,关于数据方面的从业者和实践而言会有必定的启示效果,推进着职业逐步地改变。这个文章原意也不是想要点评这一草案的好坏,而是更多地从不同的视角不同的观念去看待这一草案,以期这部法令能提前出台并达到其方针。
张德昊律师服务的范畴现在集中于国内外的网络安全和个人数据维护范畴,张律师从前也有为客户供给我国的私募基金范畴方面的法令服务的经历。
张律师既懂得我国的网络安全和个人信息维护,又懂得欧盟的一般数据维护法令,在上述范畴,他曾全程且全方位地为国内外大型客户供给过法令服务。
张律师可以在我国网络安全法和个人信息维护方面供给深化的支撑,包含:起草、修订隐私方针,检查用户协议中的数据维护问题,个人信息托付处理协议、职工隐私维护、为客户在我国数据跨境传输方面供给建议,为客户在信息安全办理等多个方面。
张律师也可以在欧盟通用数据维护法令(GDPR)等方面供给深化的支撑。包含:为客户起草、修订隐私方针和Cookie声明,起草、修订内部数据维护方针,DPO建立,组织欧盟数据跨境传输办法,起草、修订数据维护相关协议,职工隐私维护、回应数据主体的权力建议/投诉、数据维护训练等多个方面。
在服务的职业方面,张律师为我国的大型客运航空公司供给全程且全面的境内外的数据维护服务,在航空方面有较为丰厚的职业经历。此外,他也曾为多家游戏、科技、电信等职业供给过我王法的服务。回来搜狐,检查更多