谢炳光 法学硕士,高级律师。擅长金融、证券、企业改制上市等综合类案件,北京市华联律师事务所原主任,兼任中国国际贸易仲裁委员会与中国国际商会调解员,中华全国律师协会刑事委员会委员,北京法学会经济会理事,北京仲裁委员会仲裁员。
顾雷 法学博士,北京大学普惠金融与法律监管研究基地副主任,中关村网金院数字金融与监管科技研究中心主任,硕士生导师。近年来主要研究数字普惠金融、金融监管、金融消费者权益保护问题,有《中国普惠金融创新业务与监管初探》《中国普惠金融数字化转型与合规发展》等个人专著9部。
《中华人民共和国数据安全法》(以下简称“《数据安全法》”)自2021年9月实施以来,经历了两年的市场实践。前不久,人民银行为落实该法有关要求,也着手起草了《中国人民银行业务领域数据安全管理办法(征求意见稿)》。今天,我们邀请中关村网金院数字金融与监管科技研究中心顾雷博士、北京华联律师事务所谢炳光高级律师做客“智·汇·谈”栏目,围绕《数据安全法》这一专门法律对于社会和金融市场的重大作用,共同探讨我国数据安全治理的积极意义以及下一阶段如何更好地推动相关工作的规范发展。
意义与亮点
《金融时报》记者:作为一部专门规范数据安全的法律,《数据安全法》的实施对于金融市场发展有哪些作用?
顾雷:近年来,以数据为新生产要素的数字经济蓬勃发展,数据的竞争已成为国内和国际竞争的重要领域,数字技术和生产生活不断交汇融合,各类数据迅猛增长、海量聚集,对经济发展、企业生产、人民生活都产生了重大而深刻的影响。但是,大数据和人工智能产业发展速度大大快于法律建设,导致数据采集、存储、管理、加工、应用和流通等诸多环节处在暂时性无法可依的一种状态,加之数据安全攻击技术智能化以及攻击工具普遍化,企业数据系统的安全漏洞、业务逻辑漏洞不断被发现和被利用。一些企业、机构为了自身利益需要,忽视数据安全保护,利用数据安全方面的漏洞大肆开展非法牟利活动,致使违规数据产业和数字产品野蛮生长,数据安全问题频频发生,严重侵害消费者合法权益,给整个数据市场造成了极坏影响。对此,全社会反映强烈,要求健全数据安全管理制度,明确相关主体依法依规开展数据活动,加强风险监测责任,及时处置数据安全事件,切实加强数据安全保护,强调安全与发展并重,更好地为企业提供数据安全保障,更好地服务我国经济社会发展,让广大人民群众在数字经济发展中获得更多幸福感、安全感。
《金融时报》记者:《数据安全法》分为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则,一共七章五十五条,您认为其内容中最为引人关注的亮点有哪些?
顾雷:一是《数据安全法》在法律上明确了“数据”定义,这在我国立法上还是头一次。在《数据安全法》出台之前,虽然有关“数据”“数据库”以及“数据安全”提法已经在一些法律、法规及规章中有所体现,比如,《民法典》第五章“民事权利”认为“数据”属于民事权利的一种类型,《网络安全法》则将“数据”视为一种资源形态,更多强调“网络数据”概念。但是,无论是《民法典》还是《网络安全法》提及的“数据”都是一种民事权利的客体,核心表征已不再只是单纯的一种权利,而是由不同权利集合而成的权益集合,主要包括个人数据权益和企业数据权益,并不涉及数据本身和信息记录本身的法律含义。
显然,在《数据安全法》出台前,法律意义上“数据”到底是什么,我国立法上并没有统一的权威定义。《数据安全法》第三条首次明确界定了“数据”概念,是指任何以电子或者其他方式对信息的记录。也就是说,法律意义上的数据是指“对信息的记录”,形式上可以是电子形式,也可以是其他形式。按照这个界定,数据不仅指狭义上的数字,也可以是具有一定意义的文字、字母、数字符号的组合、图形、视频、图像、音频等,还可以是客观事物的数量、属性、位置及其相互关系的抽象表示。比如,我们日常生活中形成的类似聊天记录、通话记录、邮件记录以及发言记录等,都可以算在个人数据范畴。
二是对政务数据的特别规定。《数据安全法》设立专章“政务数据安全与开放”,其中第三十七条对政务数据质量提出科学性、准确性和时效性要求;第三十八条对政务数据的采集和使用作出合规性规定;第三十九条对建立政务数据安全管理制度作出强调;第四十条提出对政务数据加工、存储等外包服务要制定严格的审批流程;第四十一条和第四十二条提出政务数据开发规范性要求,就是在经营过程中可能涉及政务数据或公共数据的处理活动时,需要特别关注《数据安全法》提出的政务数据的合规要求,否则就视为违规开发。
三是按照数据重要性确立数据分级分类管理制度。不同于《网络安全法》规定由网络运营者自行采取数据分类的措施,《数据安全法》第二十一条规定由“国家建立数据分类分级保护制度”。显然,《数据安全法》将数据分类分级保护制度上升到了国家层面,成为国家级网络安全保护领域的法律制度,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,就由主管部门对数据实行分类分级保护。
《数据安全法》建立国家级数据分类分级保护制度,瞄准了当前我国数据安全治理的痛点,强调对国家安全、国民经济命脉、民生、公共利益等数据属于国家核心数据实施重点保护,从源头上明确哪些数据属于重点保护,哪些数据可以有条件或者免费向公众开放,有利于对重要数据的科学化管理。
四是专门对“数字鸿沟”问题进行了调整。近年来,随着公共服务数字化发展,老年人、残疾人数字化需求被忽略的问题逐渐浮现出来。为此,《数据安全法》首次在“数据安全与发展”章节中新增了针对老年人、残疾人“数字鸿沟”问题的条款,第十五条规定“国家支持开发利用数据提升公共服务的智能化水平,提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍”。显然,《数据安全法》从立法上力图弥补老年人、残疾人对智能化产品和服务的使用体验不足问题,促进数据资源合理利用。
五是特别规定了重要数据出境限制性条款。《数据安全法》加强了向境外司法或执法机构提供存储于中国境内数据的监管规定,《数据安全法》第三十六条规定“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”。与过去相类似的法规相比,《数据安全法》扩大了向境外提供数据的监管适用情形,即只要向中国境外的司法或者执法机构提供存储于中国境内的数据,均归属于我国法律管辖,擅自提供数据者必须追究法律责任。显然,《数据安全法》加强了对跨境数据管理的监管力度,强调数据处理者未经允许不得向其提供境内存储的数据的要求,防止数据出境可能造成的安全风险,有助于更好封堵境外机构的“长臂管辖”,对我国金融行业稳健运行提供了制度性保障。对于当今国际环境来说,这一条规定尤为及时和重要。
六是强调了政务数据在数字化转型中的重要作用,并就政务数据开发做出明确指示。比如,《数据安全法》第十四条要求省级以上人民政府应当将发展数字经济纳入本级国民经济和社会发展规划,加强数据开放共享的保障措施,建立互联互通、安全可控的机制,利用数据技术促进本地社会经济发展。
七是明确了数据处理活动不应排除、限制市场正当竞争。《数据安全法》第五十一条规定窃取或者以其他非法方式获取数据,从事数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。这一规定将数据处理活动与《反不正当竞争法》《反垄断法》融合起来了,体现了我国对数据市场公平监管的思路,禁止经营者在其经营活动中排除、限制市场竞争行为,诸如经营者通过数据、算法实质上达成协调一致的行为(即垄断协议),经营者通过平台规则、算法、数据、技术等实际设置限制限定交易(即滥用市场支配地位限定交易),基于大数据、信用信息控制交易对象支付能力、消费偏好、使用习惯等以及实行差异性交易价格或者其他交易条件等。从长远看,《数据安全法》有关禁止数据处理活动限制竞争的规定,可以增强在市场或国际竞争中自身竞争力,彰显出市场竞争公平、公正的法治精神。
八是注重数据安全监管的工作协调与统筹机制。《数据安全法》第五条新增了由中央国家安全领导机构“统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制”的表述,明确由中央国家安全领导机构负责数据安全工作的决策和协调、国家网信部门统筹网络数据安全监管工作,由工业、电信、金融、自然资源、卫生健康、教育、交通、科技等主管部门承担本行业、本领域的数据安全监管职责,由公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责,实行全国统筹协调下的行业数据安全监管机制,有助于促进数据依法、高效利用,发挥数据的基础资源统筹作用和协调作用。
九是落实数据处理活动主体数据安全保护义务与责任。《数据安全法》第四章专章规定了各类数据处理者的数据安全保护义务。比如,一般数据处理者应当建立健全全流程数据安全管理制度,加强风险监测,及时报告数据安全事件,同时要求开展数据处理活动应当符合社会公德和伦理,不得窃取或者以非法方式获取数据。重要数据处理者还负有明确数据安全负责人和管理机构、定期开展数据处理活动风险评估并报送主管部门等义务。从事数据交易中介服务的机构,明确其负有审核交易双方身份、数据来源,并留存审核、交易记录的义务。
十是对违反数据安全行为规定了明确的处罚,包括责令改正、警告、没收违法所得、取缔以及吊销业务许可证或营业执照等,且或将同时承担其他适用的刑事、民事责任。例如,《数据安全法》第四十五条还规定对违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。《数据安全法》新增第四十六条“违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款”。显然,与过去的规定相比,这次《数据安全法》对违反义务的处罚力度提升不少,彰显了立法者对违反数据安全的更为严厉的否定性态度。
促进与规范
《金融时报》记者:《数据安全法》实施后,国内数据行业有了新的准入门槛和行为准则。您认为该法是如何促进数据应用和交易规范化的?
谢炳光:从法律角度看,首先促进了数据应用规范化,不仅为企业运营数据业务设立了新门槛,划定了数据应用边界,也为国内数据应用行业和市场提供了新的行为准则,要求在数据收集、管理、应用方面做到合规、合法,制约了数据的非法采集和滥用,让数据真正成为数字经济发展的健康血液。
其次,加强了数据交易规范化。随着数据应用水平逐步提高,数据市场化交易、流通需求迅速扩大,数据资产化是近年来行业中的热点话题。然而,由于数据交易过程缺乏法律法规,数据交易机制尚不完善,中介服务商经营行为也不尽规范,直接引发大量损害消费者及企业利益的违规数据交易行为。这次《数据安全法》将数据中介服务商纳入规范范畴,提出规范数据交易行为和程序,制定了中介服务商的问责制度,解决了长期以来我国数据交易市场缺乏具体的管理制度的局面。
再次,强调了安全防护常态化。数字经济加速各行各业发展的同时,带来了一些数据安全问题。在过去十年中,造成的损失小到工程停产、设备损坏,大到核设施停摆、能源运输部分瘫痪等安全事件不胜枚举。《数据安全法》的出台,使数据安全保护有法可依,对威胁数据安全的不法分子起到了震慑作用。
最后,明确了法律责任具体化。《数据安全法》明确了数据管理者和运营者(企业)在保护数据安全方面的保护责任,消除数据管理者和运营者在数据安全建设中的盲区,对企业数据安全建设提出了要求,在整个企业的数字化安全防护方面的投入也将有所扩大,试图让数据安全建设有法可依,数据安全事故造成的损失有法可惩。这表明数据管理者和运营者(企业)数据安全防护将逐步常态化,一定程度上加速了国内数字化安全防护产业发展,对保护公民、组织的合法权益也具有很大价值。
完善与建议
《金融时报》记者:《数据安全法》公布以来已经施行两年有余,不断引发业内热议的同时也有修改和补充的呼声,您对此有何个人看法?
顾雷:《数据安全法》总体上是比较完整与合理的,两年多的实践也证明收效是显著的,得到了市场的普遍认可,但也存在一些可以改进之处,主要有以下几个方面:
第一,《数据安全法》“宜粗不宜细”的立法风格,使得该法不少规定过于原则,在落地实施时存在一定障碍。比如,《数据安全法》虽然提出数据分类分级保护、重要数据目录管理、重要数据出境安全管理等要求,但如何实施细致规定并没有及时跟进,导致有些条款不具备操作性,影响数据处理者履行数据安全保护义务。未来,应当尽快推进配套行政法规、部门规章等明确前述制度的具体内容和要求,有赖于配套行政法规、部门规章、国家标准等予以细化,为数据处理者提供具体行为指引。
第二,《数据安全法》需要明确与现行法律制度间的衔接问题。目前,我国已经形成《网络安全法》《数据安全法》《个人信息保护法》三法并行局面,存在着一定的法条交叉。比如,《网络安全法》和《数据安全法》都包含对产品或服务数据风险的审查,其中就有部分类似条款重复出现,又比如,《数据安全法》中数据安全事件报告、重要数据出境管理制度与《个人信息保护法》中个人信息泄露事件报告、个人信息出境条款等也存在交叉。诸如此类,《数据安全法》与其他相关法律存在法条竞合的时候,需要主管部门厘清前述制度的适用边界,避免制度之间叠床架屋而浪费监管资源和企业合规成本。
第三,《数据安全法》数据交易管理制度有待进一步明确交易边界和权利范围。数据交易是极为关键环节,虽然《数据安全法》第十九条明确提出国家要健全数据交易管理制度,规范数据交易行为,培育数据交易市场。第三十三条又规定了从事数据交易中介服务的机构的法定义务,第四十七条还规定了违反法定义务要承担的法律责任。但是,由于法理上和法律上均无法清晰界定数据交易边界和权利范围,可能会影响到数据交易的全面展开。比如,在很多情况下自由贸易区、自由贸易港等试验区数据交易管理是使用国外数据交易规则,与《数据安全法》在数据交易管理制度上是否完全适用?是否可以制定特别行政区域数据交易管理办法?抑或可以行政法规形式对数据交易制度做出一些修改从而解决在自由贸易区、自由贸易港等试验区数据交易法条竞合问题?
最后,《数据安全法》存在与《刑法》罪责不相适应、量刑不相协调之处。如前所述,《数据安全法》对国家安全、公共安全或者个人组织合法权益造成的危害程度的不同,对数据实行分级分类保护。但是,我国现行刑事立法与刑事司法方面均没有根据数据类别与级别设置不同的入罪量刑条款,更谈不上入罪量刑的判断标准。
显然,目前《数据安全法》与《刑法》在数据违法犯罪的处罚轻重上确实存在一定的法条脱节。我们认为,既然《数据安全法》对数据采取了分级分类保护的模式,《刑法》也应该根据不同的保护重要性对数据进行分级分类保护,否则,《刑法》对不同重要程度数据提供同等程度的保护将有违刑法罪责刑相适应原则,与《数据安全法》规定也不相协调。至于究竟是《刑法》修正还是《数据安全法》修改,这取决于全国人大相关部门之间的协调。但无论如何,《刑法》中的“非法获取计算机信息系统罪”一般情节和情节严重的入罪量刑必须与《数据安全法》数据分级分类保护制度必须对应一致起来,否则,《数据安全法》就失去了强有力的刑事法律保障,对数据实行分级分类保护将变得形同虚设,没有实际意义了。
趋势与挑战
《金融时报》记者:我国金融数据发展到今天,已经进入3.0时代。对于金融数据治理,未来还存在哪些挑战?
顾雷:目前,我国数据安全治理挑战依然严峻,主要存在以下几大方面:
第一,从国际大环境看,部分不友好国家在数据安全领域形成对我国的“包围圈”。例如,2020年多国以数据安全为由,联合对抖音(TikTok)进行围剿,以安全调查结果违规为由,限制其使用发展。这直接导致我国互联网应用领先地位与国际数据规则制定话语权严重不匹配,在数据安全治理不可避免产生冲突和对抗。今后,类似的国际间数据安全治理冲突还将持续很长一段时间,我们现在就必须做好充足的准备。
第二,从国内小环境看,新一代信息技术催生了大批中国科技企业,一部分企业掌握着海量的用户敏感数据,在国际资本市场中开展跨国业务,日益频繁的跨境流动带来了潜在的国家数据安全和公共利益安全隐患。例如,2021年7月2日国家网信办依据《网络安全法》第九条,对“滴滴出行”启动网络安全调查程序,指出“滴滴出行”泄露地理位置信息到境外,存在涉嫌威胁国家安全的嫌疑。显然,如果国家重要生产要素和战略资源被外国政府、机构或企业获取利用,将导致我国战略目标易被预测,这将使得我国以数据为驱动的新兴技术领域竞争优势被削弱,并陷入长期被动。
第三,从数据市场看,数据贩卖已成为大数据产业的灰色地带,个人信息倒卖黑市猖獗,对个人人身、财产、生命安全造成了极大危害,诸如外部攻击者利用爬虫技术窃取个人数据,不法平台实施暗箱操作,倒卖个人数据进行商业变现,政务、医疗及生物识别信息等高价值特殊敏感数据正逐渐成为数据泄露的重灾区。有学者专门统计显示,2017年我国数据黑市黑产人员规模就已经多达150万人。未来这个数字可能更加庞大,我们面临的数据安全防控形势不容乐观。
最后,从企业内部看,越来越多互联网平台或科技企业在商业推广、精准营销、产品迭代等方面依赖对数据海量收集利用,数据已经成为很多平台企业追逐的商业目标,由此也引发了对个人、机构甚至国家信息滥采滥用,数据垄断、屏蔽或造假乱象频发,带来了数据安全使用和规范管理的更多不确定性。
我们建议,未来我国数据安全治理需要做好以下几方面工作:
一是全面加强数据安全监督管理,探索建立中央和地方分类监管、分级负责、权责一致的数据安全监管格局,积极开展以部门协同远程监管、移动监管、跨部门防控、跨地区联合预警等为特征的非现场监管,探索数据关联分析、监管方法创新,提升跨部门综合监管智能化水平,将可能的风险点纳入监管范围,以适应全国各地复杂多变的数据活动场景,快速有效处置各地数据安全问题。
二是建立平台企业数据业务治理机制,压实平台企业数据主体的管理责任,建立事后追责机制,引导企业建立健全内部管控机制,克服“重发展、轻安全”倾向,进一步完善数据开放、数据保护、数据流动的业务规则。比如,构建个人信息数据“使用者责任”指标,加强个人信息数据使用过程的动态风险控制,加大对违反数据保护规则的行为查处和处罚力度,强调不合理数据使用的事后规制,保障数据合法收集合规使用。
三是推动数据安全产业发展,鼓励数据安全保护技术研究,进一步推动数据安全科研与市场产品融合推广,培育数据安全培训、测评、认证等公共服务,尤其是加强对数据垄断治理,对“大数据杀熟”、垄断消费者、垄断产品、垄断价格进行精准认定,提高平台企业数据垄断识别能力,实现数据之间相互隔离、数据人员相互隔离,建立防火墙,增强平台企业数据处理规则的公平性,构建全方位数据安全保护生态体系。
四是加强对大数据产业的灰色地带、个人信息倒卖黑市、数据黑市交易以及团伙数据诈骗的监管,将监管融入数据链条各环节,通过大数据等数字技术对数据流通渠道进行持续监管,一旦发现遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、经济组织权益造成了危害,必须尽快落实相关监管主体责任。同时,还要充分借助市场力量,调动数字经济市场主体积极性,鼓励形成行业自律协会,用市场力量督促数据黑市整改并融入合法数据交易体系,发挥市场监督、新闻监督和消费者监督作用,共同打造互动融合、协同共赢的数据交易市场阵地。
五是积极参与并推动数字领域国际规则制定,鼓励企业参与国际竞争合作,就跨境数字贸易准入、数据流动、数字税收结算、数字财产保护等关键性议题开展对话与合作,以国际、区域合作成果推进国内相关立法的衔接与完善。同时,不断加强我国数据安全治理影响力的国际输出,探索可供移植的中国示范规则及典型案例,增加国内数据治理在构建全球数字经济法律体系中的角色与作用,在国际数字贸易规则制定的双边、区域和多边谈判中增加中国话语权,反对数据领域的单边主义、民粹主义、逆全球化思潮,坚决不被国外某些势力牵着鼻子走,讲好中国数据安全治理故事。 (图片 辛可)
