2021年10月,习近平总书记在主持中央政治局第三十四次集体学习时强调,数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。数据作为一种新型生产要素,对提高生产效率的乘数作用不断凸显,已经从互联网行业的专属资源转变为推动社会各行业现代化转型、引领经济发展的最具时代特征的生产要素。但也必须看到,在培育数字经济新产业、新业态和新模式的同时,数据收集、存储、使用、加工、传输、提供、公开等数据处理活动中展现出诸多乱象,数据安全正面临严峻风险。保障数据安全,完善数据数字经济治理体系已成为时代命题。2021年12月,国务院印发的《“十四五”数字经济发展规划》中,有十余处提到数据处理面临的风险和数字经济应有序发展,并强调应牢牢守住安全底线。2022年12月,中共中央、国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)更进一步,将保障安全发展作为工作原则,要求将安全贯穿数据供给、流通、使用全过程。
通过增加制度供给,推动数据安全合规,来平衡数字经济发展与数据安全之间的矛盾已成为社会共识。2021年6月,第十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》(以下简称《数据安全法》),填补了我国数据安全立法的空白,统筹了数据发展与安全两大需求,对实践中显现的数据安全新问题、新挑战作出了回应,并为数据处理者开展数据合规指明了方向。但数据合规是一项系统性工程,离不开具有可操作性的数据安全治理体系的支撑。《数据安全法》虽然指明了合规的方向,但具体合规机制的设计仍需参考与数据安全相关的各层级规范性文件和国家标准等技术性文件,并根据实际业务的需要不断调整。本书立足于数据安全合规的实务需求,以具体合规制度设计为线索,结合现已生效或正在制定的各类规范性文件和指南,详细介绍数据安全的具体制度和操作,将《数据安全法》确立的抽象数据安全机制具象化。希望能够降低实践中的数据安全合规成本,提高数据安全合规效率,最终促进数字经济的进一步发展。
本书第一章是对数据安全合规的整体介绍。本章系统梳理了我国数据安全立法体系、数据安全监管体系和数据安全合规的基本原则。数据安全合规并非空中楼阁,合理的、具有可操作性的数据安全合规方案的制订必须以数据安全相关规范性文件与技术性文件为基石。近几年是我国数据安全立法的“井喷期”,除了本书第一章所列文件外,还有大量的规范性文件或技术性文件正在制定或已经制定正在征求意见,因此必须了解数据安全监管机构的主要职能,牢牢把握数据安全合规的基本原则,以动态的视野看待数据合规工作,应时而变、及时调整,以保证工作的开展始终不脱离法律框架。
本书第二章是对数据安全合规基础制度的介绍。《数据安全法》规定的数据安全基础制度主要包括数据分类分级保护制度,国家数据安全风险评估、监测预警机制,国家数据安全应急处置机制,国家数据安全审查机制,数据出口管制制度,数据领域对等反歧视措施等。这些制度构成了数据安全监管的主要框架,虽然不能直接指导数据安全合规工作,但却能够提供最为明确的方向指引。宏观层面的数据安全合规基础制度与微观层面的数据安全合规工作相辅相成,基础制度为合规方案的制订提供指引与保障,具体合规方案的制订又能保障数据安全合规基础制度的落实。
本书第三章围绕数据安全负责人和数据安全管理机构展开,对数据安全组织机构及其职能进行了详细介绍。数据处理者一般为法人,具体的数据安全合规工作需由其内设机构,即数据安全负责人和数据安全管理机构完成。从数据安全整体目标和发展规划的制订,到具体合规方案的制订,再到合规方案的执行与监督,都离不开数据安全负责人与数据安全管理机构。本书面向的主要对象是数据安全负责人,因此以数据安全负责人和数据安全管理机构的设立、职能和运行为视角,能够让数据安全负责人对数据安全合规工作有更为深入和全面的了解。
本书第四章集中介绍了数据资产的管理。数据资产是由法人或非法人组织合法拥有或控制的,以电子或其他方式记录的,可进行计量或交易,能直接或间接带来经济效益和社会效益的结构化或非结构化数据资源。数据处理活动合规本质上是数据资产利用活动的合规。加强对数据资产的管理和访问控制,保障其安全性,不仅是法律法规的强制性要求,也符合数据处理者最根本的利益。以合规促发展应成为数字经济发展中的共识。
本书第五章结合《数据安全法》的具体规定,全面介绍了数据处理者的数据安全义务。数据安全合规中最为核心的义务是数据安全风险评估与风险处置,除核心义务外,数据处理者还需履行执法协助义务,数据中介商还需承担审核交易双方身份、留存记录等义务。这些义务在实践中又可拆分为众多的小义务,共同组成具有可操作性的数据安全合规体系。
本书第六章聚焦于数据出境与数据安全以及国家安全紧密相关的数据处理活动。全球化时代,数据的跨境流通不可避免,但数据出境可能对数据安全、国家安全造成的巨大威胁也不容忽视,因而数据出境的安全合规工作尤为重要。本章结合《数据出境安全评估办法》从数据出境合规的主体、数据类型、出境行为与出境安全评估等多个方面对数据出境、数据出境面临的风险及安全防范措施进行了系统阐述,并基于数据出境对数据主权问题进行了介绍,解释了现阶段我国坚持数据主权的重要性。
本书第七章是对数据安全法律责任的全面梳理。通过合规等方式保障数据的全流程安全是数据处理者应尽的义务,当数据处理者故意不履行或疏于履行数据安全保护义务时,便需承担相应的法律责任。《数据安全法》规定的责任既包括行政责任,也包括刑事责任,并且这种责任是双重的,既处罚数据处理者,也处罚数据安全负责人。从实用角度而言,进行数据安全合规的目的便是避免行政处罚与刑事处罚,因而在开展数据合规工作时,必须对数据安全法律责任有全面而深刻的认识,否则数据安全合规不但无法发挥其应有的效果,反而会因给企业施加过多负担而阻碍数字经济发展。
本书由中国政法大学网络法学研究所所长李怀胜任主编,江苏省高级人民法院法官助理朱军彪任副主编,本书撰稿人还包括北京大学法学博士吴才毓,某知名互联网公司法务总监刘笑岑博士,国家计算机网络应急技术处理协调中心孙晓晨,中国政法大学数据法学博士研究生孙跃元,中国政法大学硕士研究生文思宇、易琴、华钦卿、陈钏。具体分工如下:
第一章:刘笑岑、朱军彪、文思宇;
第二章:朱军彪;
第三章:文思宇、孙跃元;
第四章:华钦卿;
第五章:易琴、陈钏、刘笑岑;
第六章:吴才毓、孙晓晨;
第七章:孙跃元、易琴。
本书是我主持的2022年国家社会科学基金一般项目“人工智能时代算法安全的刑法保障研究”(项目号:22BFX048)的阶段性成果,同时受到中国政法大学青年教师学术创新团队计划支持。本书在写作过程中,副主编朱军彪协助我做了大量的文字编辑和稿件审读工作,同时本书得以面世,离不开中国法制出版社胡艺、赵雅菲两位老师的大力促成和辛勤劳作,在此一并深表感谢!
李怀胜
2023年5月31日