数据分类分级是数据使用、管理、保护和安全防护的基础,也是当前数据安全治理中的难点和关键。
11月14日,国家网信办公布《网络数据安全管理条例(征求意见稿)》(以下简称《征求意见稿》),并向社会公开征求意见。5个月前,《中华人民共和国数据安全法》(以下简称《数据安全法》)经第十三届全国人民代表大会常务委员会第二十九次会议通过。该法已于9月1日起正式施行。
《数据安全法》和2017年6月1日施行的《网络安全法》,作为网络数据领域最重要的两部基础性法律,集中体现了当前的数据安全监管思路。
数据分类分级是关键
《网络安全法》的通过时间是2016年11月7日,到正式实施有半年多的过渡期。而《数据安全法》从通过到施行,只有不到三个月的过渡期。在《数据安全法》施行还不到3个月,国家网信办又公布了此次《征求意见稿》。作为法律适用的细则,应为执法和适法的迫切需要。
根据媒体梳理出的若干“亮点”去看,其中一些内容大多是《网络安全法》《数据安全法》或《个人信息保护法》的既有规定。《征求意见稿》可将正在施行中的法律进行细化,但基于立法位阶不能突破上位法的既有规定,这是法治常识。
比如,不少媒体关注了《征求意见稿》提及“国家建立数据分类分级保护制度”,这其实也是《数据安全法》的亮点之一。数据分类分级是数据使用、管理、保护和安全防护的基础,当然,也是当前数据安全治理中的难点和关键。
《数据安全法》仅仅提出了一个名词,这次《征求意见稿》则按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
也有些条款,显然是《征求意见稿》对当前数据安全管理实践的反馈。比如,《征求意见稿》第十三条针对“处理一百万人以上个人信息的数据处理者赴国外上市的”“数据处理者赴香港上市,影响或者可能影响国家安全的”等情况,明确数据处理者应当按照国家有关规定,“申报网络安全审查”。就此去看,一些互联网平台企业想要在巨量数据未经审查的情况下,赴国外或香港上市,都将成为不可能的任务。
细化个人信息保护举措
此次《征求意见稿》,在强化国家安全的同时,对个人信息保护也有不少的细化举措。此前,网上流传的一段调侃称,网络时代我们说过最多的谎言,就是“我已详细阅读并同意用户服务协议及隐私保护政策”。
大多数时候,我们为什么在并未仔细阅读网络服务提供商的用户服务协议及隐私保护政策,就忙不迭地点选了“同意”及“下一步”?原因无外乎从众心理,以及那些密密麻麻的协议文字实在太长、太绕,又太难理解。这对于普通公众而言,不仅晦涩,而且多少有些繁琐。
为此,《征求意见稿》在第二十条明确,“数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况”。
将简明扼要、通俗易懂地明确双方的权责利,作为对数据处理者或服务提供商在提供用户协议等格式合同时的具体要求,无疑说出了大多数用户的心声。
当然,此次《征求意见稿》也回应了外界对网络安全监管过严的某种担忧。在一些领域,我们曾经有过“一放就乱,一乱就收,一收就死,一死又放”的循环。网络数据安全管理会不会也如此?
在数据法治时代,安全与发展任一方的失衡,都将是立法的失败和产业的灾难。为此,《征求意见稿》特别强调了“安全与发展并重”原则,“国家统筹发展和安全,坚持促进数据开发利用与保障数据安全并重,加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用”。
这表明,解决发展中的安全问题,并不是要扼杀数据产业的发展,而恰恰是为了让数据产业在有序和安全的轨道上更好地发展。
□王琳(法律学者)