9月1日生效日期临近，《数据安全法》当如何落实？

原创 securityfact 小贝说安全

当我们收到某外国使馆请求拜会的来函时，略有惊讶。因为在以前的机关工作中，常常看到外国使馆发来的照会，内容是请求就中国网络安全法规政策进行交流，但多数时候其实都是来表达抗议的，往往是要求中国政府修改政策法规。

 

最典型的是《网络安全法》发布时，多个外国政府找上门来，甚至46家外国团体联合致函中国国务院总理，要求修改有关条款，减少对产品和服务的网络安全义务要求。

 

所以当看到外国使馆要与我们交流《数据安全法》时，我们觉得他找错对象了，他们应该去同中国政府部门或立法机构进行交流，而我们只是一群志同道合的政策研究者，是数据安全智库。

但见面后我们的疑虑立刻打消了。对方直言，他们是来学习的，因为其国家高度关注中国制定《数据安全法》的情况，希望借鉴中国经验，推动本国数据安全立法工作。但他们对于《数据安全法》的条款有很多不理解之处，也不清楚一些重要制度如何实施，所以急迫需要同中国的专业研究机构进行联系，希望为其答疑解惑。

 

于是“小贝说安全”团队创立以来有了第一次外事活动。

 

在同该国驻华使馆官员交流过程中，我们感到他们的问题很具体、很实，与其作为外交官的立场无关，反而是反映了外界对《数据安全法》如何实施的普遍关注。为此，我们对本次外事对话做了记录，供感兴趣的同仁参考。

一、我们非常关心，《数据安全法》提出的数据分类分级制度的考虑是什么？这个制度如何实施？

 

分类是为了更好地区分管理对象，分级是为了实施不同程度的保护，这是一种普遍原理，不仅仅适用于数据安全领域。我们理解，外界关心的是中国到底要把数据分为几类，以及分为几个级别。我们认为，数据分类分级有宏观、中观、微观之别。

对国家而言，分类分级是宏观的，更多的是一种思路和方法，不太可能划定具体类别与级别，但会有粗粒度的划分。例如，重要数据、个人信息，这本身就是一种类别的划分，而且还可能有其他的类别；而个人信息又分为敏感个人信息和一般个人信息，这则是级别的划分。宏观分类分级要由最终的政策来确定，目前还没答案，但大体应当如此。

 

当然，国家对数据安全的监管可能是分不同维度的。即，在不同的管理制度下，数据的分类角度不一样，这必然导致有多种数据分类方法。例如分成公共数据和非公共数据行不行？这与重要数据就不是同一个维度了，但也是一种常见的分类方法。所以说，数据分类一定是面向某种管理目标、监管手段的，不能一言以蔽之。

 

至于中观，则主要指行业的分类分级方法。这个可以比较具体，因为有行业共性，例如可以对数据分出上百种类别来，但离开这个行业后原来的分类就没有意义了。

 

而且，即使具体到一个行业，我们也不认为要对数据划分太多级别，级别越多会导致级差越小，最后反而没有区别。而且，如果对不同级别数据的保护要求没有明显区分，那么这种分级还有什么意义呢？而事实上，很难找出明显有级差的数据保护要求。所以我们建议，行业的数据分级不要搞太复杂，最多不要超过三级。自主权应该主要在行业，国家不太可能统一进行规范。

 

 

到微观时，主要指一个组织的数据分类分级活动。这时候，组织必须遵从国家和行业的数据分类分级规定，但在此基础上可以有自己进一步的分类分级方法。即，组织必须建立自己的数据“台账”，但只能在国家和行业规定之下作细化。至于如何细化、细化到何种程度，这完全由组织自主决定。

 

 

二、《数据安全法》提出了“核心数据”，从其定义看，除了“国家安全”外，还涉及国民经济、民生、公共利益等，怎么理解这一范围？为什么《数据安全法》没有提出“核心数据”保护制度的具体内容？

 

我们理解，外界是担心“核心数据”的范围扩大。可以从三个角度回应这个问题。

 

第一，“核心数据”再“核心”，也是在国家秘密信息之后。即，中国的国家秘密分为绝密、机密、秘密三级，“秘密”信息之后才轮的上“核心数据”。

 

第二，核心数据涉及国家安全、国民经济、重要民生、重大公共利益等，这不等于说核心数据从“国家安全”的范畴外延了。应当意识到，中国政府强调“总体国家安全观”，包括政治安全、国土安全、军事安全、经济安全、文化安全等，目前是16类。这16类安全都属于“国家安全”。因此，“核心数据”一定是和国家安全密切相关的，不存在脱离国家安全而单独讨论经济安全、社会安全的情况。

 

第三，“核心数据”的范围一定是极窄的，不太可能出现全社会广泛分布核心数据的情况。因此，核心数据的保护制度可能要随着时间发展逐步制定。但无论如何，各类组织受到核心数据保护制度的影响可能不会很大，因为其未必收集掌握核心数据。

 

三、《数据安全法》主要对重要数据提出了要求，那么如何判断重要数据？这方面会有进一步指南吗？

 

与核心数据不同，“重要数据”涵盖的范围比较大，广泛分布在商业领域。中国正在建立重要数据保护制度体系，相关的监管要求必然会落到相当多组织的头上。这与个人信息保护一样，是企业将来合规的重点。

 

作为重要数据保护制度的基础，需要明确哪些数据属于重要数据。为此，中国全国信息安全标准化技术委员会正在组织制定国家标准《重要数据识别指南》，旨在给出重要数据的特征和识别方法。

 

关于《重要数据识别指南》，有必要解释两点：

 

第一，这个指南最终是以国家标准形式还是政策文件形式发布，其实并不重要。据我们了解，这个问题并未最终确定。

 

第二，这个指南给出的是原则性要求，是粗粒度的，因为不同行业之间差别太大。不排除将来各个行业根据指南的要求，制定本行业的重要数据识别细则。

 

四、一个组织是不是掌握着重要数据，这由谁判断？如何确保判断准确？漏报怎么办？将来会进行专门检查吗？

 

这里面有一个机制作保障，即重要数据目录制度。《数据安全法》规定，各地区、各部门应当确定本地区、本部门以及相关行业、领域的重要数据具体目录。为落实这一要求，各个组织将上报本组织掌握的重要数据，地区、部门将对各组织上报的信息进行核对，发现错误会进行纠正。

 

如果有意或无意漏报怎么办？不排除有这种可能，但官方很可能不会组织专门检查，毕竟量太大了。不检查并不等于不监管，事实上，在数据安全保护制度以及其他的互联网管理制度中，官方一定会有很多机会了解各组织掌握数据的情况。例如，在网络安全审查中，官方必然要首先对组织掌握的数据进行判断，没有落实重要数据保护制度的，将承担法律责任。换言之，组织虽然有可能漏报、瞒报，但“秋后算账”的后果比较严重。

 

五、怎么理解企业需要遵循的数据安全保护义务？《数据安全法》并没有给出标准，做到什么程度才算可以？

 

大家都在关心，9月1日到来后，我怎么才能算是落实法律责任了？这的确是个严肃的问题，因为《数据安全法》给出的要求比较原则，做没做到还有个度的问题。为此，我们从三个方面回应此事。

 

第一，《数据安全法》对组织提出的要求必须得到落实，虽然程度可以各异，但最低门槛要达到。例如，你的数据安全管理制度可能不那么详细，但不能没有。

 

第二，落实法律要求，不等于只落实《数据安全法》的条款。例如，《数据安全法》规定，应当在网络安全等级保护制度的基础上，履行数据安全保护义务。那么，等级保护制度中关于数据安全的所有要求，都因此成为法定义务。据了解，公安部正在补充完善数据安全等保要求，各类组织都要对此认真对待。

 

第三，国务院已经公布了今年的立法计划，由国家网信办牵头制定《数据安全管理条例》，这个条例实际上是《数据安全法》及《个人信息保护法》的实施细则，更多的数据安全保护义务要见条例。归根结底，所谓的落实《数据安全法》，并不是满足《数据安全法》几个条款的要求就完事了。

 

六、我们看到，中国各地都在建设数据交易所，这已经成为一种热潮，而且《数据安全法》也提出了建立数据交易管理制度，但纵观全球，似乎只有中国政府在推动数据交易，怎么理解？

 

中国各地都在建设数据交易所，这是事实。我们认为，这体现了各地政府对加速数据要素流通的迫切愿望，但绝不代表中国政府的态度，只是地方政府态度而已。支持数据要素流通，和支持建数据交易所，不是一回事。

 

数据交易是实现数据要素流通的一种方式，方向是肯定正确的，只是现在还面临大量基础问题没有解决，例如权属问题、定价问题等。《数据安全法》提出的是建立数据交易管理制度，而不是数据交易制度，其重点在确保安全。目前，《数据安全法》对这个问题的规定比较原则，很多问题回避了。例如，建立数据交易所是不是需要行政许可？如何监管？这都有待于今后进一步明确。我们认为，在数据交易基础理论问题没有解决、数据交易安全管理制度不健全的情况下，地方政府建数据交易所的调门不宜太高。

 

国外的确对数据交易讨论较少，但不等于只有中国独有。首先，欧盟《通用数据保护条例》（GDPR）等数据安全法规的实施吸引了大家的注意力，全球都进入强监管、重合规的时代，其他方面的进展容易被忽视。其次，大家对数据交易的用语不同、阶段不同、形式不同。例如，彭博社是全球最大的金融信息服务供应商，这难道不是一种数据交易吗？

 

当然，中国政府明确提出，数据是一种新型生产要素，这表明中国政府对数字经济的认识更为深刻、决心更大，这确实是中国有别于其他国家之处，因为中国政府更加注重经济的高质量发展以及民生福祉。

 

七、我们看到，对“滴滴”的审查引发了外界的一些担忧，为什么不在其上市之前进行监管呢？中国的数据安全监管制度是倾向于事前还是事后？

 

我们不认为数据安全监管存在事前和事后的问题。有些活动需要审批，那这自然属于事前监管。但如果还没有建立审批制度，但在活动发生后出现安全风险了，那当然也应该进行事中或事后监管。例如，企业在申报并经过评估后才能够对数据出境，这属于事前监管。但企业未申报而直接把数据交给境外了，那必须要在事后查清楚。

 

“滴滴”受审查是因为中国政府实施了网络安全审查制度。根据这个制度的设计理念，事前和事中、事后的风险都需要监管。当然，网络安全审查制度本身也要不断完善。最近，国家互联网信息办正在修订《网络安全审查办法》，针对企业赴国外上市等情况增加了专门条款，有些条款属于事前监管。

 

八、总体看来，我们认为中国的数据安全政策存在不确定性，企业感到政府突然加大监管力度了，而且似乎是没有征兆的，那么今后如何尽可能地消除这种不确定性？

 

并不存在“不确定性”这种情况。中国数据安全政策法规的规定一直是明确的，不可能模糊执法。

 

如果说有什么变化，那就是执法力度加强了。这些年，中国虽然出台了很多数据安全的政策规定，但执法偏弱，这毕竟要经历一个逐渐完善监管手段、提升监管能力的过程，所以后来提出了“让法律长出牙齿”这个口号。我们不能只解决“有法可依”的问题，更要解决“违法必究”的问题。而且，对违法行为进行处罚，本来也不存在给不给“征兆”这回事。

 

还有一点需要强调。很多企业的逐利心态太重，导致对政策法规的理解限于浅层次，合规自然容易出问题。例如，很多企业的GA（政府关系）人员，只重视两种情况下与政府的互动。一种是政府能给单子，能赚政府的钱；另一种是政府能处罚他。至于其他时候，例如去研读国家战略、发展规划，那都是应景式的，不甚了了。只低头拉车不抬头看路，对政策趋势没有足够的敏感，却反过来抱怨“不确定性”，这是不合适的。

 

九、我们了解到，很多在国外的年轻人学成后愿意回到中国，因为中国的互联网市场太大了，而且十分鼓励创新。但最近的一系列监管制度，包括平台反垄断、清理校外培训机构等，使人疑惑，中国是不是改变了对互联网创新发展的包容和激励政策？是不是互联网繁荣要告一段落了？

 

没有改变。“十四五”时期，中国会继续发挥信息化驱动引领作用，加快新一代信息基础设施建设，加快培育数据要素市场，积极培育新业态、新模式和新应用，大力推进数字产业化和产业数字化，实现以新动能推动高质量发展。

 

在这个过程中，政府要把握好安全和发展、自由和秩序、开放和自主、管理和服务的辩证关系。不同阶段的重点不一样。面对很多新事物，政府不会简单地通过限制发展、不发展来保证安全。但事物发展到一定阶段，有可能就需要加强规范，这是为了更好地发展。

 

国外有些疑惑，怎么中国政府对自己的高科技企业进行“打压”了呢？高科技企业是不是“两头受气”呢？我们觉得这要澄清两点：一是“规范发展”而不是“打压”；二是就国家战略需求而言，“互联网企业”不等于“高科技企业”。

总体而言，中国以前对数据安全的保护力度偏弱。很多外国人来中国后，惊异地发现很多企业可以毫无顾忌地大量收集用户信息，这在国外是不可想象的。当很多问题、矛盾积累下来后，就可能会在一段时间内强调监管、治理，但发展的主基调不变。

 

当然，也需要强调，随着《数据安全法》和《个人信息保护法》的出台，企业依靠违法违规收集、滥用用户数据来实现高速发展的时代结束了，甚至拿用户个人信息换取免费服务的互联网基础生态都可能彻底变革。我们认为，各方都应当主动适应这种变化，包括监管方、企业和用户。中国互联网进入了合规发展的下半场。

总编辑|小贝