首页 > 新闻 > 评论

分享到微信

打开微信,点击底部的“发现”,
使用“扫一扫”即可将网页分享至朋友圈。

李俊慧:首部数据法律《数据安全法》有三大亮点

第一财经 2021-06-17 11:52:29 听新闻

作者:李俊慧    责编:任绍敏

对于数据安全监管和保护,《数据安全法》更多是提纲挈领式做出了制度安排,一些具体细则还有待后续配套法律法规进一步明确。

数据法学研究或数据开发利用的春天来了?

6月10日,在第十三届全国人民代表大会常务委员会第二十九次会议上,《数据安全法》获审议通过,将于9月1日起施行。

作为我国首部以“数据”或“数据安全”命名的法律,《数据安全法》即将施行,预示着我国数据开发与应用将全面进入法治化轨道。

对于从事数据法学研究和数据开发利用的人员来说,不论是理论研究工作,或是开发应用工作,都将迎来全新的发展阶段。

对数据法学研究者来说,《数据安全法》审议通过掀开了我国数据立法的序幕,预计后续围绕数据管理与应用、数据处理和治理等各种议题或焦点,还会逐步形成相应的配套法律法规,构建起顺应国际趋势、符合我国需要的数据法律体系架构。

对于从事数据处理活动的各类主体来说,比如企查查、天眼查等,又或者类似特斯拉、滴滴等,《数据安全法》的出台,意味着过往可能处于“灰色”地带的一些做法,需要对标立法要求,主动进行修正和完善,确保平台或企业对数据的处理活动处于法治化轨道之内。

亮点一:首次从法律上明确数据的定义

在《数据安全法》出台之前,有关“数据”“数据库”以及“数据安全”等提法,已经在一些法律、法规及规章中有所体现。

比如,《民法典》第一百二十七条规定,法律对数据、网络虚拟财产的保护有规定的,依照其规定。

值得一提的是,《民法典》有关“数据”条款放在第五章“民事权利”之内,表明法律上已经承认数据属于民事权利的一种类型。

再比如,《网络安全法》第十八条规定,国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。

当然,在《网络安全法》范畴内,更多强调的是“网络数据”概念。其中,已经将数据视为一种资源形态

但是,法律意义上的数据到底是什么?在《数据安全法》出台前,没有权威统一的定义。

有人认为,数据就是数值,也有人认为,数据就是信息,还有人认为,数据就是资料,可谓众说纷纭。

《网络安全法》第三条规定,本法所称数据,是指任何以电子或者其他方式对信息的记录

简单说,法律意义上的数据是指“对信息的记录”,形式上可以是电子形式或方式的,也可以是其他形式或方式的。

按照这个定义,我们使用各类互联网应用APP,所形成的类似聊天记录、通话记录、邮件记录以及发言记录等,都属于个人数据范畴。

当然,我们驾驶特拉斯等智能电动车,所形成各类操控记录,也都属于个人数据范畴。

亮点二:首度明确了数据处理活动的义务边界

《数据安全法》除了对静态的数据安全提出了管理要求,也对动态的数据安全划出了界限。

如果说《民法典》明确了个人信息处理的行为边界,那么,《数据安全法》则划定了数据处理的行为类型。

《民法典》第一千零三十五条规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

《数据安全法》第三条规定,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。

可以看到,不论是对个人信息的处理,还是对数据的处理,我国法律规定的处理行为都包含“收集、存储、使用、加工、传输、提供、公开”等几种类型。

而对于数据处理行为,《数据安全法》第八条规定,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。

其中,诚实信用原则的引入以及不得危害“公共利益”的提法,对类似企查查、天眼查等平台,通过爬虫程序大量抓取各类信息或数据的行为,预计将会起到规范和引导作用。

在《数据安全法》出台之前,对于利用爬虫程序批量抓取数据的行为,各方认识并不统一。

对于数据抓取对象为微博、大众点评等商业平台上的各类信息,未经用户和平台的一致同意,一般会被认定构成侵权或不正当竞争。

而对于公开的政务数据或公共数据,这种批量抓取的行为尚未明确定性,但客观上越多的公司、机构采用批量抓取行为,就会在相应时段挤占网络资源,影响普通用户尤其是个人用户的正常浏览、下载。

简单说,挤占网络资源的数据爬虫程序抓取行为,其主观涉嫌违反诚实信用原则客观上具有损害不特定用户或公共利益的特征,理应予以规制。

亮点三:区分重要性明确数据分级分类保护制度

按照《数据安全法》,各种“对信息的记录”都属于法律意义上的数据。按照这个定义,储存在个人电脑、手机等设备中的各类信息或资料属于数据,储存在服务器或云端的各类信息或资料也属于数据。

从归属角度来看,数据有可能属于个人,也有可能属于组织;从数据是否具有公共性角度来看,又可以划分为公共数据和非公共数据等。

在各类具有存储功能的设备中存储的数据,如何区分重点加以保护?《数据安全法》建立了分类分级保护制度,并提出了重要数据、核心数据等概念。

其中,重要、核心的判断标准主要是:1)在经济社会发展中的重要程度;2)一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度

当然,从执行层面来看,重要程度或危害程度的评判规则尚不明确,还有待于其他配套或专项法律法规进一步明确。

关于政务数据的处理,尤其是对政务进行“存储、加工”等处理,按照《数据安全法》的要求,受托方,尤其是电子政务系统的建设、维护方,在按照委托方要求实施前述处理行为后,“不得擅自留存、使用、泄露或者向他人提供政务数据”。

那么,未经委托方许可或授权通过网络爬虫程序批量抓取数据后,进行再加工,甚至对外提供有偿服务,则可能面临更大的风险。而这对于包括企查查、天眼查等数据服务平台来说,都是巨大的风险和挑战。

整体看,《数据安全法》算是一部“高度凝练”的法律。

《数据安全法》全文共计5470字,分为个章节合计五十五条,条款体量或数量并不算大。

对于数据安全监管和保护所涉的各方面,《数据安全法》更多是提纲挈领式做出了制度安排,一些具体的细则,还有待实践中摸索总结,也有待后续配套法律法规进一步明确。

(作者系中国政法大学知识产权研究中心特约研究员)

第一财经获授权转载自微信公众号“俊慧看网谈法”。

举报

文章作者

一财最热
点击关闭