当前,全球网络攻击、勒索软件、数据泄露等网络安全事件频发,每天有超过2500万条数据遭到入侵或泄露,领域涵盖医疗、金融、财务数据、个人身份信息乃至政治安全等。
全国人大代表,中国移动集团公司董事,浙江移动党委书记、董事长、总经理郑杰呼吁,尽快制定《中华人民共和国数据安全法》,明确数据安全法律责任,完善监管体系,保障国家安全、公民个人隐私权益和社会安全稳定。
针对日趋严重的数据安全问题,当前很多国家都已通过制定法律和完善标准,对数据安全作出了明确要求。有些国家禁止本国特定数据出境,例如俄罗斯、澳大利亚禁止本国特定数据出境,欧盟、韩国实行有限禁止本国数据出境政策。还有些国家与地区在积极谋求跨境的数据管辖权,例如美国的《澄清境外数据合法使用法案》(又称《云法案》)规定,无论通信、记录或其他信息是否存储在美国境内,其控制者均有义务遵循美国的强制性命令向其提供,欧盟出台的《一般数据保护条例》(GDPR)也将数据管辖权适用范围从“属地主义”扩大到“影响主义”。
目前我国也已经将数据安全纳入国家战略保护领域,并陆续出台了《中华人民共和国网络安全法》等与数据安全相关的法律法规政策。
郑杰表示,目前我国数据安全的相关规定不够全面,缺乏体系化,不足以从法律层面保障数据安全。他对我国现有与数据安全相关的法律法规政策进行了深入研究:“首先是‘数据主权’的地位尚未确立。‘数据主权’是指在大数据、云计算背景下,一国对本国的数据及本国国民跨境数据拥有所有权、控制权、管辖权和使用权,是国家数据主权和个人数据权利的总和。尽管我国《中华人民共和国网络安全法》中已经明确提出了‘网络空间主权’,但“网络空间主权”是指国家独立自主地发展、监督、管理本国互联网事务,防止本国互联网受到外部入侵和攻击的权利,并不等同于“数据主权”,应将‘数据主权’提高到与“网络空间主权”同等的高度。其次是对数据出境安全评估的主体和重要数据的界定不清晰。再次是目前与数据安全相关的政策文件法律效力低,要求较为分散,难以系统性解决数据安全保障问题。”
郑杰建议:
一是要确立数据主权,明确数据安全法的管辖范围。明确境内运营中收集和产生的个人信息和重要数据应当在境内存储;确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。要将相关国家、企业、组织、公民利益的数据活动纳入数据安全法管辖。
二是明确“重要数据”概念,完善重要数据保护规定。建议明确规定“重要数据”的概念为“涉及国家利益、公共安全、商业秘密、个人隐私、军工科研生产等信息的数据”,对“重要数据”实施特别保护,要对“重要数据”的存储、加密以及拥有者进行数据安全评估等。
三是完善数据出境安全评估机制。数据出境安全评估制度的适用范围从《网络安全法》规定的“关键信息基础设施运营者”拓展至“网络运营者”,同时要明确“重要数据”的出境评估要求和评估责任主体。
四是明确安全责任单位的责任义务。对安全责任单位采取安全措施的原则、落实数据安全保护责任、采取防范危害数据安全行为技术措施等作出相应规范,建立数据安全投诉举报制度。
五是完善数据安全监管体系和数据安全监测预警、应急处置机制。明晰数据安全监督管理的部门职责,明确数据安全监测预警与应急处置的规定,及时进行数据安全形势研判和风险评估,发布安全风险预警,实现对数据安全风险的全天候实时、动态监测。
六是明确数据安全法律责任。明确安全责任单位不履行数据安全保护义务和国家机关中数据安全监督管理有关主管部门的工作人员玩忽职守、滥用职权、徇私舞弊的法律责任。
(中国网)
