數據安全法草案與網絡安全法部分條款的對比評析

■ 賽迪智庫網絡安全研究所 張猛

7月2日，全國人大常委會第二十次會議審議了數據安全法草案（以下簡稱“草案”）并公開征求意見，引起廣泛關注。草案與已施行的網絡安全法在部分概念和條款上既有區別又有補充，既有共性又有個性，既有繼承又有發展，本文就相關重要條款進行對比評析。

1.草案對“數據”概念進行補充和延伸。

已生效的網絡安全法并沒有對“數據”進行定義，而采用了“網絡數據”（通過網絡收集、存儲、傳輸、處理和產生的各種電子數據）和“個人信息”（以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息）兩個概念，兩個概念事實上已涵蓋了公民參與網絡活動中使用各類電子數據和涉及個人信息的部分線下數據。由于立法角度差異，草案直接簡明扼要的將“數據”定義為“任何以電子或非電子形式對信息的記錄”，其保護范圍較網絡安全法大大擴展，這一改變將電子化記錄與其他方式記錄的信息統一納入數據范疇，既符合數字化時代的信息安全要求，又適應了數字經濟時代整體信息保護和整體信息安全的新要求。

2.草案已具備一定“域外效力”，為反制國外相關法律的“長臂管轄”提供了法理依據。

與網絡安全法“在中華人民共和國境內建設、運營、維護和使用網絡，以及網絡安全的監督管理，適用本法”相比，草案更進一步，規定“中華人民共和國境外的組織、個人開展數據活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任?！碑斀?，伴隨著互聯網的高度發展，數據的收集和存儲早已突破了國界的限制，不論是歐盟的GDPR還是美國的CLOUD都極大的擴張了其域外數據安全管轄權范圍。GDPR更注重效果原則，只要在客觀效果上構成對本國或本地區自然人個人數據的處理，就受GDPR管轄；CLOUD則是拋開數據存儲地問題，直接從數據控制者提供服務角度出發，對其執法機構下達調取數據命令的適用范圍進行了域外擴展。草案引入“域外效力”對保護我國國家主權和公民個人權利意義十分重大。

3.兩部法律均提到了“重要數據”這一概念，但受限于實踐中掌握尺度問題，均未明確界定其范圍。

網絡安全法對重要數據的分類保護以及出境做了規定。該法第二十一條規定了網絡運營者應“采取數據分類、重要數據備份和加密等措施”。草案第十九條規定了數據分級分類保護：“各地區、各部門應當按照國家有關規定,確定本地區、本部門、本行業重要數據保護目錄,對列入目錄的數據進行重點保護。”草案第二十五條對重要數據的處理者應當設立數據安全負責人和管理機構也做出了規定。雖然兩部法律均未對重要數據范圍進行界定，但可通過相關其他法律及規則定義進行識別和借鑒，比如，2019年5月28日，國家互聯網信息辦公室公布了《數據安全管理辦法（征求意見稿）》。其對“重要數據”明確界定為：“重要數據，是指一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據，如未公開的政府信息，大面積人口、基因健康、地理、礦產資源等。重要數據一般不包括企業生產經營和內部管理信息、個人信息等?！?/p>

4.草案確立了全新的“數據安全評估制度”，評估范圍更廣。

在網絡安全法及《個人信息和重要數據出境安全評估辦法（征求意見稿）》、《數據安全管理辦法（征求意見稿）》中，均規定了數據出境的安全評估制度，但上述制度僅限于數據或重要數據出境過程中的評估。如網絡安全法第三十七條則規定：關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。而草案所規定的數據安全評估，范圍則更廣，針對重要數據處理者的全部數據活動。草案第二十八條規定：“重要數據的處理者應當按照規定對其數據活動定期開展風險評估,并向有關主管部門報送風險評估報告。風險評估報告應當包括本組織掌握的重要數據的種類、數量,收集、存儲、加工、使用數據的情況,面臨的數據安全風險及其應對措施等。”