2021年6月10日,十三屆全國人大常委會第二十九次會議正式表決通過數據安全法。從數據安全法草案公布開始,這部法律就一直打著確定數據安全制度,加大處罰力度的旗號,可以預見,數據安全法通過后,包括區塊鏈在內的所有涉及數據安全的行業都要更謹慎,
數據安全法(草案)總計七章51條,主要內容如下:
1、 完善數據分級分類保護制
數據安全法明確提出數據分類分級保護制度。國家根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者公民、組織合法權益造成的危害程度,對數據實行分級和分類保護。這是在《網路安全法》要求實行網路安全等級保護制度又一重要安全保護制度,
首先,數據安全法明確從國家角度確定重要數據目錄,解決了直接將重要數據的管理權限下放到各地方和各部門,可能帶來的地區之間、部門之間劃分標準的沖突問題;也解決了現行有效規定中多數采取由企業自主進行數據分類分級,可能帶來的企業自主劃分時優先考慮保護自身利益而非關注數據安全的問題。
其次,各地區、各部門確定本地區、本部門以及相關行業、領域的重要數據具體目錄,在國家確定重要數據目錄的基礎上,由各地區、各部門確定重要數據具體目錄,有助于在統一基準之上進一步提高本地區、本部門以及相關行業、領域重要數據保護的顆粒度和針對性,能夠對重要數據進行更好地保護。
2、 重視數據跨境流動安全
雖然數據安全法不是首次提出數據跨境安全,先前出臺的《網路安全法》、《國家網路安全檢查操作指南》、《數據安全管理辦法(征求意見稿)》、《數據出境評估辦法(征求意見稿)》及《個人資訊出境安全評估辦法(征求意見稿)》分別規定了關鍵資訊基礎設施運營者、網路運營者重要數據及個人資訊的數據跨境的安全評估要求。但此次數據安全法明顯加強了對向境外司法或執法機構提供存儲于大陸境內的數據的監管,明確提出了與數據跨境流動相關的出口管制、數據相關反制措施、跨境數據執法報批制度,緊密圍繞保障數據安全、鼓勵自由流動的平衡理念,主要包括:
(1)國家積極開展數據領域國際交流合作及標準制定,促進數據跨境安全自由流動;
(2)國家對與履行國際義務和維護國家安全相關的屬于管制物項的數據依法實施出口管制;
(3) 外國對大陸采取與數據活動有關的歧視性措施的,可以采取相應反制措施;
(4)境外執法機構要求調取存儲于境內的數據的,有關主體應向主管機關報告并獲得批準后方可提供。
3、 加大對數據處理違法行為處罰力度
大陸一直也在重申數據安全的重要性,此次加大處罰力度也表明了大陸加強數據安全管理的決心,從具體處罰結果來看,此次數據安全法呈現以下特點:
(1) 罰金標準提升:針對單位及直接負責的主管人員、其他直接責任人員的罰款,較大幅度提升罰金標準;從“一萬元以上十萬元以下”提升到“五萬元以上五十萬元以下”,從“五千元以上五萬元以下”提升到“一萬元以上十萬元以下”,從“十萬元以上一百萬元以下”提升到“五十萬元以上五百萬元以下”,從“一萬元以上十萬元以下”提升到“五萬元以上五十萬元”,不同情形下的罰款額度均大幅提高,
(2)處罰對象范圍擴大,在不履行數據安全保護義務的一般法律責任情形下,將“其他直接責任人員”納入進來,擴大了處罰對象的范圍。此外,對于數據調取違法行為的處罰規定,新的數據安全閥覆蓋不配合大陸官方機構數據調取要求行為(對內)、未經主管機關批準向境外司法或者執法機構提供數據行為(對外)等場景,
(3)處罰形式增加,在拒不改正或者造成大量數據泄露等嚴重后果的加重情形下,數據安全法規定“可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照”,大幅加重了責任形式。
區塊鏈行業與數據安全聯系緊密,息息相關,在數據安全法通過后,區塊鏈相關行業更應做好以下工作:
1、做好數據的采集工作
區塊鏈行業相關企業在采集用戶數據要經過合法授權,即除非法定或約定的事由,不得未經用戶允許采集資訊,不得過度采集用戶資訊,合法采集后,還要注意相關數據識別,篩查不合規數據及重點保護數據,
2、做好數據的使用工作
在數據安全法頒布后,區塊鏈行業應當在法律、行政法規規定的目的和范圍內收集、使用數據,不得超過必要的限度,在使用數據過程中,區塊鏈行業要加強制度規范和權限管控等技術手段加強風險監測,建立數據使用者的安全責任制度,并設立相關崗位負責數據使用的管理、評估和風險控制;發現數據安全缺陷、漏洞等風險時,應當立即采取補救措施;發生數據安全事件時,應當按照規定及時告知用戶。
3、做好數據的保護工作
數據安全法明確了開展數據活動的數據安全保護義務,區塊鏈相關行業可以通過技術、管理手段完善數據安全保護工作,包括建立健全全流程數據安全管理制度、組織開展數據安全教育培訓、采取相應的技術措施和其他必要措施保障數據安全。
數據安全法的頒布為大陸數據安全的立法確定了基本制度框架,而區塊鏈行業作為正在被國家鼓勵發展的新興產業,更應該以身作則,積極響應。不可否認,當下通過的數據安全法只是框架性法律,具體的分類和重要數據保護、數據交易、數據安全審查、數據跨境流動等制度還有待進一步細化和落實,但是大陸加強數據保護的趨勢是顯然易見的。區塊鏈行業及時加強自身數據安全監管能力才能應對之后數據安全帶來的風險和挑戰,
