程智华律师团队律师
专办疑难民商事纠纷、涉企刑事辩护及合规、企业股权投融资、房地产与建筑工程等诉讼、非诉法律业务
15827049750
咨询时间:09:00-21:59 服务地区

以重要数据为抓手构建国家 数据安全管理制度

作者:程智华律师团队律师时间:2021年01月26日分类:律师随笔浏览:218次举报

应该以重要数据为制度抓手,切实维护国家数据安全。近年来我国通过法律法规和行业标准已经对地理信息数据、科学数据、健康医疗数据、金融数据、工业数据等重要领域数据的保护进行了规范。借鉴美国的制度经验,应该对不同领域的重要数据建立统一的制度架构。从国内外制度探索来看,重要数据管控的关键环节在于数据的识别认定、安全保护和受控流转,从尽可能不影响数据利用来看,数据流转管控主要是基于数据安全风险评估的安全审查和出境管制。由此,重要数据保护制度主要包括以下方面:

虽然立法不可能列举出重要数据的具体范围,但可以规定重要数据识别认定的所涉领域、标准依据、负责部门和相应程序,构建统一的重要数据管控制度架构。

首先,以“抽象概括+具体列举”的方式规定重要数据所涉及的重要行业领域,抽象标准可以概括为数据一旦泄露或者聚合分析等,“可能严重危害国家安全、经济安全、社会稳定、公共健康和安全”;在这一标准下可以列举出所涉及的重要行业领域,如金融、交通、能源、医疗健康、电子政务等。需要指出的是,认定某些因聚合分析而影响国家安全、公共安全和重大社会公共利益的重要数据,应采取定性与定量相结合的方式。

以个人信息为例,个人信息一般仅涉及个人权益,不会影响国家安全、公共安全,但达到一定数据量后通过搜索、比对、关联等分析,可能挖掘出数据集背后隐藏的安全信息甚至国家秘密,这种个人数据集合应该纳入重要数据范围。2017年国家网信办公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》曾规定,“含有或累计含有50万人以上的个人信息”“数据量超过1000GB”等情形的数据出境需要经过安全评估,就是考虑了数据集合的风险。但这种仅规定数据量的方式不足以充分界定数据的风险性,建议借鉴美国外资安全审查关于敏感个人数据的界定,对于纳入重要数据的个人信息集合等,在数据量要素之外,同时界定数据集合的高风险性,比如涉及医疗健康、生物识别等特定种类个人敏感信息,或者涉及关系国家安全、公共安全的特定岗位人员。

其次,明确重要数据认定的负责部门和相应程序。考虑到不同领域数据存在特殊性,将重要数据认定的负责部门设定为各领域各行业的主管部门较为妥当。具体规定可以采用逐一列举方式,按不同领域列明重要数据认定所对应的主管部门,例如规定“医疗健康领域的重要数据保护目录由国家卫生健康委员会认定”。具体程序上建议以重要数据持有者根据相关标准先自主申报、主管部门再予以审核认定的方式为主,辅以主管部门对于重要主体的重要数据可依职权主动认定,对于应申报而未申报的主体应该规定相应的法律责任。鉴于纳入重要数据保护范围的数据处理者会承担法律强制性义务和责任,在重要数据认定程序中应当规定处理者不认可主管部门行政认定时的复议等救济程序。

文章摘自网络,如有侵权,请联系删除

程智华律师团队 已认证
  • 15827049750
  • 湖北尊而光律师事务所
咨询律师
  • 入驻华律

    5年

  • 用户采纳

    50次 (优于97.08%的律师)

  • 用户点赞

    63次 (优于98.38%的律师)

  • 平台积分

    107565分 (优于99.67%的律师)

  • 响应时间

    3小时内

  • 投稿文章

    2875篇 (优于96.67%的律师)

版权所有:程智华律师团队律师IP属地:上海
技术支持:华律网蜀ICP备11014096号-1 个人网站总访问量:1260957 昨日访问量:1487

华律网提示:本页面内容信息由律师本人发布并对信息的真实性及合法性负责,如您对信息真实性及合法性有质疑,请向华律网投诉入口反馈, 有害信息举报