记者/姜菁玲
9月1日,《中华人民共和国数据安全法》(以下简称:《数据安全法》)正式施行。
这部法律确立了数据分类分级管理,建立了数据安全风险评估、监测预警、应急处置,数据安全审查等基本制度,并明确了相关主体的数据安全保护义务。这是我国首部数据安全领域的基础性立法。
数据作为数字经济时代最核心、最具价值的生产要素,正在加速成为全球经济增长的新动力、新引擎。随着数据量级的不断增长,数据价值和安全性之间的鸿沟,所产生的矛盾正愈演愈烈,数据安全的重要性不断提升。
国家对于数据安全的监管框架也在不断完善。根据欧科云链与零壹智库联合出品的一份报告,自2016年起,不完全统计下有关数据安全法律法规颁布数量超过52个。《数据安全法》以外,接连发布的相关相关法律法规还包括《个人信息保护法》、《网络安全法》以及《网络安全审查办法》等等。
中伦律师事务所合伙人陈际红告诉界面新闻记者,《数据安全法》的最大意义是把中国的数据安全保护带入了一个新纪元,之前整体对数据安全的法律架构缺失。《数据安全法》是专门针对中国数据安全的法律,标志着中国数据安全的立法迈上了一个新台阶。
根据陈际红的解读,《数据安全法》所监管的主要是数据处理活动,监管的对象是数据处理者,所追求的价值在于,通过技术或者管理等方式,确保数据处理的有效保护以及合法利用,保证数据安全状态。
陈际红提到,《数据安全法》对数据处理规定了一系列的法律义务,比如说一般性义务要有全流程的安全管理制度,从数据收集到数据删除,有交易培训,要履行等级保护的义务。第二是风险监测的机制,发现风险以后及时采取措施。再者是数据的正当利用,数据的获取过程 要合法正当,不能采取窃取的方式。
同时,《数据安全法》也对违法所导致的处罚作出了规定。例如,根据第四十五条,违反国家核心数据管理制度的,可由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。而第四十六条则规定,向境外提供重要数据的,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处罚还可以更为严重。如果违反了国家核心数据管理制度且构成了犯罪,还将被依法追究刑事责任。
“对于产业而言,法律的出台将带来大浪淘沙,一些黑产将被淘汰。”陈际红对界面新闻记者表示,《数据安全法》和《个人信息保护法》是硬法,对于企业来说,在开发产品和处理数据的时候,首先数据的拿取要遵循安全、可控、用户知情同意的要求;其次,企业在应用场景里,要合法正当利用数据,保证数据安全。
瑞莱智慧CEO田天认为,新法的实施整体上对AI产业是利好。人工智能产业在爆发式增长的过程中,一些应用场景的数据来源模糊不清,企业不知道数据是否可以用、用了以后会不会产生问题、基于这些数据的上层应用是否合规。而硬法出台后,企业知道了什么不能做,也意味着知道了什么可以做。
“对企业来说可以开拓更多应用场景,很多没有扩展的应用场景现在都可以做了。对于人工智能产业,相当于是一个新的起跑线,在合规的情况下大家发展自己的技术实力以及对场景的理解,会不断有新的发展机会。”田天表示。
对于历史数据回溯问题,陈际红称,合规是一个过程,法律颁布以后第二天就合规不太现实。一般在企业实践分两个阶段,合规之前的数据叫历史数据,合规以后的授权、分类、应用场景做严格限制,这是新的起点。对历史数据可以区分,历史数据不再用,只要不泄露,不会对主体带来权益的侵害。如果此后数据还要用,还要做精准画像和精准推送做AI分析,这个时候需要授权。
中国信通院云计算与大数据研究所大数据部副主任闫树在采访中提到,中国数字经济受到《数字安全法》的冲击,是一个必要的过程,因为产业发展模式本身存在一些问题,这样的模式对企业发展有利,但触犯了国家和个人的权益,因此需要一些合理的改变。