以下是现场速记。
国家信息中心总工程师 李新友
李新友:谢谢!能到这个会场上来与大家做一个交流,我感到很荣幸。给安排的时间比较充裕,是25分钟,所以我在这之前我说几句闲话。
这个会让我感觉有几点跟平时我参加会议不一样的地方,我把我的感受与大家交流一下:
第一个是这个会场选的非常的好,风景秀丽的香格里拉,我去过四川的香格里拉,这个是第二个香格里拉,也有可能是第一个香格里拉,我非常愿意来。
第二个参加会议的代表,很少有政府的官员,可能我是个例外,作为事业单位的一个CTO,大部分参会的人都是企业的精英、央企的CIO。
第三个不一样的地方,我站在这儿好像有点不太入流。大家都是CIO,结果我是个CTO,我争取下次能把身份变一下,变成一个CIO。
我今天交流的题目是《数据安全法》,国家最近出了一个《数据安全法草案》征求意见稿。中国信息安全法律大会,浙江委员会对这个《数据安全法》组织专家们做了一次研讨,形成了一些专家的意见。我今天讲的这个报告是信息安全法律大会浙江委员会的成果,如果是讲得大家觉得是对的地方,那就是他们的贡献,如果有错的地方,大家觉得不合适的地方,那是我个人的责任,我跟大家交流一下。
因为搞数字转型是一个大势所趋的方向,刚才两位老总做致辞的时候,大家可能都已经感觉到了。搞数字转型离不开安全,为了数字转型,国家发改委原来高技术司有一个处叫信息化处,现在改成了数字经济发展处,所以说数字转型是个非常重要的事儿,在这个数字转型过程中数据安全是非常大的事儿。
讲三点:
第一,《数据安全法》出台以及意义。
第二,专家对《数据安全法草案》整体的意见。
第三,讲具体条款。
大家知道前几年刚刚出了网络安全法,为什么现在急着要出一个数据安全法,这两个法之间有什么不一样的地方?之间有什么衔接的地方?这个是非常重要的。
一个是数字经济,数字转型已经成为全球转型发展的核心资源,强动力和主流的业态,这个大家是不可否认的。数据的重要性日益凸显,数据安全问题愈发突出。这里可以给大家说一下,比如说政府数据要进行公开、数据要进行共享、数据要进行交易,数据要进行跨境流动,所以在数据的生命周期里都对产生数据安全的问题。在国内数字化转型蓬勃发展,所以需要对安全要进行加强。
另外国外前年欧盟也发布了一般数据保护法叫GDPR,它的触角已经到域外国家了。我们必须应对,今年7月,大家对《数据安全法草案》征求意见。这里的主要内容有几章,我不去讲了,主要讲的是数据安全的发展和数据安全的制度还有数据安全保护的义务等等这样一些东西。
这个《数据安全法》出台,它的意义主要表现在这么几个方面:
第一,是体现了在国家整体的安全观的指导下,国家数据安全治理的整体的思路。
第二,它通盘考虑了安全和发展这两个关系。
第三,确立了国家数据分级分类、数据安全审查等制度。
第四,推出了重要数据保护目录、数据出口管制和反制。
第五,执法机构数据跨境调取报告。
先讲一下专家的总体演讲,有这么几点很重要:
一个,《数据安全法》跟《网络安全法》衔接问题,有了《网络安全法》为什么要搞《数据安全法》?
第二,怎么突出数据的安全,而不是讲别的东西,把重点集中在数据安全这一块,这个也是专家们对两个安全法草案意见在里边。一个是衔接的问题,跟《网络安全法》的衔接。到现在为止,我们理解有三个因素非常重要,这个概念上有几个混淆的地方,一个是网络安全,网络安全它的边界在哪儿?再一个是系统安全,系统安全边界和数据安全,三者之间的安全关系在什么地方。原来我们一直在讲信息安全,突然有一天就变成了网络安全,一直大家都在讨论网络安全的东西,好像网络安全把所有的安全都给包含进去了,现在又搞数据安全,这个数据安全跟网络安全有什么关系?这个值得大家去讨论。尤其制定法律的时候,一定要把它的内涵和它的外延,尤其它的边界要搞清楚,这是很重要的事情。
比如《数据安全法》有数据安全的检测、评估、认证,《网络安全法》也有网络安全的检测、评估,《数据安全法草案》里面有数据的分级分类,《网络安全法》也有网络安全的数据等级保护,《数据安全法草案》搞数据监测预警,《网络安全法》有网络安全的监测预警,等等这样的东西都是重复的。
如果作为一个企业来讲,今天搞网络安全审查,明天搞数据安全审查,我这个企业怎么去应付它?所以说《数据安全法》跟《网络安全法》之间的衔接是一个非常重要的事情,这是专家争议的一个焦点。
第二个,跟这个出口管制法的争议。出口管制法还没出来,它到了第二稿了。出口管制里也有数据安全的问题。在《数据安全法草案》里也有数据出口管制的问题。大家记住,我们一直在讲数据跨境的流动,但是实际上有些重要数据,特别一些敏感的数据,它要出口的话,它是有受到管制的。就跟一些高新技术产品和技术要出口受到管制一样,我们要管制我们的东西不能出去。像国外的一些国家也会管制他们的技术不给我们来用,我们买也买不到,就是有钱也买不到,是一样的。这个里面《数据安全法》和出口管制法他们之间的衔接有一个很重要的一点是什么?就是最下面一行,叫做“避免出现真空”,这是一个很重要的事情,重复的可以协调,最怕出现数据真空,《数据安全法》不去管出口管制里面的细节,出口管制法也不去管数据出口的一些内容,所以这样有些数据钻法律空缺把数据搞出去了。
第三个,聚焦数据安全。这里面写的是“要立足安全保障,兼顾发展需求”。专家真正意见,《数据安全法》不要过分强调发展的问题,把安全搞好了,发展是另外一些法律去管,《数据安全法》要全力以赴做数据安全的问题,不要把太多的精力、条款放到发展上,就是这么一片红字,不宜在立法上直接的规定很多促进发展的条款,怎样促进发展跟《数据安全法》关系不是特别大。
再一个要立足基础性的立法。数据安全法,是一个基础性的法律。你就必须要在概念上面在法律的范围方面,在一些大的框架原则方面要把它讲清楚,不要拘泥于一些细节上的东西,细节上的东西可以放到法律的下一个法去进行。所以要给一些后续的行政的法规、地方法规还有部门的规章制度要留一些空间。这个理由都很充分,因为数字化的发展、数字经济转型这个速度太快了,发展速度快,所以安全风险也是在不断的出现,所以风险也是在不断的演变,所以我们怎样去应对这些风险?不能用法把它框得太死了。
第二个,国际形势和经济形势都不是特别稳定。
再一个,现在制定《数据安全法》,我们国家是没有经验和范例,所以很敏感。这一块是希望把一些敏感的东西给它原则化。
这个还是刚才说的要聚焦核心的问题,这里面要重点的解决下面我的几个问题,专家们都认为应该把这些问题作为《数据安全法》的重点。比如说域外效率的反制,刚才说的欧洲一般数据安全保护,它把手伸到中国来了,中国企业也要受到它的法律管制,我们的《数据安全法》怎样去做反制措施,保护我们的企业。
再一个境外机构要跨境调取数据,我们怎么处理?数据跨境流动它的安全怎样保障?还有一些重要的数据,尤其是政府的一些重要数据、敏感数据,怎样去分级分类保护?还有数据开发利用的时候,数据开发利用也是非常重要的事情,原来只是想保护数据的收集、存储、流动这样一些过程中的安全,但是现在十个数据可能看着不安全,但是把十个数据综合在一起进行大数据分析以后,它就变得非常的重要了,变成非常敏感的信息了,这个数据开发利用它的安全怎样保障?《数据安全法》也应该能够体现出来。
作为数据的要素引发的,比如各种各样的制度建设,大家也觉得是非常重要的一件事情,在数据安全里各项制度的界定。比如数据交易、共享、开发利用等各种各样的制度怎样去做也非常重要。
刚才讲的都是专家们认为比较重要的几个原则性的东西,怎样去跟《网络安全法》衔接?怎样去跟《出口管制法》去衔接?跟其他的法律衔接?怎样聚焦数据安全,怎样考虑数据的动态的安全?等等这样东西都是专家们比较重视的一些条款。
下面我把《数据安全法》一些细节,专家的意见给大家罗列一下。
一个,监管制度的设置。《数据安全法》里有很多个地方描绘的都是相关部门、相关什么、什么,相关的监管机构,这样的说法,专家们认为是比较笼统的,不合适的,必须要厘清监管的机构。里面一个特别敏感的说法,就是中央国家安全机构和国家网信部门,这样两个部门,到底该做什么?里面有些重复,尤其是统筹、协调这两个字,到底是由中央网信办去统筹协调还是由国家网信办去统筹协调?这件事情专家们觉得应该在法律上厘清,法要分清谁该干什么,谁的责任。
第二个,数据的分级分类制度。《网络安全法》有分级分类制度,《数据安全法》也是有分级分类的制度,这些制度大家希望要进一步的去厘清怎么样去做分级分类的方法,怎么样去定级等等这样一些事情都是很重要的。
再一个,重点的数据保护认定。刚才不是说了数据分级分类,刚才说《网络安全法》里分级分类制度有一个网络等保的做法,现在已经到了2.0。《数据安全法》分级分类怎么搞?大家有想法。既然分级分类了,那么重要的数据分到重要那一级数据的地方,怎样去认定它?这里面有一个概念界定的地方。什么叫重要的数据?就是谁来认定?如果出现了有异议的话,怎么样去处理等等这样一些东西,在安全法里面还是比较欠缺的。我现在讲的跟上面的文字是不太一样的,大家可以边看文字边听我讲。
这个是检测评估这一块,也是同样的道理。数据要搞安全的检测评估,现在我们国家已经建立了一套完整的网络安全检测评估体系,有很多第三方的网络安全检测评估机构,这些机构都是经过认定的一些机构,现在要再考虑数据评估,怎样去进行协调?
再一个是数据安全审查,这是比较敏感的话题。国外的政府、机构还有企业都对咱们的网络安全审查这件事情都有非议,但是我们不能不搞审查。如果没有安全审查,不光是数据安全的问题、网络安全的问题,也有可能会影响到我们国家安全的问题。所以安全审查这个制度必须要建立,但是作为数据安全审查,怎样去跟国家的安全法、网络安全法还有外商投资法还有网络安全审查办法等等这样一些法律法规,怎样建立起一个完整的体系起来?是非常重要的。所以这里面就建议要通盘的考虑。
再一个是数据交易的制度。数据作为一种生产要素,它将来会产生交易的。以前数据我们可能就是要来就可以了,以后可能要花钱去买。在这个数据的交易过程中,就会产生安全的问题。我们国家出现好几起了,有些掌握重要数据的部门,把自己的数据给交易出去了,给国家造成了损失,这是很重要的一件事情。所以这里面就是数据交易这一块,专家们也提出了想法。
现在草案只是太原则,数据交易这件事情本身是跟网络安全,和刚才我提到的系统安全、信息安全这些不太一样的地方是特殊的东西。这就应该在《数据安全法》里面重点的去写它的,但是我们发现《数据安全法》在这里面反而只写了一个原则性的东西,反而没有把数据交易里面的一些重要的方面、要素提出来,这里专家建议,数据交易这一块应该要建立几个可操作性的、符合数据交易发展现状的一个数据交易的规则,这是非常重要的一件事情。
这里面是专家发现文字里面矛盾的地方。
比如说许可证的事儿,在前面两个条文里面没有提到,数据交易的许可的事儿,后面的这个里面要吊销许可证,所以这个就出现冲突了,这是小事儿。
再一个,数据的跨境流动。数据的交易、数据的输出许可、数据的流动、数据的共享,像这些东西跟网络安全都不一样,所以在《数据安全法》必须要对这一块要重点的来讲。所以数据跨境流动这一部分也是很重要的一件事情,也是希望有一个跟其他的法案要进行衔接、要做一个具体的规定等等这样的问题。
这个是数据出口管制这一块,要跟《出口管制法》要进行衔接。
境外数据调取应对。到目前为止,我们关心的都是境外数据调取都是境外的执法机构调取我们的数据,比如要破案。但专家认为将来可能会发生很多的场景,不光是境外执法机构会调取我们的数据,还有一些机构可能也会调取我们的数据。所以这一块,把执法两个字应该去掉。
再一个是电子政务的数据,在《数据安全法》里面专门有一章提到这个事情。因为政务数据比较敏感,所以这里面有建议的是要建立严格的监管机制还有对数据分析要考虑到《数据安全法》里面去。
再一个数据安全事件的处置,这里面的专家感觉到在这个处置事情里面少了一样东西,外部攻击也作为一个因素放进去。
最后,约谈的机制。你们出了问题以后,我估计在座有些企业可能都被网信办约谈过。这里面提到的约谈不能够太随便,约谈要有比较高级的部门来约谈,不能够谁都想约谈你,把企业搞得不知道怎么去应对了。
最后,还有一些是补充的条款。觉得《网络安全法》里面欠缺的,这里有两个东西:一个,大数据的问题。刚才已经提到了。第二个是基础概念界定的缺失,这个刚才我也提到了,就是数据安全。相对于《网络安全法》,《数据安全法》还是有它自己独特的地方,所以不是说因为我们有了《网络安全法》就不需要《数据安全法》了,所以说怎样在《数据安全法》里面把跟《网络安全法》里面有重复的东西,怎样做好衔接?把我自己独特的东西给它做出来,这是《数据安全法》里必须要做的一件事情,所以在《数据安全法》里面像跨境流动、共享、数据出口的许可,怎样去反制别人的安全法等等这样的东西可能在《数据安全法》里面体现出来。
我今天就讲这些,感谢大家!不道之处,请批评指正!
京公网安备 11010502049343号