日前通过的我国《数据安全法》将于2021年9月1日起实施。这是我国继《网络安全法》后,在数据立法方面的又一个重大里程碑,这两部法律和《电子签名法》、《密码法》以及正在制定的《个人信息保护法》将构成保障和促进数字经济发展的基本法律框架。
近年来,数字经济发展迅速并成为经济发展的重要引擎,产业数字化、数字产业化、治理数字化加深,企业与企业之间、政府与企业之间以及国与国之间流转、融合、使用的数据已成为关键生产要素,成为各行各业最核心的资产。《数据安全法》将数据确立为国家基础性战略资源,将数据安全上升到国家安全的高度,坚持从总体国家安全观看待数据安全问题,并建立健全与此相适应的数据安全治理体系和提高数据安全保障能力,这是非常必要的。 随着《数据安全法》的实施,数据基础设施建设、公共数据开放开发利用和数据要素市场化将提升,数据安全将会得到更有效保障,数据资源将会发挥出更大的活力。NFT产业作为数据创新应用,是商品数字化、产业数字化的重要技术工具,其应用领域正从体育、艺术、域名、游戏等向元宇宙扩展,涉及NFT平台、服务商、数字作品发行人、艺术家、收藏家、用户玩家等越来越多的参与者和NFT产品铸造、传输、交易、欣赏使用等各类数据处理活动,《数据安全法》将对NFT产业的规范与发展产生重要影响。 一、NFT产品与数据 数据是数字经济的关键生产要素,数据处理活动成为数字经济活动的核心,《数据安全法》立法目的即是为了规范数据处理活动,保障数据安全,促进数据开发利用。NFT技术将数据信息特定化实现创新应用,其相关活动属于《数据安全法》规范的对象。 NFT产品属于数据。根据《数据安全法》第三条规定,本法所称数据是指任何以电子或者其他方式对信息的记录。NFT产品是以电子方式对信息的记录,属于《数据安全法》中所称的数据。一些NFT平台提供NFT产品交易信息以促成交易,可能属于数据交易信息中介服务机构。 NFT产品相关活动属于数据处理活动。根据《数据安全法》第三条规定,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。NFT产品的铸造、传输、交易、欣赏、使用、收藏,都是围绕着数据展开,属于数据的加工、传输、提供、公开、使用、存储等数据处理活动。 NFT产品安全问题属于数据安全问题。根据《数据安全法》第三条规定,数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。NFT产品安全,是使NFT产品处于有效保护和合法利用状态,以及具备保障持续安全的能力。 二、NFT产业与数据应用产业发展 《数据安全法》通过规范数据活动,完善数据安全治理体系,以安全保发展、以发展促安全,充分发挥数据的基础资源作用和创新引擎作用,加快形成以创新为主要引领和支撑的数字经济,更好服务我国经济社会发展。《数据安全法》对NFT产业发展具有战略性的指引作用。 NFT产业发展方向是什么?《数据安全法》第十四条规定,国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。第十五条规定,国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。NFT产业是数据技术在各行业、各领域的创新应用,我们要让NFT技术应用在各行业、各领域创造价值,其中也包括提升公共服务智能化水平。 但是我们也要注意,NFT技术应用应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。我们不能只注重眼前热点而不去注重NFT产品的实际价值创造。NFT产品应有效挖掘文化资源和其他数据资源,有效提升用户体验。《数据安全法》规定,国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。第二十八条规定,开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。 三、NFT团队与数据安全义务 数字经济发展中,数据成为关键生产要素,数据处理活动渗透经济生活方方面面。各类主体拥有各类数据,数据处理活动环节多领域广应用场景复杂,安全风险加大。《数据安全法》将能有力地维护数据安全和公民组织的数据合法权益。 NFT技术协议仍处于不断发展中,NFT产品流转、价值实现等需要多技术、多环节、多场景配合才能完成,对于NFT团队来说数据安全能力建设是不可忽略的艰巨任务。数据安全能力建设,应当对照《数据安全法》的要求及其后续相关的配套细则等,提升风险核查能力、数据利用梳理能力、数据保护能力以及安全威胁监测预警能力。 (一)需要按照规定建立健全数据安全基本制度 全流程数据安全管理制度,第二十七条规定,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。数据安全风险监测制度,第二十九条规定,开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。 对从事数据交易中介服务的机构来说,需建立数据交易审核留存制度,第三十三条规定,从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。 有关数据活动可能需要获得行政许可或进行国家安全审查。如有关服务涉及许可,应当依法取得许可。第三十四条规定,法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。如果所从事的数据活动符合国家安全审查条件,还要进行数据处理活动国家安全审查。第二十四条规定,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。 (二)数据处理活动必须遵守相关规定 数据安全法对包括数据收集、存储、使用、加工、传输、公开、提供等数据处理活动都提出了基本规范要求。 数据收集必须遵守相关规定。第三十二条规定,任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。 如果收集和产生的数据被列入重要数据目录,则需要遵守出境相关规定。第三十一条规定,其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。 遵守境内外司法机关调取数据的规定。数据跨境流动日趋频繁,很多跨境数据流动对国家安全、公共利益和个人、组织的合法权益造成了严重威胁。第三十五条规定,公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。第三十六条规定,中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。 四、NFT应用与数据安全法律责任 NFT技术具有创新性、全球性特点,在NFT产品开发和市场活动中数据收集、使用、加工、传输环节参与者法律意识普遍不足,甚至很多人认为目前只受“自然法”规范;NFT技术应用中跨境数据处理活动非常普遍,但有些法律风险红线可能还没有引起从业者足够的重视。NFT技术应用过程中,如不注意规范进行数据处理活动,密切关注数据处理活动安全风险,谨慎处理境内外司法机关的数据调取,将会承担相应法律责任。 (一)NFT应用要规范进行数据处理活动 第五十一条规定,窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。第五十二条规定,违反本法规定,给他人造成损害的,依法承担民事责任。同时也明确,违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 第四十七条规定,从事数据交易中介服务的机构未履行本法第三十三条规定交易审核相关义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 (二)NFT应用要密切关注数据处理活动安全风险 如不关注数据活动安全风险将可能会被有关主管部门约谈。第四十四条规定,有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。 NFT团队应认真制定和贯彻落实数据安全管理制度,加强数据安全风险监测,及时有效处置数据安全风险,并根据法律规定进行数据安全风险评估。否则,根据第四十五条的规定,将可能面临责令改正、警告、罚款等处置;如拒不改正或造成大量数据泄露等严重后果的,可责令暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照,并对相关直接负责的主管人员和其他直接责任人罚款。 (三)NFT应用要谨慎处理境内外数据司法调取 应积极配合我国有关机关依法调取数据。第四十八条规定,违反本法第三十五条配合公安机关、国家安全机关数据调取规定,拒不配合数据调取的,将被处于警告、罚款处罚。 向境外提供数据应严格按照规定处理。如违反规定向境外提供重要数据,可处于最高达一千万元的罚款,并可吊销营业执照,对直接负责的主管人员和其他直接责任人员处于最高达一百万元的罚款。 违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以处最高达五百万元罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处最高达五十万元罚款。