2021年6月10日,第十三屆全國人民代表大會常務委員會第二十九次會議通過了《中華人民共和國數據安全法》(以下簡稱《數據安全法》),該法將于2021年9月1日起正式施行。《數據安全法》全文共分七章,五十五條,全片結構為:總則、數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放、法律責任、附則。
從總則以及第二章數據安全與發展的內容中可以看到我國對于大數據時代下數字經濟發展的高度重視:
總則部分首先改變了之前法律將數據更貼近解釋為“電子數據”的立法習慣,將“其他方式對信息的記錄”也納入了數據的內涵中,證明立法者已經注意到了當前大數據時代下數據收集、挖掘等技術的飛速發展,因此將數據的法律定義做出了調整以擴大法律的保護范圍,適應當代社會信息安全的要求。其次總則部分對國家機關、行業協會、個人三個層面都分配了任務并賦予了權利,以期從全國自上而下重視數據處理活動,保障數據安全,促進數據開發利用,保護我國的數據利益。
而第二章數據安全與發展從宏觀的角度對數據產業開發利用和發展、大數據戰略、智能化公共服務、數據安全技術研究、數據安全標準體系建設、數據安全監測評估、認證、數據交易管理、數據技術與安全教育等數字經濟發展的具體細節方面做出了規定,雖然本章大部分條款都為原則性規定,但相信日后國家將繼續出臺配套法規、政策進行更為細化的規定。
第三、四、五章內容為數據安全制度、數據安全保護義務、政務數據安全與開放,這三章的規定相較于前面兩章對于國家機關的監督監管職責、市場參與者的數據合規義務做出了較為詳細的規定,本文將從這三章為企業解讀《數據安全法》下的企業合規要點。
01 《數據安全法》框架下企業的合規要點
(一)數據的分級分類保護、重要數據保護、核心數據保護
《數據安全法》第二十一條
1規定了數據的分級分類保護、重要數據保護、核心數據保護。
實際上對于數據的分級分類保護和重要數據保護,《網絡安全法》早已進行了規定,但《網絡安全法》分級分類保護的規制對象為網絡運營者,《數據安全法》則通過對相關部門的分級分類保護以及重要數據保護職能進行規定與《網絡安全法》進行了呼應配合,二者從市場參與者以及監管機構兩個層面完善了分級分類保護的規定,使該項制度成為了一個閉環,而閉環中的內容,即具體的分類分級保護指引或規范并未在《數據安全法》中規定,而是授予了各地區、各部門自行制定的權利。不難理解這正是由于不同地區、不同行業的數據分類分級的具體規則和考慮因素差異巨大,《數據安全法》將重要數據具體目錄和具體分類分級保護制度的制定權限下放到行業主管部門和各地區國家機關,充分考慮了法律規定與實際情況的相結合。
國家核心數據為本次《數據安全法》正式稿中在二審稿的基礎上新增制度,從本法特別增加一款進行規定以及條文中“實行更加嚴格的管理制度”的表述來看,核心數據相較于重要數據將實行更加嚴格的管理制度。此次對于核心數據的保護雖未具體規定,但將來我國必將針對國家核心數據制定配套的法規,進一步加強管理。
(二)數據安全風險評估
《數據安全法》第二十二條
2就國家機關對于數據安全風險評估、報告、信息共享、監測預警機制進行了規定,并在第三十條
3對重要數據的處理者的評估報告義務進行了明確規定。
從二十二條來看,《數據安全法》雖對數據安全評估制度做出的規定僅是概括性、原則性的規定,但結合本法的第六條、第十八條,第二十一條,實際上數據評估的審查機構已經躍然紙上,應當是各個行業的主管機構或各地區的有關部門,即重要數據目錄的制定者。而在審查主體已經確定的情況下,后續國家或接受國家委任的各地區、各部門主管必將逐步推出具體的配套制度。
而從三十條來看,我們可以看到,對于重要數據的處理者,條文使用了“應當”一詞,結合本法第三條第二款,數據處理包括“數據的收集、存儲、使用、加工、傳輸、提供、公開等。”也即只要是重要數據處理者,在數據處理的全流程都應當進行定期評估,并將向有關主管部門報告,重要數據處理的風險評估后續將成為企業合規經營的一個常態化要求。
(三)數據風險處置機制的設立
《數據安全法》第二十三條
4、二十九條
5對于數據活動的數據風險處置機制的設立進行了規定,并確立了數據安全審查制度。
將二十三條與二十九條結合起來,我們不難看出,這兩條條文從一體兩面規定了數據風險處置機制:國家層面將設立應急預案,在發生數據安全事件時采取應急處置措施,防止危害擴大,向社會公布;而企業在數據處理活動中除了審慎義務外,在發生數據安全事件時應當對應地采取處置措施并向社會公布,兩款條文都提到了采取處置措施以及向社會公眾告知,這不難讓我們回想起2020年Instagram、TikTok和Youtube地數據泄露事件
6。因此,《數據安全法》在已經制定數據活動的事前風險評估制度的基礎上,對于數據活動的事中風險處理也一并從國家和企業兩個角度做了要求。
(四)數據活動的安全審查
《數據安全法》二十四條
7規定了數據安全審查制度,國家建立數據安全審查制度,對影響或者可能影響國家安全的數據活動進行國家安全審查。
結合本法二十一條,可以看出本條指向的是國家核心數據的安全審查制度,并且本條的第二款明確“依法作出的安全審查決定為最終決定。”,也即國家依法作出的數據安全審查決定為最終決定,這意味著將無法通過行政復議、行政訴訟的方式對審查決定提出異議得到救濟,因此企業在從事數據活動時,數據的分級保護更加體現出重要性。當然,《數據安全法》對于審查的程序并未做進一步規定,后續應該有相關實施細則出臺。
(五)數據安全保護義務
《數據安全法》第二十七條
8明確了開展數據處理活動的市場參與者應當建立完善的數據安全管理制度、進行安全教育培訓、采取相應的技術措施和其他必要措施,保障數據安全,對于重要數據還應當明確數據負責人和管理機構。從第四章整體來看,本條規定的“其他必要措施”還包括上述提到的數據風險評估、監測和報告,應急預案的設立。
從本條不難看出,數據安全合規制度的建設已成為企業應當履行的法定義務。并且《數據安全法》本條還規定“開展數據處理活動,應當在網絡安全等級保護制度的基礎上履行上述數據安全保護義務。”,即《網絡安全法》的規定的基礎上,對數據安全保護提出了更高的數據保護要求。
特別應當注意的是,《數據安全法》也在第六章法律責任的部分明確了不履行第二十七、二十九、三十條規定的數據安全保護義務的,主管部門也可以采取責令改正、警告、罰款等行政處罰措施。拒不改正或造成嚴重后果的,主管部門則可以責令暫停相關業務、停業整頓、吊銷許可證或營業執照和處以更大幅度的罰款。
(六)數據跨境流動的合規義務
《數據安全法》第十一條明確了國家促進數據跨境安全、自由流動的積極態度,第二十五條
9、二十六條
10、三十一條
11、三十六條
12則對數據跨境流動作出了明確規定。
《數據安全法》第二十五條規定了數據出口管制制度。值得注意的是,根據《中華人民共和國出口管制法》第二條,本條的規制對象雖為“對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據”,但判斷是否屬于管制對象的標準并非依據本法的國家核心數據或重要數據的標準,而是只要按照出口管制的規則。
《數據安全法》第三十一條規定了關鍵信息基礎設施運營者收集和產生的重要數據出境的管理制度,明確仍適用《網絡安全法》的有關規定,同時還增加規定了其他數據處理者對于重要數據出境同樣負有安全保護義務,應當遵守國家網信部門會同國務院有關部門制定的安全管理辦法。因此,在《數據安全法》生效后,企業即使不是關鍵信息基礎設施運營者,對于重要數據出境的合規處理同樣負有義務。
《數據安全法》第三十六條則規定了司法及執法數據的處境問題。本法將所有司法及執法數據認定為重要數據級別以上的分類,因此針對向外國司法或者執法機構提供數據的行為,均需要經過主管機關批準。有趣的是這一條規定還添加了“平等互惠原則”,無形中呼應了前面二十六條有關境外對于我國數據跨境流動歧視措施的反制方式。
(七)數據中介、數據服務的資質限制及合規經營
《數據安全法》第三十三條
13對從事數據交易中介服務的市場參與者提出額外的審慎要求。《數據安全法》要求中介機構審核交易雙方的身份,而對于交易的具體內容、審核方式等內容還有待后續立法進一步明確。不過本條規定可以看出我國對于數據交易市場開始逐步重視,已從原來傳統的監管交易的買賣雙方逐步細化至交易中介人,體現了我國規范數據交易市場發展的決心,相信也將呼應接下來即將出臺的《個人信息保護法》。
第三十四條
14對于《數據安全法》就數據處理的行政許可做出了規定。現在大部分企業根據《互聯網管理辦法規定》辦理ICP經營許可證即可執行網上數據處理業務,本條在此再次強調筆者判斷有兩種可能性,一是未來可能會就數據處理設立專門具體的行政許可,二是接下來一階段的審查重點將會放在目前開展數據處理業務的企業的服務內容及業務模式判斷所提供的服務是否落入行政許可審批范圍,是否及時辦理牌照。
(八)為政府提供數據服務者的額外義務
《數據安全法》第四十條
15對于政府接受數據外包服務的義務以及為政府提供外包數據服務者的義務做了規定。各地政府紛紛推出相關政策以期推動快速發展電子政務,政務數據已成為促進政府科學決策、提高公共管理效能的重要資源,疫情催生的大量公共服務數據采集、分析工具也進一步提升了政務數據的體量和質量,而私企民企往往集中有大量先進技術及開發人才,數據處理的外包工作不可避免。立法者敏銳觀察到這一點,從立法上對于政府外包的審慎義務以及服務提供者的數據安全保護義務進行了規定。
02 企業合規建議
(一)梳理數據合規意識,建立數據合規制度
《數據安全法》的頒布,標示著我國的數據治理已經邁入了一個新階段,結合前面已經頒布的《網絡安全法》以及后續即將頒布的《個人信息保護法》,中國大數據時代法律規制的基本框架已經形成,原來國內數據行業的野蠻生長態勢也將得到到遏制,如何在合法的框架內處理數據,將數據的效益最大化將會是今后企業發展的重要突破口。因此,筆者認為,企業首先應當在企業內部樹立數據合規意識,建立數據合規制度,按照《數據安全法》中已經規定的內容開展數據活動,健全全流程數據安全制度,組織開展數據安全教育培訓,采取技術措施保障數據安全,建立重要數據的安全負責人和管理機構,涉及數據處理活動風險評估方案以及數據安全問題應急處置方案。
(二)建立數據分類分級制度
注意數據分類保護,筆者建議可以先關注《工業數據分級分類指南(試行)》《證券期貨業數據分類分級指引》《基礎電信企業數據分類分級方法》(YD/T3813-2020)《個人金融信息保護技術規范》(JR/T0171-2020)等已經制定的分級分類國家標準,先行評估制定自己公司的分級保護方式,另外也需要密切關注地方行業主管部門發布的數據分類分級目錄,在后續如果有出臺的情況下以目前已有的目錄進行對接調整。
注釋
1.第二十一條 國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。
關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度。
各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。
2.第二十二條 國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制。國家數據安全工作協調機制統籌協調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作。
3.第三十條 重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估,并向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數據的種類、數量,開展數據處理活動的情況,面臨的數據安全風險及其應對措施等。
4.第二十三條 國家建立數據安全應急處置機制。發生數據安全事件,有關主管部門應當依法啟動應急預案,采取相應的應急處置措施,防止危害擴大,消除安全隱患,并及時向社會發布與公眾有關的警示信息。
5.第二十九條 開展數據處理活動應當加強風險監測,發現數據安全缺陷、漏洞等風險時,應當立即采取補救措施;發生數據安全事件時,應當立即采取處置措施,按照規定及時告知用戶并向有關主管部門報告。
6.2020年8月,Instagram、TikTok和Youtube都同時遭到破壞,當時約2.35億社交媒體用戶的數據被公開在服務器上,暴露的用戶信息包括姓名、年齡和其他帳戶詳細信息。
7.第二十四條 國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。依法作出的安全審查決定為最終決定。
8.第二十七條 開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務。
重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。
9.第二十五條 國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制。
10.第二十六條 任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。
11.第三十一條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。
12.第三十六條 中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關于提供數據的請求。非經中華人民共和國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。
13.第三十三條 從事數據交易中介服務的機構提供服務,應當要求數據提供方說明數據來源,審核交易雙方的身份,并留存審核、交易記錄。
14.第三十四條 法律、行政法規規定提供數據處理相關服務應當取得行政許可的,服務提供者應當依法取得許可。
15.第四十條 國家機關委托他人建設、維護電子政務系統,存儲、加工政務數據,應當經過嚴格的批準程序,并應當監督受托方履行相應的數據安全保護義務。受托方應當依照法律、法規的規定和合同約定履行數據安全保護義務,不得擅自留存、使用、泄露或者向他人提供政務數據。
