添加链接
link管理
链接快照平台
  • 输入网页链接,自动生成快照
  • 标签化管理网页链接
《数据安全法》第四条规定,维护数据安全,应当坚持总体国家安全观。这一概念是以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托的全方位国家安全体系。这条规定呼应了《国家安全法》第二十五条所提出的,国家应建设网络与信息安全保障体系,提升网络与信息安全防护能力,维护国家网络空间主权、安全和发展利益。在各国数据博弈深化的国际背景下,主权已经不再局限于一国领土而是拓展至网络空间中的数据和设施,数据要素已经成为国家基础性和战略性资源,数据安全已经成为国家安全不可或缺的组成部分。应对数据可能带来的非传统领域的国家安全风险与挑战,切实维护和确立国家数据主权、安全和发展利益,正是当今时代赋予的新课题。

《数据安全法》第二十一条第二款则进一步强调关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。

这一点也在罚则部分有所体现,《数据安全法》最终稿新增的第四十五条第二款明确,违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下的罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。

(三)进一步完善保障政务数据的规定

为保障政务数据安全,并推动政务数据开放利用,《数据安全法》第五章对国家机关收集、使用、运用数据的行为、能力提出了要求(第三十七条到四十三条)。国家机关为履行法定职责的需要收集、使用数据时,应当对其在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据依法予以保密,不得泄露或者非法向他人提供(第三十八条)。

其次,第四十条对国家机关委托他人存储、加工或者向他人提供政务数据的审批要求和监督义务做出了规定,并明确受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。国家机关还应按照规定及时准确公开政务数据,制定开放目录,构建互联互通、安全可控的开放平台(第四十一、四十二条)。

《数据安全法》虽未对政务数据进行定义,但可以根据今年6月17日浙江省发布的全国首部公共数据开放办法《浙江省公共数据开放与安全管理暂行办法》(下称《公共数据暂行办法》)对“公共数据”的界定汲取经验。公共数据指各级行政机关以及具有公共管理和服务职能的事业单位,在依法履行职责过程中获得的各类数据资源。联系实际而言,可能包含政府才有权利采集的数据,如资源、税收数据,政府在提供服务过程中所收集的公民消费和档案数据,如社会保险、水电数据,政府履行监管职责所采集的数据,如人口普查、食品药品监管等数据。

政务数据的利用与开放是加快政府数字化转型,推进电子政务建设的重要步骤。在收集、使用数据时,政府必须依法定职责和法律规定,健全安全管理制度,将责任落到实处;监督可能涉及的第三方,保障政务数据安全;遵循公正、公平、便民的原则,及时、准确地公开政务数据,实施“清单式管理”,构建统一互通的政务开放平台,将政务数据赋能价值扩到最大,利用数据更好地服务经济社会发展。

对于企业而言,如果在实践中遇到国家机关委托存储、加工政务数据的情形,受托方应配合国家机关完成审批程序,履行法律法规、合同约定的数据安全保护义务,采取必要的技术和组织措施保障政务数据安全,不擅自留存、使用、泄露或者向他人提供政务数据,并确保获得委托处理政务数据方的授权同意。当然,关于审批程序与企业关于处理政务数据的具体安全义务,还期待相关法规与标准后续进一步细化与支撑。

(四)明确对老年人的特殊保护

《数据安全法》相较于二审稿增加了第十五条,即明确提出支持智能化公共服务的发展,且要求应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。这并不是第一次专门针对老年人的利益需求提出特殊要求。例如,工业和信息化部在今年4月就发布《互联网网站适老化通用设计规范》和《App适老化通用设计规范》,助力老年人、残疾人等重点受益对象平等便捷地获取、使用互联网信息,充分体现了国家在发展过程中的人文关怀,保障老年用户的信息安全。

(五)加大对违法行为的处罚力度

《数据安全法》第六章规定了开展数据活动的组织、个人、数据交易中介机构、国家机关、监管工作人员等主体违反法律规定、未履行义务应承担的法律责任。去年公开的《数据安全管理办法》对于违反法律义务作出的是“一刀切”的罚则,即,“依违规情节,给予网络运营者公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。”本次《数据安全法》的规定针对不同违法行为设置不同的罚责,与《网络安全法》体例保持基本一致,规定了各主体违反法律规定可能承担的不同责任。

比如,有关部门发现数据活动存在较大安全风险的,可以按照规定的权限和程序约谈相关组织、个人并要求采取整改措施。这一规定旨在尽可能从源头消除安全隐患,以最低成本预防安全事故的发生。

开展数据活动的组织、个人未履行数据安全保护义务或未采取必要措施的,可能遭到警告和罚款,直接负责的主管人员个人也可能被处以罚款;如果违法行为性质恶劣或造成严重后果,罚款金额可高达一千万元人民币,并可能被责令暂停相关业务、停业整顿、吊销相关业务许可证或者营业执照,与《网络安全法》第六章规定同步。然而这一数字与《欧盟通用数据保护条例》(以下简称“GDPR”)规定的最高两千万欧元罚款尚有一定的距离,对于掌握千万用户数据的产业龙头企业或采买亿万字段信息的大数据巨头而言,威慑力度虽然也较为有限,但至少也是一个良好示范的起步。

另外,为避免非法来源数据交易的乱象,《数据安全法》第四十七条还规定了针对数据交易中介机构的处罚规则,即相关机构可能被没收违法所得、罚款、吊销营业执照,直接责任人也会被处以罚款,重拳出击规制数据交易行为,应引起相关机构的特别关注。

《数据安全法》第四十八条明确了不配合公安机关、国家安全机关因维护国家安全或者侦查犯罪调取数据的处罚以及未经批准向境外司法或者执法机构提供数据的处罚。《数据安全法》第四十六条还明确了非法对外提供重要数据的处罚。除了对开展数据活动的组织、个人、直接负责的主管人员或直接责任人员罚款外,还可对开展数据活动的组织、个人责令“暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”。

《数据安全法》第二、三条规定了其适用对象为“在我国境内开展的数据处理活动”。其中“数据”是指任何以电子或者其他方式对信息的记录;“数据处理”是指数据的收集、存储、使用、加工、传输、提供、公开等行为。此外,《数据安全法》附则部分还明确,涉及国家秘密和军事数据的活动,应分别适用《保守国家秘密法》和中央军事委员会另行制定的规则。另外,“开展涉及个人信息的数据活动,应当遵守有关法律、行政法规的规定”。考虑到我国《个人信息保护法》也已经提交到全国人大常委会进行第三次审议,《数据安全法》明确规定个人信息也属于数据的一种,将另由特别法律规制,这为即将出台的《个人信息保护法》预留了空间。由此分析,《数据安全法》适用对象的范围非常广泛,对于在境内实施任何数据收集、存储、使用等行为的组织和个人,不论主体身份,不论处理的数据数量、频率如何,均应遵守这一法律规定。

1. 适用主体

首先,《数据安全法》没有对适用主体进行限制。《数据安全管理办法》规定适用的主体主要是网络运营者,即网络的所有者、管理者和网络服务提供者,《网络安全法》的义务主体亦然。这一表述覆盖的范围可能延展到网络服务的方方面面,已然十分广泛,但《数据安全法》在此基础上更进一步,对适用主体从开展数据活动这一客观行为入手,而非将适用主体限定在某一个类型的主体范围内,更加扩大了适用的范围,最大限度地保障不同层次的数据安全,进而达到数据在有效保护下的合法利用目标。

国际上,对数据安全进行专门立法的情况不多,以色列《数据安全管理条例》规定适用主体为数据库控制者(Database Controller),再细分为基础、中等、严格三种保护水平。大多数国家的做法是将数据安全作为一个章节规制在个人信息或隐私保护法案中,如《加州消费者隐私保护法》(以下简称“CCPA”)和GDPR对受规制的主体提出具体要求(比如,对企业/组织有一定营业机构/收入的要求);美国各州法案中也存在保障数据安全的条款,适用对象包括收集使用个人信息的组织(例如:加州民法典)、医疗健康机构(康涅狄格州保险信息和隐私保护法案)、互联网服务提供者(明尼苏达州法典)等。《数据安全法》没有对适用主体做出特别的设定,实际上从客观层面能够达到对数据保护的最大化效果。

2. 适用客体—“数据”与“数据处理”

《数据安全法》对于适用客体即“数据”和“数据处理”进行了较为宽泛的定义。在之前的法律法规或国家标准文件中,如《网络安全法》从关键信息基础设施相关的数据、重要数据、个人信息三个类别对网络运营者进行规制;而后续亟待出台的《个人信息保护法》将侧重对个人信息进行保护。而《数据安全法》则规定,不论呈现形式(电子/其他方式)、不论收集方式(通过网络/非通过网络)、不论数据的内容(可识别身份的个人信息/与国家安全、经济发展以及社会公共利益密切相关的重要数据/其他数据),数据泛指一切对信息的记录。这一定义在我国的立法至今可属创新之举,将“数据”外延界定义为摈弃一切修饰词的客观载体,区分了“数据”与“信息”的概念,有效避免了主语与宾语同一的非有效解释。《网络安全法》、《个人信息保护法》和《数据安全法》适用客体的范围类型如下图:

《数据安全法》第二条规定,“在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任”。这一规定体现了维护国家安全和数据主权的立法宗旨,赋予《数据安全法》以必要的域外适用效力。

随着数据竞争的日益激烈,各国都在试图扩大数据方面的管辖权。2018年3月,美国通过《澄清域外合法使用数据法》(The Clarifying Lawful Overseas Use of Data Act, CLOUD Act,以下简称“《云法案》”),使得执法部门可依据搜查令直接调取境外数据。从美国司法部对外公布的白皮书对《云法案》适用范围作出的官方解释中[2]可以看出,《云法案》绝不仅仅适用于在美国注册成立的公司,境外的公司只要在经营活动中与美国有足够的联系(contacts),就可能触发美国法律的管辖权。欧盟则于2019年7月发布了《美国云法案对于欧盟个人信息保护法律框架以及欧盟-美国关于跨境电子取证协议谈判影响的初步法律评估》(Initial legal assessment of the impact of the US CLOUD Act on the EU legal framework for the protection of personal data and the negotiations of an EU-US Agreement on cross-border access to electronic evidence,以下简称“《评估》”)。《评估》明确指出,根据欧盟GDPR的规定,《云法案》并不能成为向美国传输个人数据的合法性基础。

除此之外,去年11月,欧洲数据保护委员会(EDPB)对GDPR第三条进行统一解释,并发布了GDPR地域适用的指南,明确了符合“营业机构”标准或“目标指向”标准其中之一的数据处理者和控制者,均需要遵守GDPR的规定。向欧盟居民提供服务、对欧盟居民进行监控、数据处理活动由设立在欧盟境内的营业机构进行或与其有紧密联系的情形均受到GDPR制约。因此,数据处理活动不以物理边界为限,具有抽象的超越国界和领土的特质。各国为有效保障数据安全、维护国家利益,除了通过国际条约与双边/多边协议进行约定,还通过扩大其国内法的适用范围,以求最大程度地降低跨境数据活动给本国带来的安全风险。

全球各国政府跨法域调取数据的情况也越来越常见,根据苹果公司2020年的透明度报告,仅2020年上半年,苹果公司就收到来自超过50个国家及地区的执法机构,共计28,276个数据调取请求。越来越多的中国科技公司走向世界,在主要的经济区都拥有重要的市场份额,故进一步完善对于境外执法机构调取数据的规制尤为重要。

《数据安全法》现行规定以“后果论”为标准,即如果数据活动造成了对我国国家、社会、公民利益损害的,相关组织和个人应被追究法律责任,确认了我国掌握主动权,以国家利益为主导监管各类数据活动的鲜明立场。然而,《数据安全法》未规定我国执法机构能对境外组织或个人调取信息或要求协助配合的权限,且相比美国《云法案》(即只要在经营活动中与美国有足够的联系(contacts)便可触发美国法律的管辖权)与GDPR(即向欧盟数据主体提供商品或服务或监控欧盟数据主体)的“行为论”,这一规定并没有将我国对数据管辖权的手臂伸得那么长。

然而,《数据安全法》未对第二条适用范围中的“境内开展数据活动”概念进行定义,笔者认为可能会在具体执行上存在一定问题。例如某一德国公司开发的App在我国境内投放运营后,用户在使用过程中出现软件崩溃,发送故障报告至德国公司的过程即构成在我国境内收集数据的活动。虽然德国公司属于境外组织,其主要营业机构、存储服务器均不在国内,但仍然可能受到《数据安全法》的约束。《数据出境安全评估指南(征求意见稿)》将“境内运营”定义为在中华人民共和国境内开展业务,提供产品或服务的活动,而不论运营者是否在境内注册。另外,还提出了几项参考因素以帮助判断,包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等。笔者认为,对“境内开展数据活动”的理解可以基于该理解类推借鉴,但期待在后续制定相关的配套政策和办法中进行进一步明确。

(四)提出“数据分类分级保护制度”,明确重要数据的界定责任

一审稿即提出了国家应对数据实行分类分级保护,二审稿进则明确提出了“数据分类分级保护制度”的建立及重要数据目录的确定,发布的正式稿对“数据分类分级保护制度”及“重要数据目录”做出了更为清晰的规定。对数据进行分类分级的主要标准为“数据在经济社会发展中的重要程度、以及一旦遭到篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”,这也呼应了《数据安全法》以维护国家安全和网络空间主权为根本的基调,这在数据主权博弈激烈的当下显得尤为重要。同时,根据第二十一条,重要数据是数据分类分级中一个类别,由于其关键性和敏感性需要额外的保护。数据分类分级保护制度的提出是现有数据保护制度框架的一个重要补充。相信在后续配套的法律法规及国家标准出台后,数据分类分级保护制度将与网络安全等级保护制度等类似,成为数据保护工作纲领性的要求与指引。

第二十一条明确了国家将统筹协调有关部门在宏观层面确定重要数据目录,并且要求各地区、各部门应制定适应于地区、部门及相关行业的重要数据具体目录,这种双层保护结构也与《重要数据识别指南(征求意见稿)》的思路相一致。这对于厘清何为重要数据并进一步推进重要数据保护工作而言至关重要。此前,《网络安全法》中虽然提到了重要数据,但并未对其进行展开的阐释或定义,《数据安全管理办法(征求意见稿)》和《信息安全技术 数据出境安全评估指南(草案)》虽有对重要数据有定义,但定义也没那么清晰且两者都未生效,指南也不具有法律效力。这对于企业进行重要数据保护工作而言造成了较大的不确定性和操作上的困难。相信随着本法的通过,后续各地区、各部门制定的重要数据具体目录能成为有效的参考,进一步增强数据分类分级保护制度的落地性与实践性。

(五)对于外国歧视性行动的反制裁措施,维护中国企业利益

《数据安全法》第二十六条强化了应对态度,将根据实际情况采取“对等措施”。当下,腾讯、华为等企业不时面临境外采取的限制性或者歧视性经济制裁措施,意图打压中国企业在外国的发展,该条款明确了我国维护中国企业利益的决心,无疑给中国企业打了一枚强心剂。

随着我国科技企业的兴起和5G等尖端技术的开发,各国针对我国企业的限制性措施层出不穷。仅在过去的一周内,美国联邦通信委员会(FCC)将中国两大电信巨头企业列为国家安全威胁名单,禁止美国公司利用八十三亿美元的政府资金购买这两家公司的设备;印度电子信息技术部以“有损印度主权、国防、国家安全和公共秩序”为由宣布禁用TikTok、微信等59款中国应用,且严格管控检查所有从中国购买的电力设备,以确认其中是否存在恶意软件或木马病毒。

一方面可见,数据安全、网络安全已经成为国际社会普遍认可的国家安全版图之一;另一方面可见,我国所面临的挑战和困难也是十分艰巨的。数据已经成为“黄金”、“石油”,也必然成为新兴“兵家必争之地”。全球围绕数据的争夺日益深化,《数据安全法》的制定不仅需要解决国内数据安全管理的问题,还要为数据出境、跨境合作设计等相关规则制定策略。

针对歧视的反制裁措施在国际私法、贸易等领域已有先例,此次在涉及数据安全、国家安全的基本法中重申这一原则,既表明我国拥护数据自由流动、跨境安全的坚定立场,又对他国如有不正当的歧视待遇行为做出了有力的回应。

此外,《数据安全法》第三十六条对处理外国司法或者执法机构关于提供数据的请求做出了规定。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。即企业在面临境外监管机构的直接执法时,不能直接提供境外监管机构要求的数据,而是需要先行上报给我国主管机关,获得批准后方才可提供。例如,当中国企业虽未在欧盟设有实体,但直接向欧盟境内的数据主体提供商品或监控欧盟数据主体时,受到GDPR域外管辖。在此情况下,如欧盟的数据保护机构依据其职权对企业进行调查,要求企业提供存储于我国境内的相关数据时,中国企业在向我国主管机关报批获准后方可提供。从实践的角度来说,受限于管辖的限制,即便GDPR规定了自身的域外效力,考虑到现实执法的困难程度,实践中也少有案例直接对在欧盟境内没有实体的公司进行处罚。《数据安全法》的第三十六条无疑显示出对部分国家域外长臂管辖执法进行有礼有节的回应态度。只是日后,需要相关部门规章或者国家标准进一步细化具体报批的机关以及相关流程。

(六)强调对数据出口的管制

《数据安全法》第三十条明确了有关关键信息基础设施运营者以及关键信息基础设施运营者以外的其他重要数据处理者将所收集的重要数据出境的规定,要求适用国家网信部门会同国务院有关部门制定的管理办法。我们在 《各国个人信息出境实况——兼评<个人信息出境安全评估办法(征求意见稿)>》文中 提到过,个人信息与重要数据出境将采用“二轨制”评估的方式,但此前,重要数据出境监管制度并未特别详细地得到明确,且多为征求意见稿的状态,除了《网络安全法》第三十七条较为概括地要求重要数据本地化,只有有极其特殊情况下方才申请主管部门审批出境(实践中估计也鲜有行业主管部门有审批的流程和经验),其他尚无现行有效的法律法规、国家标准明确数据出境的具体合规方案,从而给企业带来了较大的不确定性。在尚无针对重要数据的专门评估办法出台前,各企业预备重要数据评估的,目前仍然参考的是《个人信息和重要数据出境安全评估办法(征求意见稿)》。其中,第九条规定了六类涉及重要数据出境时应提交行业主管部门或监管部门进行安全评估得情境,包括:

1)含有或累计含有50万人以上的个人信息;

2)数据量超过1000GB;

3)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;

4)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;

5)关键信息基础设施运营者向境外提供重要数据;

6)其他行业主管或监管部门认为可能影响国家安全和社会利益的。

上述规定仍需要企业及相关组织进行全面的自我评估,但具体出境情况是否适用上述规定存在较大的不确定性,对于企业进行重要数据出境安全管理工作带来较大的挑战。数据安全法通过区分主体的方式,对于重要数据出境的监管办法进行了进一步的明确和补充。关键信息基础设施运营者出境重要数据适用《网络安全法》的规定,其他主体出境重要数据则适用国家网信部门会同国务院制定的管理办法,这样的监管思路也使得数据分类分级保护制度能够更好地与关键信息基础设施保护要求相协调。

此外,该条款明确制定数据出境规则的主体为“国家网信部门会同国务院有关部门”,可以体现未来对于数据出境进行规制的法律文件其法律位阶与效力基本是在部门规章的级别,从而加强企业遵守相关义务的必要性。

值得注意的是,除了《网络安全法》及《数据安全法》,一些重要数据的出境还需要重点关注行业监管的要求。比如,《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六条更是规定,在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行,且除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。

根据《数据安全法》第四十六条规定,非法向境外提供重要数据的,“由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款”。

(七)明确企业合规义务

《数据安全法》第四章落实了数据活动主体的具体安全保护义务与责任,列举了一系列需要遵守的合规义务,包括开展安全培训、完善制度建设、风险评估监测、报告安全事件、落实数据分类分级等制度等。具体请参见本文第三部分的分析。

(八)强调数据新技术应当符合社会公德与伦理

《数据安全法》第二十八条要求开展数据活动以及研究开发数据新技术应当符合社会公德与伦理,这一条款则对应了近些年诸多颇具争议的数据新技术,例如医疗AI、Deepfake、ZAO换脸技术等。不可否认的是该等技术的背后是数据活动方面的蓬勃创新,但其所导致的伦理道德问题也一直是社会讨论的重点。例如,2017年一位匿名用户使用“Deepfake”技术将《神奇女侠》中女主盖尔·加朵的脸移植到了一部成人电影的女主身上,再辅以技术手段将其完美的融合,之后将其上传到了Reddit成人交流社区,最终因侵犯个人隐私导致视频下架;2019年3月报道,犯罪分子利用Deepfake技术,冒充英国某能源公司母公司CEO的声音,成功诈骗了二十二万欧元。《数据安全法》的第二十八条正是针对此种新技术所带来的身份冒用、侵犯隐私、造成严重社会负面影响等问题进行了回应。然而,《数据安全法》本身没有对违反此条款规定法律责任,可能实际震慑力较为有限。

(九)明确数据处理活动不应排除、限制竞争

对于违反其他法律、行政法规的援引条款,《数据安全法》第五十一条明确开展数据处理活动“限制、排除竞争”的场景。

当下,随着《国务院反垄断委员会关于平台经济领域的反垄断指南》的出台以及罚款金额的震慑性,平台反垄断也成为企业的热点话题,该条款明确了数据处理活动也不应该排除、限制竞争,对于怎样的数据处理活动可以产生排除、限制竞争的效果,留待反垄断局或在个案中进一步说明。

(十)建立与网络安全等级保护制度相衔接的数据安全管理制度

《数据安全法》第二十七条同时强调了数据安全管理制度的建立和网络安全等级保护制度,这使得《数据安全法》能够更好地与现有的数据保护相关法律法规及规制思路相配适。已经建立网络安全等级保护制度的企业能够更好地衔接数据安全管理制度的要求,进一步提升整体的网络安全及数据保护水平。

(十一)鼓励行业自律,建立行业规范

《数据安全法》第十条指出“相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展”,强调了行业自律在数据安全规范方面的作用,提出了行业数据安全行为规范这一概念,并鼓励各行业组织积极制定适用于本行业的数据安全行为规范,加强行业自律,通过行业内的指导进一步提升数据保护水平。

笔者认为这虽然不是一个强制要求,但也将是未来数据安全保护监管及合规自证体系中一个重要的部分。由于数据处理活动本身对应的场景极具多样性与专业性,法律法规进行落地时可能会存在天然的障碍。该条款通过凸显行业自律的作用,让行业作为规制的一环,从而加强规则的适用性以及与时俱进的能力。

行业自律也为世界其他主要法域国家常见的规制手段。例如,GDPR第四十条及四十一条就早已提出了 行为准则(Code of Conduct) 这一理念,鼓励有起草行为准则的行业协会或者其他实体制定适合行业的最佳实践。这样的行业最佳实践在通过认证之后,可以成为一个有效的自愿性问责工具。除此之外,这对于一些小微型企业而言也是一个能够有效降低合规成本的方案。数据安全法这一概念的提出,也是数据安全监管思路与框架向国际社会中数据保护监管水平较高的地区看齐的重要一步。

根据《数据安全法》第三十三条的规定,从事数据交易中介服务的机构在提供服务时,应当要求数据提供方说明数据来源, 审核交易双方的身份,并留存审核、交易记录。《数据安全法》本身并没有对何为“数据交易中介服务”的定义进行规定,我们结合相关实践,初步分析可能是指《信息安全技术 数据交易服务安全要求》中的“数据交易服务平台”(例如上海数据交易中心等提供数据交易平台的企业)等企业。对于此类企业,根据《数据安全法》的规定,需要数据交易一方说明数据来源,审查交易双方的主体身份以及过往是否存在违规交易记录,并对交易记录进行留存。未能按照《数据安全法》要求进行交易数据提供方的背景审核、记录留存的,则根据《数据安全法》第四十七条的规定,导致非法来源数据交易的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得的,处十万元以上一百万元以下罚款,并可以由有关主管部门吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

从落地的角度来说,“数据交易中介服务”概念(例如是否支持民营企业做成数据交易中介等)、交易记录留存时间等尚未明确规定,可能对实践带来一定的障碍,建议相关企业密切关注相关配套法规动态,以便完成相关合规举措。

4. 设立数据安全管理制度,采取技术和必要措施保障数据安全

根据《数据安全法》第二十七条的规定,开展数据活动应依照法律法规规定,建立健全全流程数据安全管理制度, 组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全,利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。对于企业而言,一方面需要在企业内部设置相应的数据安全管理制度,例如《数据访问权限管理制度》、《IT管理制度》《外部人员访问审批管理流程》等,对涉及处理数据的员工进行专项培训等;另一方面,需要采取相应的技术措施和其他必要措施,保障数据安全,例如采取进行网络安全等级保护认证,采取数据分类分级存储、加密传输、保存等措施。在这里法案并没有要求公司采取企业所能实现的“最高的”技术措施,而是采取“相应的”措施,没有为企业的合规落地设置过高的要求与挑战。因此,企业可能需要结合不同类别数据的情况、风险等级、技术手段与成本,对数据采取技术和安全保障措施。

根据《数据安全法》第四十五条的规定,未能设立数据安全负责人和管理机构的重要数据处理者,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处五十万元以上二百万元以下罚款,并可责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

5. 对数据分类分级保护

对于数据分类分级制度,《数据安全法》借鉴了今年2月工信部印发的《工业数据分类分级指南(试行)》,以一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度作为标准之一,辅以该数据在经济社会发展中的重要程度,对数据进行分类分级保护。相对应地,企业在开展业务的过程中也针对数据的重要程度、敏感程度对数据进行分类分级的保护,例如对儿童的个人信息应当加密存储。信安标委也正在研发《重要数据分类分级指南》;各行业也在研制本行业的数据分类分级标准,企业也可以关注相关动态,以便提前规划合规义务的落地。

6. 按照要求进行安全检测与评估认证

《数据安全法》第十八条指明了国家对安全检测评估、认证服务的支持态度。目前我国是通过中国网络安全审查技术与认证中心,将强制测评与自愿测评相结合进行定期和年度检测认证或自愿认证,企业可以根据自身业务所对应的要求进行相关检测与评估。笔者认为,对于自愿认证的项目,未来也可考虑采取类似司法鉴定机构清单式管理的做法,由国家有关部门对机构的资质、能力进行考核,认证,并将有权开展评估服务的专业机构予以公告。

7. 发生数据安全事件的报告义务

根据《数据安全法》第二十九条的规定,开展数据活动应当加强风险监测,在发现数据安全缺陷、漏洞等风险时,应当立即采取处置措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。

《数据安全法》本身并没有对“数据安全事件”进行明确的规定,可参考其他法律法规、国家标准。《网络安全法》第四十二条说明“在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”。《数据安全管理办法》第三十五条也采取了类似的表述,即发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。《数据安全法》本条款目前的写法虽然呼应了《网络安全法》、《数据安全管理办法》的表述,但可能存在以下问题:

根据《数据安全法》第二十七条的规定,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。《数据安全法》将必须明确数据安全负责人的企业限定在掌握“重要数据”这个范畴。对于设立数据安全负责人和管理机构义务虽非一项崭新规定,但在设置的要求与对应规制的对象上,与以往的法规还是有所不同。《网络安全法》第二十一条规定网络运营者应当确定网络安全负责人;第三十四条要求关键基础信息设施的运营者应当设定专门的安全管理机构和安全管理负责人;《关键信息基础设施安全保护条例(征求意见稿)》第二十四条要求关键基础信息设施的运营者设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;《信息安全技术 个人信息安全规范》(2020版)第11.1条则要求个人信息控制者应任命个人信息保护负责人和个人信息保护工作机构。

如前所述,《数据安全法》并没有对受《数据安全法》规制的公司或个人作明确的限定,“重要数据的处理者”、“关键基础信息设施的运营者”、“个人信息的控制者”所涵盖的范围,相互间既有所交织,又略有不同,因此企业在落地实践中,应当更加明确自身处理的数据类型,将主要数据类型视为重点合规的对象,设置相关的负责人与保护机构。当然,在企业内部,为了避免多头设置不同类型数据保护的虚拟部门与负责人员,可以设置一套机构管理企业内部不同类型的数据安全。具体可以参阅《国内企业的DPO工作现状与能力发展》一文。

根据《数据安全法》第四十五条的规定,未能设立数据安全负责人和管理机构的重要数据处理者,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处五十万元以上二百万元以下罚款,并可责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

2. 定期开展风险评估义务

根据《数据安全法》第三十条的规定,重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量、收集、存储、加工、使用数据的情况、面临的数据安全风险及其应对措施等。

企业如果处理的是重要数据,则需要按照要求定期开展风险评估,并向主管部门报告。因此实施本条仍然是定义并识别重要数据为前提。

未能履行此义务的,根据《数据安全法》第四十五条的规定,未能设立数据安全负责人和管理机构的重要数据处理者,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处五十万元以上二百万元以下罚款,并可责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

3. 合法开展数据出境活动义务

《数据安全法》第三十一条明确了重要数据出境时的合规义务,对于属于关键信息基础设施的企业,则需要根据《网络安全法》的要求,履行相关合规义务;对于其他主体出境重要数据则适用国家网信部门会同国务院制定的管理办法。由于目前与数据出境相关的配套法规、国家标准尚处于征求意见状态,建议公司密切关注相关立法动态,特别是行业内对于本行业数据出境的特殊要求(例如对于特定数据的本地化存储要求)。

根据《数据安全法》新增的第四十六条的规定,违法向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。